Свежий «троян» вместо звука пердежа

  • Опубликовано:
  • Блог: Записки пещерного лося
  • Рубрика: Глобальный хомячкевизм
  • Редактировалось: 7 раз — последний 3 августа 2016
  • Настроение: Охуеваю от вернувшейся жары, будь она неладна
  • Играет: Speak Softly Love (Love Theme from The Godfather).flac
+2
Голосов: 2

5012

Сказание о том, как дедушка Свинморд «трояна» ловил

Не далее как вчера дедушка almond-Свинморд (Владимир Смолин) зачем-то вознамерился скачать звук пердежа, для чего решил воспользоваться поисковой системой Google, отправив туда соответствующий запрос.


На первой же странице поиска обнаружились ссылки на сайты, сразу показавшиеся весьма подозрительными: celentano.ru/films/posters/temp/page_4850.htm и vitrajparis.ru/public/images/img/doc_5366.php. Дедушка, тем не менее, отправился «в Африку гулять» — посмотреть, что ж за гадость такая. Увиденное на сих сомнительных сайтах должно насторожить еще больше:


Распространители вредоносных программ предлагают скачать якобы аудиофайл в виде самораспаковывающегося архива, при этом указывая в описании неверное расширение (.zip), но не забывают предложить сразу же после скачивания запустить каку на исполнение.

Океюшки, скачиваем. На жестком диске оказывается файл zvuk_perdeja.exe размером 98304 байта, снабженный кривоватой «иконкой», которая смахивает на WinRAR'овскую, но в неверном разрешении. «Антивирус Касперского для Windows Workstations 6.0 MP4» с последними обновлениями благополучно молчит. Запускаем? Запускаем! И тут срабатывает проактивная защита упомянутого антивирусного средства:
KAV:
Процесс C:\Users\Администратор\Desktop\Zvuk_perdeja.exe (PID: 6236): подозрительное действие. Процесс пытается изменить состав модулей, загружаемых при старте компьютера (ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows, значение: AppInit_DLLs, данные: C:\Windows\system32\cjoztef.dll).
Конечно же, быстро жму кнопку «Запретить» и пытаюсь удалить гадость, жамкая [Shift] + [Del]. Поганый зловред, замаскированный еще и под FileZilla FTP Client, удаляться, естественно, не желает, по крайней мере до тех пор, покуда не выкачает и не поместит в \WinDir\System32 злополучную dll'ку, имя коей, как я подозреваю, генерируется случайным образом. В моем случае получилось cjoztef.dll.


Наконец, с третьей или четвертой попытки удаление все же происходит, но компутер тут же самопроизвольно отправляется на перезагрузку: скорее всего, гадость хочет поскорее заюзать DLL, которую мы вместе с «Антивирусом Касперского» в автозагрузку таки не пустили, и начать совершать все черные дела, предусмотренные разработчиком «зловреда».

После перезагрузки нахожу в папке \SYSTEM32 этот кусок говна и перемещаю его в более безопасное место, а псевдозвук пердежа отправляю на Virustotal, где получаю результат, из которго следует, что данную штуковину однозначно детектируют как троянскую программу лишь два антивируса, о первом из которых я вообще раньше не слышал, а второй также не относится к числу распространенных. Плюс еще тройка сомневающихся. Ни «Касперыч», ни Dr. Web, ни Symantec про найденную мною интернет-заразу ничего не знают.

Запаковываю мерзкие EXE и DLL в архивы с паролем virus и отправляю антивирусному воинству дядьки Касперского. Через час или два получаю ответ:
«Лаборатория_Касперского»:
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.    Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам  воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:  https://my.kaspersky.com/ru/support/viruslab.  ; Данная возможность была специально предусмотрена  для удобства Лицензионных Пользователей наших продуктов.  Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой  : http://support.kaspersky.ru/virlab/helpdesk.html  для отправки файла на проверку в вирусную лабораторию.  Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

cjoztef.dll

Файл в процессе обработки.

Zvuk_perdeja.exe - Trojan-Dropper.Win32.Cidox.ae

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
C тех пор случилось уже не одно обновление антивирусных баз, а зараза так и не детектируется, да и на Virustotal вердикт прежний, несмотря на новые даты антивирусных баз.

Кстати, вчера после отправки в «Лабораторию Касперского» я всю мерзость удалил, сегодня же при подготовке этого материла попытался заполучить заново. На том сайте, где брал вчера, сегодня уже иная картина: предлагают скачать файлик, но сначала якобы подтвердив, что я не робот, для чего настоятельно просят указать в форме свой номер сотового телефона. Угу, конечно, размечтались. Я-то знаю, что тут же будет оформлена какая-нибудь платная SMS-подписка, а потом мне еще и трояна отдадут снова. Нет, спасибо, ребята. zvuk_perdeja.exe скачал с еще одного гнусного «ресурса», стоящего в результатах поиска строчкой ниже. Контрольные суммы уже другие — полиморфная гадость, вероятно.

К чему я все это?

Дамы и господа, не скачивайте и не запускайте какие-либо файлы из сомнительных источников, к каковым можно смело отнести 99 процентов интернета. Антивирусная программа даже с самыми актуальными базами не панацея от заражения «зловредами». Проактивная защита есть далеко не у каждого антивирусного продукта, часто бывает отключена, а большинство из тех пользователей, у кого она имеется, не могут адекватно оценить соответствующие предупреждения и должным образом отреагировать на опасность. В общем, будьте бдительны!
← Протечка в письке Предпосылки аудиофилической болезни →

Читайте также:

«Плохой» welcome to nginx!

«Плохой» welcome to nginx!

Обнаружил, что сегодня ближе к вечеру интернет-пользователи стали аномально часто обращаться к теме форума 'Welcome to nginx', находя ее по запросам в поисковых системах, посвященных тому, что сия ...
Ложь во спасение, или Лети, Голубка, лети!

Ложь во спасение, или Лети, Голубка, лети!

Елизавете Серебряковой и Юлии (Голубке) посвящается. Пусть счастье будет им наградой за откровенность. Почитал сегодня старые комментарии и еще более старые «постовые материалы», кое-что вспомнил,...
Почему мне никогда не бывает скучно?

Почему мне никогда не бывает скучно?

Потому что я очень скучный человек. Если вас не удовлетворил такой ответ, если вы хотите лучше понять данный аспект моей ущербности, можете продолжить чтение, однако настоятельно рекомендую прерва...
Воскресная «банная» история про форум 24auto.ru (24авто.сру)

Воскресная «банная» история про форум 24auto.ru (24авто.сру)

Краткое содержание для среднестатистического пользователя и мудератора форума 24auto.ru (последний пусть не обижается, иначе подумаю, что скопец). В нарушение п. 6.1 правил означенной веб-конференц...

Комментарии 29

+1 Голос из-под стола #
11 июля 2011 в 08:09
almond:
Проактивная защита есть далеко не у каждого антивирусного продукта,
У Авиры всё есть.
В том числе и проактивная защита.  glasses

+1 Владимир Смолин aka almond #
11 июля 2011 в 08:12
Отправить тебе образец «зловреда» для тестирования «Авиры»?

Напугай «красмам» — дай там ссылку на этот, как говорят пропагандисты из числа северных корейцев, постовой материал.
+1 Голос из-под стола #
11 июля 2011 в 08:14
almond:
Отправить тебе образец «зловреда» для тестирования «Авиры»?
Да нахрен мне этот кал?  sick
+1 Владимир Смолин aka almond #
11 июля 2011 в 08:16
Значит, ты сомневаешься (полагаю, обоснованно) в том, что Avira сможет защитить твой ПК от инфицирования этим калом.
-1 Голос из-под стола #
11 июля 2011 в 08:18
almond:
Значит, ты сомневаешься (полагаю, обоснованно) в том, что Avira сможет защитить твой ПК от инфицирования этим калом.
Ни в коей мере.
Авира — это продукт высшей белой расы, истинных арийцев.
В ней сомневаться нельзя.
+1 Владимир Смолин aka almond #
11 июля 2011 в 08:24
Голос из-под стола, хорошо, тогда скачай этот архив, распакуй его и попытайся запустить файл zvuk_perdeja.exe. Пароль: virus. О результатах докладывай здесь.
+1 Голос из-под стола #
11 июля 2011 в 08:54
Я думаю, это плохая идея.
+1 Владимир Смолин aka almond #
11 июля 2011 в 09:01
Голос из-под стола, что ж, мой вывод подтвержден: «Авире» своей ты не слишком-то доверяешь.
-1 Голос из-под стола #
11 июля 2011 в 09:19
Мне просто лень заниматься подобной хернёй просто так.
+1 Владимир Смолин aka almond #
11 июля 2011 в 11:44
Голос из-под стола, можешь и не просто так. Например, пока одной рукой ты будешь распаковывать и запускать свежего «зловреда», что мешает тебе другой рукой мастурбировать писюна?
-1 000000 #
19 июля 2011 в 08:45
linux решает
+2 Владимир Смолин aka almond #
19 июля 2011 в 09:15
Прокладка между креслом и монитором решает. Я ж в итоге не заразил машину.
-1 Голос из-под стола #
22 июля 2011 в 05:13
Владимир Смолин aka almond, установи себе троян!  dance
+1 Владимир Смолин aka almond #
22 июля 2011 в 05:48
Голос из-под стола, правильно: сначала «трояна» в компутер, а потом мандавошек в бороду. Нет уж, спасибо, такие «радости» дедушке almond'у не нужны.
-1 Энвер #
23 ноября 2011 в 13:25
симантек нортон сразу сожрал эту гадость, в чем прикол?
+1 Владимир Смолин aka almond #
23 ноября 2011 в 14:00
Посмотрите для начала на дату публикации. Весьма вероятно, что в настоящее время большинство антивирусов детектируют данную вредоносную программу.
+3 tanchella #
9 апреля 2012 в 10:18
А разве нельзя было покушать как следует или выпить препарат какой-нибудь ветрогонный, а потом пердеть себе вволю и записывать любые звуки с микрофоном у зада? Тогда риск поймать "троян" практически нулевой!
Еще по данной теме: слышали Бутусова?
...Девушка по городу шагает с ветерком,
Девушка покушала гороху с молоком,
У прохожих слезы так и катятся из глаз,
А девушка смеётся - ведь на ней противогаз!
-1 Голос из-под стола #
9 апреля 2012 в 10:44
tanchella:
...Девушка по городу шагает с ветерком, Девушка покушала гороху с молоком, У прохожих слезы так и катятся из глаз, А девушка смеётся - ведь на ней противогаз!
Это как?
Так, что ли?



Не, нам такого не надо.
Нам лучше вот такие девушки, без противогаза:









+1 Владимир Смолин aka almond #
9 апреля 2012 в 11:57
Голос из-под стола, к чему все эти фотоснимки обнаженных или полуобнаженных женщин? Здесь что, без моего ведома открылся филиал порносайта? Дамочки, кстати, все до одной какие-то неприятные. Мерзость, в общем.
+2 Владимир Смолин aka almond #
9 апреля 2012 в 11:53
Татьяна, идея самостоятельной записи пердильных звуков очень хороша, тем более, что приступы метеоризма у меня случаются часто. Есть, однако, одно сдерживающее обстоятельство: не провонять бы микрофон насквозь этими мерзкими ядреными газами, ведь в него потом ртом говорить придется.
tanchella:
...Девушка по городу шагает с ветерком, / Девушка покушала гороху с молоком
Нет, такую прелесть слышать не доводилось.
+2 tanchella #
9 апреля 2012 в 22:48
Уважаемый Владимир Смолин aka almond! Насколько я знаю, своей вонючестью кишечные газы обязаны содержанием в них меркаптанов - органических веществ с общей формулой R-SH. Они все вонючие страшно; чем разветвленнее цепь радикала, тем больше (смутно припоминаю: в школьные годы читала про немецкого химика Ю. Либиха, который изучал эти вещества, и исходившие от него запахи до того всех достали, что городская управа запретила ему появляться на улицах в светлое время суток. Он по вечерам сидел в своей лаборатории, ждал ночи, и только с ее наступлением по безлюдным улицам шёл домой). Меркаптаны образуются в кишечнике в результате протеолиза белков, имеющих в составе серусодержащие аминокислоты, которых всего две - цистеин и метионин. Таким образом, если белковая составляющая принимаемой Вами пищи будет содержать только те белки, в которых нет этих аминокислот, вони практически не будет и микрофон Вы ничем не завоняете. Или, если отказаться от свиноедения (что я подразумеваю) для Вас трудно, можно придти с микрофоном куда-нибудь в детский стационар на грудничковый пост и записывать пердёж детей, находящихся на грудном вскармливании. От их газов (по все той же причине - дело в аминокислотном составе белков грудного молока) вони особой нет.
Голос из-под стола, вынуждена Вас огорчить: время от времени зловонно пердят все, в том числе и порноактрисы на приведенных Вами (совершенно, я думаю, не к месту) картинках. Или как понимать Ваши слова, что они лучше, в контексте данной темы: лучше воняют, что ли, когда пукают?
+2 Владимир Смолин aka almond #
10 апреля 2012 в 03:16
tanchella, в очередной раз выношу Вам благодарность за ведение просветительской работы на маргинальном недосайте «Не дает сру».
tanchella:
городская управа запретила ему появляться на улицах в светлое время суток
Мне никто не запрещал, да и вещества те самые я не изучаю, однако предпочитаю не выходить из дома в светлое время суток: не люблю солнце и людей, снующих по городу, словно тараканы.
tanchella:
если отказаться от свиноедения (что я подразумеваю) для Вас трудно
Я сразу догадался, что Вы там подразумеваете. От свиноедения я откажусь тогда же, когда откажусь от табакокурения — после смерти.
tanchella:
можно придти с микрофоном куда-нибудь в детский стационар на грудничковый пост и записывать пердёж детей, находящихся на грудном вскармливании.
Мощно придумано! Только, боюсь, если б я предпринял такую попытку, то вполне мог бы оказаться в ближайшем отделении полиции.
0 Голос из-под стола #
10 апреля 2012 в 03:53
almond:
да и вещества те самые я не изучаю,
Те самые вещества? crazy

almond:
не люблю солнце и людей
Возлюби ближнего своего, как учил человечество Иисус Иосифович! smile

almond:
От свиноедения я откажусь тогда же, когда откажусь от табакокурения — после смерти.
А как же трихинеллёз? hoho

almond:
Только, боюсь, если б я предпринял такую попытку, то вполне мог бы оказаться в ближайшем отделении полиции.
Таки да.
+2 Владимир Смолин aka almond #
10 апреля 2012 в 03:59
Голос из-под стола:
Те самые вещества?
Нет, не те — меркаптаны. Впрочем, экспериментальное изучение действия наркотиков посредством их употребления я также не практикую.
Голос из-под стола:
Возлюби ближнего своего, как учил человечество Иисус Иосифович!
Можно любить конкретных людей, но человечество, да и мелкие малознакомые массы (так и хочется добавить «каловые»), как-то не хочется. Кстати, вчера я нашел очередное подтверждение тому, что любовь есть: рекламная растяжка с соответствующей надписью и изображением «сердечка» встретилась мне по пути из Северного в Северо-Западный.
Голос из-под стола:
А как же трихинеллёз?
Никак.
0 Владимир Смолин aka almond #
21 июня 2016 в 04:24
Оказывается, существует немало гангроидных пердильных приложений. Впрочем, не удивлюсь, если многие из них также являются вредоносными.

Пиктограммы симуляторов пердежа с сайта Л. Каганова
0 Голос из-под стола #
1 октября 2017 в 20:46
0 Владимир Смолин aka almond #
2 октября 2017 в 04:59
Что это за хуйня?
0 Голос из-под стола #
2 октября 2017 в 20:26
Это стул с системой отвода кишечных газов (пердежа).
И даже с воздушным фильтром от автомобиля.

Пещерники в сети

Пользователей: 0
Гостей: 0
Сегодня были:
Голос из-под стола, Владимир Смолин aka almond