Страницы

Страницы

НОВАЯ ВЕРСИЯ ЗАЩИТЫ ДЛЯ ФЛЭШ НАКОПИТЕЛЕЙ V 1.3 ИЛИ ОБНОВЛЕННАЯ ЗАЩИТА ДЛЯ ФЛЕШКИ.









Не поверите, прошло несколько дней после того как я выложил обновленную версию защиты против вирусов Autoruner, как мне пришло в голову несколько улучшений... Кидать ссылки по сайтам не буду, устал. Какие улучшения спросите вы теперь в этой версии? Читайте...



@Echo off
@Title Stop_Flash_infect_For_USB_Flash_Drive_v1.3
@Echo ________________________________________________________________________________
@Echo Stop_Flash_Infect_For_USB_Flash_Drive_v1.3 By Igor Nesterov. Zaporozye. 2009.
@Echo ________________________________________________________________________________
@Color A0
@Echo off
@Set /p drive= “ЉЂ†€’… ЌЂ Љ‹Ђ‚€Ђ’“ђ… Ѓ“Љ‚“ ”‹ќ˜ ЌЂЉЋЏ€’…‹џ € ЌЂ†Њ€’… "ENTER" (Ѓ“Љ‚“ ”‹ќ˜ ЌЂЉЋЏ€’…‹џ ЊЋ†ЌЋ ЏЋ‘ЊЋ’ђ…’њ ‚ "ЊЋ‰ ЉЋЊЏњћ’…ђ") G:\ H:\ I:\ ? ...
@Echo ________________________________________________________________________________

@Rem Создаем папку с названием Autorun.inf Это название файла, запускаещего вирус, который прописуется в корень флэш накопителя, при его заражении вирусом.

@Echo Ћ†€„Ђ…Њ, ‡Ђ™€’Ђ “‘’ЂЌЂ‚‹€‚Ђ…’‘џ...
Attrib -s -h -r -a %drive%:\Autorun.inf
If exist %drive%:\Autorun.* Del \\?\%drive%:\Autorun.* /f /a /q
If exist %drive%:\Autorun.inf Rmdir \\?\%drive%:\Autorun.inf /s /q
Mkdir \\?\%drive%:\Autorun.inf

@Rem Создаем в папку, неудаляемый стандартными способами файл.
Echo > \\?\%drive%:\Autorun.inf\NUL.Stop_Flash_infect_by_Fagot
Attrib +s +h +r +a %drive%:\Autorun.inf

@Rem В итоге мы имеем в корне флэш накопителя неудаляемую папку Autorun.inf И вирус уже не сможет скопировать файл, запуска себя. На флэшку скопируется тело вируса, но он не сможет запуститься !! так как название файла запуска вируса , Autorun.inf, в директории уже присутствует, а два одинаковых названия в одной директории быть не могут! Т. Е. вирус "пролетает"

@Rem Такой же принцип как и впредидущем блоке.
Attrib -s -h -r -a %drive%:\Desktop.ini
If exist %drive%:\Desktop.* Del \\?\%drive%:\Desktop.* /f /a /q
If exist %drive%:\Desktop.ini Rmdir \\?\%drive%:\Desktop.ini /s /q
Mkdir \\?\%drive%:\Desktop.ini
Echo > \\?\%drive%:\Desktop.ini\NUL.Stop_Flash_infect_by_Fagot
Attrib +s +h +r +a %drive%:\Desktop.ini

@Rem Многие вирусы любят создавать на флэш накопителе папку RECYCLER, и не только папку с таким названием. Да это название папки мусорки, но на флэшке ее нет, и быть не должно в принципе!!! Такая директория создается системой на локальных дисках компьютера, но не на флэш накопителях! Далее идет создание папок , часто создаваемых различными " флэш" вирусами, в которые они копируются, и отуда запускаются. Если в корне флэшки, существует файл, с названием папки, которую хочет создать вирус, то вирус, не сможет создать на флэшке, свою папку, с телом вируса.

If exist %drive%:\RECYCLER.* Attrib -s -h -r -a %drive%:\RECYCLER.*
If exist %drive%:\RECYCLER Attrib -s -h -r -a %drive%:\RECYCLER
If exist %drive%:\RECYCLER.* del %drive%:\RECYCLER.* /f /a /q
If exist %drive%:\RECYCLER Rmdir %drive%:\RECYCLER /s /q
Echo %DATE% FAGOT_GUARD!!! > %drive%:\RECYCLER
Attrib +s +h +r +a %drive%:\RECYCLER

@Rem Такой же принцип как и впредидущем блоке.
If exist %drive%:\Recycled.* Attrib -s -h -r -a %drive%:\Recycled.*
If exist %drive%:\Recycled Attrib -s -h -r -a %drive%:\Recycled
If exist %drive%:\Recycled.* del %drive%:\Recycled.* /f /a /q
If exist %drive%:\Recycled Rmdir %drive%:\Recycled /s /q
Echo %DATE% FAGOT_GUARD!!! > %drive%:\Recycled
Attrib +s +h +r +a %drive%:\Recycled

@Rem Такой же принцип как и впредидущем блоке.
If exist %drive%:\"System Volume Information.*" Attrib -s -h -r -a %drive%:\"System Volume Information.*"
If exist %drive%:\"System Volume Information" Attrib -s -h -r -a %drive%:\"System Volume Information"
If exist %drive%:\"System Volume Information.*" del %drive%:\"System Volume Information.*" /f /a /q
If exist %drive%:\"System Volume Information" Rmdir %drive%:\"System Volume Information" /s /q
Echo %DATE% FAGOT_GUARD!!! > %drive%:\"System Volume Information"
Attrib +s +h +r +a %drive%:\"System Volume Information"

@Rem Такой же принцип как и впредидущем блоке.
If exist %drive%:\temp.* Attrib -s -h -r -a %drive%:\temp.*
If exist %drive%:\temp Attrib -s -h -r -a %drive%:\temp
If exist %drive%:\temp.* del %drive%:\temp.* /f /a /q
If exist %drive%:\temp Rmdir %drive%:\temp /s /q
Echo %DATE% FAGOT_GUARD!!! > %drive%:\temp
Attrib +s +h +r +a %drive%:\temp

@Cls
@Echo ________________________________________________________________________________
@Echo ‡Ђ™€’Ђ ЌЂ ”‹ќ˜ ЌЂЉЋЏ€’…‹€ “‘’ЂЌЋ‚‹…ЌЂ “‘Џ…˜ЌЋ!!!
@Echo ________________________________________________________________________________
@Echo „‹џ ‚›•Ћ„Ђ €‡ ЏђЋѓђЂЊЊ› ЌЂ†Њ€’… "ENTER"
@Echo ________________________________________________________________________________
@Pause
@Rem Stop_Flash_Infect_For_USB_Flash_Drive_v1.3 By Igor Nesterov. Zaporozye.
@rem Date: 14.04.2009
@rem Nesterov Igor Vladimirovich (FagotAdmin)
@rem Web: http://antivirusfagot.blogspot.com/
@rem © Нестеров Игорь Владимирович 2009 год.

Насколько Вы видите в защиту добавилось

1) Не убиваемая папка с названием "Desktop.ini" Файл Desktop.ini в некоторрых вирусах используется как файл запуска вируса.

2) Добавился файл с атрибутами скрытый, системный, только для чтения. "Recycled"
Это одно из распостранненных названий папки, в которую вирусы копируют свое тело, насколько Вы видите название немного другое по сравнению с "Recycler" Это так сказать неправильное название, вирмейкеры пишут для того, что б на "созвучии" юзер принял эту папку за системную.

3) Файл с атрибутами скрытый системный, "System Volume Information" в папку под таким названием тоже полюбляют копироваться вирусы, на флэшку.

4) Файл с атрибутами скрытый, системный "temp" тоже любят создавать папку с таким именем на флэшке, и туда копировать тело вируса.

Скачать обновленную версию защиты можно ЗДЕСЬ


© Нестеров Игорь Владимирович 2009 год
6 комментариев:

ЗАЩИТА!!!

В скором времени, я выложу на свою страничку обновленную версию защиты для флэшек, против вирусов типа AUTORUNER. В следующей сборке будут учтены те виды Autorunerов, которые создают на флэшке скрытую системную папку RECYCLER, и в эту папку сохраняют тело вируса. А также будет более модифицирован алгоритм установки защиты, на флэш накопители. Скажу немного забегая, что при работе программы можно будет выбирать флэш накопитель вручную на клавиатуре, на который Вы захотите поставить защиту. И так как в скрипт будет включена инструкция по удалению папки RECYCLER, то установка на локальные жесткие диски компьютера данной защиты будет невозможным.
Таких вирусов типа AUTORUNER которые устанавливают папку RECYCLER с телом вируса на флэш накопители, достаточно много, поэтому и добавляю такую особенность в защиту. Для справки скажу, что на флэшке, папки RECYCLER быть не должно!!! Ваше мнение все также важно для меня, оставляйте его на моей страничке.
3 комментария:

WIN32 SEKTOR 17 ОН ЖЕ VIRUS.WIN32.SALITY.AA ИЛИ КАК Я ПОБЕДИЛ ЭТУ СВОЛОЧЬ...



Недавно на выходных, у меня был заказ, на лечение одного компьютера.
Владелец жаловался, на "тугую" работу системы, заблокированный реестр, диспетчер задач, "убитый" антивирус, невозможность зайти на сайты антивирусных компаний, невозможность запустить антивирус (сразу вылетает) невозможность запуска каких либо других антивирусных утилит (вылетают тоже) невозможность загрузиться в безопасный режим.
На лицо работа вируса, но какого?? :) Для начала действовал для определения вируса простым дедовским способом. Записал на болванку утилиту Dr.Web Cureit! и пару минут подождал, что б он просканил немного, что то нарыл. И что вы думаете? Да, нарыл SEKTOR 17. Ну думаю, веселая ночь обеспечена :) хотя еще поглядим :) ...

Ну это семейство вирусов я знаю, гадость еще та! :) Поэтому приготовил для борьбы, следуйщие инструменты.

1) Live CD (ссылка на Hiren's BootCD 9.8 в нем есть Live CD при загрузке Hiren'sa, его можно выбрать для запуска, на мой взгляд самый быстрый)

2) Dr.Web Cureit! (Игоря Данилова)

3)AvpTool (от Касперски)

4)Cпец. утилиту от Кcперски "Sality_Off" на той же станице второй архив с ветками реестра для восстановления безопасного режима Sality_RegKeys.zip.

5) Утилиту AVZ 4.32 Олега Зайцева.

6) Утилиту ATF Cleaner.

Утилита AvpTool не портабельная, поэтому, ее нужно установить в любую созданную вами папку, например на рабочем столе, после этого записываем ее на Hiren's. Записываем все скачанные со списка программы на болванку в корень Hiren'sa в отдельную папку под любым названием.

Для справки: В образ .ISO Hiren's BootCD 9.8 вставить и записать нашу папку с утилитами для лечения, можно с помощью программы UltraISO

Устанавливать и писать утилиты, на не зараженной машине!!!

Обязательно отключить сеть!!! выдергиваем шнур из сетевой карты!!!

Записали все это на Hiren's? тогда вперед...

Ниже я приведу список действий, действуйте строго по списку.

1) Загружаемся в обычный режим, и отключаем восстановление системы.

2) Загружаемся с нашего Live CD (курим :) )

3) Заходим в любую папку, кликаем сервис> свойства папки > вкладка "вид" ставим галку на "Отображать содержимое системных папок", убираем галку на "Скрывать защищенные системные файлы", ставим галку на "Показывать скрытые файлы и папки".

4) Заходим в каждый раздел локального жесткого диска и ищем папку в корне, с названием System Volume Information заходим в нее и удаляем все ее содержимое. Там же, на разделах, ищем папку RECYCLER заходим в нее, и удаляем в ней тоже все содержимое. Сначала первое потом второе.

5) Запускаем (с диска) утилиту Dr.Web Cureit! жмем настройки >изменить настройки>типы файлов> ставим сканировать все файлы, файлы в архивах. Вкладка действия> Инфицированные> Лечить, Неизлечимые>удалить. На той же вкладке чуть ниже снимаем галочку запроса подтверждения. Жмем кнопку ОК и ставим галку на полную проверку машины, жмем пуск.

6) Пьем чай, курим :) спим :) Время сканирования системы зависит от мощности процессора и обьема сканируемой информации.

7) После сканирования системы Dr.Web Cureit! смотрим на проделанную им работу, сколько гадости нашел и пролечил :)
Закрываем программу.

8) Распаковываем на рабочий стол утилиту Sality_Off.exe запускаем двойным кликом, ждем, не трогаем и даем программе доработать :) После того как программа доработает до слов "Для продолжения нажмите любую клавишу..." Закрываем программу.


9) Копируем папку с AvpTool с диска, на рабочий стол. Если не получается на рабочий стол то можно на флешку и запустить ее с флешки. AvpTool с болванки не работает, это конечно большой минус этой утилиты, но нам не страшно мы же работаем из под Live CD поэтому не боимся что вирус заразит эту программу. Запускаем скопированную на рабочий стол или флешку программу, изменяем настройки. Максимальный эвристический анализ "детальный" жмем ОК, Сканировать все файлы, жмем ОК в разделе "действие" ставим галку "запросить по окончании проверки" жмем ОК. Для сканирования ставим галки, на всех разделах локального жесткого диска, и жмем кнопку "поиск вирусов".

10) После сканирования Касперским, все найденное, фигачим, т. е. удаляем :) ничего не оставляем :)

11) Загружаемся в обычный режим. Болванку Hiren'sa не вытаскиваем, она нам нужна еще для работы, вернее не она, а утилиты записанные нами в ее корень :)

12) Заходим на болванку Hiren's ищем в нашей папке утилиту Sality_Off, кликаем по ней правой клавишей на мышке, и отправляем ярлык на рабочий стол (делать именно так как пишу!!! не иначе!!!) появившийся ярлык, кликаем по нему правой клавишей меняем немного его имя, пишем Sality_Off.exe-m кидаем в автозагрузку Пуск>все программы>Автозагрузка (кликаем правой клавишей по папке Автозагрузка, нажимаем открыть) и сохраняем ярлык в папку Автозагрузки.

13) Перезагружаем компьютер, загружаемся в обычном режиме. При загрузке, начинает сразу работать программа Sality_Off и начинает "фиксить" "чистить" систему (возможно еще что то осталось)
дожидаемся окончания работы программы, до слов "Для продолжения нажмите любую клавишу..." После этого закрываем программу.

14) Далее открываем (с болванки) утилиту AVZ 4.3 , после открытия жмем Файл>восстановление системы и ставим галки на пунктах 8, 10, 11, 13, 17 и жмем выполнить скрипт.

15) Далее открываем наш диск, ищем в нашей папке скачаный архивчик Sality_RegKeys.zip на сайте Касперского, ищем в названиях содержимого архива, вашу версию операционной системы, в моем случае это был файл реестра SafeBootWinXP.reg кликаем на него два раза вносим данные в реестр, и кликаем в том же архиве на файл с названием Disable autorun.reg вносим данные в реестр.

16) Перезагружаем Windows, (ярлык Sality_Off в автозапуске пока не трогаем!!) После запуска Windows, начинает работать программа Sality_Off, пускай еще раз пройдется, на верочку...

17) После окончания работы утилиты, убираем ее ярлык с папки Автозагрузки.

18) Запускаем утилиту ATF-Cleaner ставим галочки на всех вкладках и жмем "Empty Selected" (очистить) ничего не жалеем!!.

Все 98% работы сделано, все разблокировано, все вылечено, но еще не все...

Дело в том что после всего лечения:

1) Очень многие ".EXE" файлы повреждены, даже после лечения, не факт что система будет корректно работать. Со временем могут появится глюки в работе.

2) От вируса в системе остался висеть RootKit (у меня по крайней мере) и ничего с этим я поделать не смог, он собака в Ring 0 запускается и висит. Что б проверить нет ли у Вас такого "добра" запустите утилиту AVZ вкладка > сервис>модули пространства ядра. И висел у меня там такой процессик, с названием ________.SYS или просто .SYS без названия и цифровых подписей Microsoft. Попытался снять с него дамп, система вылетает с синим экраном. AVZ его не берет ( у меня по крайней мере не получилось ) Касперский тоже, Dr.Web c таким же успехом. Я ничего не нашел лучше как пункт -4)

4) Просто обновляем (или полностью переустанавливаем по возможности) Windows, с загрузочного диска. Подойдет в принципе любой загрузочный установочный дистрибутив Windows (соответственно та версия которая поставлена у Вас, если XP SP- 2 то обновляем с диска с XP SP- 2 . Выставляем в Bios>First boot Devise CD-Rom жмем F10, Yes. И начинается загрузка Windows. Далее выбираете тот диск куда нужно восстановить винду, (выбираете тот диск куда был установлен Windows ранее) жмем "ENTER" далее видим страничку выбора форматирования с выбором файловой системы. Выбираем установку без форматирования!!!!! (оставить файловую систему без форматирования (изменений) ) жмете "ENTER" на этой строчке, и все установка пошла, далее установку проводите как всегда. Минус в том, что слетят установленные программы. Но это лучше чем информация не так ли? :)

Если есть возможность переустановить Windows то переустановите. Мне пришлось устанавливать Windows второй копией на диск (а не просто переустановить ОС) потому как было ооочень много информации на системном диске C:\ форматировать раздел нельзя и сбрасывать информацию было некуда.

После установки Windows загружаемся из под Live CD и удаляем старую папку с Windows ( только не перепутайте Кутузовы! старую папку Windows с новой!!! У меня новая папка Windows была под названием Windows.0 ну а старая соответственно как обычно)

После этого всего мы имеем чистую систему :) без заразы :) Если пропустить эти все действия и просто переустановить систему, это ничего не даст :) она снова появится :) Поэтому соблюдайте то что я изложил выше и все будет ОК
Если у Вас есть более действенный способ, милости прошу изложить его в моем блоге, или киньте ссылку :)


© Нестеров Игорь Владимирович 2009 год
155 комментариев: