type_win32
Ile razy można na dobę reinstalować system? Po ilu próbach zaczyna się agresja i coraz zwiększona nadpobudliwość? Ile razy można robić to samo?
Przez ostatnie 2-3 dni miałem z tym małą przygodę, kilka reinstalek na dobę. Wszystko przez osobnika o nazwie Type_Win32, który mnie terroryzował :/
Jest to sprytny wirus/robak, z którym ciężko sobie poradzić. Jeden błąd człowieka i znów jesteśmy w sytuacji wejściowej :/
Po kilku swoich próbach i walkach z tym paskudztwem, oraz reinstalkach znalazłem w sieci opis jak to gówienko usunąć. Zresztą nie jeden opis, szkoda, że żaden nie działał w moim przypadku.
Jedna z kilku stron podała krótką informacje na temat robaka:
A backdoor program, which is dangerous to your PC. A server program writes itself to your computer, and then a hacker can get remote access to it. Hides by „harmless” file name kernel32u.exe.
I opis, że wystarczy ściągnąć jakiś tam programik i wszystko zostanie automatycznie rozwiązane. Niestety u mnie, dziwnym trafem, nic się samo nie rozwiązało :/
Był też zamieszczony opis ręcznej metody pozbycia się robaka. Zabicie procesu kernel32u.exe i usunięcie tego pliku. Bardzo mi przykro, ale u mnie nic takiego nie było :/
Szkoda, że żaden anty nie mógł wyleczyć zarażonych plików, tylko chciał je usuwać. Pomimo tego, że zarażone aplikacje działały…
Na jednej ze stron dowiedziałem się, że nasz „przyjaciel” jest jednym z wariantów wirusa o nazwie Heuristic. Zamieszczono też nieco szerszy opis tego mutanta.
Found virus-like code resembling a Windows 95/98/NT EXE file infector. The Windows 95/98/NT EXE file infector is usually a Windows-based virus that infects Portable executables (PE EXE files). This type of virus doesn’t work in DOS, but can be started from DOS session of Windows. This type of virus is a rather new one, but it is more dangerous as its detection and disinfection under Windows (especially if the virus is a resident one or a shared file is infected) is a complicated task. Some Windows-based viruses are very big, for example DeTroie virus is more than 450 kilobytes long.
No cóż, ja instalowałem kilka razy system, bo „kolega” zawsze się budził po instalacji, niewiadomo skąd. Niestety, tylko do czasu, miał swobodę, ale o tym później. Więc po kilku instalkach i zarażeniach coraz bardziej się denerwowałem, bo ile razy można robić to samo. Przypominało mi to syzyfową pracę.
Raz popełniłem błąd, włączyłem po wszystkim, po konfiguracji i instalacji wszystkich narzędzi i doprowadzeniu systemu do stanu używalności, Dc++. Chciałem ustawić w firewallu odpowiednią regułę dla tej aplikacji. Nasz przyjaciel zaszył się nie w dcplusplus.exe, ale w drugim pliczku magnetic.exe, który jest ładowany dynamicznie przez dcplusplus.exe w czasie działania. Tak przynajmniej mi się wydaje.
Zaraz posypały się alerty, IE i OE standardowo zarażone + ok. 95% *.exe z katalogu systemowego system32.
Pięknie! Myślałem, że wywalę tego laptopa przez okno :/
Przyznaje, mój błąd, ale tak jak ktoś kiedyś powiedział: errare humanum est…
Też jestem człowiekiem i popełniać błędy mogę… ale litości nie takie :(
Kolejna próba wtoczenia kamienia przez Syzyfa…
U kumpla przeskanowałem co nieco hdd, wywaliłem zarażone pliki. Zabrałem się za instalację, wszystko w porządku już było, ale wiadomo, tylko do czasu…
Nasz „kolega” się obudził i zaraził to co powinien… :/ ku*wa jak to możliwe skoro wszystko było „czyste”, żadnego zarażonego pliku, żądnego g*wna nie było na hdd.
A jednak stało się…
Po tej próbie już wiedziałem więcej na temat naszego robala. Po każdej próbie się czegoś uczyłem, szkoda, że tyle ich musiało być :(
W necie znalazłem kolejny ciekawy opis naszego terrorysty „type_win32„:
Backdoor: A secret or undocumented means of getting into a computer system, or software that uses such a means to penetrate a system. Some software has a backdoor placed by the programmer to allow them to gain access to troubleshoot or change the program. Software that is classified as a „backdoor” is designed to exploit a vulnerability in a system, and open it to future access by an attacker.
Worm: A program that propagates itself by attacking other machines and copying itself to them. Both worms and viruses are self-replicating code that travels from machine to machine by various means. Both worms and viruses have, as their first objective, merely propagation. Both can be destructive, depending on what payload, if any, they have been given. But there are some differences: worms may replace files, but do not insert themselves into files. In contrast, viruses insert themselves in files, but do not replace them.
Tak, czy tak już poznałem działanie tego czegoś, w moim przypadku wyglądało to mniej więcej tak. Antywirus spoko znalazł zarażone pliki i usunął. Można powiedzieć normalne działanie. Tak, zgadza się, ale tylko rozpoznawał jeden wariant, można nazwać ten wariant jako „dziecko”. Więc anty zabijał dzieci naszego terrorysty i czyścił system :P
Niestety wariant drugi, który można nazwać „rodzicem” będący w spoczynku nie był wykrywany przez anty :/ Właśnie przez tego rodzica miałem problemy. Rodzic zarażał system i pliki, powstałe dzieci lawinowo zarażały cała resztę, oraz dodatkowo tworzyły kilka rodziców wpakowanych w różne exe’ki, których nikt nie mógł znaleźć :/
Rodzic dorzucał swoje 5KB do pliku exe. Po jego odpaleniu zaczynał się armagedon…
Mimo iż już poznałem metodę działania naszego „przyjaciela” to chyba raz się natknąłem jeszcze na niego.
Wtedy to przeszedłem do ostatecznego rozwiązania kwestii type_win32 :P
Skoro nic nie wykrywa zaszytego rodzica czekającego na „sygnał” czas zając się jego noclegem :D Wywalić wszystkie pliki i instalki gdzie się mógł wpakować.
Instalki się ściągnie z netu po rozwiązaniu sprawy tego robala, co nieco się na dvd znajdzie, wiec spoko, nie powinno być problemów z tym. Czas rozwiązać ten problem, posprzątać te g*wno.
I udało się wreszcie wtoczyć kamień na górę… a miało być to nie możliwe, a jednak :D
Szkoda tylko, że tyle czasu to zajęło, tyle pracy i wysiłku. Człowiek uczy się na błędach, swoich też :P
Mogę teraz spokojnie wrócić do swoich prac… wreszcie spokojnie zająć się tym czym powinienem, a nie bawić się w kotka i myszkę z jakby nie patrzeć inteligentnym, „tępym” Type_Win32.
Marcin Malich, szerzej znany jako Malcom. Programista i elektronik, kochający C++ i Perla.
Interesujący się również militariami, szczególnie wywiadem, szeroko po- jętym bezpieczeństwem narodowym i służbami specjalnymi.