Вирус против сайтов антивирусов
задумчивый
Специалист
2/23/2009, 8:57:52 PM
У меня стоял НОД32. Мне он показался отстоем. Пропустил вирус, который обрушил систему, причём так, что впервые пришлось вызывать специалиста на дом. Специалист трудился 9 часов, пока восстановил. Лечил Касперским, и Касперский нашёл штук 400 вирусов, которые НОД не видел. Ну, и не только это. Лицензия кончилась, и я не хотел этот НОД опять ставить. Короче, когда собрался наконец обновить антивирус - хотел сначала зайти на сайт НОДа, посмотреть условия продления лицензии. Выдало: сервер не найден. Позвонил в техподдержку НОДа - там удивились, и сказали, что 2 месяца с окончания лицензии уже прошло, так что всё равно его покупать заново. Короче, не обратил я на эту недоступность сайта внимания. Хотел поставить Панду, но в магазине попался доктор Вэб, и купил. Удалил НОД, поставил доктора, а при попытке активации мне выдало то же самое: невозможно найти сервер. Техподдержка Вэба обрадовала такой новостью:
Сетевой червь Win32.HLLW.Shadow.based использует уязвимости
Microsoft Windows
*15 января 2009 г.*
*Компания «Доктор Веб» информирует о широком распространении опасного
сетевого червя Win32.HLLW.Shadow.based (известный также под именем
Conficker.worm, Downadup и Kido), который использует несколько
альтернативных методов распространения, один из которых — уязвимости
операционной системы Windows, которой подвержены Windows 2000 и более
поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов
Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся
(полиморфный) упаковщик, что затрудняет его анализ.*
Способы распространения
Сетевой червь *Win32.HLLW.Shadow.based*, некоторые образцы которого
также могут определяться антивирусом *Dr.Web как
Win32.HLLW.Autorunner.5555*, использует для своего распространения сразу
несколько способов. Прежде всего — съёмные носители и сетевые диски
посредством встроенного в Windows механизма автозапуска. В этом случае
имя вредоносного файла является случайным и содержится в папке вида
RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же
структуру папок использует Корзина Windows для хранения удалённых
файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием
стандартного для Windows-сетей протокола SMB. При этом для организации
удалённого доступа к компьютеру *Win32.HLLW.Shadow.based* перебирает
наиболее часто встречающиеся способы задания пароля, а также пароли из
своего словаря. При положительном результате поиска червь копирует себя
в системную папку компьютера-жертвы и создаёт задание на запуск через
определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости,
которая устраняется с помощью критичного обновления, описанного в
бюллетене Microsoft MS08-067. На целевой компьютер отправляется
специально сформированный запрос, приводящий к переполнению буфера. В
результате данных действий компьютер-жертва загружает вредоносный файл
по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска *Win32.HLLW.Shadow.based* проверяет, в каком процессе он
находится, и если это процесс rundll32.exe, то внедряет свой код в
системные процессы svchost.exe и explorer.exe. Затем вирус открывает в
Проводнике текущую папку и прекращает свою работу.
Если *Win32.HLLW.Shadow.based* определяет, что он находится не в
процессе rundll32.exe, то он создает свою копию со случайным именем и
прописывает её в качестве службы Windows, а также в реестр для
обеспечения автозапуска после перезагрузки компьютера и останавливает
работу службы обновления Windows. Далее в системе устанавливается
собственная реализация HTTP-сервера, с помощью которого начинается
распространение вируса по сети.
Если вирус определяет, что он находится в процессе svchost.exe,
запущенном в качестве DNS-клиента, то внедряет свой код в функции работы
DNS на компьютере, тем самым блокируя доступ к сайтам множества
антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого
входит изменение в памяти системного файла tcpip.sys с целью увеличения
стандартного ограничения системы на количество одновременных сетевых
подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной
бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых
файлов со специально созданных для этого серверов, установку и запуск
этих программ на компьютерах, входящих в эту бот-сеть. Целью
преступников может быть как самостоятельное извлечение прибыли из
построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе
на работающие бот-сети в настоящее время нет.
Прислали мне на почту программу для лечения, а я её скачать не могу - у меня какая-то вэб-страница скачивается, и не открывается. К сожалению, другого, незаражённого компа в зоне доступа сейчас нет.
Не знает ли кто случайно, где скачать это, или аналогичное средство:
launch.exe
Сетевой червь Win32.HLLW.Shadow.based использует уязвимости
Microsoft Windows
*15 января 2009 г.*
*Компания «Доктор Веб» информирует о широком распространении опасного
сетевого червя Win32.HLLW.Shadow.based (известный также под именем
Conficker.worm, Downadup и Kido), который использует несколько
альтернативных методов распространения, один из которых — уязвимости
операционной системы Windows, которой подвержены Windows 2000 и более
поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов
Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся
(полиморфный) упаковщик, что затрудняет его анализ.*
Способы распространения
Сетевой червь *Win32.HLLW.Shadow.based*, некоторые образцы которого
также могут определяться антивирусом *Dr.Web как
Win32.HLLW.Autorunner.5555*, использует для своего распространения сразу
несколько способов. Прежде всего — съёмные носители и сетевые диски
посредством встроенного в Windows механизма автозапуска. В этом случае
имя вредоносного файла является случайным и содержится в папке вида
RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же
структуру папок использует Корзина Windows для хранения удалённых
файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием
стандартного для Windows-сетей протокола SMB. При этом для организации
удалённого доступа к компьютеру *Win32.HLLW.Shadow.based* перебирает
наиболее часто встречающиеся способы задания пароля, а также пароли из
своего словаря. При положительном результате поиска червь копирует себя
в системную папку компьютера-жертвы и создаёт задание на запуск через
определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости,
которая устраняется с помощью критичного обновления, описанного в
бюллетене Microsoft MS08-067. На целевой компьютер отправляется
специально сформированный запрос, приводящий к переполнению буфера. В
результате данных действий компьютер-жертва загружает вредоносный файл
по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска *Win32.HLLW.Shadow.based* проверяет, в каком процессе он
находится, и если это процесс rundll32.exe, то внедряет свой код в
системные процессы svchost.exe и explorer.exe. Затем вирус открывает в
Проводнике текущую папку и прекращает свою работу.
Если *Win32.HLLW.Shadow.based* определяет, что он находится не в
процессе rundll32.exe, то он создает свою копию со случайным именем и
прописывает её в качестве службы Windows, а также в реестр для
обеспечения автозапуска после перезагрузки компьютера и останавливает
работу службы обновления Windows. Далее в системе устанавливается
собственная реализация HTTP-сервера, с помощью которого начинается
распространение вируса по сети.
Если вирус определяет, что он находится в процессе svchost.exe,
запущенном в качестве DNS-клиента, то внедряет свой код в функции работы
DNS на компьютере, тем самым блокируя доступ к сайтам множества
антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого
входит изменение в памяти системного файла tcpip.sys с целью увеличения
стандартного ограничения системы на количество одновременных сетевых
подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной
бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых
файлов со специально созданных для этого серверов, установку и запуск
этих программ на компьютерах, входящих в эту бот-сеть. Целью
преступников может быть как самостоятельное извлечение прибыли из
построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе
на работающие бот-сети в настоящее время нет.
Прислали мне на почту программу для лечения, а я её скачать не могу - у меня какая-то вэб-страница скачивается, и не открывается. К сожалению, другого, незаражённого компа в зоне доступа сейчас нет.
Не знает ли кто случайно, где скачать это, или аналогичное средство:
launch.exe
Алексеев
Мастер
2/24/2009, 6:25:07 AM
Легко, у меня на компе файлов launch.exe штук десять всяких разных. Могу ещё setup.exe и readme.txt заодно залить :)
Но, дабы не работать в пень, советую скачать архив отсюда: https://www.rapidshare.ru/927457. После скачивания нужно запустить утилиту Anti-Downadup, если не поможет - CureIT в !!!безопасном режиме.
Но, дабы не работать в пень, советую скачать архив отсюда: https://www.rapidshare.ru/927457. После скачивания нужно запустить утилиту Anti-Downadup, если не поможет - CureIT в !!!безопасном режиме.
DELETED
Акула пера
2/24/2009, 9:43:27 AM
Что за бред?
задумчивый
Специалист
2/25/2009, 12:09:18 AM
t-kvark, за коммент спасибо!) Но я уже решил вопрос: я не мог скачать файл через Мозиллу, и мне не сразу пришло в голову, что Эксплорер - тоже браузер)
Скачал, пролечил в безопасном режиме, антивирус активировал. Работает хорошо. Уже пару раз сообщил за час работы о попытке того Шадоу-как-его-там пролезть ко мне снова, и ещё пяток вирусов перехватил.
Скачал, пролечил в безопасном режиме, антивирус активировал. Работает хорошо. Уже пару раз сообщил за час работы о попытке того Шадоу-как-его-там пролезть ко мне снова, и ещё пяток вирусов перехватил.
busbm
Мастер
2/25/2009, 1:26:06 AM
аваст про рулит ))) никаких проблем, вообще. уже который год
zlo28
Мастер
2/25/2009, 11:31:33 AM
(задумчивый @ 23.02.2009 - время: 20:57) У меня стоял НОД32. Мне он показался отстоем.
Когда кажется крестится нужно! Если не обновлять базы любой антивирус покажется отстоем. Стоит 3-ий нод и успешно борится с этим вирусом. ДА и тут с этим вирусом уже пару тем поднималось можно было почитать...Или цель топик стартера реклама касперского и доктора веба?
Когда кажется крестится нужно! Если не обновлять базы любой антивирус покажется отстоем. Стоит 3-ий нод и успешно борится с этим вирусом. ДА и тут с этим вирусом уже пару тем поднималось можно было почитать...Или цель топик стартера реклама касперского и доктора веба?
задумчивый
Специалист
2/25/2009, 10:56:51 PM
zlo28, нет, рекламных целей я не преследовал. Темы про "этот" вирус не увидел, возможно, невнимательно смотрел.
Нод у меня был лицензионный, база постоянно обновлялась через инет.
Нод у меня был лицензионный, база постоянно обновлялась через инет.
Алексеев
Мастер
2/25/2009, 11:27:58 PM
Да ладно, человек на этом форуме не бывает почти, не стоит требовать от него знаний архивариуса :)
А споры на предмет "какой антивирус лучше", наряду с "Что лучше, Intel или AMD", "Windows или Linux" всегда бесконечные, бессмысленные и беспощадные. Идеального всё равно нет
А споры на предмет "какой антивирус лучше", наряду с "Что лучше, Intel или AMD", "Windows или Linux" всегда бесконечные, бессмысленные и беспощадные. Идеального всё равно нет
DELETED
Акула пера
3/25/2009, 2:10:13 PM
Народ, подскажите. Как удалить вирус с компа? У меня стоит Аваст, вчера при сканировании он обнаружил вирус Win 32. Удалить его антивирусник не может, смог только переместить в хранилище. Из хранилища тоже не удалается. Пришлось делать откат системы, но, думаю, это не надолго. Что делать?