Текущее время: 28 мар 2024 14:15

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: 2 папки Windows на системном диске
СообщениеДобавлено: 14 окт 2013 14:51 
Не в сети

Зарегистрирован:
12 сен 2013 15:06
Сообщения: 3
Системный блок клиента.
WinXP. Без антивируса.
1. Папка Windows c системой
2. Папка Windows с EXPLORER.EXE (SMS информер).
Вопрос: Windows не позволяет создавать одноименных папок, файлов в одной папке.
Или все таки позволяет? И каким образом?


Вложения:
Комментарий к файлу: Снимок
Безымянный.JPG
Безымянный.JPG [ 64.46 КБ | Просмотров: 21134 ]
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: 2 папки Windows на системном диске
СообщениеДобавлено: 14 окт 2013 17:19 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
20 мар 2009 17:51
Сообщения: 1518
Откуда:
Брянск
Здравствуйте, Questz.

Скорее всего в имени папки, содержащей заразу, содержатся символы из другой локализации или кодировки, которые выглядят похожими на оригинальные, например "О" и "O" (в первом случае это кириллица, во втором латиница). Проверить эту догадку просто: скопируйте имена каждой из этих папок в текстовый редактор, а затем скопируйте имя одной из них и поищите это имя сначала документа - если дело в кодировке, будет всего одно совпадение. Также можно сохранить этот текстовый документ и просмотреть его содержимое в HEX-редакторе.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: 2 папки Windows на системном диске
СообщениеДобавлено: 14 окт 2013 19:22 
Не в сети

Зарегистрирован:
12 сен 2013 15:06
Сообщения: 3
да, о таком варианте я не подумал.
это проверю завтра. комп уже отдан клиенту, но сама папа есть на флешке
Но опять же возникает вопрос:
я не менял путей в реестре (на уровне HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\exporer.exe)
я просто изменил наименование папки WINDOWS (вирусной) и загрузился в систему


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: 2 папки Windows на системном диске
СообщениеДобавлено: 15 окт 2013 12:10 
NanoAV Team
Не в сети

Зарегистрирован:
03 апр 2009 18:43
Сообщения: 488
Откуда:
Брянск
Questz, не могли бы Вы отправить нам на исследование файлы, которые лежат в скопированной папке?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: 2 папки Windows на системном диске
СообщениеДобавлено: 17 окт 2013 15:06 
Не в сети

Зарегистрирован:
12 сен 2013 15:06
Сообщения: 3
Rodger, Вы оказались правы.

Сейчас могу говорить о втором случае (сегодня).Win7-опять информер
Из которого понятно что было и где в 1 случае.
В первом случае ERD (управление компьютером/автозапуск) и Autoruns (запущенный из под ERD) не показали HKCU
Потому искали другими методами.
Во втором случае ERD все показал.
остался еще один вопрос: Как отследить файл создавший Банер?
Если в первом случае в папке PREFETCH было приятно увидеть VIDEO_XXX,
то во втором ??? prefetch в 2-ом архиве

Модератор: потер архивы


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: 2 папки Windows на системном диске
СообщениеДобавлено: 17 окт 2013 17:47 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
20 мар 2009 17:51
Сообщения: 1518
Откуда:
Брянск
Здравствуйте, Questz.

Спасибо за образцы. Сейчас уже почти невозможно сказать каким образом этот файл оказался во временной папке. Вариантов может быть множество: начиная от трояна-даунлодера, скачивающего своих друзей, заканчивая выбором варианта "запустить" на запрос браузера "что делать с исполняемым файлом?".


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: 2 папки Windows на системном диске
СообщениеДобавлено: 20 окт 2013 18:45 
Аватара пользователя
Не в сети

Зарегистрирован:
13 авг 2011 15:02
Сообщения: 103
Откуда:
Херсон

Награды:

Активист форумаДруг компании Наш бета-тестер
Rodger писал(а):
Здравствуйте, Questz.

Спасибо за образцы. Сейчас уже почти невозможно сказать каким образом этот файл оказался во временной папке. Вариантов может быть множество: начиная от трояна-даунлодера, скачивающего своих друзей, заканчивая выбором варианта "запустить" на запрос браузера "что делать с исполняемым файлом?".


Trojan.Winlock.6999 обычно через жабоскрипты пролазит.
Сейчас оне немного поутихли. Пошла раздача Trojan.Winlock.2741

Цитата:
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="c:\windОws\ехрlоrеr.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
C:\WINDОWS\ехрlоrеr.exe="c:\windОws\ехрlоrеr.exe"


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB