ZverDVD - Лучшая сборка во всем Рунете!
 http://forum.zverdvd.org/viewtopic.php?p=1179Правила конференции 
 ТемыТемы   FAQFAQ   ПоискПоиск   ГруппыГруппы   РегистрацияРегистрация 

Перечень уязвимых мест, которые предпочитают вирусы.
Если ваш антивирус нашел что то подозрительное в сборке!!!
 
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
 
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция -> О вирусах, антивирусах, безопасности и чистоплотности
Предыдущая тема :: Следующая тема  
Автор Сообщение
Eastoop
Гость









Сообщение24.06.2010 13:56  Перечень уязвимых мест, которые предпочитают вирусы. Ответить с цитатой

Накропал тут для справки перечень мест, откуда может происходить автозапуск вируса.

1. Все программы --> Автозагрузка;
2. Секция HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ Userinit = по умолчанию C:\WINDOWS\system32\userinit.exe,
Ключ Shell = по умолчанию Explorer.exe
Ключ UIHost = по умолчанию logonui.exe
5. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Ключ AppInit_DLLs = по умолчанию пустой (иногда полезные программы прописывают туда свои DLL, например BestCrypt или Agnitum Outpost Firewall)
6. Секция HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ Shell = по умолчанию ключ отсутствует.


Этот список неполный, это только те места, которые я вспомнил навскидку.
Думаю народ дополнит, потом сборный список опубликую в отдельной теме в шапке.
Поблагодарили(5): gerat80, StrDt, Tamerlan, voron367, batman1979
Вернуться к началу
StrDt
Админозавр


Возраст: 64
Стаж: 11 год 2 месяца и 6 дней
Сообщения: 1753
Благодарности: 1081/1960
Откуда: Солнечная система.Планета хищников


Сообщение06.07.2010 21:02   Ответить с цитатой

Системные папки System Volume Information
Поблагодарили(1): gerat80
Вернуться к началу
StrDt сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
karavan
Наблюдатель


Возраст: 39
Стаж: 11 год 9 месяцев и 5 дней
Сообщения: 403
Благодарности: 366/121
Откуда: Армавир-Таганрог-Москва


Сообщение06.07.2010 21:37   Ответить с цитатой

%System drive%\Documents and settings\All users\*
%System drive%\Documents and settings\%User%\*

Зачастую под "звездочками" Local settings или Application data с различными вариациями дальнейших путей либо корень папки профиля.

_________________
Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!


Последний раз редактировалось: karavan (06.07.2010 22:26), всего редактировалось 1 раз
Поблагодарили(2): StrDt, gerat80
Вернуться к началу
karavan сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
down
Ёжик


Возраст: 34
Стаж: 11 год 4 месяца и 22 дня
Сообщения: 16
Благодарности: 100/1



Сообщение06.07.2010 21:48   Ответить с цитатой

%System drive%\RECYCLER\*
Поблагодарили(2): StrDt, gerat80
Вернуться к началу
down сейчас оффлайн Посмотреть профиль Отправить личное сообщение   Посетить сайт автора
karavan
Наблюдатель


Возраст: 39
Стаж: 11 год 9 месяцев и 5 дней
Сообщения: 403
Благодарности: 366/121
Откуда: Армавир-Таганрог-Москва


Сообщение06.07.2010 22:23   Ответить с цитатой

К описанию следует добавить предупреждение о том, что это всего-навсего уязвимые места системы, а не тотальные рассадники зла! Дабы не возникало желания косить все под корень.
_________________
Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!
Поблагодарили(2): StrDt, gerat80
Вернуться к началу
karavan сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
YikxX
Сборщик сборок


Возраст: 41
Стаж: 11 год 1 месяц и 30 дней
Сообщения: 2042
Благодарности: 1857/501



Сообщение06.07.2010 23:48   Ответить с цитатой

Ключ HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows подключ run (по умолчанию отсутствует).

Отладчик системных процессов по "адресу" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (листаем весь раздел и находим подключи Debugger с определенными запускаемыми файлами. Последний (Your Image File Name Here without a path) не считать - он безвреден, существует в винде изначально).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer Если тут существует подраздел Run с прописанным экзешником - то это скорее всего вирус. В оригинальном варианте такого подраздела этого ключа в реестре не существует.

_________________
Advanced super bot-admin

 Скрытый текст 

Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
Поблагодарили(2): gerat80, StrDt
Вернуться к началу
YikxX сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
mannaleks
Командир команды
Командир команды



Стаж: 10 лет 8 месяцев и 6 дней
Сообщения: 2286
Благодарности: 1635/376
Откуда: Куда: Зачем:


Сообщение07.07.2010 4:43   Ответить с цитатой

down писал(а):
%System drive%\RECYCLER\*

Автораны используют папку RECYCLER не только на системном диске, но и на всех остальных, включая флешки.
Папка SYSTEM, находящаяся в корне диска (включая флешки) тоже является хранилищем для вируса AUTORUN.
Есть и другие названия папок. Я их уже не помню. Обычно они бывают скрытыми.

_________________
Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Поблагодарили(3): gerat80, StrDt, nosperat2
Вернуться к началу
mannaleks сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
YikxX
Сборщик сборок


Возраст: 41
Стаж: 11 год 1 месяц и 30 дней
Сообщения: 2042
Благодарности: 1857/501



Сообщение15.06.2011 7:48   Ответить с цитатой

писал(а):
Еще стоит посмотреть раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows ключ AppInit_DLLs, он должен быть пустой.
Далеко не всегда. Например BestCrypt, VKSaver, OutpostFirewall прописывают туда свои библиотеки.
_________________
Advanced super bot-admin

 Скрытый текст 

Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
Вернуться к началу
YikxX сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 34
Стаж: 10 лет 4 месяца и 12 дней
Сообщения: 1045
Благодарности: 744/575
Откуда: Санкт-Петербург


Сообщение17.08.2011 8:10   Ответить с цитатой

 Файлы, которые чаще всего подвергаются модификации:

C:\windows\explorer.exe
C:\windows\system32\userinit.exe
C:\windows\system32\taskmgr.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\system32\dllcache\taskmgr.exe

_________________
Не профи, но для любителя тоже неплохо...


Последний раз редактировалось: Дон (14.09.2011 15:55), всего редактировалось 1 раз
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция -> О вирусах, антивирусах, безопасности и чистоплотности Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы
 

Anti Bot Question MOD - phpBB MOD against Spam Bots
Заблокировано регистраций / сообщений: 179589 / 329


Powered by phpBB © 2001, 2005 phpBB Group
Яндекс.Метрика