Не верь глазам своим

Discussion in 'Мировые новости. Обсуждения.' started by K800, 12 Aug 2011.

Page 1 of 2
  1. K800

    K800 Nobody's Fool

    Joined:
    25 Dec 2010
    Messages:
    2,173
    Likes Received:
    3,798
    Reputations:
    372
    Несколько дней назад один из клиентов антивирусной лаборатори Microsoft Malware Protection Center предоставил интересный образец вредоносного файла (хешсумма SHA1:fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как троян TrojanDropper:Win32/Vundo.L), специально разработанного хакерами для кражи учетных данных пользователей таких социальных сетей как Вконтакте.ру и перенаправляющая посетителей на 92.38.209.252, но весьма необычным способом.

    Наиболее распространенным способом взламывать сайты является проникновение в систему и внедрение файла, содержащего алгоритмы взлома, в корневой каталог - система 32 (system32) - драйвера (drivers). Однако, когда на зараженном компьютере вы открываете эти файлы, в них нет никаких ссылок на сайты “vk.com” и “vkontakte.ru”.

    [​IMG]
    Но когда мы показываем скрытые файлы, мы можем видеть другой файл "hosts". Он скрытый, как в следующем примере:

    [​IMG]
    Есть два файла с точно тем же самым именем, "hosts", в папке etc! Как это могло произойти?


    Читать полностью ->
    12.08.2011
    http://www.anti-malware.ru/news/2011-08-12/4491​
     
    #1 K800, 12 Aug 2011
  2. vskaly

    vskaly New Member

    Joined:
    3 Mar 2011
    Messages:
    60
    Likes Received:
    4
    Reputations:
    1
    Надо что нибудь придумать! - Опираясь на прочитанное....
     
    #2 vskaly, 12 Aug 2011
  3. shadowrun

    shadowrun Banned

    Joined:
    29 Aug 2010
    Messages:
    842
    Likes Received:
    170
    Reputations:
    84
    Место англ "о" написать русскую...
     
    #3 shadowrun, 12 Aug 2011
  4. Ildar

    Ildar New Member

    Joined:
    15 Apr 2010
    Messages:
    16
    Likes Received:
    1
    Reputations:
    0
    Очень старая фишка. уже много раз сталкивался с этим, обычно все еще усложняют невозможностью включить показ скрытых файлов и папок
     
    #4 Ildar, 12 Aug 2011
  5. Logatel

    Logatel Member

    Joined:
    6 Oct 2009
    Messages:
    59
    Likes Received:
    15
    Reputations:
    0
    зачем в новости?
    может про CON папку запилим?
     
    #5 Logatel, 12 Aug 2011
  6. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,515
    Likes Received:
    400
    Reputations:
    196
    Про hosts не интересно, а вот про RLO-байт да. Что это за байт такой? Как с его использовванием создать файл?
     
    #6 попугай, 12 Aug 2011
  7. 6anzay

    6anzay Member

    Joined:
    30 Nov 2009
    Messages:
    140
    Likes Received:
    28
    Reputations:
    10
    а как запретить показ скрытых файлов и папок?
     
    #7 6anzay, 12 Aug 2011
  8. shadowrun

    shadowrun Banned

    Joined:
    29 Aug 2010
    Messages:
    842
    Likes Received:
    170
    Reputations:
    84
    Total Commander :eek:
     
    #8 shadowrun, 12 Aug 2011
  9. Antonio Falkone

    Antonio Falkone Active Member

    Joined:
    23 Dec 2009
    Messages:
    233
    Likes Received:
    163
    Reputations:
    77
    HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL
    Изменение параметра CheckedValue, если не ошибаюсь.
     
    #9 Antonio Falkone, 12 Aug 2011
  10. shadowrun

    shadowrun Banned

    Joined:
    29 Aug 2010
    Messages:
    842
    Likes Received:
    170
    Reputations:
    84
    Да. Но что мешает переключить его обратно? Вообще проводник использую крайне неохотно.
     
    #10 shadowrun, 12 Aug 2011
  11. Antonio Falkone

    Antonio Falkone Active Member

    Joined:
    23 Dec 2009
    Messages:
    233
    Likes Received:
    163
    Reputations:
    77
    Процесс, который мониторит его изменение :)
     
    #11 Antonio Falkone, 12 Aug 2011
  12. Edward

    Edward Banned

    Joined:
    11 Feb 2010
    Messages:
    329
    Likes Received:
    21
    Reputations:
    -1
    Фух, у меня там порядок.
     
    #12 Edward, 13 Aug 2011
  13. KUKLOVOD2

    KUKLOVOD2 Banned

    Joined:
    12 May 2011
    Messages:
    88
    Likes Received:
    7
    Reputations:
    1
    на вин хп фишка с уникодом в проводнике не пашет...Актуально токо для висты и семерки
     
    #13 KUKLOVOD2, 13 Aug 2011
  14. NekoKoneko

    NekoKoneko Elder - Старейшина

    Joined:
    29 Oct 2010
    Messages:
    175
    Likes Received:
    141
    Reputations:
    20
    Там же все написано и даже ссылка дана. Байт ‮ "‮ работает примерно вот так
     
    #14 NekoKoneko, 15 Aug 2011
  15. InfectedM

    InfectedM Elder - Старейшина

    Joined:
    4 Nov 2007
    Messages:
    155
    Likes Received:
    12
    Reputations:
    0
    Еще можно через HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters менять путь до хост файла, вроде бы)
    недавно нашел) не тестил, но может комунить будет интеерсно)
     
    #15 InfectedM, 15 Aug 2011
    Last edited: 15 Aug 2011
  16. SHYLLER

    SHYLLER Elder - Старейшина

    Joined:
    10 Mar 2006
    Messages:
    30
    Likes Received:
    6
    Reputations:
    0
    Решение проблемы:(обезопасить себя)
    1)Заходим в папку через тотал командер(он отобразит все скрытые файлы при любых настройках)
    2)Выбираем файл хост и в правах на файл удаляем всех и ставим галку только чтение(в аудит файла тоже удалите все)
     
    #16 SHYLLER, 16 Aug 2011
  17. AGENTWPC74

    AGENTWPC74 Member

    Joined:
    11 Nov 2009
    Messages:
    201
    Likes Received:
    37
    Reputations:
    5
    вот как теперь подмену делают. столкнулся уже один раз с такой херней.
     
    #17 AGENTWPC74, 16 Aug 2011
  18. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,159
    Likes Received:
    361
    Reputations:
    226
    Херня есть более крутая тема с hosts
    В пабликах нет естественно.
     
    #18 GoodGoogle, 16 Aug 2011
  19. [SMD]

    [SMD] Member

    Joined:
    17 Nov 2010
    Messages:
    27
    Likes Received:
    5
    Reputations:
    0
    и ты конечно же решил написать этот пост специально для того, чтобы к тебе в асю постучали десятки заинтересованных людей, которым ты толкнешь воздух.
    Сказал "А", говори "Б", либо пиши сразу такие посту в раздел продажи.
     
    #19 [SMD], 16 Aug 2011
  20. .::f-duck::.

    .::f-duck::. Member

    Joined:
    30 May 2009
    Messages:
    343
    Likes Received:
    32
    Reputations:
    7
    http://www.sendspace.com/file/qfuafl
    Внутри Windows cmd.exe с расширением jpg. Заменено техникой из сабжа.
     
    #20 .::f-duck::., 16 Aug 2011
(You must log in or sign up to post here.)
Page 1 of 2