мимоходом

[avva]

Вот не знаю, есть ли вирусы/трояны, которые используют такую тактику: при запуске быстренько прописать себя в нужных местах, а потом выдать dialog box, идентичный тому, который выдаёт система, когда не может запустить программу из-за отсутствия DLLя: "Cannot find DLL такой-то in path такой-то" или как там его, не помню точно.
Думаю, мою бдительность это усыпило бы, т.е. я бы поверил, что действительно DLLя какого не хватает, и программа даже не запустилась, и не стал бы это проверять. А нарисовать эту ошибку дело ведь очень простое.

Comments

[drw.livejournal.com]

Мне казалось, это общепринятая практика.

[avva.livejournal.com]

Да? Может быть. Я не разу не видел, мне вот просто сейчас в голову пришло.

[drw.livejournal.com]

Видимо, я ошибался всё же.

Дело в том, что все эти вещи рассчитаны на неопытных пользователей, и если не выдавать никакого сообщения, то меньше вероятность, что жертва позовёт кого-нибудь более опытного, чтобы выяснить, в чём дело. Я, например, если бы программе не хватало какой-нибудь незнакомой DLLки, первым делом отправился бы в гугль и посмотрел бы, что это за DLL такая. Соответственно, если там будет имя реально существующей библиотеки, то можно будет её скачать и убедиться, что дело не в ней, а в противном случае отсутствие упоминаний об этом файле в сети само по себе будет выглядеть подозрительно (либо очень быстро где-нибудь появится список таких поддельных DLL, в том случае если их имена не совсем случайным образом генерируются).

Гораздо веселее выпадать с чем-нибудь вроде "this program has performed an illegal operation and will be terminated".

[http://users.livejournal.com/_teddy_/]

Не помню названий, неохота рыться в каталогах Касперского и т.п., но такая тактика была очень популярна несколько лет назад, когда все стали писать вирусы под Win32 чуть ли не на VisualBasic, и примерно в тот же момент появились вирусы под MS Word. В MS Word, чтобы не давать пользователю доступа к списку макросов, например, часто при попытке залезть в Сервис/Макрос/Макросы выводилось сообщение о какой-нибудь системной ошибке. Я сам, грешным делом, злобясь на дипломного руководителя, хотел сочинить чего-нибудь такое и засунуть в РПЗ... Проблема только в том, что мало усыпить бдительность пользователя (можно же ему и картинку какую-нибудь показать, то есть замаскировать вирус под какую-нибудь шутку или весёлый тест), но ещё надо же всё-таки скрываться от антивирусов, и вот это гораздо сложнее... А пока придумаешь что-нибудь новенькое на этом фронте, "легенду" для юзера сто раз придумать успеешь...

[http://users.livejournal.com/_iga/]

А нарисовать эту ошибку дело ведь очень простое.
А формат сообщения разве не системно-зависим ? Впрочем, можно.

и не стал бы это проверять.
А я бы стал. Что такое - программа, которую я хочу запустить почему-то не запускается !? Благо под рукой и FAR есть (PEditor plugin, IMPORT section).
И вообще "в нужные места" оно бы себя прописать не смогло - "правов нету".

[alexcohn.livejournal.com]

А ты что, обладаешь третьим глазом, постоянно мониторящим registry на предмет вируса? Я думаю, лучше прописаться во все места без лишнего шума - больше шансов просклизнуть. А главная проблема - обмануть антивирусную программу, которая на fake dialog boxes не поведется ни за что.

[antik.livejournal.com]

А у меня, скажем, "собачка", RegRun II, просто предупредит меня, если что-то куда-то прописываться в тихаря полезет…

[antik.livejournal.com]

А у меня, скажем, "собачка", RegRun II, просто предупредит меня, если что-то куда-то прописываться втихаря полезет…

[alexcohn.livejournal.com]

Ага, зато если оно пропишется и станет кричать о нехватке системных DLL, ты сразу успокоишься?

[antik.livejournal.com]

Просто я совершенно точно знаю, что стоит у меня на компе, зачем, и кто это туда сунул (я, или Винда ублюдочная). Все 156 прописанных в реджестри программ (если учесть, что Винда ломаная, через 98-lite). Так что мне чей-то ор про дэльэлки, это — красный свет :-)
Кроме того, я примерно раз в месяц чищу рег от "пустых" библиотек и после этого, естессно, гоняю в разных режимах — а вдруг заругается… (Кстати, в любой "не кривой" dll прописано, для чего она и с чем взаимодействует). Так что…
Я, конечно, чайник. Но не настолько :-)

[alexcohn.livejournal.com]

так ведь и я про то: показав фальшивый диалог, вирус не спасет себе жизнь.

Зачем

[tom-ohawk.livejournal.com]

Не совсем так, Анатолий

если вирусу удается запуститься, то, по логике вещей,
его инкубационный процесс должен проходить скрытно,
пиротехнические эффекты имеют смысл только после того
как вирусу удастся размножиться используя все сетевые
средства, ведь если он попал на комп не с носителя, а
с сети, то грех было бы не кинуть еще несколько копий
себя, вредоносного, в ту же сеть - благо она качает в
обе стороны...

Тем не менее, есть вирус, который уже расплодившись
начинает "стращать" ползователя сообщениями о несуществующих ошибках
и нехай он почаще перезагружается с перепугу
W32.HLLW.Pluto (http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.pluto.html)

Есть вирус, видимо, использующий API от System File Checker
W32.Miroot.Worm (http://securityresponse.symantec.com/avcenter/venc/data/w32.miroot.worm.html)

Наконец, есть просто шалость (но какой там знойный инглиш):
Macro.Word.Formater (http://www.viruslist.com/viruslist.html?id=3544)

но, повторюсь, зачем шпиону привелкать к себе внимание попусту?

[npopok.livejournal.com]

Сто лет таково соопщения не видел, со времён 95-го Windows.

[kalvado.livejournal.com]

http://www.viruslist.com/index.html?tnews=1001&id=1114

Вирусы с вэб сайтов

[(Anonymous)]

Кто-нибудь знает, можно ли заразиться через Microsoft Internet Explorer, если все заплатки установлены? Я помню хорошо как Nimda влезла ко мне в Windows NT через браузер 18 сентября 2001 года. Эту-то дыру (кажется, в J-script) быстро залатали, но нет ли других?
WWWUser.

[bolk.livejournal.com]

В каких ситуациях это должно происходить? Когда запускается "чистый" вирус (без программы-носителя)? Мне кажется эта ситуация очень редка - откуда у простого смертного взялся бы чистый вирус? А когда вирус "посажен" на какую-либо программу выдавать ничего не нужно - за него это сделает программа на которую он заразил.

Nimda virus

[(Anonymous)]

WWWUser:

Вот, удалось найти (используя GOOGLE) детали, относящиеся к инфицированию через браузер, и теперь вспомнилоь, что дейсвительно так оно и было (за исключениеи того, что на самом деле использовался JavaScript, а не JScript):

Another web server related distribution mode includes placing specially encoded copies of the Nimda executable into the directories of a web server and adding some HTML code to the end of any HTML or ASP files found in those directories. The code added to the HTML and ASP files includes a simple JavaScript snippet that causes a web browser viewing the page to open a new window and download the specially encoded copy of Nimda from the web server. This 'specially encoded' copy of Nimda is actually an EML file -- an Outlook Express 'e-mail file'. If the web browser viewing it is an older version of Internet Explorer, a bug in its handling of certain, arguably 'malformed' (or 'misleading') MIME section headers causes the encoded executable in the EML file to be automatically decoded, written to a file and run.