289 ответов в этой теме

[Igorn]

еще иногда менялось имя хоста (hostname), но и это тоже не должно как-то влиять...

Это никак влиять не может

[lazarevee]

Под wine вири неплохо работают.. даже картинко закодировал..442

Spoiler

��H#e#l#l#o#,#
##
#
#I# #a#m# #a#n# #I#T# #s#p#e#c#i#a#l#i#s#t#,# #I# #r#e#s#e#a#r#c#h# #s#y#s#t#e#m# #v#u#l#n#e#r#a#b#i#l#i#t#i#e#s# #a#n#d# #m#a#k#e# #p#r#o#f#i#t# #b#y# #s#e#l#l#i#n#g# #t#h#e#m#.# #I# #h#a#v#e# #f#o#u#n#d# #o#n#e# #v#u#l#n#e#r#a#b#i#l#i#t#y# #i#n# #y#o#u#r# #s#y#s#t#e#m# #a#n#d# #h#a#c#k#e#d# #i#t#.# #I# #h#a#v#e# #c#o#p#i#e#d# #a#l#l# #v#a#l#u#a#b#l#e# #d#a#t#a# #f#r#o#m# #t#h#i#s# #P#C# #a#n#d# # #f#r#o#m# #y#o#u#r# #c#o#m#p#u#t#e#r# #n#e#t#w#o#r#k#.# #T#h#e#n# #I# #h#a#v#e# #e#n#c#r#y#p#t#e#d# #t#h#e# #f#i#l#e#s# #a#n#d# #i#f# #y#o#u# #a#r#e# #w#i#l#l#i#n#g# #t#o# #d#e#c#r#y#p#t# #t#h#e#m# #y#o#u# #n#e#e#d# #t#o# #b#u#y# #a# #d#e#c#r#y#p#t#i#o#n# #k#e#y# #f#r#o#m# #m#e#.# #H#e#r#e# #i#s# #m#y# #c#o#n#t#a#c#t#:# #
#
#
#
#e#-#m#a#i#l#:# #i#t#-#s#p#e#c#@#m#a#i#l#.#u#a#
#
#
#
#Y#o#u# #h#a#v#e# #3# #d#a#y#s# #t#o# #p#u#r#c#h#a#s#e# #t#h#e# #d#e#c#r#y#p#t#i#o#n# #k#e#y#,# #o#t#h#e#r#w#i#s#e# #s#o#m#e# #o#f# #y#o#u#r# #s#e#n#s#i#t#i#v#e# #d#a#t#a# #m#a#y# #b#e# #p#u#b#l#i#s#h#e#d# #o#n# #t#h#e# #i#n#t#e#r#n#e#t# #a#n#d# #y#o#u#r# #s#y#s#t#e#m# #w#i#l#l# #n#o#t# #g#e#t# #d#e#c#r#y#p#t#e#d#.#
#
#
#
#I#n#f#o#r#m#a#t#i#o#n# #f#o#r# #I#T# #s#p#e#c#i#a#l#i#s#t#s#:#
#
#
#
#1#.# #A#n#t#i#-#v#i#r#u#s# #w#i#l#l# #d#e#l#e#t#e# #e#n#c#r#y#p#t#i#o#n# #p#r#o#g#r#a#m# #b#u#t# #w#i#l#l# #n#o#t# #d#e#c#r#y#p#t# #t#h#e# #d#a#t#a#.# #U#s#i#n#g# #s#y#s#t#e#m# #r#e#s#t#o#r#e# #p#o#i#n#t# #w#i#l#l# #n#o#t# #h#e#l#p# #y#o#u# #t#o# #r#e#c#o#v#e#r# #t#h#e# #d#a#t#a#.#
#
#
#
#2#.# #D#a#t#a# #w#a#s# #e#n#c#r#y#p#t#e#d# #w#i#t#h# #A#E#S# #(#R#i#j#n#d#a#e#l#)# #a#l#g#o#r#i#t#h#m# #(#2#5#6# #b#i#t#)#.# #E#n#c#r#y#p#t#i#o#n# #k#e#y# #w#a#s# #e#n#c#r#y#p#t#e#d# #w#i#t#h# #R#S#A# #(#2#0#4#8# #b#i#t#)# #a#l#g#o#r#i#t#h#m#.# #T#h#i#s# #i#s# #e#x#t#r#e#m#e#l#y# #s#e#c#u#r#e# #c#r#y#p#t#o#g#r#a#p#h#y# #t#e#c#h#n#i#q#u#e#,# #a#r#o#u#n#d# #1#0#0#0# #y#e#a#r# #t#i#m#e# #p#e#r#i#o#d# #w#i#l#l# #b#e# #r#e#q#u#i#r#e#d# #t#o# #b#r#e#a#k# #i#t#,# #s#o# #d#o# #n#o#t# #t#r#y# #t#o# #d#o# #i#t#.#
#
#-#-#-#-# #E#n#c#r#y#p#t#e#d# #S#e#s#s#i#o#n# #K#e#y# #B#e#g#i#n# #-#-#-#-#
#
#1#B#2#D#F#C#B#B#4#F#E#E#0#E#3#2#B#E#9#C#6#7#8#4#6#4#2#6#3#A#7#1#6#C#F#D#6#5#7#5#9#8#4#1#C#3#E#D#7#3#E#8#D#1#3#D#9#7#B#3#C#C#2#F#9#A#1#E#5#9#4#C#A#2#7#2#9#E#4#B#A#E#E#8#F#0#7#2#7#9#9#E#9#3#9#E#C#2#1#6#2#A#4#5#C#C#B#1#D#8#4#1#E#6#4#0#A#E#F#E#7#1#F#4#C#C#F#F#6#7#A#E#E#0#8#8#9#3#5#0#5#4#F#5#4#7#2#2#5#9#9#4#4#2#9#1#6#E#3#A#F#C#3#D#5#2#1#1#5#9#9#5#5#1#6#E#E#6#F#D#C#F#D#6#4#1#D#3#6#7#E#8#E#8#1#1#D#E#D#7#D#5#A#5#5#5#1#1#1#5#2#0#B#C#9#9#7#D#3#A#7#6#5#3#5#6#A#5#B#F#4#0#0#9#B#D#3#8#7#4#B#E#1#C#8#3#C#8#8#B#D#9#0#5#D#2#4#C#A#D#4#1#4#D#8#B#B#2#8#2#3#7#D#0#B#C#1#5#1#0#A#5#A#6#1#C#1#D#2#A#0#6#4#8#2#7#1#3#7#3#F#7#0#5#4#7#A#F#0#0#9#F#C#4#2#A#C#6#A#8#E#1#D#E#F#2#4#7#2#7#4#0#3#F#1#6#A#0#F#8#5#A#1#2#1#9#2#1#7#8#8#2#4#A#A#0#D#E#B#E#9#0#9#E#4#0#2#A#7#2#2#A#7#1#5#C#4#9#B#C#0#3#F#5#D#7#8#D#3#3#2#F#0#B#7#7#6#8#2#5#A#4#1#9#9#3#2#F#B#E#8#8#7#4#9#E#1#D#8#C#6#8#4#D#B#D#4#3#1#E#0#C#4#1#5#F#5#F#2#0#D#2#2#B#3#3#8#F#C#C#E#8#A#C#7#6#4#C#8#C#D#5#D#F#2#F#F#B#E#0#5#A#5#6#0#4#2#F#F#A#9#C#5#E#5#1#3#2#8#7#6#8#1#6#8#D#A#4#2#C#7#B#D#1#E#5#8#2#9#F#C#2#
#
#-#-#-#-# #E#n#c#r#y#p#t#e#d# #S#e#s#s#i#o#n# #K#e#y# #E#n#d# #-#-#-#-#
#
#

Сообщение было изменено l.e.e.: 23 Март 2014 - 22:13

[Igorn]

l.e.e., 

- а как именно запускали данное вредоносное ПО?

- запускали при включенном спайдере?

- где лежит сам файл кодировщика картинок и детектится ли данный файл при проверке нашим сканером?

[lazarevee]

l.e.e., 
- а как именно запускали данное вредоносное ПО?
- запускали при включенном спайдере?
- где лежит сам файл кодировщика картинок и детектится ли данный файл при проверке нашим сканером?

Запускал кодер конечно с отключенным гардом. Сначала сканировал, потом включил.

Ну, вот приложен текст файла PLEASE_READ.inf. Картинки делал, в частности с успешным лечением доктором на mint15 (  ) То есть детектится (encoder.442), но в памяти висел до тех пор, пока не сделал killprocess. В систему пока не могу загрузиться. Хотя почти все файлы (около 12000 шт. расшифровал конкурент (довольно быстро по PDF образцам))

Сообщение было изменено l.e.e.: 24 Март 2014 - 13:17

[lazarevee]

root.disk.encrypted

[Igorn]

В систему пока не могу загрузиться

root.disk.encrypted

Вывод fdisk -l вашей системы не сможете показать?  

От рута запускали wine? Или пользователь, от которого запускали, в группе админов?

[maxic]

Igorn, wine же только от юзера работает?

[lazarevee]

Вывод fdisk -l вашей системы не сможете показать?  
От рута запускали wine? Или пользователь, от которого запускали, в группе админов?

Диск /dev/sda: 320.1 Гб, 320071851520 байт
255 головок, 63 секторов/треков, 38913 цилиндров, всего 625140335 секторов
Units = секторы of 1 * 512 = 512 bytes
Размер сектора (логического/физического): 512 байт / 512 байт
I/O size (minimum/optimal): 512 bytes / 512 bytes
Идентификатор диска: 0xcec3cec3

Устр-во Загр     Начало       Конец       Блоки   Id  Система
/dev/sda1   *                 63   160923104    80461521    7  HPFS/NTFS/exFAT
/dev/sda2       160923105   312576704    75826800    7  HPFS/NTFS/exFAT
/dev/sda3       312576705   615371626   151397461   83  Linux
/dev/sda4       615372798   625139711     4883457    f  W95 расшир. (LBA)
/dev/sda5       615372800   625139711     4883456   82  Linux своп / Solaris

Диск /dev/sdb: 8027 МБ, 8027897856 байт
255 головок, 63 секторов/треков, 976 цилиндров, всего 15679488 секторов
Units = секторы of 1 * 512 = 512 bytes
Размер сектора (логического/физического): 512 байт / 512 байт
I/O size (minimum/optimal): 512 bytes / 512 bytes
Идентификатор диска: 0x6eb93395

Устр-во Загр     Начало       Конец       Блоки   Id  Система
/dev/sdb1   *          63    15679487     7839712+   c  W95 FAT32 (LBA)

Стоял еще один диск на 500гб. (если надо подключу). На sda1 XP была примонтирована в каталог /host (не мной) и сильно пострадала. root.disk.encrypted - 18гб - возможно расшифровать ? Копию сохранил.

 

От рута запускали wine? Или пользователь, от которого запускали, в группе админов? 

Да пользователь создавался из под windows и всё (wubildr-ом)

Сообщение было изменено l.e.e.: 25 Март 2014 - 13:25

[Igorn]

wine же только от юзера работает?

Так я спросил потому, что, прочитав

root.disk.encrypted

подумал -что линуксовую ОС зашифровал вредитель.

Никогда бы не подумал о таких вот жестоких вариантах тестирования - на реальном компе, да еще с мультизагрузкой и имеющейся виндой на другом разделе, да еще и с примонтированными при испытаниях виндовыми разделами

[Igorn]

И главное, ведь знали же, что сук рубите, на котором сидите:

Если winlock попадёт в память будет поздно

[lazarevee]

И главное, ведь знали же, что сук рубите, на котором сидите

Пользователи часто отключают защиту, что бы установить что то. Знал конечно 

да еще с мультизагрузкой и имеющейся виндой на другом разделе, да еще и с примонтированными при испытаниях виндовыми разделами

Думаю это вредитель смонтировал. Честно говоря сам не ожидал такого.

Сообщение было изменено l.e.e.: 25 Март 2014 - 15:12

[Igorn]

Думаю это вредитель смонтировал

Для ручного монтирования, да еще в режиме rw (read-write) права рута нужны (либо ранее, например, когда-то монтировали эти разделы через какое-нибудь графическое приложение от пользователя, и на этапе повышении привилегий согласились разрешить в дальнейшем монтировать пользователю)

Как вариант - на этапе установки и настройки Linux было настроено автомонтирование виндовых разделов. Посмотрите в /etc/fstab

Сообщение было изменено Igorn: 25 Март 2014 - 15:23

[Igorn]

l.e.e., А что останавливает от использования для тестирования виртуальные машины (например, бесплатный virtualbox, который имеется даже в репозиториях распространенных Linux-ОС и устанавливается одной командой)?

Сообщение было изменено Igorn: 25 Март 2014 - 16:33

[lazarevee]

Просто точку монтирования /host я не делал однозначно. Может сама wine. Установка из под windows считается гостевой, вроде. Уже трудно вспомнить, но должен был отмонтировать.

root.disk.encrypted - ну это же тоже виртуальный диск. был. Система под системой мало свободных ресурсов..

[Igorn]

wubildr-ом

Вы линукс из винды  с помощью wubi устанавливали ? (http://ru.wikipedia.org/wiki/Wubi)

[lazarevee]

 

wubildr-ом

Вы линукс из винды  с помощью wubi устанавливали ? (http://ru.wikipedia.org/wiki/Wubi)

Да. Он был на диске с mint. /media/XPSP3HE/linuxmint/disks

[Igorn]

Ну вот и очень возможная причина автомонтирования виндовых разделов. Последствия могли быть и хуже.

А почему не поставите нормально линукс на имеющийся раздел:

 

 

/dev/sda3       312576705   615371626   151397461   83  Linux

Сообщение было изменено Igorn: 25 Март 2014 - 19:22

[lazarevee]

/dev/sda3 - Там стоит по нормальному xubuntu 13.10 xfce x64 

[Igorn]

Есть повод перейти полностью на линукс

[Aleksandra]

Продукт возможно установить без гуи?