[Pili]

Email-Worm.Win32.Brontok.a

[Vitac_Black]

Цитата Котяра:

Чистил один компьютер давно от этого вируса. »

Я уже устал от этих Brontokов руссо-туристо и прочих тварях. Тема хорошая предлагаю рассказывать о местожительстве наиболее распространнёных зловредах.
Вопрос к модераторам. Можно или на каждого прийдется создаватьновую тему?

[Котяра]

Цитата Vitac_Black:

Вопрос к модераторам. Можно или на каждого прийдется создаватьновую тему? »

Я не модератор, не знаю, но лучше создать новую тему, т.к. тут и голосование.

[Pili]

Цитата Vitac_Black:

Я уже устал от этих Brontokов руссо-туристо и прочих тварях »

Рекомендации от автозапуска есть почти в каждой теме этого раздела :) Например тут

[Котяра]

Просьба к тем, кто хорошо знает вирус Brontok.a. Подскажите, какой алгоритм должна иметь утилита его удаления.
Владею языками BAT и AutoIt.

[DiMMMm]

Котяра,

Цитата:

При инсталляции червь копирует себя в следующие каталоги со следующими именами: %Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe %Documents and Settings%\User\Local Settings\Application Data\services.exe %Documents and Settings%\User\Local Settings\Application Data\smss.exe %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe %Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif %Documents and Settings%\User\Templates\WowTumpeh.com %System%\<Имя пользователя>'s Setting.scr %Windir%\eksplorasi.pif %Windir%\ShellNew\bronstab.exe После чего червь регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %Windir%\eksplorasi.pif" При каждой следующей загрузке Windows автоматически запустит файл червя. Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок): [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced] "Hidden"="0" "ShowSuperHidden"="0" "HideFileExt"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1" "DisableCMD"="0" Также червь создает следующую папку: %Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX XX – 2 случайные цифры.

[Котяра]

Цитата DiMMMm:

%Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe %Documents and Settings%\User\Local Settings\Application Data\services.exe %Documents and Settings%\User\Local Settings\Application Data\smss.exe %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe »

Я так понимаю, это можно удалить, например, так

Код:

del "%userprofile%\Local Settings\Application Data\csrss.exe"
del "%userprofile%\Local Settings\Application Data\smss.exe"
del "%userprofile%\Local Settings\Application Data\winlogon.exe"
del "%userprofile%\Local Settings\Application Data\services.exe"
del "%userprofile%\Local Settings\Application Data\inetinfo.exe"

Правильно? Что будет, если эти команды будут выполнены на чистой машине? Не будут ли удалены системные файлы? Нужно ли делать if-проверку?

Цитата DiMMMm:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced] "Hidden"="0" "ShowSuperHidden"="0" "HideFileExt"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1" "DisableCMD"="0" »

Это чистить REG-файлом?

Цитата DiMMMm:

%Windir%\eksplorasi.pif %Windir%\ShellNew\bronstab.exe »

Удалять также, как и левый winlogon.exe?

Цитата DiMMMm:

%System%\<Имя пользователя>'s Setting.scr »

Где это и как его удалить?
C:\System's settings.scr?

[Pili]

Цитата Котяра:

какой алгоритм должна иметь утилита его удаления. »

Какой смысл писать такую утилиту, если можно воспользоваться утилитами (антивирусами)? Или, если однотипные системы и заражены пока ещё неизвестной модификацией, можно написать скрипт карантина/удаления для AVZ или/и отправить файлы в вирлаб и на следующий день лечить антивирусом (AVPTool напр.)
Или это лаб. работа?

[Котяра]

Цитата Pili:

Какой смысл писать такую утилиту, если можно воспользоваться утилитами (антивирусами)? Или, если однотипные системы и заражены пока ещё неизвестной модификацией, можно написать скрипт карантина/удаления для AVZ или/и отправить файлы в вирлаб и на следующий день лечить антивирусом (AVPTool напр.) Или это лаб. работа? »

Просто так.