Всем доброго времени суток!
Прям пандемия какая-то, сколько народу попало на эту пакость (информер).
Как от этой заразы избавиться уже весь рунет мануалом завален, и я где-то на форуме писал,
а все равно СМС отправляют... Обидно. Луна, огромное спасибо за высококласную консультацию
пользователям!
Кстати, лично для Вас, по поводу:
У меня нет ни одного антивирусника и фаервола и вирусы я могу легко качать и пытаться запустить, только увижу их код и все, у меня они не работают.
Остальным эту страшную сказку не читать!!! Это только для нас, админов.
Это из моей рассылки:
Руткиты
Представляют собой особую опасность! Вам не помогут сетевой экран и антивирус. Вы не увидите их работы! Руткит внедренный на ваш компьютер, в скрытом режиме запустит Kiper, отошлет пароль доступа к вашему счету E-Gold, а вы и знать об этом не будете. Руткит может все! Каким будет его действие, зависит только от человека, который его создал. Маскировка руткита это нечто особенное. Забудьте о древних и тупых троянах прописывающиеся в автозагрузке или реестре, откуда его более-менее продвинутый пользователь может без проблем удалить. Руткит модифицирует память системы так, что файлы, открытые соединения, записи в реестре, процессы, модули, сервисы и прочее исчезает из виду, но продолжает работать. Враг невидим и неслышен! Защита вашего компьютера бодро рапортует, что все ОК!
Монстр №1:
HACKER DEFENDER (by holy_father & ratter/29A)
Один из самых популярных среди хакеров. Работает в user mode, маскируется за счет перехвата WinAPI и за счет этого становится невидимым. Умеет многое. Скрывает файлы, процессы, записи в реестре, открытые порты, показывает не правильное свободное место на диске. Сам прописывается в нужном для автозапуска месте и маскирует его. Естественно оставляя backdoor.
Перехватывает функции работы с сетью и ждет пока на один из открытых и разрешенных файрволом портов не придет 256 битный ключ, означающий, что этот порт надо использовать в качестве шелла. Возможностей и настроек у этого зверя пропасть и все они прописываются в конфигурационном ini-файле.
Например, для скрытия порта надо в этом файле написать:
{Hidden Ports}
TCP:8001
UDP:12345
Все, вы больше не хозяин своей машины!
Монстр№2:
AFX ROOTKIT (by Apher)
Элементарно скрывает список системных элементов, как и Defender, плюс еще и иконки в трее. Создается папка rewt на диске жертвы, туда ставится AFX Rootkit и запускается с ключем /i. После этого любая программа стартующая из этой же папки, будет полностью скрыта (то есть не будет ни процесса, ни сокета, ничего). Добавить к этому троянчика и ваша почта больше не ваша! Ну и не только почта…
Монстр№3:
NT ROOTKIT (BY GREG HOGLUND)
«Ужас, летящий на крыльях ночи».
Прога создана мастером. Выполнена в виде драйвера уровня ядра. Без какой-либо компрометирующей user mode части. Так же, как и Defender слушает трафик, чтобы в нужный момент предоставить хакеру шелл, но делает это уже в ядре, устанавливая собственный NDIS-фильтр. Он скрывает все файлы и процессы, в имени которых есть подстрока «_root_» . При этом он записывает все, что набирается на клавиатуре особым низкоуровневым устройством-фильтром. Так как драйвер сам по себе не запустится идет в комплекте с загрузчиком. Страшная вещь! Маскировка отменная.
Запалить очень сложно.
Монстр№4:
Vandqush (by Xsadow)
Еще один NT_шный руткит. Снова пользовательский уровень, снова перехват API. Тоже скрывает файлы, записи в реестре, процессы и т.п. Пока ловится файрволом. Который сообщает о нарушении контроля компонентов. Но код может быть переписан, так что еще не вечер…
Монстр№5:
FU (bu fuzen_op)
Руткит из разряда особо опасных. Выполнен частично в виде приложения, частично в виде драйвера. Уникальность в том, что не использует ни каких перехватчиков для работы. Обнаружить такую заразу случайно почти не возможно. Эту пакость надо искать специально! За счет манипулирования объектами ядра (Direct Kernel Object Manipulation) позволяет скрывать процессы и устройства, повышать привилегии процессов, а так же подделывать вывод Windows Event Viewer.
Монстр№6:
NT IIIusion (by Kdm)
Берет, да и перехватывает важные в системе функции. Какие функции и для чего перехватывать это уже решит тот, кто написал эту заразу. Подробности об этом и о создании программ невидимок можно прочитать на
www.phrack.org. Про идеи и тонкости реализации NT-иллюзий в 62 номере журнала «Хакер».
Вот такая ситуация.
Подробности смотрите на
http://www.rootkin.comЕдинственный вид борьбы с этим кошмаром утилита AVZ. Она проверяет Ваш компьютер на таком низком уровне, что даже руткиту не устоять. При нахождении заразы, AVZ ее удаляет.
best regards!
wbbs