На главную | Хэши вирусов | Фотоальбом | Мои школьные друзья | Шпаргалки | Юмор | Для студентов
Хэши вирусов, которые я ловил
Можно использовать для настройки политик Software Restriction Policies...
Как это сделать, если машина под управлением Windows XP не входит в состав домена (или входит, но доменному админу лень этим заниматься)?
1. Нажмите Пуск, выберите команду Выполнить.
2. В открывшемся окне введите gpedit.msc и нажмите Enter.
3. В левой части открывшегося окна выберите Конфигурация компьютера, затем Конфигурация Windows, затем Параметры безопасности, затем Политики ограниченного использования программ.
4. Кликните правой кнопкой на элементе дерева Политики ограниченного использования программ и выберите пункт Создать новые политики (действие делается однократно, при всех последующих настройках его выполнение не требуется).
5. Выберите появившийся подпункт Дополнительные правила. Кликните по нему правой кнопкой и выберите Создать правило для хэша.
6. В открывшемся окне в поле Хэшируемый файл введите хэш вируса, запуск которого вы хотите запретить (хэши вирусов перечислены в таблице ниже). Альтернативным вариантом является нажатие кнопки Обзор и выбор исполняемого или командного файла (.exe, .com, .bat, .cmd, .vb, .wsh, .js, .pif), запуск которого необходимо запретить.
7. Нажмите OK.
8. Повторите действия п. 5-7 для ввода всех хэшей.
9. Закройте все открытые окна.
10. Нажмите Пуск, выберите команду Выполнить.
11. Введите gpupdate /force для немедленного обновления настроенных политик и нажмите Enter. Дождитесь завершения обновления политик.
Внимание! Не запрещайте запуск системных приложений (например, rundll32.exe или explorer.exe) и не удаляйте стандартные исключения, в противном случае можно привести Windows в нерабочее состояние, после чего может потребоваться ее переустановка!
Не получилось? Тогда жду вас у себя на курсах по администрированию Microsoft Windows Server 2003 :-).1. Создайте объект групповой политики (GPO) с привязкой к домену (не лишним будет установка его как Enforced или No override, хотя это не обязательно).
2. Откройте для него редактор групповой политики и введите аналогично рассмотренному выше хэши запрещаемых к запуску приложений.
3. При необходимости обновите политики на клиентских машинах с использованием утилиты gpupdate.
| № | Имя образа вируса | Дата первого заражения | Хэш (Windows XP, Windows 2003 Server совместимый) | Где настроены политики |
| 1 | - (Brontok) | 23.06.07 | 902792c0116adf49f55f111e82c81db0:81920:32771 | H+ V+ 200- 13+ |
| 2 | usdeiect.com | 30.12.07 | 2258c6d139b469ba773f4b824d23aa0a:105958:32771 | H+ V+ 200- 13+ |
| 3 | RavMonE.exe | 23.01.08 | 901987fb8664f28bf2a9e6ad9422f914:3511570:32771 | H+ V+ 200- 13+ |
| 4 | Flash Letter:\recycled\ctfmon.exe | 01.02.08 | 6c4b9b79650d57008e04cfe167219b47:20480:32771 | H+ V+ 200- 13+ |
| 5 | ntde1ect.com | 01.02.08 | 518559c8d649cb5acc7bbe14a656070c:94207:32771 | H+ V+ 200- 13+ |
| 6 | qd.cmd | 01.02.08 | d1f50659f867df91769c4ed3cdae1808:103102:32771 | H+ V+ 200- 13+ |
| 7 | MS32DLL.dll.vbs | 05.05.08 | 5765937bafa16fd192525e638e36eba7:3642:32771 | H+ V+ 200- 13+ |
| 8 | awda2.exe | 19.05.08 | 4b382755f12595d7cdcf8109c6da2435:106936:32771 | H+ V+ 200- 13+ |
| 9 | ravmone.exe | 19.05.08 | 2b4dbe28c94c09b3f8edea44ecc43de4:945664:32771 | H+ V+ 200- 13+ |
| 10 | svchost.exe | 19.05.08 | d54b1b6c3b9229690fb04a1431878f0e:6656:32771 | H+ V+ 200- 13+ |
| 11 | sys.exe | 19.05.08 | 72f1eaa64e24ae2f560ced2ff989119a:4096:32771 | H+ V+ 200- 13+ |
| 12 | tel.xls.exe | 19.05.08 | ae3b1a8da2007f3ef705af29d70746ec:45056:32771 | H+ V+ 200- 13+ |
| 13 | xfoolavp.com | 22.05.08 | 05101d4347602dfeb8d59f832710c143:107123:32771 | H+ V+ 200- 13+ |
| 14 | d.cmd | 24.05.08 | 7fa025bba8c68745ab39631470ebb277:105933:32771 | H+ V+ 200- 13+ |
| 15 | c:\windows\system32\amvo*.dll | 24.05.08 | 5bcaf7ed2f45c47d818d38b52a6ce79b:74240:32771 | H+ V+ 200- 13+ |
| 16 | iuhi64.exe | 29.05.08 | 6635a33069e8ba4b393ae08601b92527:12288:32771 | H+ V+ 200- 13+ |
| 17 | autorun.exe | 29.05.08 | e846a6cc3cb899523c390fc9fcf159d3:11776:32771 | H+ V+ 200- 13+ |
| 18 | K4hostELSvc.exe, C:\System Volume Information\_restore{F690A5A0-8974-4E58-919E-6869C706D746}\RP400\A0072785.exe | 29.05.08 | 670b7603e0735ffe60b79c980b560b43:29696:32771 | H+ V+ 200- 13+ |
| 19 | xpbkh.com | 30.05.08 | 8b6cbd31dbb740d3140d9c7bb2a7db86:106068:32771 | H+ V+ 200- 13+ |
| 20 | ise32.exe | 04.07.08 | 1e5aba765b4cab5fcdbf84283526734e:33280:32771 | H+ V+ 200- 13+ |
| 21 | Имя папки и иконка папки.exe (очередная модификация Brontok) | 06.09.08 | 063ba97a1d27521021fd7bdaeb5cd6d7:42628:32771 | H+ V+ 200- 13+ |
| 22 | system.exe | 08.10.08 | 2e79e9a8e5e626803fbcb9c8d8837a7d:3564:32771 | H+ V+ 200- 13+ |
| 23 | n1deiect.com | 31.10.08 | b665606ff21370d9770e3f9fc2b3979e:123545:32771 | H+ V+ 200- 13+ |
| 24 | Flash letter:\Новая папка.exe, c:\windows\cursors\services.exe (хэши совпадают) | 05.11.08 | 103c227ae0230757bee6f10fdaa39732:148992:32771 | H+ V+ 200- 13+ |
| 25 | iuhi64.exe | 07.11.08 | 2a7b7e670ebc222f8e9b066cbb85dd6f:139264:32771 | H+ V+ 200- 13+ |
| 26 | ise32.exe | 07.11.08 | 49f038be3b87e0f26b54b0cd6642688b:109568:32771 | H+ V+ 200- 13+ |
| 27 | svсhost.exe (Worm.Win32.Vasor.17400) | 07.11.08 | 433fd95d76d119f54abb69d62abe7366:94208:32771 | H+ V+ 200- 13+ |
| 28 | recycler.exe, recycled.exe, создает exe'шники с именами и иконками папок на флешке, папки делает скрытыми (Trojan-Downloader.Win32.Agent.ahgh) | 10.11.08 | 525facd9df8ec60380ca7fe97a201843:1511914:32771 | H+ V+ 200- 13+ |
| 29 | iuhi64.exe | 10.11.08 | 6e16dded16b5651f92c642617f8c2dca:31232:32771 | H+ V+ 200- 13+ |
| 30 | autorun.~ex | 10.11.08 | 3a9bcde21a8d27f0c4b7f43615e0e821:61440:32771 | H+ V+ 200- 13+ |
| 31 | autorun.bat | 10.11.08 | c2dc72d5f361720fd9ba3050952e9dd9:653:32771 | H+ V+ 200- 13+ |
| 32 | Autorun.exe | 10.11.08 | 9a667611eb788402ccadd829e29a4184:61440:32771 | H+ V+ 200- 13+ |
| 33 | Autorun.vbs | 10.11.08 | 48d2145970b50342ce4a6144b602c5da:1368:32771 | H+ V+ 200- 13+ |
| 34 | autorunme.exe, drive:\grudi.exe | 12.11.08 | cd754b4d6bd884c4a3d3a9b56e9e0a12:41813:32771 | H+ V+ 200- 13+ |
| 35 | svchost.exe (Worm.Win32.Vasor.17400) | 12.11.08 | 62114a8cb7c8fe20e0c58731c8d217f7:192512:32771 | H+ V+ 200- 13+ |
| 36 | iuhi64.exe | 13.11.08 | a8c5190047354a99e412d6d5922b9def:44032:32771 | H+ V+ 200- 13+ |
| 37 | ise32.exe | 19.11.08 | d6f582ffcb53ca972d72acabd3aee031:14336:32771 | H+ V+ 200- 13+ |
| 38 | svchost.exe | 20.11.08 | a227e01c99e14ced77b3e418c5af5abc:94208:32771 | H+ V+ 200- 13+ |
| 39 | svchost.exe | 20.11.08 | 5b2d259fc37b0af26b2d6cc502109661:192512:32771 | H+ V+ 200- 13+ |
| 40 | drive:\ln9.exe | 24.11.08 | e5d7a8d9ef14ea07020e54c0820bcd08:109333:32771 | H+ V+ 200- 13+ |
| 41 | drive:\ceb6eu98.bat | 24.11.08 | 6bb6fe862ef9d464925fd643276f7760:105746:32771 | H+ V+ 200- 13+ |
| 42 | Flash drive:\yafv.cmd | 24.11.08 | 2e71fbeac1c1ea7d3e0f6e1b3799a9b7:222207:32771 | H+ V+ 200- 13+ |
| 43 | Drive:\ln9.exe | 26.11.08 | a071e68810b18e11436461cdbc8deefb:110127:32771 | H+ V+ 200- 13+ |
| 44 | Drive:\ln9.exe | 26.11.08 | 692d9281ac90ed626daaa29a846314c9:107871:32771 | H+ V+ 200- 13+ |
| 45 | ise32.exe | 10.12.08 | d087611929584daa2b23e49f0f081ea8:13824:32771 | H+ V+ 200- 13+ |
| 46 | u.bat | 10.12.08 | 195520edff31662352f6acc264d0eb9c:134656:32771 | H+ V+ 200- 13+ |
| 47 | flash:\ph.com | 10.12.08 | ebaa93f26e263b02ad47d20d82ee9637:89370:32771 | H+ V+ 200- 13+ |
| 48 | killVBS.vbs | 10.12.08 | 73ada65ca7e7e41524ebae14a07c9759:7486:32771 | H+ V+ 200- 13+ |
| 49 | brastk.exe | 10.12.08 | 4da3d00b17cc1326e31baec564dc9644:9728:32771 | H+ V+ 200- 13+ |
| 50 | Имя папки.exe | 10.12.08 | 77ed29c8348379d43ecb9e841d64f6b6:57344:32771 | H+ V+ 200- 13+ |
| 51 | drive:\c.exe | 10.12.08 | 6512dfb2796d1d418dda77aab692c183:23040:32771 | H+ V+ 200- 13+ |
| 52 | User profile\Temporary Internet Files\Content.IE5\...\so7.exe | 10.12.08 | 36c672e15741b1e2ecc65affc83fb6c8:23552:32771 | H+ V+ 200- 13+ |
| 53 | User profile\Temporary Internet Files\Content.IE5\...\is168214.exe | 10.12.08 | ad47a3b6b161c10855a482416f59a35a:52736:32771 | H+ V+ 200- 13+ |
| 54 | c:\Documents and Settings\user_login\so7.exe | 10.12.08 | bbe0767d6403b5b46f8939bbb167240d:24064:32771 | H+ V+ 200- 13+ |
| 55 | C:\System Volume Information\_restore{F690A5A0-8974-4E58-919E-6869C706D746}\RP400\A0072778.sys | 10.12.08 | 8a0ee9b54932d208675de85411cc8ca5:13568:32771 | H+ V+ 200- 13+ |
| 56 | C:\System Volume Information\_restore{F690A5A0-8974-4E58-919E-6869C706D746}\RP400\A0072786.vbs | 10.12.08 | d7b283daabf0795298236756398341c4:399:32771 | H+ V+ 200- 13+ |
| 57 | C:\System Volume Information\_restore{F690A5A0-8974-4E58-919E-6869C706D746}\RP400\A0072787.sys | 10.12.08 | 01f4112ee9f2e11b8e952e4ff026b319:17152:32771 | H+ V+ 200- 13+ |
| 58 | iuhi64.exe | 17.12.08 | 61dbd87e1db166be9095e6abec0f8859:28672:32771 | H+ V+ 200- 13+ |
| 59 | akuxby.exe | 17.12.08 | 60105ec6c77272fe61c13dcd993d2dee:453548:32771 | H+ V+ 200- 13+ |
| 60 | uxdeiect.com | 17.12.08 | ec08a0a5566fd712c1ba30b403641c51:125629:32771 | H+ V+ 200- 13+ |
| 61 | Имя папки.exe | 23.12.08 | 0d658f988e5d62e2c214e961fd95155b:1589738:32771 | H+ V+ 200- 13+ |
| 62 | iuhu64.exe | 24.12.08 | 64eb461c03a01b2f02bb59b24d784348:106496:32771 | H+ V+ 200- 13+ |
| 63 | conmgr.exe | 24.12.08 | 4cf70efa608687c6c9b83740f598d780:10240:32771 | H+ V+ 200- 13+ |
| 64 | fwht.pif (на самом деле exe'шник) | 24.12.08 | 5aa3f398aa72b77e543f1d6e16729881:222207:32771 | H+ V+ 200- 13+ |
| 65 | ise32.exe | 24.12.08 | 3fd81405ab0c4d969d2988f331ca5595:42496:32771 | H+ V+ 200- 13+ |
| 66 | hoad.pif (на самом деле exe'шник) | 29.12.08 | beb51c34fd936c87c7db75fcb7e828d2:171519:32771 | H+ V+ 200- 13+ |
| 67 | %SystemRoot%\system32\ciiview.dll %SystemRoot%\system32\regwtzc.dll %SystemRoot%\system32\sfkan32.dll |
29.12.08 | Запускаются через rundll32, нужно NTFS - Everyone - Deny full control | H+ V+ 200- 13+ |
| 68 | flash drive:\2.exe | 12.01.09 | 9ea4a3ba4881927e5a07d662f0c2cc97:177664:32771 | H+ V+ 200- 13+ |
| 69 | flash drive:\wrdeiy.exe | 15.01.09 | f43f6a512eef08210ff5e526f778913d:345620:32771 | H+ V+ 200- 13+ |
| 70 | Имя папки.exe, Recycled.exe | 15.01.09 | d02a76a6cdb28644bd5d70b93bdeb6cc:1589738:32771 | H+ V+ 200- 13+ |
| 71 | Имя папки.exe (Worm.Win32.RussoTuristo.f) | 28.01.09 | 1509d6be80685168a70fcfd2b0a71992:53326:32771 | H+ V+ 200- 13+ |
| 72 | scsaver.exe (Backdoor.Win32.SdBot.ihr) | 28.01.09 | cada8d5adf40aa70af82bdff863c065d:33459:32771 | H+ V+ 200- 13+ |
| 73 | Имя папки.exe | 28.01.09 | 2baba193566bde725566fb758c7d9686:1613824:32771 | H+ V+ 200- 13+ |
| 74 | 80avp08.com (Trojan-GameThief.Win32.OnLineGames.mqw) | 28.01.09 | 5f7238b1c0fff0a86410208c9dd57af5:105216:32771 | H+ V+ 200- 13+ |
| 75 | nikimn.exe, %SystemRoot%\system32\csrcs.exe (Packed.Win32.Klone.bj) | 02.02.09 | 26b024fbd4589bd7f9129fccd21c0992:345296:32771 | H+ V+ 200- 13+ |
| 76 | n1deiect.com | 27.02.09 | 80ad8c9dc39d630a904a858891b26f1d:123538:32771 | H+ V+ 200- 13+ |
| 77 | nikimn.exe, %SystemRoot%\system32\csrcs.exe | 27.02.09 | 4a228c79417a0320b0fa419597febbab:336682:32771 | H+ V+ 200- 13+ |
| 78 | usdeiect.com | 09.03.09 | ab262fefb50324428dfef86dc4ec1952:123364:32771 | H+ V+ 200- 13+ |
| 79 | Имя папки.exe (Virus.Win32.Porex.b) | 09.03.09 | 1a4cba6e0cfea743f974e888837d14cd:90371:32771 | H+ V+ 200- 13+ |
| 80 | Имя документа Word.exe (Virus.Win32.Porex.b) | 09.03.09 | 89f342df19b5bb2e18be80d1c222707e:36864:32771 | H+ V+ 200- 13+ |
| 81 | Имя папки.exe (Email-worm.Win32.Rays.c) | 09.03.09 | 2787b54bee83a2d5f62cd0f66ce99d92:53507:32771 | H+ V+ 200- 13+ |
| 82 | RavMonE.exe | 09.03.09 | 07e22370ccb97e44c54a035c60183dd9:786432:32771 | H+ V+ 200- 13+ |
| 83 | ise32.exe (Worm.Win32.Vasor.17400) | 12.03.09 | 44ba50dc23df3d0ae7b7f77c837d4367:109056:32771 | H+ V+ 200- 13+ |
| 84 | flash drive:\buioxw.cmd | 19.03.09 | d2968aa9bfb8b8a156506c10f77b4ac5:171007:32771 | H+ V+ 200- 13+ |
| 85 | %systemroot%\system32\sysmgr.exe | 19.03.09 | 2c43dcd7887578aa1713989e98388217:45568:32771 | H+ V+ 200- 13+ |
| 86 | flash drive:\ugfyp.pif | 20.03.09 | bd9c9209bd45135f5e4f3dc8c31fc780:171007:32771 | H+ V+ 200- 13+ |
| 87 | %systemroot%\system32\x, flash:\jwgkvsq.vmx (Net-Worm.Win32.Kido.ih, Conficker) | 23.03.09 | 72dd12a2d6bd4b84828a56f337b29122:165527:32771 | H+ V+ 200- 13+ |
| 88 | %systemroot%\system32\dllcache\qxchost.exe | 26.03.09 | NTFS - Everyone - Deny full control | H+ V+ 200- 13+ |
| 89 | %systemroot%\system32\appcert\wsil32.dll (Trojan-Downloader.Win32.Agent.ahlo) %systemroot%\system32\appcert\wnl32.dll (Trojan-Downloader.Win32.Agent.ahln) |
30.03.09 | NTFS - Everyone - Deny full control | H+ V+ 200- 13+ |
| 90 | bv2.exe, ver[1].exe, vse432.exe (Trojan-GameThief.Win32.OnLineGames.bktw) | 02.04.09 | bae4f0d6f9819eddbd2aa8755d39b5f3:8552:32771 | H+ V+ 200- 13+ |
| 91 | hd1.exe (Worm.P2P.Agent.Q) | 02.04.09 | 72c3b19716880ec609076d540f2f125f:103424:32771 | H+ V+ 200- 13+ |
| 92 | ise32.exe (Worm.Win32.Vasor.17400) | 02.04.09 | 096eb297d54f4902e2c3f7a2d254fc71:109568:32771 | H+ V+ 200- 13+ |
| 93 | iuhi64.exe (Worm.Win32.Vasor.17400) | 02.04.09 | a47910951fe3450b96e76621e1c0ea14:139264:32771 | H+ V+ 200- 13+ |
| 94 | netsrv.exe (Trojan.Win32.Agent.bsyf) | 02.04.09 | 1deeb89caca177004ad0d0dd21f245bd:10240:32771 | H+ V+ 200- 13+ |
| 95 | root.exe (Trojan.Win32.Buzus.ajkx, Win32/AutoRun.Agent.KK) | 02.04.09 | 2d141cc3595cf6ea3b3c8628e6e71b3e:47192:32771 | H+ V+ 200- 13+ |
| 96 | setup.exe (Worm.P2P.Agent.Q) | 02.04.09 | 05a2027b035da80d474c4821b74459bf:103424:32771 | H+ V+ 200- 13+ |
| 97 | tmp2.tmp (Trojan-Downloader.Win32.Injecter.chr) | 02.04.09 | b6b94dfb9c4a7da429c9eddc3b555e98:34816:32771 | H+ V+ 200- 13+ |
| 98 | flash drive:\windows\usbv.exe (Worm.P2P.Agent.Q) | 20.04.09 | a225ca21d48ef0cf61f17f1704433b56:103424:32771 | H+ V+ 200- 13+ |
| 99 | iuhi64.exe (Virus.Win32.Virut.ce) | 25.04.09 | cf0bd8e3dbca5ce9a45aaa28422956b0:159744:32771 | H+ V+ 200- 13+ |
| 100 | flash drive:\recycler\setup.exe (Worm.P2P.Agent.Q, P2P-Worm.Win32.Palevo.ddm) | 01.05.09 | 90aec090a7bd7cecd9ed6158570a2189:103424:32771 | H+ V+ 200- 13+ |
| 101 | %systemroot%\system32\drivers\protect.sys | 06.05.09 | NTFS - Everyone - Deny full control | H+ V+ 200- 13+ |
| 102 | flash drive:\rundll32.exe (Virus.Win32.Virut.ce) | 13.05.09 | 4397016461b692022d98bad5f68af7a2:51200:32771 | H+ V+ 200- 13+ |
| 103 | DrsCh.exe (Backdoor.Win32.SdBot.ldg, BackDoor.IRC.Sdbot.4755) | 13.05.09 | ac801223bd7b8ebc793a83da0b57c4a7:801280:32771 | H+ V+ 200- 13+ |
| 104 | RavMonE.exe (Worm.Win32.RJump.d, Win32.HLLW.Cent, Trojan.Delf.ABX) | 13.05.09 | 003ed1d6412aea4daac412d88739b69b:945664:32771 | H+ V+ 200- 13+ |
| 105 | flash drive:\cache\tmp983.exe (Trojan.Packed.2480, P2P-Worm.Win32.Palevo.gfe) | 26.06.09 | d7a11e4ba882a4bf00de9588fee2917f:116736:32771 | H+ V+ 200- 13+ |
| 106 | flash drive:\tmp\winfix.exe (P2P-Worm.Win32.Palevo.jaz) | 13.09.09 | 13eb778c0520beea2b1aee36251e34db:132096:32771 | H+ V+ 200- 13- |
| 107 | Имя папки.exe (Trojan.Crypt.CFI.Gen) | 21.09.09 | 4004fb15c70688683ec35d07cd28d2c8:560640:32771 | H+ V+ 200- 13- |
| 108 | flash drive:\inetinfo.exe | 01.10.09 | 3f9a44326766b91843540fe6c3ce80df:44544:32771 | H+ V- 200- 13- |
| 109 | flash drive:\strongkey-rc1.3-build-208.exe (Win32/Kolab.worm.84480) | 15.10.09 | 80675c334f471e129e04b7fc752de453:84480:32771 | H+ V- 200- 13- |
| 110 | flash drive:\driver\vozacka.exe | 21.11.09 | 5678d9dab832e1f00eb435ca380896d5:237056:32771 | H+ V- 200- 13- |
| 111 | flash drive:\ascawn.exe (Worm.Win32.AutoIt.rz) | 19.12.09 | 76a15bb5439ae98a286934741fe2f7ef:612659:32771 | H+ V- 200- 13- |
| 112 | flash drive:\filesystem\pagefile.exe (Worm.Win32.AutoIt.rz) | 29.12.09 | 8a41382ac9550d5d68c0d48facedc147:125952:32771 | H+ V- 200- 13- |
На главную | Хэши вирусов | Фотоальбом | Мои школьные друзья | Шпаргалки | Юмор | Для студентов
Последнее обновление странички: 29.12.09