 |
|
20.08.2009, 22:16
|
|
Познающий
Регистрация: 28.01.2009
Сообщений: 90
С нами:
9096406
Репутация:
80
|
|
|
|
|
21.08.2009, 09:12
|
|
Reservists Of Antichat - Level 6
Регистрация: 07.07.2009
Сообщений: 324
С нами:
8866466
Репутация:
564
|
|
охуеть ((
flacs +1
|
|
|
|
22.08.2009, 00:22
|
|
Постоянный
Регистрация: 13.12.2008
Сообщений: 354
С нами:
9162683
Репутация:
175
|
|
Я абсолютно, на 100% согласен со всеми вами, что вирус действительно гениальный. Реализация автора довольно таки необычная. Интересно представить, что было бы, если данный вирус обладал бы чуть большим функционалом. Скажем... Имел бы функции бота, или просто делал бы через некоторое время Crash System.
|
|
|
|
22.08.2009, 00:42
|
|
Постоянный
Регистрация: 13.12.2008
Сообщений: 354
С нами:
9162683
Репутация:
175
|
|
Нет, но все таки... Инфицированная прога не палится антивирусом. Палится только процесс компиляции. Как тогда проверить, зараженная программа или нет попала на компьютер? Новая, переделанная версия, даже от других авторов может принести очень фатальные последствия.
|
|
|
|
22.08.2009, 09:37
|
|
Познавший АНТИЧАТ
Регистрация: 05.03.2007
Сообщений: 1,985
С нами:
10097606
Репутация:
3349
|
|
самый простой способ обнаружить вирь - это его мегосигнатура в прогах.
Если прога не сжата и не криптована то там будет видел кусок исходного кода.
Покрайней мере первые версии не шифруются.
Достаточно глянуть чтобы внутри файла небыло строк типа
uses windows или Software\Borland\Delphi или \bin\dcc32.exe
хотя когда пойдет новая версия вирей, что скорее всего будет в ближайшее время, то наверное начнут шифровать строковые данные
|
|
|
|
22.08.2009, 09:48
|
|
Познавший АНТИЧАТ
Регистрация: 05.03.2007
Сообщений: 1,985
С нами:
10097606
Репутация:
3349
|
|
P.S. Только что в голову пришел еще один очень хороший метод защиты.
А именно удалить файл dcc32.exe или переименовать.
Всё дело в том что вирь заражает SysConst и компилит его через консольную версию.
При этом консольная версия и GUI версия(Delphi32.exe) между собой не связаны.
Так что отсутствие dcc32.exe вообще не повлияет на работу т.к. сейчас никто почти не компилит под консолью.
Разве что может быть фишка связанная с установкой компонентов, которые юзают этот фай. Ну для этого можно просто временно переименовывать его, а когда нужно поставить компонент какойто мощный (те которые идет в виде exe файлов а не DPK) то просто обратно вернуть имя нужно будет.
|
|
|
|
22.08.2009, 18:32
|
|
Banned
Регистрация: 04.12.2008
Сообщений: 207
С нами:
9175895
Репутация:
269
|
|
Dr.Web только что спалил этот вирус в автозапуске для игры  |
|
|
|
23.08.2009, 03:46
|
|
Участник форума
Регистрация: 27.02.2006
Сообщений: 261
С нами:
10632546
Репутация:
71
|
|
хрень а не вирус, НОД с нормальными базами глушит эту дрянь. Чуть не подцепил его скачав ГТА 4 там модификация Induc.J была.
|
|
|
|
23.08.2009, 11:23
|
|
Постоянный
Регистрация: 06.10.2007
Сообщений: 681
С нами:
9787976
Репутация:
429
|
|
ну вот, чувак придумавший это испробовал способ заражения, теперь когда он узнает минусы его виря и минусы распрастронения, по которым вирь спалился, он с легкостью добавит функционал....имхо скоро будет новый ботнет
|
|
|
|
23.08.2009, 15:51
|
|
Участник форума
Регистрация: 27.02.2006
Сообщений: 261
С нами:
10632546
Репутация:
71
|
|
ну вот, чувак придумавший это испробовал способ заражения, теперь когда он узнает минусы его виря и минусы распрастронения, по которым вирь спалился, он с легкостью добавит функционал....имхо скоро будет новый ботнет
Если успеет до того как его прихлопнут наручниками )
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
