Нов "безплатен" SMS капан

[Malone]

Много внимателно с новото безплатно софтуерче за безплатни SMS до всяка точка на света.

Набутва в директория Windows фалшив csrss.exe. По принцип има такъв Windows процес, но не трябва да е там.



Ще го познаете ... да кажем по размера на файла.

Най често с име: sms.exe

Размер: 332 800 bytes





Вируса [има пет известни вируса, които използват този service за да се прикрият] причинява сериозен изходящ международен трафик. Поне това, което си набутвате с тая програма.



Оригиналния csrss.exe е в system32 и е основен процес за ОС, така че бъдете внимателни с него.

Ментето притежава собствен SMTP енжин, чрез който се дистрибутира до всички e-mail адреси, които намери на вашия компютър.

Това е малката беля, вероятно от там идва трафика.

Голямата е, че дава възможност на злонамерени, и за радост само добре подготвени потребители да достигнат напълно до вашия компютър, респективно до паролите ви и личната информация. Описанието как става това е дълго, а и не съвсем разбираемо за всички, включително и за мен.

Така че, по мое мнение е нужно веднага да вземете мерки по премахването на менте файла.



Оригиналния csrss.exe при Windows XP SP2 е със следните характеристики:

Местоположение: във ... Windows\System32

Размер: 6 144 bytes

File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

Product Version: 5.1.2600.2180



Премахва се, чрез редактиране на регистратурата:

<font color="red">BackUp на регистратурата, ако не сте опитни в тази дейност!</font id="red">



Start » Run » въвеждте Regedit » Enter

В лявото поле намирате ключа HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

В дясното намираш реда с csrss.exe

С десния бутон върху него и Delete

Затваряте Registry Editor

Reboot

и ако не сте объркали нещо сте готови.



<font color="red">В заключение: "Безплатно е само сиренето в капана."</font id="red">

[ru-boy]

Да, доста вируси, а и не само вируси ползват файл с име csrss.exe, който наистина е с доста по-голяма дължина от оригинала. Дори и някой легални програми правят това с цел да скрият част от дейността си и да получат анонимно достъп до системата.

[Lupus]

@Malone,

Дай малко повече подробности:

- за коя програма става дума?

- кои операционни системи са уязвими?

Защото например във WIN98SE файл csrss.exe не откривам.

[Malone]

За тази програмка става дума.

Нямам представа дали има оригинален файл във Windows 98.

Но мисля, че да, и то отново в System32.

Подготвил съм едно ReadMe в архива за всеки случай.

[ru-boy]

csrss.exe съществува само в NT базираните уиндоуси от 2000 нагоре. Няма място в уиндоус 9х.

---------------------

csrss - csrss.exe - Process Information



Process File: csrss or csrss.exe

Process Name: Microsoft Client/Server Runtime Server Subsystem



Description:

csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated. Note: csrss.exe is also process which is registered as the W32.Netsky.AB@mm worm, the W32.Webus Trojan, Win32.Ladex.a and more. This virus is distributed via the Internet through e-mail and comes in the form of an e-mail message, in the hopes that you open it’s hostile attachment. The worm has it’s own SMTP engine which means it gathers E-mails from your local computer and re-distributes itself. In worst cases this worm can allow attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process

[Malone]

Това ясно ru-boy, проверих, но никъде не видях написано ясно и еднозначно че това е service само на NT базираните. А и не съм и търсил толкова сериозно в интерес на истината. Работата с Windows 98 в последно време се превръща в екзотика [IMHO], може би затова.

А няколкото вируса, които са описани не пропускат нито една версия на безценната ни ОС.





Написах нещо малко на друго място, пействам го и тук.



По принцип програмката не е лошо да се използва, но задължително след това да чистиш, което не е особено трудно.

В къщи си направих един reg файл, който прави всичко автоматично.

След използване го стартираш и си чист.



Значи процедурата е следната:

<font color="red">Препоръчвам ви да не се занимавате с подобни упражнения, ако не знаете какво точно правите. За написаното по долу гарантирам, говоря по принцип.</font id="red">



Ако сте с Windows XP или NT

Отваряте Notepad

Копирате оцветеното в оранжево и го пействате в Notepad

Запазвате файла, като CL_csrss.reg, на десктопа или пък на лесно място където да ви е под ръка.



<font color="orange">Windows Registry Editor Version 5.00

;

; Прекратяване на стартирането на зловреден csrss.exe

; Made by Malone @ www.setcom.bg

;

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"csrss.exe"=-

;

; "Аз никога не правя глупави грешки. Само много, много умни." - John Peel</font id="orange">



Ако сте с Windows 98 или някъкъв производен на 98 [98SE, Me и т.н.]

Отваряте Notepad

Копирате оцветеното в оранжево и го пействате в Notepad

Запазвате файла, като CL_csrss.reg, на десктопа или пък на лесно място където да ви е под ръка.



<font color="orange">REGEDIT4

;

; Прекратяване на стартирането на зловреден csrss.exe

; Made by Malone @ www.setcom.bg

;

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"csrss.exe"=-

;

; "Аз никога не правя глупави грешки. Само много, много умни." - John Peel</font id="orange">



Стартирате си гадинката, пращате СМС на гаджето и след това за да няма неприятности стартирате reg файла и рестарт на компютъра.



За по напредналите може и без рестарт, но трябва да спрете процеса ръчно от Task Manager.

<font color="black">Ctrl+Alt+Del » Task Manager » Processes » намирате гада csrss.exe, маркирате го и бутона End Process долу в дясно.</font id="black">

Това при XP



След стартирането на reg файла и рестарта или ръчното спиране на процеса сте "на-чисто", поне що се отнася до тази гадина.

Има я, но са и избити зъбките, не е активна.

[ru-boy]

По-лесния и не по-малко ефективен вариант е да отидете в c:\windows и да прекръстите csrss.exe на csrsssssss.exe примерно, и сте готови. Нищо няма да се зарежда. А, как да сте сигурни? просто си инсталирайте Microsoft AntiSpyware и наблюдавйте съобщенията преди да си инсталирате sms.exe, като не пропускате да давате адекватни отговори на появяващите се PopUp прозорци. След, като видите, че троянеца е много упорит, но не много умен, просто отидете във c:\windows и да прекръстете csrss.exe на csrss_нещо_си .exe и всичко ще бъде нред.

[Malone]

Мисълта ми беше, че софтуерчето си е използваемо, с малка особеност, която е притеснителна за трафика при стартиран csrss.exe



Идеята ми беше да си се използва, но винаги в края на работа на софтуерчето, непосредствено след затварянето, да се чисти машината конкретно от този файл.



При преименуването на файла, ако искаме да използваме софтуера ще натрупаме съвсем ненужни преименувани exe-та, тъй като при следващо стартиране csrss.exe пак ще се намести във Windows директорията. Можем да ги изтриваме, но си е хамалогия. Пък така ... старт на програмата, като приключим стартираме reg файлчетата и до следващото стартиране проблем не съществува.



Има вариант при наличие на csrss.exe във Windows директорията, при загасяне на компютъра, csrss.exe да се самопроверява за наличие в Run и ако не се намери там, да се запише наново, въпреки че с reg файловете е премахнат. Чакам отзиви и ще пиша по този въпрос по-късно, няма да тествам при мен.



При него вариант, ще рече, че трябва да променим алгоритъма по следния начин.



1. Спиране на процеса

2. Delete на ... Windows/csrss.exe

3. Стартиране на reg файла

4. Рестарт



Всичко това може да се задейства с един .bat файл, намиращ се заедно с reg файла и да кажем с shortcut до иконата на SMS програмката.



И всичко е чисто до следващото стартиране на програмата.

След това пак bat файла.

[Minava6t]

не е толкова лесно да се спрее процеса, той е критичен пртоцес и отказва да го спре виндовса. Аз имам друг проблрем с майл в яхуу. акаунта не може да се отвори, в смисъл че се връща все на бутона за влиозане в майла но отказва да покаже кутията

[ru-boy]

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">не е толкова лесно да се спрее процеса, той е критичен пртоцес и отказва да го спре виндовса. Аз имам друг проблрем с майл в яхуу. акаунта не може да се отвори, в смисъл че се връща все на бутона за влиозане в майла но отказва да покаже кутията



<div align="right">Originally posted by Minava6t - 09/03/2005 : 14:14:52</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">Kой браузер ползваш за тази цел, ако е IE пробвай да го почистиш с тази програма CWShredder 2.13

http://download.softpedia.ro/softwar...CWShredder.exe

[varbancho]

Като сканирам sms.exe с f-prot ми излиза това:

"File C:\....\sms.exe (UPX) is a dropper for W32/Dropper.CU".

[Minava6t]

i ie i netscape vse taq i to samo s edin mail, qvno v nego ima ne6to za6toto vsi4ki drugi se otvarqt normalno