Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

Страницы: (2) [1] 2  ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> Win32.conflicker, вредня вирус
Loperamid | Профиль
Дата 17 Января, 2009, 0:19
Quote Post



Веселый доктор
Group Icon

Группа: Banned
Сообщений: 3192
Регистрация: 27.02.05
Авторитет: 36
Вне форума

Предупреждения:
(100%) XXXXX


Всем привет!

Я небольшой специалист в этом вопросе, но все же выложу инфу об эпидемии жертвой которой я стал.

Причина - Win32.conflicker

Обновленный нод его не валит.

Подробнее о вирусе - _ttp://sinitsyn.org/2009/01/virusnaya-epidemiya-v-ritme-novogo-goda-win32conflicker/

Валит его утилитка - _ttp://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
(если вы не можете скачать утилитку, то скорее всего ваш комп заражен, т.к. вирь блокирует сайты по списку).

Всем удачи, сори если ложная тревога вас.


____________________

user posted image

"Гомеопатия - это не медицина, это - оккультное учение, имеющее все черты секты с тоталитарным уклоном" - Самошкин А.А.
PMUsers Website
50/8047   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
Loperamid | Профиль
Дата 17 Января, 2009, 0:20
Quote Post



Веселый доктор
Group Icon

Группа: Banned
Сообщений: 3192
Регистрация: 27.02.05
Авторитет: 36
Вне форума

Предупреждения:
(100%) XXXXX


* Users may not be able to connect to websites or online services that contain the following strings:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

Это то, что вирь блокирует (как я понял)


____________________

user posted image

"Гомеопатия - это не медицина, это - оккультное учение, имеющее все черты секты с тоталитарным уклоном" - Самошкин А.А.
PMUsers Website
26/8047   
Iverton |
Дата 17 Января, 2009, 12:15
Quote Post



Unregistered









еще можно почитать
Поймал троянчика.
dwor | Профиль
Дата 17 Января, 2009, 12:17
Quote Post



near bird
Group Icon

Группа: Старожил
Сообщений: 3255
Регистрация: 04.08.04
Авторитет: 41
Вне форума

Предупреждения:
(0%) -----


Loperamid
Аналогичная хуйня уронила у нас всю сеть почти на сутки. Лицензионный Доктор Веб в полной жопе, впрочем как всегда.
Обычный !avast home или семантик решают проблему легко.

Iverton
Не совсем то.
PMEmail Poster
17/21333   
Loperamid | Профиль
Дата 17 Января, 2009, 13:55
Quote Post



Веселый доктор
Group Icon

Группа: Banned
Сообщений: 3192
Регистрация: 27.02.05
Авторитет: 36
Вне форума

Предупреждения:
(100%) XXXXX


dwor
Да, на буке стоит аваст - там все ок. А стационарной машинке пришлось туго.


____________________

user posted image

"Гомеопатия - это не медицина, это - оккультное учение, имеющее все черты секты с тоталитарным уклоном" - Самошкин А.А.
PMUsers Website
ordruf | Профиль
Дата 28 Января, 2009, 1:57
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 598
Регистрация: 15.01.09
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


у нас в конторе 500 компов заразил, до сих пор не выведут, так что поосторожней
PMUsers Website
Gear | Профиль
Дата 28 Января, 2009, 11:10
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 10.08.08
Авторитет: 3
Вне форума

Предупреждения:
(0%) -----


Когда выведут, пусть защиту поставят, антивирусы не эффективны против conflickera, он использует уязвимость в виндовой службе, копируется на винт, и выполняется. Антивирусы максимум его блокируют когда он уже скопировался и пытается запустится. Также всякие сайты с апдейтами недоступны пока он активен, так что после удаления неплохо поставить ой нить апдейт от Microsoft. Кстати я проверял, и нашел способ заходить на те сайты которые он блокирует, причем любым браузером. У себя после первых сообщений антивиря, поудалял файлы conflickera, почистил реестр, лень было ставить патчи или придумывать что то другое, поэтому просто вырубил уязвимую службу, она то и не сильно нужнаsmile.gif Результат 100% smile.gif За последние две недели ни одного сообщения о нем, да и быть его впринципе не можетsmile.gif
PM
47/350   
XXXLer | Профиль
Дата 29 Января, 2009, 12:38
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 755
Регистрация: 27.01.06
Авторитет: 35
Вне форума

Предупреждения:
(0%) -----


Цитата
Когда выведут, пусть защиту поставят, антивирусы не эффективны против conflickera, он использует уязвимость в виндовой службе, копируется на винт, и выполняется

Очень даже эффективны, те кто с встроенным детектором атак блокируют сам нюкающий запрос, с http-модулем - загрузку с http тела вируса, тупо файловые резиденты блокируют доступ при записи вируса на диск - в любом случае если удалить его антивирем, то он не запускается и ничего не блокируется, единственное - вылетает svchost на котором висит LanManServer и уносит с собой часть сетевых служб висевших на нем, после чего конечно сеть ничерта не пашет.
На 2000-ной, где политика аля "с пустым паролем только консольные сеансы" отсуствует, червь резво расползался с учеток админов с пустыми паролями - впрочем это тоже исправимо wink.gif

Выводил последовательной установокой хотфикса и запуском утили от Кастрацких. Ну и на 2k админов в политику аля "Отказ в доступе из сети"

Цитата
поэтому просто вырубил уязвимую службу, она то и не сильно нужна

ну всего-то расшареные папки и принтеры исчезнут bigwink.gif
PMEmail Poster
55/2962   
Gear | Профиль
Дата 29 Января, 2009, 13:42
Quote Post




Group Icon

Группа: Абориген
Сообщений: 111
Регистрация: 10.08.08
Авторитет: 3
Вне форума

Предупреждения:
(0%) -----


Да исчезли, но принтерами расшареными не пользуюсь, а файл передать еще кучи способов есть, некоторые даже удобнее smile.gif Не знаю как реагировал бы мой Касперский 2009, он под другой виндой был, а вот NOD32 с последними апдейтами детектил уже скачанный файл на диске, и попытки обращения к нему svchostом, хотя и блокировал. При этом у нода и http модуль и файловый резидент, и прочая фигня. И удалить его могут не все антивири. Ручками как то надежнее smile.gif Вообще способ распространения хороший, но маскировка и закрепление в системе простые, можно было бы посильнее воздействовать на систему и реестр, что бы сложнее было предотвратить удаление. Да и а то от него не сильно много. Это так просто, к слову, что последствия могли бы быть хуже. smile.gif
PM
22/350   
alexk | Профиль
Дата 29 Января, 2009, 15:16
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Большинство заражений происходит через уязвимость, закрытую Microsoft еще в октябре. Поэтому самый действенный способ защиты - это установить последние обновления безопасности.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
1/13986   
XXXLer | Профиль
Дата 29 Января, 2009, 15:21
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 755
Регистрация: 27.01.06
Авторитет: 35
Вне форума

Предупреждения:
(0%) -----


Цитата
Да исчезли, но принтерами расшареными не пользуюсь, а файл передать еще кучи способов есть, некоторые даже удобнее

вопрос не в альтернативах. в офисных масштабах это может быть абсолютно неприемлимо.

Цитата
Не знаю как реагировал бы мой Касперский 2009

KIS7 сказал Win.NETAPI.buffer-overflow.exploit, думаю 9ка сказалаб приблизительно то-же самое

Цитата
а вот NOD32 с последними апдейтами детектил уже скачанный файл на диске, и попытки обращения к нему svchostом, хотя и блокировал. При этом у нода и http модуль и файловый резидент, и прочая фигня.

ну я и не сомневался что Eset как всегда все проспал, и детект появился после заражения

Цитата
И удалить его могут не все антивири. Ручками как то надежнее

- значит может. Иначе - так облажавшись антивирусные компании будут из кожи вон лезть, чтоб как можно безгеморней юзеры могли удалить то, что не обнаруживают их продукты naughty.gif

Цитата
Вообще способ распространения хороший, но маскировка и закрепление в системе простые, можно было бы посильнее воздействовать на систему и реестр, что бы сложнее было предотвратить удаление. Да и вреда то от него не сильно много.

никто не спорит, только излишняя самозащита могла вызвать срабатывание эвристики антивирусов, с учетом блокировки обновлений антивирей автору это было не к чему. к тому-же рано или поздно юзверя задолбают вылеты svchost'а (зря доспускалось многократное заражение, а не как в первых версиях дыра затыкалась), и он либо по привычке форматнет винт переставит винду, либо поисчет по форумам, чтож это за напасть такая.. а вредоностность на зараженном компе второстепенна - ботнетам выгодны работоспособные участники bigwink.gif
PMEmail Poster
27/2962   
Denni | Профиль
Дата 8 Апреля, 2009, 18:01
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 659
Регистрация: 15.01.07
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


а вот что у меня нод32 нашел:
и лечение - http://virusinfo.info/showthread.php?t=1235

Отредактировал Denni - 8 Апреля, 2009, 18:03


Присоединённое изображение


____________________
я постоянно учусь...
PMEmail Poster
12/3059   
Denni | Профиль
Дата 8 Апреля, 2009, 18:15
Quote Post




Group Icon

Группа: Silver Member
Сообщений: 659
Регистрация: 15.01.07
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


а это так, для смеха lol.gif и слез blink.gif и кто мне пояснит как это исправить ???


Присоединённое изображение


____________________
я постоянно учусь...
PMEmail Poster
4/3059   
alexk | Профиль
Дата 27 Апреля, 2009, 1:42
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Если кому интересно - в последнем подкасте security now Steve Gibson подробно рассказывал про механизмы распространения и защиты этогго червя. Послушать можно вот здесь: http://twit.tv/sn193 . Если такой возможности нет, можно почитать статью в wiki вот здесь: http://en.wikipedia.org/wiki/Conficker (она переведена на русский, но очень кратко, и многие детали упущены). Меня лично удивило, что червь может скачивать произвольные апдейты, подтверждая их "оригинальность" с использованием MD6 для хэша, который он потом использует как ключ в RC4 шифровании, а сам хэш подписывает с помощью 4096 битного RSA ключа, private key от которого есть только у автора, а public распространяется вместе с червем. Вдобавок он еще и распространяет эти "апдейты" по принципу P2P, в дополнении к другой хитрой схеме, описанной в wiki.

Что еще интересно - по известной информации червь пытается недопустить заражение IP адресов компьютеров, которые geoip идентифицирует как украинские (первоначальная версия также завершалась без заражения при попадании в систему, в которой установлена украинская раскладка). Это вдвойне странно учитывая сообщения о заражениях в этой теме.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
14/13986   
WereWolf | Профиль
Дата 27 Апреля, 2009, 13:18
Quote Post



А вообще то я добрый
Group Icon

Группа: Banned
Сообщений: 2227
Регистрация: 15.02.04
Авторитет: 12
Вне форума

Предупреждения:
(40%) XX---


Цитата(alexk @ 27 Апреля, 2009, 0:39)
Что еще интересно - по известной информации червь пытается недопустить заражение IP адресов компьютеров, которые geoip идентифицирует как украинские (первоначальная версия также завершалась без заражения при попадании в систему, в которой установлена украинская раскладка). Это вдвойне странно учитывая сообщения о заражениях в этой теме.


А у подавляющего большинства украинской раскладки не установлено-просто не нужна, хоть и Украина, но русскоязычная зона lol.gif

У меня ДрВеб отлавливал само тельце,но при попытке записаться на диск. Спасает нормально только связка Outpost+DrWeb (или ещё какой антивирь по половым предпочтениям bigwink.gif ).
PMEmail PosterUsers Website
28/3990   
alexk | Профиль
Дата 27 Апреля, 2009, 17:11
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Цитата("Werewolf")

А у подавляющего большинства украинской раскладки не установлено-просто не нужна, хоть и Украина, но русскоязычная зона 


Я честно говоря не знаю как там у "подавляющего большинства", но на предприятиях и в гос секторе в теории должна быть установлена, тк документация проходит на украинском. Хотя это мелочь - проверка по IP должна была срабатывать, или у большинства российские IP тоже установлены? wink.gif



____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
4/13986   
simpyalex |
Дата 27 Апреля, 2009, 17:23
Quote Post



Unregistered









ну у меня айпишник точно украинский biggrin.gif
Rumlin | Профиль
Дата 27 Апреля, 2009, 18:04
Quote Post




Group Icon

Группа: Старожил
Сообщений: 10130
Регистрация: 31.01.05
Авторитет: 31
Вне форума

Предупреждения:
(0%) -----


Цитата(alexk @ 27 Апреля, 2009, 16:08)
у большинства российские IP тоже установлены?

смотря как он определяет что украина - у меня Torent и Emule напротив укртелекомовских IPадресов рисует американский флаг.

Цитата
As of 13 February 2009, Microsoft is offering a $USD250,000 reward for information leading to the arrest and conviction of the individuals behind the creation and/or distribution of Conficker


____________________
СЦ ТМ BRAVO, PCM, MUSTEK, APC, EATON, Codegen, FSP, SVEN, 4U, APACER, MICROLAB, XEROX - (0652) 60-08-56


user posted imageuser posted image
PMEmail Poster
14/44103   
Loperamid | Профиль
Дата 27 Апреля, 2009, 20:52
Quote Post



Веселый доктор
Group Icon

Группа: Banned
Сообщений: 3192
Регистрация: 27.02.05
Авторитет: 36
Вне форума

Предупреждения:
(100%) XXXXX


_ttp://letitbit.net/download/64f4bd684735/WINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86indowsXP-KB958644-x86indowsXP-KB958644-x86indowsXP-KB958644-x86-RUS.exe.html - заплатка для виндов


____________________

user posted image

"Гомеопатия - это не медицина, это - оккультное учение, имеющее все черты секты с тоталитарным уклоном" - Самошкин А.А.
PMUsers Website
5/8047   
Nikolas | Профиль
Дата 27 Апреля, 2009, 23:26
Quote Post




Group Icon

Группа: Banned
Сообщений: 3070
Регистрация: 30.04.08
Авторитет: 35
Вне форума

Предупреждения:
(100%) XXXXX


Хм... одной заплаткой не отделаешься =) Я ставил 3.
_ttp://www.davi.net.ua/wu/WindowsXP-KB957097-x86-RUS.exe
_ttp://www.davi.net.ua/wu/WindowsXP-KB958644-x86-RUS.exe
_ttp://www.davi.net.ua/wu/WindowsXP-KB958687-x86-RUS.exe


____________________
Quod licet Iovi, non licet bovi
PMEmail PosterUsers Website
6/11461   

Topic OptionsСтраницы: (2) [1] 2  Start new topic Start Poll 

 



[ Script Execution time: 0.0889 ]   [ 13 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top