Jump to content
DoubleBit

Izolare / capturare virus "Politia Romana"

Recommended Posts

Posted

Maine trebuie sa mers sa devirusez un PC infectat cu acest virus. Am vazut ca sunt multi interesati pe aici pe forum despre acest virus, asa ca as vrea si eu sa stiu cum pot sa-l capturez.

Eu ma gandeam la ceva de genul "move to quarantine" dar... nu ii afecteaza din functionalitate?

Eu personal folosesc Linux, insa am instalat wine. Daca iau acest virus pe un stick, imi poate afectat sistemul?

Unde gasesc fisierele specifice acestui virus si cum pot sa-l copiez pe un stick usb?

De asemenea, ma intereseaza si un program cu care merge sigur sa-l sterg.

Posted
Maine trebuie sa mers sa devirusez un PC infectat cu acest virus. Am vazut ca sunt multi interesati pe aici pe forum despre acest virus, asa ca as vrea si eu sa stiu cum pot sa-l capturez.

Eu ma gandeam la ceva de genul "move to quarantine" dar... nu ii afecteaza din functionalitate?

Eu personal folosesc Linux, insa am instalat wine. Daca iau acest virus pe un stick, imi poate afectat sistemul?

Unde gasesc fisierele specifice acestui virus si cum pot sa-l copiez pe un stick usb?

De asemenea, ma intereseaza si un program cu care merge sigur sa-l sterg.

Folosesti o pokeminge( http://stuffpoint.com/pokemon/image/4129-pokemon-pokeball.png ) sa-l capturezi... sau : Politia Romana Virus - how to remove

Posted (edited)

va trebui sa te chinui :| , nu stiu cum actioneaza acest virus, dar daca poti afla numele procesului prin taskmgr sau cmd -> tasklist atunci nu cred ca e asa greu sa dai de el ; studiaza HKLM startup si HKCU startup (HKLM/HKCU/Software/Microsoft/Widnows/CurrentVersion/RUN), nu cred ca are startup ActiveX ... daca nici asa nu dai de el , muta hardu pe unitatea ta si fa-ti de cap in partitia cu windows-ul

Dar ca si Cril .. pokemingea e cea mai utila =))

//

[random], from %AppData%

WMnetMgr.exe

ccccccc.exe

http://www.2-viruses.com/remove-politia-romana-virus

%AppData% e un start

Edited by Maximus
Posted

Are vre-o metoda de spread? ai putea sa "virusezi" o masina virtuala(prin conectarea la masina infectata) si sa-l analizezi in detaliu.

Trebuie sa fii istet si sa te chinuii. Sa gasesti procesul si radacina procesului.(cam greu in timp ce ruleaza) Sau ai putea sa incerci sa "capturezi" fisierele executate la startup sa sa il cauti pe acolo .. probabil iese in evidenta.

Posted

@kids

Daca folositi kaspersky nici un astfel de malware nu poate sa va infecteze, doar daca are rootkit ring3/0.

Dar voi folositi nod32/avira/bitdefender .. toate porcariile facute doar pentru marketing, nu si pentru securitate.

Posted

@BUNNN

Pai daca ar fi sa vorbim de malware "adevarat" (nu de jucarii gen virusul "Politia Romana") am vorbi de Stuxnet. Si am citit destul de multe articole postate de tipii de la Kaspersky pe tema asta si chiar Chief Malware Researcher-ul lor (sau cum s-o numi functia) a declarat ca e posibil ca malware-ul sa fi afectat sisteme inca din ianuarie (data la care certificatul de securitate pentru Realtek a fost emis). Deci au recunoscut ca Stuxnet a trecut de antivirusul lor. Cand le-am luat interviu celor de la Bitdefender, Chief Malware Researcher-ul a exclus aceasta posibilitate, pentru ca cica Bitdefender nu tine cont de certificatele de securitate si ar fi gasit malware-ul mai devreme. Recunosc, nu ii cred pe cuvant nici pe cei de la Bitdefender (marketing & shit) dar exista o sansa ca ceea ce au zis ei sa fie adevarat si Bitdefender sa nu fi avut probleme cu Stuxnet daca l-ar fi intampinat mai devreme.

Concluzia, nu te poti increde in niciun antivirus si nu poti zice ca Kaspersky e cel mai bun.

@staff

Scuzati offtopicul.

Posted (edited)

@bcman

Ia ia tu kaspersky vs bitdefender in IDA pro/olly dbg/kernel detective .. porma vorbeste despre ce poate fiecare.

Bitdefender este o cacanarie "a la rumanian".. nimic mai mult.

De ex tu cand dai "scan with kaspersky" acesta iti executa fisieru' intr-un hidden sandbox si vede ce face, se creaza o detectie generica daca fisier ul respectiv face proceduri anale.

Plus, kaspersky emuleaza multe functii, gen CopyFile/NtWriteVirtualMemory/etc .. de astea treci doar daca ai rootkit care sa blocheze access ul la aceste functii, iar dupa restart aceste folosite nu v-or mai putea fi emulate deci nu mai au cum sa te mai detecteze run-time.

Cam asta este principiul unui rookit, blocheaza emularea unor functii de baza sau le muta la alte adrese in dll ul respectiv.

Plus, faza cu certificatu' nici nu se poate aplica pe stuxnet.(certificat ul a fost pus ca altfel acel driver nu mergea pe x64)

Din moment ce stuxnet ul are rootkit ring3, server ul va avea mai multe permisiuni decat orice antivirus :)) .. nici nu are cum sa-l scoata antivirusi prin detectiile generice, ca n-au permisiuni.

De aia au facut baieti un tool ca sa-i dea kill, acel tool presupun ca are la randu' lui un rootkit ring3 ca sa poata sa-i dea kill.

Beat that ..

Edited by B3st

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...