«О чем писать, когда писать не о чем?» — сетевые дневники на «Не дает точка сру» 

Свежий «троян» вместо звука пердежа

Автор
Опубликовано: 2630 дней назад (11 июля 2011)
Редактировалось: 7 раз — последний 3 августа 2016
Настроение: Охуеваю от вернувшейся жары, будь она неладна
Играет: Speak Softly Love (Love Theme from The Godfather).flac
+2
Голосов: 2
Сказание о том, как дедушка Свинморд «трояна» ловил

Не далее как вчера дедушка almond-Свинморд (Владимир Смолин) зачем-то вознамерился скачать звук пердежа, для чего решил воспользоваться поисковой системой Google, отправив туда соответствующий запрос.


На первой же странице поиска обнаружились ссылки на сайты, сразу показавшиеся весьма подозрительными: celentano.ru/films/posters/temp/page_4850.htm и vitrajparis.ru/public/images/img/doc_5366.php. Дедушка, тем не менее, отправился «в Африку гулять» — посмотреть, что ж за гадость такая. Увиденное на сих сомнительных сайтах должно насторожить еще больше:


Распространители вредоносных программ предлагают скачать якобы аудиофайл в виде самораспаковывающегося архива, при этом указывая в описании неверное расширение (.zip), но не забывают предложить сразу же после скачивания запустить каку на исполнение.

Океюшки, скачиваем. На жестком диске оказывается файл zvuk_perdeja.exe размером 98304 байта, снабженный кривоватой «иконкой», которая смахивает на WinRAR'овскую, но в неверном разрешении. «Антивирус Касперского для Windows Workstations 6.0 MP4» с последними обновлениями благополучно молчит. Запускаем? Запускаем! И тут срабатывает проактивная защита упомянутого антивирусного средства:
KAV:
Процесс C:\Users\Администратор\Desktop\Zvuk_perdeja.exe (PID: 6236): подозрительное действие. Процесс пытается изменить состав модулей, загружаемых при старте компьютера (ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows, значение: AppInit_DLLs, данные: C:\Windows\system32\cjoztef.dll).
Конечно же, быстро жму кнопку «Запретить» и пытаюсь удалить гадость, жамкая [Shift] + [Del]. Поганый зловред, замаскированный еще и под FileZilla FTP Client, удаляться, естественно, не желает, по крайней мере до тех пор, покуда не выкачает и не поместит в \WinDir\System32 злополучную dll'ку, имя коей, как я подозреваю, генерируется случайным образом. В моем случае получилось cjoztef.dll.


Наконец, с третьей или четвертой попытки удаление все же происходит, но компутер тут же самопроизвольно отправляется на перезагрузку: скорее всего, гадость хочет поскорее заюзать DLL, которую мы вместе с «Антивирусом Касперского» в автозагрузку таки не пустили, и начать совершать все черные дела, предусмотренные разработчиком «зловреда».

После перезагрузки нахожу в папке \SYSTEM32 этот кусок говна и перемещаю его в более безопасное место, а псевдозвук пердежа отправляю на Virustotal, где получаю результат, из которго следует, что данную штуковину однозначно детектируют как троянскую программу лишь два антивируса, о первом из которых я вообще раньше не слышал, а второй также не относится к числу распространенных. Плюс еще тройка сомневающихся. Ни «Касперыч», ни Dr. Web, ни Symantec про найденную мною интернет-заразу ничего не знают.

Запаковываю мерзкие EXE и DLL в архивы с паролем virus и отправляю антивирусному воинству дядьки Касперского. Через час или два получаю ответ:
«Лаборатория_Касперского»:
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.    Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам  воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:  https://my.kaspersky.com/ru/support/viruslab.  ; Данная возможность была специально предусмотрена  для удобства Лицензионных Пользователей наших продуктов.  Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой  : http://support.kaspersky.ru/virlab/helpdesk.html  для отправки файла на проверку в вирусную лабораторию.  Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

cjoztef.dll

Файл в процессе обработки.

Zvuk_perdeja.exe - Trojan-Dropper.Win32.Cidox.ae

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
C тех пор случилось уже не одно обновление антивирусных баз, а зараза так и не детектируется, да и на Virustotal вердикт прежний, несмотря на новые даты антивирусных баз.

Кстати, вчера после отправки в «Лабораторию Касперского» я всю мерзость удалил, сегодня же при подготовке этого материла попытался заполучить заново. На том сайте, где брал вчера, сегодня уже иная картина: предлагают скачать файлик, но сначала якобы подтвердив, что я не робот, для чего настоятельно просят указать в форме свой номер сотового телефона. Угу, конечно, размечтались. Я-то знаю, что тут же будет оформлена какая-нибудь платная SMS-подписка, а потом мне еще и трояна отдадут снова. Нет, спасибо, ребята. zvuk_perdeja.exe скачал с еще одного гнусного «ресурса», стоящего в результатах поиска строчкой ниже. Контрольные суммы уже другие — полиморфная гадость, вероятно.

К чему я все это?

Дамы и господа, не скачивайте и не запускайте какие-либо файлы из сомнительных источников, к каковым можно смело отнести 99 процентов интернета. Антивирусная программа даже с самыми актуальными базами не панацея от заражения «зловредами». Проактивная защита есть далеко не у каждого антивирусного продукта, часто бывает отключена, а большинство из тех пользователей, у кого она имеется, не могут адекватно оценить соответствующие предупреждения и должным образом отреагировать на опасность. В общем, будьте бдительны!
2856 просмотров

Читайте также:

  • Теория пещерного лося истинна, потому что она верна
    Теория пещерного лося истинна, потому что она верна

    Знают взрослые и дети: Пещерному лосю нет пары на свете Вот, преподнес мне товарищ на Новый год подарочек — лося, да еще и в виде метлы. Правильно до символичности. Или символично до правильнос...

  • Дедушка старый, больной...
    Дедушка старый, больной...

    Люблю я эту чудесную фразу: дедушка старый, больной. То, что старый, следует принимать в качестве аксиомы, потому что чувствую я себя действительно глубоким стариком. И не нужно указывать мне на им...

  • Результаты СМИЛ
    Результаты СМИЛ

    &constructor=методика СМИЛ v1.0&__proto__=&testDate=Tue Sep 25 18:17:35 GMT+0800 2007&s1=37&s3=60&s7=74&s2=100&s4=95&s8=106&s9=60&sF=110&s6=100&s...

  • Как я вляпался в музыку на компьютере: неглубокая история
    Как я вляпался в музыку на компьютере: неглубокая история

    Мое знакомство с музыкой на компьютере состоялось позднее, нежели первая встреча с собственно IBM-совместимым компьютером, который из всех средств звуковоспроизведения имел тогда на борту лишь крош...

Комментарии (29)
Голос из-под стола # 11 июля 2011 в 08:09 +1
almond:
Проактивная защита есть далеко не у каждого антивирусного продукта,
У Авиры всё есть.
В том числе и проактивная защита.  glasses

Владимир Смолин aka almond # 11 июля 2011 в 08:12 +1
Отправить тебе образец «зловреда» для тестирования «Авиры»?

Напугай «красмам» — дай там ссылку на этот, как говорят пропагандисты из числа северных корейцев, постовой материал.
Голос из-под стола # 11 июля 2011 в 08:14 +1
almond:
Отправить тебе образец «зловреда» для тестирования «Авиры»?
Да нахрен мне этот кал?  sick
Владимир Смолин aka almond # 11 июля 2011 в 08:16 +1
Значит, ты сомневаешься (полагаю, обоснованно) в том, что Avira сможет защитить твой ПК от инфицирования этим калом.
Голос из-под стола # 11 июля 2011 в 08:18 -1
almond:
Значит, ты сомневаешься (полагаю, обоснованно) в том, что Avira сможет защитить твой ПК от инфицирования этим калом.
Ни в коей мере.
Авира — это продукт высшей белой расы, истинных арийцев.
В ней сомневаться нельзя.
Владимир Смолин aka almond # 11 июля 2011 в 08:24 +1
Голос из-под стола, хорошо, тогда скачай этот архив, распакуй его и попытайся запустить файл zvuk_perdeja.exe. Пароль: virus. О результатах докладывай здесь.
Голос из-под стола # 11 июля 2011 в 08:54 +1
Я думаю, это плохая идея.
Владимир Смолин aka almond # 11 июля 2011 в 09:01 +1
Голос из-под стола, что ж, мой вывод подтвержден: «Авире» своей ты не слишком-то доверяешь.
Голос из-под стола # 11 июля 2011 в 09:19 -1
Мне просто лень заниматься подобной хернёй просто так.
Владимир Смолин aka almond # 11 июля 2011 в 11:44 +1
Голос из-под стола, можешь и не просто так. Например, пока одной рукой ты будешь распаковывать и запускать свежего «зловреда», что мешает тебе другой рукой мастурбировать писюна?
000000 # 19 июля 2011 в 08:45 -1
linux решает
Владимир Смолин aka almond # 19 июля 2011 в 09:15 +2
Прокладка между креслом и монитором решает. Я ж в итоге не заразил машину.
Голос из-под стола # 22 июля 2011 в 05:13 -1
Владимир Смолин aka almond, установи себе троян!  dance
Владимир Смолин aka almond # 22 июля 2011 в 05:48 +1
Голос из-под стола, правильно: сначала «трояна» в компутер, а потом мандавошек в бороду. Нет уж, спасибо, такие «радости» дедушке almond'у не нужны.
Энвер # 23 ноября 2011 в 13:25 -1
симантек нортон сразу сожрал эту гадость, в чем прикол?
Владимир Смолин aka almond # 23 ноября 2011 в 14:00 +1
Посмотрите для начала на дату публикации. Весьма вероятно, что в настоящее время большинство антивирусов детектируют данную вредоносную программу.
tanchella # 9 апреля 2012 в 10:18 +3
А разве нельзя было покушать как следует или выпить препарат какой-нибудь ветрогонный, а потом пердеть себе вволю и записывать любые звуки с микрофоном у зада? Тогда риск поймать "троян" практически нулевой!
Еще по данной теме: слышали Бутусова?
...Девушка по городу шагает с ветерком,
Девушка покушала гороху с молоком,
У прохожих слезы так и катятся из глаз,
А девушка смеётся - ведь на ней противогаз!
Голос из-под стола # 9 апреля 2012 в 10:44 -1
tanchella:
...Девушка по городу шагает с ветерком, Девушка покушала гороху с молоком, У прохожих слезы так и катятся из глаз, А девушка смеётся - ведь на ней противогаз!
Это как?
Так, что ли?



Не, нам такого не надо.
Нам лучше вот такие девушки, без противогаза:









Владимир Смолин aka almond # 9 апреля 2012 в 11:57 +1
Голос из-под стола, к чему все эти фотоснимки обнаженных или полуобнаженных женщин? Здесь что, без моего ведома открылся филиал порносайта? Дамочки, кстати, все до одной какие-то неприятные. Мерзость, в общем.
Владимир Смолин aka almond # 9 апреля 2012 в 11:53 +2
Татьяна, идея самостоятельной записи пердильных звуков очень хороша, тем более, что приступы метеоризма у меня случаются часто. Есть, однако, одно сдерживающее обстоятельство: не провонять бы микрофон насквозь этими мерзкими ядреными газами, ведь в него потом ртом говорить придется.
tanchella:
...Девушка по городу шагает с ветерком, / Девушка покушала гороху с молоком
Нет, такую прелесть слышать не доводилось.
tanchella # 9 апреля 2012 в 22:48 +2
Уважаемый Владимир Смолин aka almond! Насколько я знаю, своей вонючестью кишечные газы обязаны содержанием в них меркаптанов - органических веществ с общей формулой R-SH. Они все вонючие страшно; чем разветвленнее цепь радикала, тем больше (смутно припоминаю: в школьные годы читала про немецкого химика Ю. Либиха, который изучал эти вещества, и исходившие от него запахи до того всех достали, что городская управа запретила ему появляться на улицах в светлое время суток. Он по вечерам сидел в своей лаборатории, ждал ночи, и только с ее наступлением по безлюдным улицам шёл домой). Меркаптаны образуются в кишечнике в результате протеолиза белков, имеющих в составе серусодержащие аминокислоты, которых всего две - цистеин и метионин. Таким образом, если белковая составляющая принимаемой Вами пищи будет содержать только те белки, в которых нет этих аминокислот, вони практически не будет и микрофон Вы ничем не завоняете. Или, если отказаться от свиноедения (что я подразумеваю) для Вас трудно, можно придти с микрофоном куда-нибудь в детский стационар на грудничковый пост и записывать пердёж детей, находящихся на грудном вскармливании. От их газов (по все той же причине - дело в аминокислотном составе белков грудного молока) вони особой нет.
Голос из-под стола, вынуждена Вас огорчить: время от времени зловонно пердят все, в том числе и порноактрисы на приведенных Вами (совершенно, я думаю, не к месту) картинках. Или как понимать Ваши слова, что они лучше, в контексте данной темы: лучше воняют, что ли, когда пукают?
Владимир Смолин aka almond # 10 апреля 2012 в 03:16 +2
tanchella, в очередной раз выношу Вам благодарность за ведение просветительской работы на маргинальном недосайте «Не дает сру».
tanchella:
городская управа запретила ему появляться на улицах в светлое время суток
Мне никто не запрещал, да и вещества те самые я не изучаю, однако предпочитаю не выходить из дома в светлое время суток: не люблю солнце и людей, снующих по городу, словно тараканы.
tanchella:
если отказаться от свиноедения (что я подразумеваю) для Вас трудно
Я сразу догадался, что Вы там подразумеваете. От свиноедения я откажусь тогда же, когда откажусь от табакокурения — после смерти.
tanchella:
можно придти с микрофоном куда-нибудь в детский стационар на грудничковый пост и записывать пердёж детей, находящихся на грудном вскармливании.
Мощно придумано! Только, боюсь, если б я предпринял такую попытку, то вполне мог бы оказаться в ближайшем отделении полиции.
Голос из-под стола # 10 апреля 2012 в 03:53 0
almond:
да и вещества те самые я не изучаю,
Те самые вещества? crazy

almond:
не люблю солнце и людей
Возлюби ближнего своего, как учил человечество Иисус Иосифович! smile

almond:
От свиноедения я откажусь тогда же, когда откажусь от табакокурения — после смерти.
А как же трихинеллёз? hoho

almond:
Только, боюсь, если б я предпринял такую попытку, то вполне мог бы оказаться в ближайшем отделении полиции.
Таки да.
Владимир Смолин aka almond # 10 апреля 2012 в 03:59 +2
Голос из-под стола:
Те самые вещества?
Нет, не те — меркаптаны. Впрочем, экспериментальное изучение действия наркотиков посредством их употребления я также не практикую.
Голос из-под стола:
Возлюби ближнего своего, как учил человечество Иисус Иосифович!
Можно любить конкретных людей, но человечество, да и мелкие малознакомые массы (так и хочется добавить «каловые»), как-то не хочется. Кстати, вчера я нашел очередное подтверждение тому, что любовь есть: рекламная растяжка с соответствующей надписью и изображением «сердечка» встретилась мне по пути из Северного в Северо-Западный.
Голос из-под стола:
А как же трихинеллёз?
Никак.
Владимир Смолин aka almond # 21 июня 2016 в 04:24 0
Оказывается, существует немало гангроидных пердильных приложений. Впрочем, не удивлюсь, если многие из них также являются вредоносными.

Пиктограммы симуляторов пердежа с сайта Л. Каганова
Голос из-под стола # 1 октября 2017 в 20:46 0
Владимир Смолин aka almond # 2 октября 2017 в 04:59 0
Что это за хуйня?
Голос из-под стола # 2 октября 2017 в 20:26 0
Это стул с системой отвода кишечных газов (пердежа).
И даже с воздушным фильтром от автомобиля.

 Маргинальная интернет-нора пещерного лося. © Владимир Смолин aka almond, 2009–2017 гг.