Я небольшой специалист в этом вопросе, но все же выложу инфу об эпидемии жертвой которой я стал.
Причина - Win32.conflicker
Обновленный нод его не валит.
Подробнее о вирусе - _ttp://sinitsyn.org/2009/01/virusnaya-epidemiya-v-ritme-novogo-goda-win32conflicker/
Валит его утилитка - _ttp://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe (если вы не можете скачать утилитку, то скорее всего ваш комп заражен, т.к. вирь блокирует сайты по списку).
* Users may not be able to connect to websites or online services that contain the following strings: virus spyware malware rootkit defender microsoft symantec norton mcafee trendmicro sophos panda etrust networkassociates computerassociates f-secure kaspersky jotti f-prot nod32 eset grisoft drweb centralcommand ahnlab esafe avast avira quickheal comodo clamav ewido fortinet gdata hacksoft hauri ikarus k7computing norman pctools prevx rising securecomputing sunbelt emsisoft arcabit cpsecure spamhaus castlecops threatexpert wilderssecurity windowsupdate
Loperamid Аналогичная хуйня уронила у нас всю сеть почти на сутки. Лицензионный Доктор Веб в полной жопе, впрочемкак всегда. Обычный !avast home или семантик решают проблему легко.
Когда выведут, пусть защиту поставят, антивирусы не эффективны против conflickera, он использует уязвимость в виндовой службе, копируется на винт, и выполняется. Антивирусы максимум его блокируют когда он уже скопировался и пытается запустится. Также всякие сайты с апдейтами недоступны пока он активен, так что послеудаления неплохо поставить ой нить апдейт от Microsoft. Кстати я проверял, и нашел способ заходить на те сайты которые он блокирует, причем любым браузером. У себя после первых сообщений антивиря, поудалял файлы conflickera, почистил реестр, лень было ставить патчи или придумывать что то другое, поэтому просто вырубил уязвимую службу, она то и не сильно нужна Результат 100% За последние две недели ни одного сообщения о нем, да и быть его впринципе не может
Группа: Silver Member
Сообщений: 772
Регистрация: 27.01.06 Авторитет: 36
Вне форума
Предупреждения: (0%)
Цитата
Когда выведут, пусть защиту поставят, антивирусы не эффективны против conflickera, он использует уязвимость в виндовой службе, копируется на винт, и выполняется
Очень даже эффективны, те кто с встроенным детектором атак блокируют сам нюкающий запрос, с http-модулем - загрузку с http тела вируса, тупо файловые резиденты блокируют доступ при записи вируса на диск - в любом случае если удалить его антивирем, то он не запускается и ничего не блокируется, единственное - вылетает svchost на котором висит LanManServer и уносит с собой часть сетевых служб висевших на нем, после чего конечно сеть ничерта не пашет. На 2000-ной, где политика аля "с пустым паролем только консольные сеансы" отсуствует, червь резво расползался с учеток админов с пустыми паролями - впрочем это тоже исправимо
Выводил последовательной установокой хотфикса и запуском утили от Кастрацких. Ну и на 2k админов в политику аля "Отказ в доступе из сети"
Цитата
поэтому просто вырубил уязвимую службу, она то и не сильно нужна
Да исчезли, но принтерами расшареными не пользуюсь, а файл передать еще кучи способов есть, некоторые даже удобнее Не знаю как реагировал бы мой Касперский 2009, он под другой виндой был, а вот NOD32 с последними апдейтами детектил уже скачанный файл на диске, и попытки обращения к нему svchostом, хотя и блокировал. При этом у нода и http модуль и файловый резидент, и прочая фигня. И удалить его могут не все антивири. Ручкамикак то надежнее Вообще способ распространения хороший, но маскировка и закрепление в системе простые, можно было бы посильнее воздействовать на систему и реестр, что бы сложнее было предотвратить удаление. Да и а то от него не сильно много. Это так просто, к слову, что последствия могли бы быть хуже.
Большинство заражений происходит через уязвимость, закрытую Microsoft еще в октябре. Поэтому самый действенный способ защиты - это установить последние обновления безопасности.
Группа: Silver Member
Сообщений: 772
Регистрация: 27.01.06 Авторитет: 36
Вне форума
Предупреждения: (0%)
Цитата
Да исчезли, но принтерами расшареными не пользуюсь, а файл передать еще кучи способов есть, некоторые даже удобнее
вопрос не в альтернативах. в офисных масштабах это может быть абсолютно неприемлимо.
Цитата
Не знаю как реагировал бы мой Касперский 2009
KIS7 сказал Win.NETAPI.buffer-overflow.exploit, думаю 9ка сказалаб приблизительно то-же самое
Цитата
а вот NOD32 с последними апдейтами детектил уже скачанный файл на диске, и попытки обращения к нему svchostом, хотя и блокировал. При этом у нода и http модуль и файловый резидент, и прочая фигня.
ну я и не сомневался что Eset как всегда все проспал, и детект появился после заражения
Цитата
И удалить его могут не все антивири. Ручкамикак то надежнее
- значит может. Иначе - так облажавшись антивирусные компании будут из кожи вон лезть, чтоб как можно безгеморней юзеры могли удалить то, что не обнаруживают их продукты
Цитата
Вообще способ распространения хороший, но маскировка и закрепление в системе простые, можно было бы посильнее воздействовать на систему и реестр, что бы сложнее было предотвратить удаление. Да и вреда то от него не сильно много.
никто не спорит, только излишняя самозащита могла вызвать срабатывание эвристики антивирусов, с учетом блокировки обновлений антивирей автору это было не к чему. к тому-же рано или поздно юзверя задолбают вылеты svchost'а (зря доспускалось многократное заражение, а не как в первых версиях дыра затыкалась), и он либо по привычке форматнет винт переставит винду, либо поисчет по форумам, чтож это за напасть такая.. а вредоностность на зараженном компе второстепенна - ботнетам выгодны работоспособные участники
Если кому интересно - в последнем подкасте security now Steve Gibson подробно рассказывал про механизмы распространения и защиты этогго червя. Послушать можно вот здесь: http://twit.tv/sn193 . Если такой возможности нет, можно почитать статью в wiki вот здесь: http://en.wikipedia.org/wiki/Conficker (она переведена на русский, но очень кратко, и многие детали упущены). Меня лично удивило, что червь может скачивать произвольные апдейты, подтверждая их "оригинальность" с использованием MD6 для хэша, который он потом использует как ключ в RC4 шифровании, а сам хэш подписывает с помощью 4096 битного RSA ключа, private key от которого есть только у автора, а public распространяется вместе с червем. Вдобавок он еще и распространяет эти "апдейты" по принципу P2P, в дополнении к другой хитрой схеме, описанной в wiki.
Что еще интересно - по известной информации червь пытается недопустить заражение IP адресов компьютеров, которые geoip идентифицирует какукраинские (первоначальная версия также завершалась без заражения при попадании в систему, в которой установлена украинская раскладка). Это вдвойне странно учитывая сообщения о заражениях в этой теме.
Что еще интересно - по известной информации червь пытается недопустить заражение IP адресов компьютеров, которые geoip идентифицирует какукраинские (первоначальная версия также завершалась без заражения при попадании в систему, в которой установлена украинская раскладка). Это вдвойне странно учитывая сообщения о заражениях в этой теме.
А у подавляющего большинства украинской раскладки не установлено-просто не нужна, хоть и Украина, но русскоязычная зона
У меня ДрВеб отлавливал само тельце,но при попытке записаться на диск. Спасает нормально только связка Outpost+DrWeb (или ещё какой антивирь по половым предпочтениям ).
А у подавляющего большинства украинской раскладки не установлено-просто не нужна, хоть и Украина, но русскоязычная зона
Я честно говоря не знаю как там у "подавляющего большинства", но на предприятиях и в гос секторе в теории должна быть установлена, тк документация проходит на украинском. Хотя это мелочь - проверка по IP должна была срабатывать, или у большинства российские IP тоже установлены?
смотря как он определяет что украина - у меня Torent и Emule напротив укртелекомовских IPадресов рисует американскийфлаг.
Цитата
As of 13 February 2009, Microsoft is offering a $USD250,000 reward for information leading to the arrest and conviction of the individuals behind the creation and/or distribution of Conficker
Хм... одной заплаткой не отделаешься =) Я ставил 3. _ttp://www.davi.net.ua/wu/WindowsXP-KB957097-x86-RUS.exe _ttp://www.davi.net.ua/wu/WindowsXP-KB958644-x86-RUS.exe _ttp://www.davi.net.ua/wu/WindowsXP-KB958687-x86-RUS.exe