Как видно из заголовка статьи — сегодня речь пойдет об антивирусной защите. Даже скорее не о защите , а о проверке антивирусом компьютера. Зачем же этот сыр-бор спросите Вы ? Загружать с флешки и проверять компьютер, если и так присутствует антивирус ? Тут 3 момента: во-первых — когда компьютер уже заражен и антивирусная защита дала […]
Недавно у нескольких знакомых «странно одновременно» забарахлили устройство CD-ROM/DVD-ROM:
Перестали писать обычные СиДи — диски.
При более детальном рассмотрении оказался новый Руткит — TDSS TDL 3.20.
Как и раньше я буду дополнять этот пост утилитами и других производителей Антивирусного ПО для удаления данного руткита.
Итак :
КасперскиЛаб: TDSSKiller.zip
www.esagelab.ru : Скачать архив с программой можно здесь
MD5 remover.exe:58923e4ecde62d9b7d9f92675a90b836
Функции Rootkit.Win32.TDSS remover версии 1.3.5.0:
* обнаружение скрытых драйверов, ключей реестра, дополнительных модулей руткита
* поиск на системных и съемных дисках файлов autorun.inf, ссылающихся на копии TDSS, и самих этих копий
* удаление найденных объектов.
Known bugs:
* драйвер остается в системе после завершения программы
* в процессе перечисления съемных дисков, при отсутствующем диске выдается некритичное сообщение об ошибке.
Далее читаем более подробно о самом рутките и способе его удаления. Инфа взята с сайта Лаборатории Касперского. (http://support.kaspersky.ru)
Rootkit (по-русски, «руткит») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
После отправки письма ESET’овцам утром, к вечеру результат не заставил себя ждать : Nod32 уже внес его в базу и успешно детектится.
Сегодня обнаружил свежую модификацию червя Dropper.X(Win32.HLLW.Autoruner.4360)
Основные симптомы:
Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ — дропперов.
При заражении червь делает exe-файлы по названию папок, хранящихся на флеш-носителе.
Самим папкам присваивается атрибут «скрытый».
Как и обычно , в случае таких червей формируется файлик Autorun.inf, который запускает тело червя
при активации сменного носителя (когда Вы вставляете флешку).
В папке C:\windows\system32 у меня создалась папка 42B8D4 и в ней файл 649FA9.exe
Ручное Лечение:
-удалить exe файлы совпадающие с именами папок
-удалить Autorun.inf
-вернуть атрибуты папкам
-проверить папку C:\windows\system32\ на наличие несистемных папок.
Автоматическое Лечение:
-скачать утилиту от Dr.Web — CureIT и проверить компьютер.
Обновился пакет обновлений для Windows XP, вышедших после выхода ServicePack3. В пакет обновлений вошли все апдейты до сентября 2009 года, все исправления безопасности , включая защиту от червей и вирусов таких как sector5 и Conficker. Скачать с depositfiles.com Хостинг сайтов. Акция — домен в подарок при покупке хостинга. Акция Все клиенты, оплатившие ЛЮБОЙ хостинг-план сроком […]
Итак многие уже наверно знают, как я отношусь ко всякого рода приложениям на ВКонтакте. Помимо нового API, предложенного пользователям для раработки своих приложений мошенники на этом не остановились. Я всегда не доверяю приложениям , разработанными пользователями. Особенно теми, которые запрашивают доступ к личным данным. Первая волна прокатилась с приложением «Счастливый фермер». На сегодняшний день уже […]
В последнее время участились случаи кражи ICQ номеров. Очень часто я советую друзьям различные способы, как не попасться на удочку мошенников. Но видимо не всегда помогает. Поэтому я попросил Google помочь мне :) и нашел вот такую статейку. http://brute.ru/ ICQ-безопасность Прежде всего необходимо соблюдать элементарную осторожность при использовании номера. Основные правила ICQ-безопасности: 1. Не ставить […]
Началось все с компа друга. Способ распространения — скорее всего : СЕТЬ.
Симптомы :
- не загружается в безопасном режиме
- периодические «синие экраны смерти» (bluescreen)
- периодическое увеличение сетевого траффика
- зависание страниц сетевого браузеров
- зависание компьютера
- отключение антивирусов
- блокирование обновлений антивирусных программ
Описание.
Это только из того , что нашел я. Вот некоторые описания с других форумов :
Virus.Win32.Sality.v
Алиасы
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)Описание
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.Внешние проявления (со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.
Вот полностью правильное описание :
Read more about Вирус W32 Sality.AE/v/h …
Прежде всего узнав это, я не стал выяснять это очередной фейк или нет, а просто сменил все пароли.
В данный момент я пользуюсь Kopete, но так как часто юзал и QIP, то не стал надеяться на случай.
первыми о взломе узнали пользователи ночью, когда сделали дефейс главной страницы:
Не рекоммендовал бы пользователям качать что-то с QIP.RU!(по крайней мере ближайшее время, пока все наладят).
Так же скорее смените все пароли от всех сервисов,
которые были подключены к QIP !
Недавно стал замечать что ping до основного шлюза стал очень большим (более 1000). И это в локальной сети. Админ ничего путного тоже сказать не мог — внешне все выглядело нормально. Случайной подсказкой оказался роутер. В его логал я обнаружил что какой-то нехороший мак (mac адрес) утверждает , что он и есть мой родной шлюз. Как […]