После отправки письма ESET’овцам утром, к вечеру результат не заставил себя ждать : Nod32 уже внес его в базу и успешно детектится.
Сегодня обнаружил свежую модификацию червя Dropper.X(Win32.HLLW.Autoruner.4360)
Основные симптомы:
Семейство червей, распространяющихся посредством flash-накопителей, а так же как составная часть других типов вредоносных программ — дропперов.
При заражении червь делает exe-файлы по названию папок, хранящихся на флеш-носителе.
Самим папкам присваивается атрибут «скрытый».
Как и обычно , в случае таких червей формируется файлик Autorun.inf, который запускает тело червя
при активации сменного носителя (когда Вы вставляете флешку).
В папке C:\windows\system32 у меня создалась папка 42B8D4 и в ней файл 649FA9.exe
Ручное Лечение:
-удалить exe файлы совпадающие с именами папок
-удалить Autorun.inf
-вернуть атрибуты папкам
-проверить папку C:\windows\system32\ на наличие несистемных папок.
Автоматическое Лечение:
-скачать утилиту от Dr.Web — CureIT и проверить компьютер.
Началось все с компа друга. Способ распространения — скорее всего : СЕТЬ.
Симптомы :
- не загружается в безопасном режиме
- периодические «синие экраны смерти» (bluescreen)
- периодическое увеличение сетевого траффика
- зависание страниц сетевого браузеров
- зависание компьютера
- отключение антивирусов
- блокирование обновлений антивирусных программ
Описание.
Это только из того , что нашел я. Вот некоторые описания с других форумов :
Virus.Win32.Sality.v
Алиасы
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)Описание
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.Внешние проявления (со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.
Вот полностью правильное описание :
Read more about Вирус W32 Sality.AE/v/h …
Недавно стал замечать что ping до основного шлюза стал очень большим (более 1000). И это в локальной сети. Админ ничего путного тоже сказать не мог — внешне все выглядело нормально. Случайной подсказкой оказался роутер. В его логал я обнаружил что какой-то нехороший мак (mac адрес) утверждает , что он и есть мой родной шлюз. Как […]
В последнее время стали задавать вопросы : почему все заплатки стоят , а Конфикер все равно лезет ? почему обновился, а антивирус находит вирус ? убиваю вирус , а через некоторое время все начинается сначала ? 3 сервис пак закрывает «дыру» в безопасности, но антивирус находит вирус ? удалил вирус , поставил патчи, а звук […]
Не так давно пользователи Windows столкнулись с целой эпидемией от вируса win32.kido.
Разные антивирусные компании определяют ее по-разному. Но в основном фигурирую 3 названия :
- win32.kido
- Win32.Worm.Downadup.Gen
- Conficker
В предыдущей статье я уже указывал основные симптомы этого вируса, среди которого падение Generic.host process и периодическое «отпадание» драйвера звука.
Хотелось бы обратить внимание на комплекс мер, предлагаемый пользователю — иначе все усилия будут просто бесполезны.
По заверениям от Microsoft третий СП закрывает дыру в уязвимости или же прдлагает наложить 3 обновления.
Но не тут то было. По описаниям деструктивной и другой деятельности новая версия червя не очень претерпела изменения, но как видимо уязвимости все же остались.
Дабы не разносить все по разным местам новые (и обновленные) утилиты выложены в старой статье.
Вот что говорит об этом сайт Касперского : Read more about Сетевые черви Net-Worm.Win32.Kido.ip/Win32.Worm.Downadup.Gen/Conficker …
Хотелось бы поблагодарить Dozzik и Banga, учавствовавших в помощи создании и тестировании данного продукта. Не найдя толкового описания в сети интернет, наша команда сама взялась за написание программы, удаляющую этот вирус. Краткое описание вируса:(возможно Win32:VB-LBA[Drp]/Trojan.Win32.StartPage.def/Trojan.Win32.Buzus.aiid) Вирус заражает файлы архивов, созданные WinRAR.Записывает свое тело множество раз (до 25 шт. и более). Практически все антивирусы распознают архив […]
Симптомы заражения в сети При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. Часто вылетают звуковые драйвера. Ошибка generic host process failed. Блокировка адресов автоматических обновлений , антивирусов и microsoft.com Краткое описание семейства Net-Worm.Win32.Kido. Создает на съемных носителях […]