Все что вы хотели,но!

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Все что вы хотели,но! » Защити себя сам » Знакомство с вирусом!


Знакомство с вирусом!

Сообщений 1 страница 6 из 6

1

В Сети бушует эпидемия червя Kido. Уже 9 000 000 зараженных PC!

http://i032.radikal.ru/0902/3e/85ac4f728d56.jpg

Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает злобствовать. Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald).

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.

Лечение:

Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:

*Решение 1 от Лаборатории Касперского:

http://www.kaspersky.ru/support/wks6mp3 … =208636215

http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip

*Решение 2 от Компании «Доктор Веб»:

http://news.drweb.com/show/?i=204&c=5&p=0

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Далее установить 3 заплатки на Windows XP2 и одну Windows XP3:
*MS08-067    http://www.microsoft.com/technet/securi … 8-067.mspx
*MS08-068    http://www.microsoft.com/technet/securi … 8-068.mspx
*MS09-001    http://www.microsoft.com/technet/securi … 9-001.mspx

Атаки с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет антивируса ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.
*Набор состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и двух специальных бесплатных утилит от Лаборатории Касперского и Компании «Доктор Веб» - Dr.Web CureIt!® от 01.02.2009г и KidoKiller v.3.1 единым пакетом
*Размер 22Мб

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

0

2

Это произойдет 1 апреля!

http://s44.radikal.ru/i106/0903/ac/724cb5c36f9c.jpg

Вопросы и ответы: Conficker и 1 апреля

Сейчас в интернете бродит много слухов про то, что якобы первого апреля случится что-то страшное. Conficker (Downadup, Kido) начнет использовать новый алгоритм определения доменов для рассылки обновлений, поэтому многие придумывают всякие небылицы, вплоть до “конца интернета”. Некоторые товарищи даже советую не выходить в интернет 1-ого апреля.
Вчера был опублекован  FAQ про это в блоге F-Secure, а я тут привожу его перевод. Прочитайте, чтобы не поддаваться панике и знать, что именно произойдет 1-ого апреля.

Q: Я слышал, что что-то очень-очень плохое случится с интернетом 1 апреля. Так это?
A: Нет, не совсем.

Q: Серьезно, червь Conficker начнет делать что-то плохое 1-ого апреля, так?
A: Conficker aka Downadup немного изменит свой алгоритм работы, но это врядли приведет к каким-то видимым изменениям 1-ого апреля.

Q: Так что случится-то 1-ого апреля?
A: Сейчас Conficker генерирует 250  разных доменных имен каждый день и пытается скачать с них программу апдейта и запустить ее. 1 апреля новейшая версия Conficker-а начнет выбирать уже 500 из 50,000 доменов каждый день для той же цели - скачивания и запуска файлов.

Q: Последняя версия? Есть несколько разных версий чтоли?
A: Да, и последняя версия сейчас не самая распространенная. Большинство зараженных компьютеров сейчас заражены вариантом B, который начал распространяться в Январе. И в поведении этого варианта B ничего не изменится.

Q: Я только что проверил, что моя Windows машина не заражена. Что-нибудь случится с моим компьютером 1-ого апреля?
A: Нет!

Q: У меня Mac, что-нибудь случится с моим компьютером?
A: Нет!

Q: Итак, это значит, что хакеры смогут использовать этот новый канал для скачивания и запуска любой программы на всех машинах?
A: Да, на всех машинах, которые инфицированы последней версией червя.

Q: Но что такое эта peer-to-peer функциональность для скачивания, про которую я слышал?
A: Червяк имеет peer-to-peer функциональность, что значит, что инфицированные компьютеры могут общаться друг с другом без надобности в сервере. Это позволяет червю апдейтить самого себя даже без регистрации одного из 250 или 50,000 доменов.

Q: Но не значит ли это, что если бы “плохие парни” хотели запустить что-то на зараженных машинах, им не надо было бы ждать до 1-ого апреля?
A: Да! И это еще одна причина, почему маловероятно, что что-то плохое случится именно 1-ого апреля.

Q: Будет ли поднят серьезный хайп в  СМИ?
A: О, да! Как всегда, когда у какого-то широко распространенного червя есть тригерная дата. Вспомните случаи с Michelangelo (1992), CIH (1999), Sobig (2003), Mydoom (2004) и Blackworm (2006).

Q: Но ведь в тех случаях ничего особого и не случилось, несмотря на то, что все ожидали, что что-то случится!
A: Именно!

Q: Итак, должен ли я отключить и не включать мой компьютер 1 апреля?
A: Нет. Но вы должны провериться и быть уверенным, что ваш компьютер не заражен.

Q: Могу ли я просто сменить дату на своем компьютере и тем самым защитить себя?
A: Нет, конечно. Червь использует локальное время для нескольких своих функций, но он не полагается ТОЛЬКО на время на вашем компьютере.

Q: Я смущен. Как вы можете быть уверены заранее, что 1-ого апреля не будет глобальной вирусной атаки? Должно быть вы что-то скрываете!
A: Да, вы смущены. Не будет никакой “глобальной вирусной атаки”. Машины, что УЖЕ инфицированы, могут  начать делать что-то новое 1 апреля. Мы знаем это, потому что мы изучили код червя и можем видеть, что это именно то, на что он запрограммирован.

Q: Будет ли скаченная червем программа запущена с администраторскими привилегиями?
A: Да, с правами локального администратора. Что очень плохо!

Q: И этот червь может скачать апдейт не только 1-ого апреля, но и в любой день после этого?
A: Точно. Так что нет никакой причины, почему они не смогут это сделать, скажем, 5 апреля, а не 1-ого.

Q: ОК, они могут запустить программу на зараженном компьютере. Но зачем? Что будет делать эта программа?
A:  Мы не знаем что они планируют делать, если вообще что-то планируют. Конечно, они могут украсть ваши данные, посылать с вашего компьютера спам, делать DDOS атаки на другие компьютеры и сервера и так далее. Но мы не знаем что именно они собираются делать дальше.

Q: Они? Кто они? Кто сделал этого червя?
A: И этого мы тоже не знаем. Но они выглядят очень профессионально судя по тому, что они делают.

Q: Профессионально? Это правда, что Conficker использует MD6 hash algorithm?
A: Да. Это, вероятно, первая программа, которая использует этот новый алгоритм!

Q: Почему вы сами не можете заразить свой компьютер, установить часы на 1-ое апреля и проверить, что случится?
A: Потому что оно так не сработает. Червь коннектится на некоторые вебсайты, чтобы узнать сегодняшнее число и время.

Q: Правда? Тогда выключите эти сайты и проблема исчезнет!
A: Не можем. Это сайты типа google.com, yahoo.com и facebook.com.

Q: Нет, серьезно, вы же можете поднять у себя в лаборатории свой google.com, установить на нем 1 апреля и проверить всё!
A: Можем. Но сайты, с которых червь попытается что-то скачать 1-ого апреля не имеют ничего сейчас! Они могут иметь что-то 1-ого апреля. А могут и не иметь.

Q: Теперь я взволнован. Как я узнаю, что я заражен?
A: Попробуйте зайти на f-secure.com. Если вы не можете зайти на наш сайт, то вы вероятно заражены, т.к. Downadup/Conficker блокирует доступ к сайтам антивирусных компаний. Никому не говорите, но те, кто не могут зайти на f-secure.com из-за вируса, могут зайти на спец. зеркало fsecure.com.

Q: Откуда пришло название “Conficker”?
A: Conficker - это своего рода анаграмма  из слова trafficconverter – сайта, на который коннектился первый вариант червя.

Q: Почему у червя несколько имен – Downadup, Conficker, Kido?
A: Вирус был найдет примерно в одно и то же время несколькими антивирусными компаниями и в каждой из них его назвали своим именем. Сейчас большинство компаний используют имя Conficker. Но и сейчас продолжается неразбериха с названием новых модификаций между компаниями.Мы все сожалеем об этом.

Q: Как много компьютеров сейчас инфицировано червем Downadup/Conficker?
A: Около 1-2 миллионов. Сколько из них заражено последней версией? Мы не знаем точной цифры.

Q: Как антивирусная индустрия реагирует на все это?
A: Мы отреагировали, создав Conficker Working Group. Группа включает в себя представителей компаний-производителей антивирусов (включая нас), регистраторов, исследователей и т.д.

Q: Я хочу знать больше технических деталей про червя.
A: Конечно. Здесь  наше описание (англ), и здесь есть  отличное описание (eng).  А тут есть моё описание на русском     
Q: Когда был обнаружен первый вариант Downadup/Conficker?
A: Он был найден 20 ноября 2008.

Q: Больше, чем 4 месяца назад? Я хочу увидеть таймлайн того, что произошло за эти 4 месяца.
A: Byron Acohido написал об этом.

Q: Антивирус от F-Secure может обнаружить и вылечить от этого червя?
A: Конечно.

Q: Есть ли у вас специальная программа для лечения червя??
http://support.f-secure.com/images/easy_clean_logo.png
A: Да и она бесплатная. Скачайте её отсюдahttp://u.foto.radikal.ru/0706/85/877b9de25552.gif.

F-Secure Easy Clean - FAQhttp://u.foto.radikal.ru/0706/85/877b9de25552.gif

Q: Вы собираетесь продолжать следить за этим дальше?
A: Да. Оставайтесь с нами и ждите новой информации.

Похожие статьи:

Модификация червя Downadup - W32.Downadup.C.
Новый червь Downadup
Ждем новой эпидемии?
Очень опасная критическая уязвимость в Adobe Flash Player
Африканские письма, страсти и $5.7млн
Сделай свой интернет безопасным

А также  настоятельно рекомендую обязательно всем вооружиться слудующим:
Специальный набор утилит для уничтожения вируса KIDO (Conficker)http://u.foto.radikal.ru/0706/85/877b9de25552.gif

0

3

Kido Killer v.3.4.1

http://s51.radikal.ru/i133/0903/15/853b97bfcb8f.jpg

Предназначен для удаление сетевого червя Win32.Kido (он же Conflicker)!

Удаление сетевого червя утилитой KidoKiller можно производить локально на зараженном компьютере:
1. Запустите файл KKiller.exe.
2. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y.
3. Дождитесь окончания сканирования.

http://i052.radikal.ru/0903/e4/9a2b2adb92c8.gif

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Разработка: Kaspersky Lab.
**Дата выпуска: 17/03/2009
Язык интерфейса: English
Размер: 1.21 Mb

http://i073.radikal.ru/0904/1a/00d5f3b4cfb7.gif

0

4

Microsoft заплатит за информацию о создателях Conficker

Корпорация Microsoft намерена наградить того, кто предоставит достоверную информацию о создателях вируса Conficker. В своем специализированном блоге MSRC корпорация Microsoft пообещала 250 тыс. долларов за информацию, которая поможет арестовать и засудить вирусописателей, причастных к созданию червя Conficker, известного так же как Kido. Microsoft также сообщает о большом объеме работ, проведенных над анализом червя и разработкой мер противодействия. В блоге MSRC опубликован список доменных имен, которые могут быть зарегистрированы червем. Компания рекомендует системным администраторам запретить доступ к этим доменам. Напомним, что червь Conficker использует уязвимость в службе Server в Microsoft Windows!

Злоумышленники активно эксплуатируют уязвимость в Internet explorer 7, которая была устранена в этом месяце компанией Microsoft. Уязвимость существует из-за некорректной обработки ошибок при попытке доступа к удаленным объектам. Удачная эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код на системе пользователя.
Ататаки начались с отправки email сообщений, содержащих .doc файл, определяемый как XML_DLOADR.A. Это файл содержит ActiveX объект, который автоматически запрашивает подключение к злонамеренному сайту, содержащему специально сформированный HTML код, определяемый как HTML_DLOADER.AS.
HTML_DLOADER.AS эксплуатирует уязвимость CVE-2009-0075. После попадания на систему пользователя, эксплоит скачивает и устанавливает бекдор BKDR_AGENT.XZMS, который передает некоторые данные с системы пользователя на сервер злоумышленника по протоколу HTTPS.
Рекомендуется установить исправление к уязвимости MS09-002:
*Windows XP Service Pack 2 and Windows XP Service Pack 3:
http://www.microsoft.com/downloads/deta … 5d973f998e
*Windows XP Professional x64 Edition and Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/deta … 1ef685c0e3
*Windows Server 2003 Service Pack 1 and Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/deta … bc1b4a16fe
*Windows Server 2003 x64 Edition and Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/deta … 5f8e766792
*Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium-based Systems:
http://www.microsoft.com/downloads/deta … 04389833be
*Windows Vista and Windows Vista Service Pack 1:
http://www.microsoft.com/downloads/deta … d847799650
*Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1:
http://www.microsoft.com/downloads/deta … f02ce3dfb5
*Windows Server 2008 for 32-bit Systems:
http://www.microsoft.com/downloads/deta … e6f760a25c
*Windows Server 2008 for x64-based Systems:
http://www.microsoft.com/downloads/deta … 04c622c230
*Windows Server 2008 for Itanium-based Systems:
http://www.microsoft.com/downloads/deta … fc7a71c510

0

5

молодцы пацаны. Правдо переборшили сильно. Такой ботнет виден хорошо. Они 100% в бегах. Но рно или поздно так попадутся. Хотя из такого ботнета выйдет отличный VPN канал и хрен их найдёшь. А так молодцы!

0

6

Разблокировка системы от SMS вируса

http://i054.radikal.ru/1003/9d/a9f6d7502214.jpg

Описание:

Вирус блокирующий доступ к системе! Разблокировка системы от вируса просящего отправить платный SMS.
     Информируем о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.
В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам.

Скачать срочно!

Скрытый текст:

Для просмотра скрытого текста - войдите или зарегистрируйтесь.

0


Вы здесь » Все что вы хотели,но! » Защити себя сам » Знакомство с вирусом!