В последнее время стали задавать вопросы :
- почему все заплатки стоят , а Конфикер все равно лезет ?
- почему обновился, а антивирус находит вирус ?
- убиваю вирус , а через некоторое время все начинается сначала ?
- 3 сервис пак закрывает «дыру» в безопасности, но антивирус находит вирус ?
- удалил вирус , поставил патчи, а звук все равдно «падает» ?
- периодически появляется ошибка Windows Critical или Generic host process error — даже если ничего не делаю, при этом патчи СП3 установлены ?
Эти и многие вопросы задаются неоднократно. Но и объяснить их так же несложно. Вирус Net-Worm.Win32.Kido.ip/Win32.Worm.Downadup.Gen/Conficker (это основные названия червя) полиморфный — т.е. постоянно изменяет свой код. И со времен первых патчей и заплаток прошло довольно много времени.
Чтобы не задумываться , что нас ждет завтра и какие разновидности данного червя предстоит увидеть — я рекомендую обновиться при помощи службы Windows Update.
Многие проблемы действительно снимаются. И не только те, что связаны непосредственно с действиями вируса.
Я выбрал все обновления безопасности , начиная по дате с момента выхода 3 сервис пака.
В архиве 28 обновлений. Многие из них требуют перезагрузки — не советовал бы откладывать. Обновляться 28 раз — довольно муторно — поэтому все-таки советую обновиться с Windows Uppdate, но если это по каким то причинам (:)) Вам не подходит, то воспользуйтесь архивом.
Обновленный preSP4 для WindowsXP :
седня с другом столкнулись с такой фигней вот
Intrusion.Win.HTTPD.GET.buffer-overflow.exploit
У него стоит 2 сетевухи и он раздает инет на мини сетку. В качестве антивиря и файервола у него каспер стоит. Его антивир блокнул мой комп при попытке грузить сайты прием стабильно лочит выход на разные сайты найденные с помощью гугля. Прогнали антивирусами (нод, каспер и cureit)все чисто. я так понимаю это нечто похожее на то что происходило с «Сетевые черви Net-Worm.Win32.Kido/Conficker.AA(win32/Conficker.AE)» Но вид атаки отличаеться. Пожалуста если кто с таким сталкивался и знает что делать отпишитесь.
Fatum, сегодня часть Рунета работает весьма нестабильно. Думаю это связано со сбоями в NS записях.
Проверьте не идет ли траффик от Вас по 25 порту — это не совсем Conficker.X , но действие весьма похоже.И проверьте устанавливается довольно большое количество соединений с открытием web-страничек.
<code>Intrusion.Win.HTTPD.GET.buffer-overflow.exploit</code>
часть вирусного кода загружается с http страничкой — поэтому локально на компе Вы ничего и не можете найти.
Сталкиваясь с этим типом вируса я заблокировал следующие подсети на Linux-маршрутизаторе :
<code>iptables -t mangle -I FORWARD -d 122.224.4.0/24 -j DROP
iptables -t mangle -I FORWARD -d 122.224.5.0/24 -j DROP
iptables -t mangle -I FORWARD -d 122.224.6.0/24 -j DROP
iptables -t mangle -I FORWARD -d 122.224.7.0/24 -j DROP
iptables -t mangle -I FORWARD -d 58.53.128.140 -j DROP
iptables -t mangle -I FORWARD -d 64.233.167.99 -j DROP
iptables -t mangle -I FORWARD -d 69.64.155.122 -j DROP
iptables -t mangle -I FORWARD -d 64.125.13.5 -j DROP
iptables -t mangle -I FORWARD -d 64.125.29.126 -j DROP
iptables -t mangle -I FORWARD -d 64.125.30.177 -j DROP
iptables -t mangle -I FORWARD -d 64.124.195.245 -j DROP</code>
Правила написаны для Linux — но Вы легко можете адаптировать их под себя.
Блокировка этих подсетей, в основном Китайских, не повлияют на серфинг, но предотвратит загрузку кода вместе со страницами.
Попробовал по совету поискать что ваще выходит из компа нашел интерестность. У меня стоит прио (расширенный диспетчер задач) он показывает что есть выход по по tcp-ip протоколу какого левого не виндового процесса с названием в виде иероглифа. При переходе к процессу он выкидывает на процесс alcmtr в списке процессов. Насколько я понял процее отвечает за реалтековский звук и не являеться критичным. На всякий случай я его прибил. В связке с уставновленной почкой апдейтов указаных в теме проблема атак пропала. Каспер больше атаки не видит и не лочит выход в инет. Не могу утверждать какое из действий помогло но в комплексе проблемка решилась ). На всякий случай подниму ещё виндовый брендмауер. так в качестве страховки. Что интересно — вирус даже если он грузиться с веб страницей совершенно не распознает dr.web.
Fatum, иероглифы,я уверен,адрес одного из китайских сайтов, с которого идет атака.
Думаю Вы удалили зараженный файл а загрузку новых предотвращают апдейты и заплатки из PreSP4.