Форум » Разговоры » Очень опасный вирус. » Ответить
Очень опасный вирус.
bodhi: У нас такого не было очень давно. Червь, лазает от машины к машине через дырку в защите windows. Если вы регулярно не обновляетесь, и если у вас нет файрволла - вы в группе риска. Проверьте себя: зайдите по этой ссылке - http://www.drweb.com/ Если не можете - молитесь. владелец вируса может сделать с вашей машиной все что угодно. От воровства паролей, до форматирования жесткого диска. http://bishop3000.livejournal.com/105424.html Мы бьемся с ним уже неделю. Но боюсь, неизвестно, кто победит. Самые страшные варианты: 1. В определенное время вирус уничтожит все данные на всех компах. 2. Микрософт выпустит заплатку "с проверкой на лицензионность". В общем, чего я это пишу... Если что - обращайтесь:)
Ответов - 22, стр:
1 2 All
Scif: bodhi что то у тебя ссылка первая не такая чтобы как надо. червь зовется Downadup или Win32.HLLW.Shadow.based или Net-Worm.Win32.Kido http://news.drweb.com/show/?i=204&c=5 http://www.viruslist.com/ru/alerts?alertid=203698715 http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725 защита: Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений 1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft: * MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx); * MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx); * MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx). 2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. 3. Скачать текущую версию утилиты Dr.Web CureIt! на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы. Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации. в общем штука опасная, учту. Впрочем у меня вроде как на серваках патчи стоят, и админский пароль подлинней будет, плюс иса не должна пропускать ексе-длл кроме как мне - посмотрим, что будет. bodhi пишет: В общем, чего я это пишу... Если что - обращайтесь:) Значит так. всем лучше потраттить трафика, и скачать сначала http://download.drweb.com/ http://www.freedrweb.com/cureit/ вот эту утилину (12-15 метров) ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe потом или пробник касперского с яртелеома (около 40 метров) http://kaspersky.yaroslavl.ru/ или касперский с яндекс баром (халяво, сэр) http://online.yandex.ru/?from=kaspersky . дистриб 40 около метров
bodhi: Если б все было так просто. Фишка в том, что вирь мутирует. И если сегодня он не пролез - не значит, что не пролезет завтра. Это кибервойна, бойтесь :) Matrix Has You!
Мартин: Мы "курили" из-за этого три дня. не факт, что все закончилось. ИТшники работают в выходные. А на носу - годовой отчет. Молюсь.
Scif: ладно, убедили - завтра схожу до работы. я правда на серваки все патчи накатил , плюс локальные машины выключены , но посмотрю. bodhi пишет: Если б все было так просто. Фишка в том, что вирь мутирует. И если сегодня он не пролез - не значит, что не пролезет завтра. как говорил один заяц- надо пропатчить и заапдейтить
Тёмный: А шо, нод уже не котируется?
Scif: Тёмный пишет: А шо, нод уже не котируется? неа. Статистика по конторе за год : (все с обновлениями , все официальное и тыды) Семантек - три пропущеных вируса. Крайний гонял буквально неделю назад. Причина - семантек апдейт работает раз в неделю. это ОЧЕНь долго. во время полной проверки тупит не меньше каспера. Нод - 1 пропущенный. Причина- апдейты раз в день-два. неудобный интерфейс . Каспер - пропущенных не было, но требует точной настройки, иначе начнет жрать ресурсы в полный рост. доктор веба - не ставился, время от времени гонялся курИТ , одно ложное срабатывание- сожрал какую то библиотеку, библиотека препроверена из каспера через неделю- ничего подобного.
Адаманта: Scif пишет: надо пропатчить и заапдейтить Что ты имеешь в виду?
Scif: Адаманта пишет: Что ты имеешь в виду? Scif пишет: 1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft: * MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx); * MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx); * MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx). все они на windows update лежат
Scif: Security Update for Windows XP (KB958687) Microsoft Security Bulletin MS08-068 – Important Vulnerability in SMB Could Allow Remote Code Execution (957097) Microsoft Security Bulletin MS09-001 - Critical Vulnerabilities in SMB Could Allow Remote Code Execution (958687)
Дракон: Как-то на тренировке решил зайти к себе, посмотреть что да как. Случайно этого зверя выцепил. Война продолжалась три дня. На работе локальная университетсткая сеть, но на каждой машине - НОД+огнестен+Опера. Кто и как поймать ухитрился - ума не приложу) Победил с помощью AVZ 4.30 Вещь емкая, хорошая. Кому надо - на z-oleg.com
Scif: Дракон пишет: НОД+огнестен+Опера. Кто и как поймать ухитрился - ума не приложу) он шервяк- сам везде ходит.
Scif: по неподтвержденным слухам сей червяк изловлен парой ОЧЕНЬ солидных контор. лечат.
bodhi: Scif - он мутирует. постоянно новые штаммы идут. очень классный червь, восхищаюсь авторами.
Scif: bodhi пишет: Scif - он мутирует. постоянно новые штаммы идут. ну, будем искренне надеяться что через ису он не проколупается, а патчи я включил ставить все ,срзу и автоматом. и к касперу фор воркстейшен раз в три часа сосется апдейт. Но авторы да, круты. еще раз http://www.viruslist.com/ru/alerts?alertid=203698715 Net-Worm.Win32.Kido 13.01.2009 20:32, GMT +0300, Москва , обновлено 23.01.2009 13:52, GMT +0300, Москва | комментарии (258) Статус : средняя опасность «Лаборатория Касперского» предупреждает о существенном росте числа заражений несколькими версиями полиморфного сетевого червя Kido. Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации. Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы. «Лаборатория Касперского» рекомендует пользователям убедиться в том, что их антивирус использует новейшие базы данных. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows. На нашем сайте опубликованы подробные описания Kido.bt, Kido.dv и Kido.fx, включающие инструкции по удалению этих вредоносных программ. Также с сайта support.kaspersky.com вы можете скачать утилиту KidoKiller, позволяющую удалять с заражённого компьютера червь Net-Worm.Win32.Kido.
Scif: Scif пишет: MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx); * MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx); * MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx). для русского - http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03 Имя файла: WindowsXP-KB958644-x86-RUS.exe http://download.microsoft.com/download/5/2/6/526af6ed-32cc-4924-b631-faee10a0e6a9/WindowsXP-KB958644-x86-RUS.exe второй http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=6f8ae0aa-fd68-4156-9016-bba00149793c WindowsXP-KB957097-x86-RUS.exe http://download.microsoft.com/download/8/c/f/8cf1ce00-e6e1-40cd-80c4-8412d312b3c7/WindowsXP-KB957097-x86-RUS.exe третий http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=eeafcdc5-df39-4b29-b6f1-7d32b64761e1 http://download.microsoft.com/download/E/3/1/E31B0CB0-80F8-48E8-925D-C15ABE8BA6C0/WindowsXP-KB958687-x86-RUS.exe
Scif: третий пак http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4 триста мегов
bodhi: в общем новостью для нас стало следующее: Если есть 2 ПК у которых есть общие пользователи - ну, например принтер сетевой подключен, то вирь использует пароли этих пользователей чтобы ходить от машины к машине. Лечить при этом - бесполезно, надо всех от сети отключать, лечить всех таких пользователей и снова подключать. Представляю как сейчас тысячи админов вешаются...
Scif: bodhi пишет: в общем новостью для нас стало следующее: Проще говоря- дорогие юзеры, даже если на компе сидите вы один - ставьте пароль. На работе я спокоен , а вот дома... у меня на машине пароль, но надо же еще на дефолтного админа пароль ставить.
Scif: собсно, учтонение : на дефолтного одмина пароль у меня тоже стоит :) Интерестно, в какую из модификаций вирусов прикрутят брутфорс? или лин секцию бутовую, чтоы при ребуте сбрасывала админский пароль?
bodhi: Scif - есть предположение, что брутфорс там прикручен. После укоренения виря на машине, та начинает заметно тормозить. учитывая, что при этом в сеть она не стучит - что еще может делать вирь?
Scif: bodhi пишет: учитывая, что при этом в сеть она не стучит - что еще может делать вирь? вариант.
Scif: Опять обновился вирусняк KIDO Смотреть на картинки по адресу http://www.confickerworkinggroup.org/infection_test/cfeyechart.html лечиться по инструкции http://support.kaspersky.ru/wks6mp3/error?qid=208636215
полная версия страницы