Утилита для удаления вируса Win32.Brontok.A

@Alex Prozac · Регистрация: 25.11.2020

Author24 — интернет-сервис помощи студентам

Здравствуйте! Подхватил давича сие чудо индонезийского производства - Brontok. Из "спортивного интереса" написал для него "удалялку" на Delphi. Прожка не только удаляет файлы вируса оттуда, куда он их запихивает "по умолчанию" и фиксит измененные вирусом ключи реестра (а он блокирует системное меню "Свойства папки" и запуск редактора RegEdit), но и имеет сканер для поиска копий вируса по указанным пользоватем путям (вирь очень любит забивать своими копиями флешки и папку "Мои документы"). Сканер рекурсивный, поэтому работает довольно быстро. Подробнее - в инструкции к проге, что прилагается к ней в архивчике. Буду рад, если мое творчество кому-то пригодится))

Скриншоты

Утилита для удаления вируса Win32.Brontok.A

@Sandor · 26.11.2020, 09:29

Сообщение от Alex Prozac

Подхватил давича сие чудо

Любопытно где?
Он такой старый, что мы уже стали про него забывать )))

@Alex Prozac · 26.11.2020, 16:28 **[ТС]**

Да я сам удивляюсь, т.к. почти вся инфа по нему - реально 2007-2012 годами датированна)) Видимо, мама на флешке притащила - а она учителем работает, скорее всего - с общественного компьютера в школе, куда куча учеников свои флешки тыкает... Ну а я, по недосмотру, видимо запустил "чудо-папочку"))

Да я понимаю, что эта моя утилита - она, скорее, по фану, и навряд-ли кому особо пригодится; так - на "всякий пожарный" решил выложить... Хотя... Появился же он в школе - значит, и еще где-то может появиться!..

@Alex Prozac · 10.02.2021, 23:42 **[ТС]**

Решил добавить еще и версию со снятым ограничением на запуск из-под 64-разрядных систем - она будет запускаться как в 32-разрядных, так и в 64-разрядных версиях Windows:

@sanktum · 25.03.2021, 23:08

Подхватил это чудо, с антивирусами слишком много гемора, а с этой утилиткой просто и быстро.Спасибо за старания)))

@Alex Prozac · 26.03.2021, 01:09 **[ТС]**

sanktum, на здоровье!!! Рад, что не только мне пригодилась!!!

@nailkrut123 · 03.06.2024, 21:00

А ничего что и браузер и винда видит в проге вирусняк?

@Alex Prozac · 25.01.2025, 20:04 **[ТС]**

nailkrut123, вот в том-то и дело, что НИЧЕГО! Несколько раз уже возникал подобный прецедент (из-за VirusTotal), но вирусняка в этой проге нет - хотя бы потому, что я его туда НЕ ПИСАЛ)) "Землю из цветочного горшка есть не буду" (c), но объяснить попытаюсь! Итак:

1. Прога подписана моим именем - оно есть и в форме окна, и в прилагаемом хелпе. Причем не ником, а именно именем! Много ли Вы знаете вир-мейкеров, до того дерзких, что не стесняются откровенно подписывать зловреды своим реальным ФИО? Более того - в проге есть ссылочка на страничку с моим творчеством - а на этой страничке есть моя фотка! Поэтому, тут одно из двух: либо в проге нет никакого вируса, либо я, сам того не зная, имею склонность к мазохизму и изощренным способам суицида))

2. Назначение проги - бороться с редким и сильно устаревшим Бронтоком: написал я ее, как уже говорилось, для себя и исключительно "из любви к искусству". Т.е. популярность у столь узкоспециализированной утилиты будет заведомо низкой - скачают лишь те, кому так же "посчастливилось" заболеть этим самым Бронтоком. А раз так, то какой смысл прятать вирус в прогу, которую за три года скачали около 300 раз - т.е., заранее делать его нежизнеспособным? Если бы я был вир-мейкером, то, наверное, придумал бы "наживку повкуснее" - то, что будут скачивать хотя бы тысячами: какой-нибудь псевдо-кряк к "Сталкеру-2" или "Фотошопу", "таблэтку" к популярным онлайн-игрухам и т.п. - т.е. такое, что каждый день будут искать и качать тысячи людей, а не посмотрят один раз за месяц (в лучшем случае)...

3. Здесь, по всей видимости - типичный казус эвристических алгоритмов: моя утилита блокирует, а затем и удаляет вирус - т.е., если можно так выразиться, "идет по его следам". Вирус делает копии себя в папке Windows, а свои процессы запускает под системными именами типа "winlogon", "services", "crss", "smss" и т.п. - прога прибивает эти процессы в памяти и удаляет файлы вируса из директории Windows. Вирус создает на себя ссылку в ключах автозагрузки реестра - прога ее оттуда убирает. Вирус блокирует меню "Свойства папки" в проводнике - опять же, через реестр - прога правит и эти ключи реестра. Вирус рекурсивно перебирает все каталоги и оставляет в них свои копии - прога так же рекурсивно перебирает папки для того, чтобы эти копии оттуда удалить, и т.д., и т.п... Заметьте: поведение данной утилиты, в принципе, очень похоже на поведение самого вируса! И API-функции она для этого, естественно, использует те же самые, что и вирус. Вот на это, видимо, и агрятся виндовские (и не только) эвристические алгоритмы: одно только обращение к ключам автозагрузки реестра для таких алгоритмов, совершенно справедливо, должно выглядеть подозрительно! А уж удаление чего-либо из папки Windows - это вполне веский повод поднять тревогу! Вот и получается, что удалялку вируса Винда воспринимает как сам вирус... Ну и, современные эвристические алгоритмы (особенно дешевые и не очень развитые - имею в виду китайские "антивирусы-однодневки") почему-то недолюбливают все, что написано на Delphi (много раз с этим сталкивался, увы!) - иногда истеруют, когда видят дельфячие сигнатуры((( Тем более, что я (каюсь не подумал тогда!) пожал свою прогу UPX-ом: выяснилось, что этот пакер очень любят и авторы зловредов - за его сигнатуры антивири тоже по головке не погладят... Забавно, кстати: а сам-то Brontok эти "особливо бдительные" алгоритмы, почему-то, нередко пропускают)))

4. При проверке данной утилиты зарекомендовавшими себя профессиональными антивирусами - такими, как Dr.Web - никакой тревоги не возникает: эти антивири однозначно показывают мою утилиту совершенно чистой! Для успокоения общественности еще раз проверил на сайте Dr.Web как сами утилиты, так и архивы с ней - скриншоты прилагаю! Что до VirusTotal - то там увы, некоторые сканеры видят мою прогу подозрительной; хотя подавляющее большинство говорит, что файл чистый! А те, что все-таки бьют тревогу, никак не могут придти к консенсусу: одним кажется, что в утилите зашит AdWare, другим видится майлварь, некоторые галлюцинируют даже трояном (причем, разные сканеры видят совершенно разные трояны) - которого там, разумеется, нет! Самое смешное в том, что для версий 1.00 и 0.64 моей утилиты, которые различаются закоментированностю всего одной (!) строки кода, излишне подозрительные сканеры с VirusTotal видят совершенно разных зловредов! А иные, агрившиеся, например, на версию 1.00, тут же успокаиваются увидев версию 0.64 (или наоборот) - хотя разница там, повторюсь, только в наличии или отсутствии проверки разрядности ОС...

Скриншоты

Надеюсь, ясность по этому вопросу я внес! Не хотите использовать утилиту - не используйте, но перед совестью своей (и перед законом) я абсолютно чист!

@Alex Prozac · 25.01.2025, 20:32 **[ТС]**

Кстати - о непростых взаимоотношениях VirusTotal и Delphi: небольшой эксперимент)) На первом скрине то, какой видит VirusTotal сгенерированную в Delphi-7 "программу-пустышку" - т.е. просто окошко по умолчанию, которое умеет открываться, ездить по экрану и закрываться - вообще БЕЗ ЕДИНОЙ СТРОКИ КОДА! На втором скрине "более сложная" программа, сделанная в том же Delphi-7: на ней уже есть целый лейбл и целая одна кнопка, по нажатию которой в этот лейбл бросается сакральная фраза "Hello, world!". Как видите, и тут не обошлось без рептилоидов))

Можете повторить этот эксперимент у себя дома, и сделать соответствующие выводы!

@Storm Screamer · 25.01.2025, 22:02

Сообщение от Alex Prozac

сгенерированную в Delphi-7

А D7 чистая или какая-то сборка? Если сборка, то там сборка не чистая (слово "сборка" тут в двух смыслах).

Сообщение от Alex Prozac

Можете повторить этот эксперимент у себя дома, и сделать соответствующие выводы!

Чтобы его повторить надо иметь D7. А зачем сегодня использовать среду разработки 25-ти летней давности, когда современную Rad Studio с последней версией Delphi можно использовать бесплатно?

@Alex Prozac · 26.01.2025, 01:56 **[ТС]**

Storm Screamer, да, все может быть - надо будет компилятор дельфячий доктору (Вебу) показать. Хотя, лично мне кажется, что тут именно агр на дельфовскую сигнатуру - когда-то среди доморщенных "кул-хацкеров" была мода на Дельфе всякие бяки писать (ибо просто же - в асм и железо вникать совсем не нужно, а перед одноклассниками понты кинуть - милое дело)... Даже Фленов этим, помнится, грешил - да еще и других подучивал! И вот результат: многие антивири, видимо, считают, что ничего нормального на Дельфе сейчас уже не пишут; как видят дельфячий хэдер в файле - так "школоло" и в бан автоматом((( Увы!..

Седьмую юзаю, т.к. привык к ней! И тут еще есть часть эстетики и личного вкуса: имхо, после Семерки Борландия "потеряла берега" - стала выпускать нечто перегруженное лишним функционалом, громоздкое и неповоротливое... Плодить многоножек, одним словом)) Семерка - это последняя Дельфа, где все строго и минималстично - мне нравится именно такой вид. Ну и, плюс - лень мне VCL-ки, которые я много лет для себя искал, подбирал и ставил, вновь искать и ставить на новую версию)) В сущности, все утилиты, которые я слепил в Семерке, ничего вредоносного никому не сделали - только некоторые сканеры особо бдительные в возбуждение привели, и все... Ни одна система не пострадала))

@Yokohama-man · 06.04.2025, 16:21

Если данная программа не является вирусом, то почему бы не выложить в открытый доступ её код?

Новые блоги и статьи Все статьи Все блоги /
Чем асинхронная логика (схемотехника) лучше тактируемой, как я думаю, что помимо энергоэффективности - ещё и безопасность. Hrethgir 14.05.2025 Помимо огромного плюса в энергоэффективности, асинхронная логика - тотальный контроль над каждым совершённым тактом, а значит - безусловная безопасность, где безконтрольно не совершится ни одного. . .	Многопоточные приложения на C++ bytestream 14.05.2025 C++ всегда был языком, тесно работающим с железом, и потому особеннно эффективным для многопоточного программирования. Стандарт C++11 произвёл революцию, добавив в язык нативную поддержку потоков,. . .	Stack, Queue и Hashtable в C# UnmanagedCoder 14.05.2025 Каждый опытный разработчик наверняка сталкивался с ситуацией, когда невинный на первый взгляд List<T> превращался в узкое горлышко всего приложения. Причина проста: универсальность – это прекрасно,. . .	Как использовать OAuth2 со Spring Security в Java Javaican 14.05.2025 Протокол OAuth2 часто путают с механизмами аутентификации, хотя по сути это протокол авторизации. Представьте, что вместо передачи ключей от всего дома вашему другу, который пришёл полить цветы, вы. . .	Анализ текста на Python с NLTK и Spacy AI_Generated 14.05.2025 NLTK, старожил в мире обработки естественного языка на Python, содержит богатейшую коллекцию алгоритмов и готовых моделей. Эта библиотека отлично подходит для образовательных целей и. . .
Реализация DI в PHP Jason-Webb 13.05.2025 Когда я начинал писать свой первый крупный PHP-проект, моя архитектура напоминала запутаный клубок спагетти. Классы создавали другие классы внутри себя, зависимости жостко прописывались в коде, а о. . .	Обработка изображений в реальном времени на C# с OpenCV stackOverflow 13.05.2025 Объединение библиотеки компьютерного зрения OpenCV с современным языком программирования C# создаёт симбиоз, который открывает доступ к впечатляющему набору возможностей. Ключевое преимущество этого. . .	POCO, ACE, Loki и другие продвинутые C++ библиотеки NullReferenced 13.05.2025 В C++ разработки существует такое обилие библиотек, что порой кажется, будто ты заблудился в дремучем лесу. И среди этого многообразия POCO (Portable Components) – как маяк для тех, кто ищет. . .	Паттерны проектирования GoF на C# UnmanagedCoder 13.05.2025 Вы наверняка сталкивались с ситуациями, когда код разрастается до неприличных размеров, а его поддержка становится настоящим испытанием. Именно в такие моменты на помощь приходят паттерны Gang of. . .	Создаем CLI приложение на Python с Prompt Toolkit py-thonny 13.05.2025 Современные командные интерфейсы давно перестали быть черно-белыми текстовыми программами, которые многие помнят по старым операционным системам. CLI сегодня – это мощные, интуитивные и даже. . .

@Alex Prozac 104 / 89 / 9 Регистрация: 25.11.2020 Сообщений: 261
	26.11.2020, 16:28 [ТС]
	Да я сам удивляюсь, т.к. почти вся инфа по нему - реально 2007-2012 годами датированна)) Видимо, мама на флешке притащила - а она учителем работает, скорее всего - с общественного компьютера в школе, куда куча учеников свои флешки тыкает... Ну а я, по недосмотру, видимо запустил "чудо-папочку")) Да я понимаю, что эта моя утилита - она, скорее, по фану, и навряд-ли кому особо пригодится; так - на "всякий пожарный" решил выложить... Хотя... Появился же он в школе - значит, и еще где-то может появиться!.. 0

@sanktum 1 / 1 / 0 Регистрация: 25.03.2021 Сообщений: 1
	25.03.2021, 23:08
	Подхватил это чудо, с антивирусами слишком много гемора, а с этой утилиткой просто и быстро.Спасибо за старания))) 1

@Alex Prozac 104 / 89 / 9 Регистрация: 25.11.2020 Сообщений: 261
	26.03.2021, 01:09 [ТС]
	sanktum, на здоровье!!! Рад, что не только мне пригодилась!!! 0

@nailkrut123 0 / 0 / 0 Регистрация: 03.06.2024 Сообщений: 1
	03.06.2024, 21:00
	А ничего что и браузер и винда видит в проге вирусняк? 0

@Alex Prozac 104 / 89 / 9 Регистрация: 25.11.2020 Сообщений: 261
	25.01.2025, 20:04 [ТС]
	nailkrut123, вот в том-то и дело, что НИЧЕГО! Несколько раз уже возникал подобный прецедент (из-за VirusTotal), но вирусняка в этой проге нет - хотя бы потому, что я его туда НЕ ПИСАЛ)) "Землю из цветочного горшка есть не буду" (c), но объяснить попытаюсь! Итак: 1. Прога подписана моим именем - оно есть и в форме окна, и в прилагаемом хелпе. Причем не ником, а именно именем! Много ли Вы знаете вир-мейкеров, до того дерзких, что не стесняются откровенно подписывать зловреды своим реальным ФИО? Более того - в проге есть ссылочка на страничку с моим творчеством - а на этой страничке есть моя фотка! Поэтому, тут одно из двух: либо в проге нет никакого вируса, либо я, сам того не зная, имею склонность к мазохизму и изощренным способам суицида)) 2. Назначение проги - бороться с редким и сильно устаревшим Бронтоком: написал я ее, как уже говорилось, для себя и исключительно "из любви к искусству". Т.е. популярность у столь узкоспециализированной утилиты будет заведомо низкой - скачают лишь те, кому так же "посчастливилось" заболеть этим самым Бронтоком. А раз так, то какой смысл прятать вирус в прогу, которую за три года скачали около 300 раз - т.е., заранее делать его нежизнеспособным? Если бы я был вир-мейкером, то, наверное, придумал бы "наживку повкуснее" - то, что будут скачивать хотя бы тысячами: какой-нибудь псевдо-кряк к "Сталкеру-2" или "Фотошопу", "таблэтку" к популярным онлайн-игрухам и т.п. - т.е. такое, что каждый день будут искать и качать тысячи людей, а не посмотрят один раз за месяц (в лучшем случае)... 3. Здесь, по всей видимости - типичный казус эвристических алгоритмов: моя утилита блокирует, а затем и удаляет вирус - т.е., если можно так выразиться, "идет по его следам". Вирус делает копии себя в папке Windows, а свои процессы запускает под системными именами типа "winlogon", "services", "crss", "smss" и т.п. - прога прибивает эти процессы в памяти и удаляет файлы вируса из директории Windows. Вирус создает на себя ссылку в ключах автозагрузки реестра - прога ее оттуда убирает. Вирус блокирует меню "Свойства папки" в проводнике - опять же, через реестр - прога правит и эти ключи реестра. Вирус рекурсивно перебирает все каталоги и оставляет в них свои копии - прога так же рекурсивно перебирает папки для того, чтобы эти копии оттуда удалить, и т.д., и т.п... Заметьте: поведение данной утилиты, в принципе, очень похоже на поведение самого вируса! И API-функции она для этого, естественно, использует те же самые, что и вирус. Вот на это, видимо, и агрятся виндовские (и не только) эвристические алгоритмы: одно только обращение к ключам автозагрузки реестра для таких алгоритмов, совершенно справедливо, должно выглядеть подозрительно! А уж удаление чего-либо из папки Windows - это вполне веский повод поднять тревогу! Вот и получается, что удалялку вируса Винда воспринимает как сам вирус... Ну и, современные эвристические алгоритмы (особенно дешевые и не очень развитые - имею в виду китайские "антивирусы-однодневки") почему-то недолюбливают все, что написано на Delphi (много раз с этим сталкивался, увы!) - иногда истеруют, когда видят дельфячие сигнатуры((( Тем более, что я (каюсь не подумал тогда!) пожал свою прогу UPX-ом: выяснилось, что этот пакер очень любят и авторы зловредов - за его сигнатуры антивири тоже по головке не погладят... Забавно, кстати: а сам-то Brontok эти "особливо бдительные" алгоритмы, почему-то, нередко пропускают))) 4. При проверке данной утилиты зарекомендовавшими себя профессиональными антивирусами - такими, как Dr.Web - никакой тревоги не возникает: эти антивири однозначно показывают мою утилиту совершенно чистой! Для успокоения общественности еще раз проверил на сайте Dr.Web как сами утилиты, так и архивы с ней - скриншоты прилагаю! Что до VirusTotal - то там увы, некоторые сканеры видят мою прогу подозрительной; хотя подавляющее большинство говорит, что файл чистый! А те, что все-таки бьют тревогу, никак не могут придти к консенсусу: одним кажется, что в утилите зашит AdWare, другим видится майлварь, некоторые галлюцинируют даже трояном (причем, разные сканеры видят совершенно разные трояны) - которого там, разумеется, нет! Самое смешное в том, что для версий 1.00 и 0.64 моей утилиты, которые различаются закоментированностю всего одной (!) строки кода, излишне подозрительные сканеры с VirusTotal видят совершенно разных зловредов! А иные, агрившиеся, например, на версию 1.00, тут же успокаиваются увидев версию 0.64 (или наоборот) - хотя разница там, повторюсь, только в наличии или отсутствии проверки разрядности ОС... Скриншоты Надеюсь, ясность по этому вопросу я внес! Не хотите использовать утилиту - не используйте, но перед совестью своей (и перед законом) я абсолютно чист! 0

@Alex Prozac 104 / 89 / 9 Регистрация: 25.11.2020 Сообщений: 261
	25.01.2025, 20:32 [ТС]
	Кстати - о непростых взаимоотношениях VirusTotal и Delphi: небольшой эксперимент)) На первом скрине то, какой видит VirusTotal сгенерированную в Delphi-7 "программу-пустышку" - т.е. просто окошко по умолчанию, которое умеет открываться, ездить по экрану и закрываться - вообще БЕЗ ЕДИНОЙ СТРОКИ КОДА! На втором скрине "более сложная" программа, сделанная в том же Delphi-7: на ней уже есть целый лейбл и целая одна кнопка, по нажатию которой в этот лейбл бросается сакральная фраза "Hello, world!". Как видите, и тут не обошлось без рептилоидов)) Можете повторить этот эксперимент у себя дома, и сделать соответствующие выводы! Миниатюры 0

@Alex Prozac 104 / 89 / 9 Регистрация: 25.11.2020 Сообщений: 261
	26.01.2025, 01:56 [ТС]
	Storm Screamer, да, все может быть - надо будет компилятор дельфячий доктору (Вебу) показать. Хотя, лично мне кажется, что тут именно агр на дельфовскую сигнатуру - когда-то среди доморщенных "кул-хацкеров" была мода на Дельфе всякие бяки писать (ибо просто же - в асм и железо вникать совсем не нужно, а перед одноклассниками понты кинуть - милое дело)... Даже Фленов этим, помнится, грешил - да еще и других подучивал! И вот результат: многие антивири, видимо, считают, что ничего нормального на Дельфе сейчас уже не пишут; как видят дельфячий хэдер в файле - так "школоло" и в бан автоматом((( Увы!.. Седьмую юзаю, т.к. привык к ней! И тут еще есть часть эстетики и личного вкуса: имхо, после Семерки Борландия "потеряла берега" - стала выпускать нечто перегруженное лишним функционалом, громоздкое и неповоротливое... Плодить многоножек, одним словом)) Семерка - это последняя Дельфа, где все строго и минималстично - мне нравится именно такой вид. Ну и, плюс - лень мне VCL-ки, которые я много лет для себя искал, подбирал и ставил, вновь искать и ставить на новую версию)) В сущности, все утилиты, которые я слепил в Семерке, ничего вредоносного никому не сделали - только некоторые сканеры особо бдительные в возбуждение привели, и все... Ни одна система не пострадала)) 0

@Yokohama-man 2 / 2 / 0 Регистрация: 16.12.2012 Сообщений: 15
	06.04.2025, 16:21
	Если данная программа не является вирусом, то почему бы не выложить в открытый доступ её код? 0

Опции темы