Молдавский вирус

Сегодня годовщина первого запуска вируса Win95.cih

он же знаменитый Чернобыль. Было это 26 апреля 1999 года.

Помню в тот день бухгалтерия выла горючими слезами, интернета еще толком не было, никто не знал, чо делать, антивирусы были с оффлайн обновлением, кто-то из наших посоветовал резко дернуть дату на всех компах на месяц назад, чем несомненно спас больше половины парка компов.

Нам, программерам и админам было пофиг, потому что мы сидели под ДОСом упорно :)

Зачотная была бомба, похлеще ФАБа.

Мы потом 2 недели работали еще по предыдущему месяцу, пока противоядие не нашлось и не прочистило все компы.

Вирус Win95.CIH - Старичок Чернобыль - уникальный в свое время вирус. И не только потому, что он является первым из "вирусов, действительно портящих железо". А, главным образом потому, что он использует очень интересный фокус с пролезанием на 0-е кольцо привилегий процессора (в то время как большинство вирусов и юзерских программ - сосут на третьем). После этого вирус может вызывать (и успешно это делает) VxD сервисы и запись в порты. Он не изменяет SYSTEM.INI, он не пишет .VXD-файлов в WINDOWS\SYSTEM, он только заражает PE-файлы... и (иногда) стирает FLASH BIOS и жесткие диски :) ... Грубо говоря, это первый "по-настоящему резидентный" Win95/98 вирус (еще добавить немножко полиморфизма, и будет все как под DOS :)). Под Win >= 2k не функционирует.

Активизируется 26 апреля (дата катастрофы на Чернобыльской АЭС и дата рождения автора вируса)

Котлета - не еда

Ответ на пост «Почему Yandex позволялет себе зарабатывать на распространении вирусов?»

Ниже видео, демонстрирующее разное поведение поисковой выдачи Яндекса для одного и того же запроса: Steam.

Всего было 8 запросов с 4 ip, по 2 запроса (один с инкогнито/один с авторизованной сессией и блокировщиком рекламы) на каждый ip из Россия РТК СПБ, Нидерланды VPS , Швеция VPS , Россия VPS СПБ.

Из видео следует два вывода:

1) Блокировщик справляется с рекламой

2) Питерские ip находятся в геотаргетинге рекламной компании этих хуесосов

Клоунам которые срали про пиздеж в посте ТС, почитайте на досуге География показов - Директ. Справка (yandex.ru)

Почему Yandex позволялет себе зарабатывать на распространении вирусов?

Если вбить в поиск Яндекса какой-либо широко известный программный продукт, почти наверняка на первой странице появится рекламная выдача с вирусным продуктом, замаскированным под искомый. И почти всегда эта реклама будет в самой топовой позиции.

Несколько примеров:

Возникает банальный, но насущный вопрос: почему Яндекс никак этому не препятствует?

Рядовой пользователь ПК не отличает рекламу от обычной поисковой выдачи, поэтому почти всегда пройдет по такой ссылке и без тени сомнения скачает вредоносное ПО. Только представьте, в каких масштабах заражаются незадачливые пользователи - технологический гигант, который должен их защищать, сам же их и подставляет!

Еще несколько лет назад пробовал размещать контекстную рекламу в Яндексе и помню, как модераторы придирались к различным мелочам, а тут не замечают откровенный скам? Или нет возможности настроить автоматическую фильтрацию, подобно той, что фильтрует спам в почте?

С момента появления Яндекса с интересом наблюдал за развитием компании и всегда к ней положительно относился, поэтому очень неприятно видеть подобные вещи, как и полное безразличие руководства к проблеме.

Компьютерный мастер. Часть 270. Как изощрённо вирус с антивирусами боролся... примитивно, но эффективно...

Вчера был интересный случай, у клиента были жалобы на годовалый ноут на Ryzen-5 5300U, что он шумит громко и постоянно включается кулер даже с закрытой крышкой и меня вызвали заменить термопасту и почистить... но всё оказалось гораздо интереснее:

Я сразу заметил что windows 10 без антивируса и решил установить китайца Total 360, и первое с чем столкнулся, что не могу зайти на его сайт, ну думаю хз санкции давай через VPN попробую, через vpn скачал... но тут сюрприз антивирус просто не запускается, скачал касперского также через vpn и та же история... Скачать drweb cureit не возможно, через пару секунд после начала его загрузки любой браузер закрывался автоматически.

Я начал искать системные ошибки и неожиданно понял что сайт remontka.pro тоже не открывается....и тут я допер, что у нас в компе кто-то живет, причем очень хитрый майнер... при работе неожиданно начинают крутиться кулеры, но при попытке в диспетчере задач увидеть кто грузит систему там никого нет и вентилятор сразу успокаивается... т.е. вирус отслеживает наши действия в режиме онлайн...

Прикол как именно он запретил запуск установщиков антивирусов, он прописал запрет в реестре на запуск конкретных файлов:

А в файле HOSTS запрещенными оказалось более сотни сайтов, помогающие выявить вирус...

Причем даже после удаления ключей в реестре и файла хост, антивирусы начали скачиваться и запускаться, но отказывались устанавливаться, выдавая разнообразные ошибки... оказывается вирус применил ещё один хитрый трюк, он создал в C:\Program Files стандартные папки установки для всех антивирусов, сделал их только для чтения и скрыл пометив как системные... вот грязный извращенец)))

ЧТО ПОМОГЛО:

загрузка в безопасном режиме, чистка руками папок в C:\Program Files, подключение телефона в качестве usb модема и через него закачка CUREIT, антивирусная проверка, затем загрузка в обычном режиме еще один прогон CUREIT удаление вируса:

установка полноценного 360 Total Security, всем рекомендую кстати работает быстро ловит все известные вирусы не хуже касперского. Конечно передаёт все ваши данные товарищу СИ, но присмотр большого брата никому ещё не мешал)))

По итогам клиент доволен, ноут работает бесшумно, не греется и не просыпается с закрытой крышкой...

А можно мне другой фаил

Ответ на пост «Как удалить скрытый майнер»

1. Файл хост скрыт и его не открыть.  Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc  с заменой.

2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса?  Скачиваем RogueKiller.  Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.

Сложности с запуском вредоносов

«Лаборатория Касперского» обнаружила вирус, с помощью которого хакеры шпионили за госорганами по всему миру

01.07.2022


«Лаборатория Касперского» сообщила о вирусе, который уже больше года распространяется хакерами по всему миру, позволяя им следить за госорганами и некоммерческими организациями. С помощью этой программы можно читать корпоративную почту, распространять вредоносное ПО и удалённо управлять заражёнными серверами.


«Эксперты “Лаборатории Касперского” обнаружили сложно детектируемый бэкдор (вредоносная программа, предназначенная для скрытого удалённого управления компьютером) SessionManager. Он позволяет получить доступ к корпоративной ИТ-инфраструктуре и выполнять широкий спектр вредоносных действий», — сообщила компания.


В «Лаборатории Касперского» рассказали, что зловред распространяется дистанционно, в виде модуля для Microsoft IIS — проприетарного набора веб-сервисов для нескольких интернет-служб от компании Microsoft, который включает почтовый сервер Exchange.


Первые атаки с использованием SessionManager были отмечены в конце марта 2021 года. Жертвами хакеров стали в основном госорганы и некоммерческие организации в Африке, Южной Азии, Европе и на Ближнем Востоке, а также в России. Эксперты отметили, что большинство популярных онлайн-сканеров плохо детектирует зловред, поэтому он зачастую остаётся незамеченным. На данный момент его обнаружили на 34 серверах в 24 компаниях.


https://3dnews.ru/1069314/laboratoriya-kasperskogo-obnarugil...


https://www.interfax.ru/world/849952

Рекомендуем
@ann
@tellMe
Тренды

Fastler - информационно-развлекательное сообщество которое объединяет людей с различными интересами. Пользователи выкладывают свои посты и лучшие из них попадают в горячее.

Контакты

© Fastler v 2.0.2, 2024


Мы в социальных сетях: