Victor_VG
Tracker Mod | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Aleks78
По крайней мере я на днях заразу 4.35-й гонял. Вроде мелочь, обычный порно-банер требованием денег: садился в HKCU ... Run, длинна 77678 байт, тело в %APPDATA%\<16 цифр>\<16 цифр>.exe, в С:\ бинарник инсталлятора около 46 Кб, с именем test.exe и иконкой от NSIS, но точно не NSIS стуб установщика явно самописный, и в инсталляторе и в самой твари стоят вызовы Elevation и переключения контекста привилегий, тварь после запуска поднимает свои привилегии до уровня Local System блокируя работу оператора надоедливым окном на переднем плане с надписью "Вы пользовались гей-порно ресурсом ... более трёх часов. Заплатие 400 рублей и введите полученный код в этом окне тогда это сообщение исчезнет." и постоянно рвя сетевое соединение. В общем заштатная дурилка-шантажист, вышибаемая за пару минут с любого Live CD или снимаемая Process Hacker-ом в секунду, но не стандартным встроенным менеджером задач или Process Explorer/Iarsn TaskInfo - LSASS читая её ACL не позволяет это им сделать - типа правов у них на это нет - тварь сидит с правами системного процесса в контексте LSASS.
Я даже не стал разбираться какого оно года-роду племени-завода - просто запустил машину с FreeBSD UNIX DVD, и вынес этого паразита к лешему. Возится ещё с выяснением его фамильного древа. Пришиб, забыл, занялся другими делами, а у меня и без него их достаточно было, на всю ночь хватило возни с паяльником. Народ там с этой тварью несколько дней мирился, но вот странно то, что впервые её заметили через несколько дней после посещения офиса "для проверки лицензионности установленного софта" товарищами из известного ведомства. Собственно эти "контролёры" и устроили всю эту не нужную для меня работу. Какого спрашивается чёрта им потребовалось лезть проверять "Лицензионность установки Windows" в роутеры 3COM и SMC??? Что интересно эти идиоты там забыли? В итоге ясное дело, пожгли коробочки и пару системных блоков в придачу. Пришлось мне туда ехать, чипы перепаивать - всплыло это слишком поздно и гарантия уже на железки закончилась, да и иди сейчас докажи, что это именно они сделали коли местный электрик, добрая душа, уже вскрыл пломбы на корпусах - по его словам, он думал что там просто предохранители сгорели, типа заменит и всё будет работать.
----------
Жив курилка! (Р. Ролан, "Кола Брюньон")
Xeon E5 2697v2/C602/128 GB PC3-14900L/GTX 1660 Ti, Xeon E5-2697v2/C602J/128 Gb PC3-14900L/GTX 1660 Ti |
|
Всего записей: 34711 | Зарегистр. 31-07-2002 | Отправлено: 07:15 24-01-2011 | Исправлено: Victor_VG, 07:21 24-01-2011 |
|
