Утилита для удаления вируса Win32.Brontok.A

[Alex Prozac]

Утилита для удаления вируса Win32.Brontok.A

Доброго времени суток всем!

Несколько недель назад подцепил такой вот "подарочек" - индонезийский вирус Brontok. "Болячка" не особо злая - систему не крашит, файлы, вроде как, не удаляет; но ооочень плодовитая: сканит все папки на флешках и в "Моих документах", и сует туда свои копии - их имя повторяет название материнской папки, а значок экзешника подделывается под стандартный значок виндовской папки. Плюс, вирь блокирует запуск RegEdit'а, прячет стандартное меню "Свойства папки" и ребутит комп, если в заголовке какого либо окна увидит слова "regedit", "antivirus" и т.п. Ну и, конечно же, лезет в автозагрузку...

Короче, решил я поступить "по спортивному", и "из любви к прекрасному" накатал на Delphi утилитку для удаления бяки. Прожка удаляет файлы вируса из тех мест, куда он их стандартно пихает; исправляет ключи реестра, блокирующие запуск редактора реестра и открытие "Свойств папки"; удаляет ключи автозапуска виря. И еще у нее есть сканер, ищущий копии Бронтока по заданным пользователям путям - чтобы не удалять вручную сотни копий "незваного гостя". Более подробно о функционале утилиты и принципах ее работы - в прилагаемом руководстве пользователя. Буду очень рад, если кому-то пригодится!!!

Единственное: я ограничил запуск проги под 64-разрядные системы, т.к. не было возможности ее в таких испытать (у меня везде 32 разряда)...

 

[AlexZir]

Алексей, твоя утилита самописная это хорошо, конечно, но 25 из 71 детекта на VT напрягают https://www.virustotal.com/gui/file...43e84dcff56512a0d6947891235d9adb966/detection

 

[Технарь]

но 25 из 71 детекта на VT напрягают

На сколько знаю, это нормальное явление, когда один ав находит в другом ав угрозы.
Ни в коем случае не защищаю данную утилиту, просто мысли в слух.

 

[AlexZir]

Утилита этого класса никак не может детектироваться как малварь или адварь, потому и напрягают результаты сканирования.

Архив с утилитой удалил из вложений как потенциально небезопасное ПО, если кому-то будет интересно ей воспользоваться - обратитесь к топикстартеру в личку.

 

[Alex Prozac]

Уже возникал такой прецидент на другом форуме, и уже приходилось оправдываться... Уж не знаю, за что Вирустотал так невзлюбил мою утилитку... Тогда в свое оправдание я написал модератору форума следующее письмо - приведу аргументы из него и здесь:


1. Как в интерфейсе программы, так и в прилагаемой к ней инструкции указаны не только мое имя и город проживания, но и е-мейл, номер яндекс-кошелька и даже ссылка на страничку на "Стихире" (где, помимо моих стихов есть и мое фото!). Много ли Вы видели вирусов, авторы которых предоставляют ТАК много сведений о себе??? Не один вир-мейкер в здравом уме не стал бы так щедро распыляться подобной информацией!!!

2. К программе прилагается подробная инструкция - аж на 5 листах формата A4 (которую, кстати, я писал чуть ли не дольше, чем саму программу!); много ли Вы видели вирусов с такими подробными инструкциями? Скорее бывает наоборот: авторы вполне легального и полезного софта зачастую не утруждают себя написанием хоть каких-то мануалов!..

3. Вирус Win32.Brontok.A - малопопулярный и устаревший зловред, практически забытый в наше время (и только мне "посчастливилось" им "заразиться" - я, прямо-таки, "последний из Могикан"!). Много ли найдется людей, которым нужна будет программа для его удаления, и которые скачают ее? Подумайте: если бы я хотел написать вирус, стал бы я маскировать его под софт, который практически никому не нужен? Уж наверное, будь я вир-мейкером, то замаскировал бы своего зловреда под что-то актуальное, популярное в поисковиках и с большой вероятностью скачивания: под кейген к последней версии какой-нибудь модной софтины, под "форекс-бота с уникальным алгоритмом, который зарабатывает по миллиону в час", под трейнер к модной сетевой игре и т.п. Но нет! Я написал удалялку вируса Бронток, о который большинство людей даже и не слышали! Как Вы думаете - многие ее скачают? И стал бы вир-мейкер в здравом уме делать своему зловреду такую непопулярную маскировку?

4. Да, определенное кол-во антивирусных программ нашло мою утилиту подозрительной, что вполне нормально и объяснимо: антивирусные программы, как правило, используют не только сверку по своим базам данных, содержащим данные об известных вирусах, но и т.н. "эвристический анализ". При эвристическом анализе в программе ищутся, в т.ч., и вызовы функций, характерные для типичных вирусов - а в моей программе такие имеются: во-первых, большинство вирусов имеют код, прибивающий процессы в памяти - для того, чтобы закрыть висящие в памяти антивирусы, флеш-сканеры и т.п. В моей программе такой код тоже имеется, причем запускается в самом начале; однако завершает он отнюдь не процессы антивирусов а, как раз-таки, процессы Бронтока! Во-вторых, вирусы почти обязательно ломятся в реестр Windows - как минимум для того, чтобы прописать себя в автозагрузке; а так же для того, чтобы заблокировать те или иные функции системы - например, отображение расширений файлов и т.п. Моя программа тоже тоже изменяет некоторые ключи реестра, причем в первую очередь - именно ключи автозагрузки: а как иначе запретить Бронтоку загружаться при старте системы? Таким образом, в реестре моя программа исправляет то, что изменил Бронток, а вовсе не то, что "подумали" антивирусы! В-третьих, многие вирусы (и Бронток, кстати - не исключение) имеют в своем составе сканер файлов: они переберают файлы в системе для произведения с ними злонамеренных действий - заражение, удаление, перемещение и т.п. Моя программа, при желании пользователя, тоже сканирует файловую систему - открывает каждый найденный файл и сверяет его с образцом кода Бронтока: это нужно для поиска и удаления копий вируса. Таким образом, некоторые функции моей утилиты действительно характерны для вирусного софта - с чем и связанно то, что часть эвристических алгоритмов, настроенных на поиск таких функций, восприняло мою программу как вирус!..

5. Обратите внимание так же и на то, что на сайте многие антивирусные программы, оценившие мою утилиту как "вирус", "не сошлись во мнении" относительно того, что же это за вирус - практически все они "увидели" в моей утилите разных зловредов! А обычно, если файл заражен каким-то вирусом, то большая часть обнаруживших его программ упоминает одинаковое название вируса...


Я законопослушный человек, и стараюсь не вступать в конфликты с правоохранительными органами; к тому же, мне уже 33 года - у меня нет никакого желания заниматься подобными делишками!!! Поэтому и пишу это письмо: не нужно приписывать мне то, чего я не совершал и совершать не собирался!..

 

[IronArgument]

Важно обращать не только на количество сработавших антивирусов, но и на их рейтинг. Среди отреагировавших на угрозу я не увидел ни одного солидного антивируса. DrWeb, ESET-NOD32, Malwarebytes промолчали, это о многом говорит. Ну и, как выше говорилось, сработавшие антивирусы не смогли однозначно идентифицировать угрозу - тоже показатель.

 

[Vvvyg]

Brontok удаляют и KVRT, и Dr. Web CureIt!, и даже AVZ в режиме лечения.
У Бронтока несколько модификаций, не факт, что Ваша утилита удалит все.
Энтузиазм поддерживаю, но к широкому применению не рекомендовал бы.

 

[Alex Prozac]

Brontok удаляют и KVRT, и Dr. Web CureIt!, и даже AVZ в режиме лечения.
У Бронтока несколько модификаций, не факт, что Ваша утилита удалит все.
Энтузиазм поддерживаю, но к широкому применению не рекомендовал бы.

Да его уже все удалют, т.к. он древний, как мир... Я ж и не лезу в топы - да, именно из энтузиазма и "любви к искусству" прожку свою накодил!.. Просто обидно, когда тебе приписывают какие-то постыдные действия, которых ты восе и не совершал! Сайт-то не при чем - я понимаю админа, который дорожит репутацией форума и удаляет все подозрительное (я бы тоже так делал на его месте); но вот очень неприятен этот ярлык вирмейкера - "хотели - как лучше, а получилось - как всегда" (C) Виктор Степаныч... Дай бог еще, чтобы проблем никаких не прилетело!.. :tehnari_ru_1013: А ведь и в мыслях не было делать зловреда: если бы хотел - сделал бы, но мне 33 года уже, я дядька взрослый - вырос я из таких вот шалостей!..

 

[IronArgument]

Alex Prozac, а Вы относитесь к этому с юмором. Мне, к примеру, реакция модератора на вашу утилиту напомнила реакцию Никиты Сергеевича Хрущёва, посетившего 1 декабря 1962 года выставку авангардистов.))

Руководитель СССР, будучи неподготовленным к восприятию абстрактного искусства, подверг резкой критике их творчество, использовав нецензурные выражения.

Правда, тут до нецензурных выражений дело не дошло, но суть проблемы одна и та же - если не хватает компетенции, чтобы разобраться в каком-либо вопросе, облечённому властью проще просто запретить и нет проблем.)))

 

[AlexZir]

Скажем так, когда я натравил на архив с утилитой мой антивирь, он его определил как ПНП, о чём я упомянул выше при удалении ссылки.

 

[IronArgument]

Думаю все, интересующиеся этой темой, и так это поняли. Никита Сергеевич тоже руководствовался идейно-нравственными принципами, в сугубо собственном их понимании, и поступил так, как считал нужным.))) Имел на то полное право.

 

[Alex Prozac]

Скажем так, когда я натравил на архив с утилитой мой антивирь, он его определил как ПНП, о чём я упомянул выше при удалении ссылки.

Ну, что уж тут поделать... За себя я уже сказал - делать вредоносное ПО, да еще и под своим именем, мне никакого резона нет; но я вполне допускаю, что антивирю моя прога не понравилась: любой антивирь ищет в коде "пациента" вызовы функций, типичные для вирусных программ - запись в ключи автозагрузки реестра, блокировка процессов в памяти, поиск и открытие файлов на винчестере... И если все эти функции вызываются из одной проги, то, разумеется, эвристический алгоритм антивиря может пометить ее, минимум, как подозрительную - потому, что и вирусы действуют примерно так же. Но и тем прогам, которые "идут по их следам", тоже ведь приходится и изменять ключи автозагрузки (очищая их от записей вируса), и прибивать процессы в ОЗУ (самого вируса)! Но антивирус, естественно, предпочитает перестраховаться: это как Дзержинскому приписывают слова, что, мол, "лучше расстрелять 10 человек, среди которых будет один враг и 9 невиновных; чем отпустить 9 невиновных и одного врага"))

 

[Alex Prozac]

а Вы относитесь к этому с юмором

Нууу, скорее, с пониманием: модер ведь тоже не для просто так назначен, его задача - хранить сайт и его форум от всякого разного нехорошего! Потому, что если этого самого нехорошего на форуме станет слишком много, он, как минимум, потеряет рейтинг - упадет в поисковиках, будут появляться отзывы типа "да там сплошные вирусы под видом утилит выкладывают" и т.п. А нет рейтинга - нет и денег у проекта; а нет денег - нет и проекта, т.к. за поддержку сайта, за домен и т.п. не лайками ведь платят!.. "Хозяин - барин", как говорится: понятно, что модер стоит за свой сайт, а не за гостя, который только зарегался, и уже лезет со своими утилитами)) Понять можно - "своя рубаха к телу ближе", и потенциальная потеря одного посетителя - ничто, по сравнению с потерей доверия к сайту! Так что, я все понимаю: будь я модером, я бы точно так же поступил, и тоже бы осторожничал!..

 

[Alex Prozac]

если не хватает компетенции, чтобы разобраться в каком-либо вопросе, облечённому властью проще просто запретить и нет проблем

Никиту Сергеевича, кстати, тоже понять можно)) И дело тут даже не в "некомпетентности" - это уже потом его посещение выставки раздули и гипертрофировали до анекдота, где обличенный властью "грубый колхозник", глухой к прекрасному, придирается к тонкому видинию "утонченных натура". Но де-факто у Хрущева были-таки причины дать "ятаквидящим" на орешки, причем причины вполне себе очевидные и на поверхности лежащие!

Ведь дело-то в чем было? Достаточно вспомнить, что СССР требовал от всех граждан отрабатывать за предоставляемые государством блага (в виде бесплатных медицины, образования, квартир, практически отсутствующей инфляции, цен на иные продукты ниже себестоимости и т.п.) - без уважительной причины не ходить на работу было нельзя, и существовала уголовная статья "о тунеядстве". Однако, всегда же ведь существовали такие молодые люди, которым на завод было ходить в лом, но жить при этом хотелось безбедно! Однако, дипломы тогда всем желающим не раздавали (как это делают сейчас), да и такого засилия офисов, в которых можно было бы отсидеться "в теплышке" и поковырять нос за ЗП в то время не существоало... Поэтому, выбор у начинающего богемца был не очень-то велик: либо на завод, либо в дурку, либо по этапу! Но ведь кто ищет - тот находит! И многие сотни стиляг нашли решение: лакомым кусочком для них стали всевозможные творческие союзы - художников, писателей, композиторов, скульпторов... Членство в таком заведении на должности штатного художника (к примеру) не только избавляло от проблем с "тунеядством", но еще и давало стабильный заработок - причем, безотносительно к количеству продуктов художниковой жизнедеятельности: государство тогда считало, что вдохновение художника - это вещь непостоянная, а кушать-то ему хочется всегда, и могло держать на балансе "члена", который не брался за кисти годами! Вот и причина, по кторой так много молодых людей, всеми правдами и неправдами, пытались окончить художественные училища и заделаться "художниками": легальная халява, а вовсе не " любовь к прекрасному" двигала ими! А любую свою посредственность и бездарность всегда можно было оправдать тем, что "я так вижу!", и что "вы просто не понимаете!". Все в канонах "12 стульев"))

Ну, а т.к. халява, обычно, не бывает долгой, то власть однажды прознала про это, и решила устроить выставку - своего рода "отчетный концерт". И вот тут-то у псевдо-"художников", ничего в художествах не понимающих, и случился форшмачок-с: надо что-то создать, а ни умения, ни таланта нет, как небыло! Вот и стали они прятаться за "ятаквидинее" - думали, что прокатит. Ан нет - не прокатило; недооценили они власть: Хрущев (или те, уто его окружал) оказались не такими тупыми, как хотелось бы юным "дарованиям". Де-факто, на этой выставке на одного "ятаквидящего" (т.е., человека с расстройством восприятия, действительно считающего окружающий его мир ТАКИМ) приходилось несколько посредственных стиляг, ищущих халявки!.. И думающих, что вечно будет прокатывать - мол, "гыыы, совки ж тупые, ахахах". Но непрокатило: ибо обманывать - нехорошо))

Тк что, гнев Никит Сергеича вполне понятен, логичен и объясним: просто шугнул из союза художников "особо кипучих лентяев" - пусть чем-то более полезным занимаются))

 

[Ossa]

Утилита этого класса никак не может детектироваться как малварь или адварь, потому и напрягают результаты сканирования.

вполне может детектироваться. на Delphi пишется огромное количество малвари. поэтому параноидальные эвристические и дженерик-движки антивирусников лажают на повторяющиеся гены в коде. так в данном случае сработал на false positive эвристический движок Kaspersky и групповой дженерик-движок Bitdefender. а также высокое подозрение на малварь выдал эвристический движок быстрого реагирования Symantec. эти все детекты на самом деле несерьёзные, поскольку главное - сигнатурный детект, а не эвристический. единственное, что настораживает - это сигнатурные детекты Microsoft и Ikarus. но, я думаю это сигнатурные фолсы именно на код на Delphi, видимо для данного языка достаточно совпадающих сигнатурных подписей. так что даже хорошо известные антивирусные движки здесь смогли отличиться. остальные отличившиеся ав-двигатели вообще можно всерьёз не рассматривать, поскольку это либо форки Bitdefender, либо же движки низкого качества. и главное! очень показательно здесь молчание невероятно точных ESET и DrWeb.

 

[AlexZir]

Весьма своевременный комментарий, ещё же и года не прошло с момента удаления вложения )

 

[Ossa]

Весьма своевременный комментарий, ещё же и года не прошло с момента удаления вложения

так лучче поздно, чем никогдаtehnobaian

 

[AlexZir]

Неблагодарное это дело - пытаться научить человека тому, что он и сам знает. Прочитайте внимательно http://www.tehnari.ru/2744241-post13.html и поймёте, что ТС не в обиде. Тема закрыта.