Я попался на что-то подобное. Кошмар. Сейчас не могу выйти даже на сайт Майкрософта для обновления - вирус блокирует. После переинсталивания не помогло - он прописался на рабочем диске. NOD32v3 его не видит
| Ясиноватский Форум http://forum.ya-dn.ru:80/forum/ |
|
| Интернет черви и вирусы. Что нового? http://forum.ya-dn.ru:80/forum/viewtopic.php?f=9&t=1731 |
Страница 1 из 1 |
| Автор: | Shin [ 17.01.2009 10:50:18 ] |
| Заголовок сообщения: | Интернет черви и вирусы. Что нового? |
Кто что нового нароет - выкладываем сюда. Народ хоть будет в курсе от чего мрёт его железо... |
|
| Автор: | Shin [ 17.01.2009 10:52:14 ] |
| Заголовок сообщения: | Re: Интернет черви и вирусы. Что нового? |
16.01.2009 "Доктор Веб" сообщила об обнаружении опасного сетевого червя, использующего уязвимости Windows Компания «Доктор Веб» сообщила о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ. Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя. Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP. После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу. Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети. Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний. В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений. Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Для профилактики распространения вирусов эксперты рекомендовали отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, а также не применять простые пароли входа в систему. |
|
| Автор: | quasi [ 17.01.2009 11:38:57 ] |
| Заголовок сообщения: | Re: Интернет черви и вирусы. Что нового? |
| Автор: | Shin [ 17.01.2009 11:47:54 ] |
| Заголовок сообщения: | Re: Интернет черви и вирусы. Что нового? |
не убивают железо, а гробят систему. имхо, этот и предыдущий пост - флуд в контексте ветки. |
|
| Автор: | quasi [ 17.01.2009 11:58:43 ] |
| Заголовок сообщения: | Re: Интернет черви и вирусы. Что нового? |
| Автор: | Stalker [ 17.01.2009 19:10:14 ] |
| Заголовок сообщения: | Re: Интернет черви и вирусы. Что нового? |
Я попался на что-то подобное. Кошмар. Сейчас не могу выйти даже на сайт Майкрософта для обновления - вирус блокирует. После переинсталивания не помогло - он прописался на рабочем диске. NOD32v3 его не видит
|
|
| Автор: | Shin [ 25.02.2009 10:28:17 ] |
| Заголовок сообщения: | Re: Интернет черви и вирусы. Что нового? |
На охоту вышел новый Conficker В Сеть запустили новый вариант нашумевшего червя Conficker. Conficker B++ занимается тем, что предоставляет мошенникам возможность подгружать вредоносное ПО на зараженный компьютер. На это заявление CERT (Группа реагирования на нарушения компьютерной безопасности) немедленно отреагировала Microsoft. Осталось увидеть реакцию в действии. |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|