Рекламный блок.

Всем привет!

Я небольшой специалист в этом вопросе, но все же выложу инфу об эпидемии жертвой которой я стал.

Причина - Win32.conflicker

Обновленный нод его не валит.

Подробнее о вирусе - _ttp://sinitsyn.org/2009/01/virusnaya-epidemiya-v-ritme-novogo-goda-win32conflicker/

Валит его утилитка - _ttp://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
(если вы не можете скачать утилитку, то скорее всего ваш комп заражен, т.к. вирь блокирует сайты по списку).

Всем удачи, сори если ложная тревога вас.

* Users may not be able to connect to websites or online services that contain the following strings:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

Это то, что вирь блокирует (как я понял)

еще можно почитать
Поймал троянчика.

Loperamid
Аналогичная хуйня уронила у нас всю сеть почти на сутки. Лицензионный Доктор Веб в полной жопе, впрочем как всегда.
Обычный !avast home или семантик решают проблему легко.

Iverton
Не совсем то.

dwor
Да, на буке стоит аваст - там все ок. А стационарной машинке пришлось туго.

у нас в конторе 500 компов заразил, до сих пор не выведут, так что поосторожней

Когда выведут, пусть защиту поставят, антивирусы не эффективны против conflickera, он использует уязвимость в виндовой службе, копируется на винт, и выполняется. Антивирусы максимум его блокируют когда он уже скопировался и пытается запустится. Также всякие сайты с апдейтами недоступны пока он активен, так что после удаления неплохо поставить ой нить апдейт от Microsoft. Кстати я проверял, и нашел способ заходить на те сайты которые он блокирует, причем любым браузером. У себя после первых сообщений антивиря, поудалял файлы conflickera, почистил реестр, лень было ставить патчи или придумывать что то другое, поэтому просто вырубил уязвимую службу, она то и не сильно нужна Результат 100% За последние две недели ни одного сообщения о нем, да и быть его впринципе не может

Когда выведут, пусть защиту поставят, антивирусы не эффективны против conflickera, он использует уязвимость в виндовой службе, копируется на винт, и выполняется

Очень даже эффективны, те кто с встроенным детектором атак блокируют сам нюкающий запрос, с http-модулем - загрузку с http тела вируса, тупо файловые резиденты блокируют доступ при записи вируса на диск - в любом случае если удалить его антивирем, то он не запускается и ничего не блокируется, единственное - вылетает svchost на котором висит LanManServer и уносит с собой часть сетевых служб висевших на нем, после чего конечно сеть ничерта не пашет.
На 2000-ной, где политика аля "с пустым паролем только консольные сеансы" отсуствует, червь резво расползался с учеток админов с пустыми паролями - впрочем это тоже исправимо

Выводил последовательной установокой хотфикса и запуском утили от Кастрацких. Ну и на 2k админов в политику аля "Отказ в доступе из сети"

поэтому просто вырубил уязвимую службу, она то и не сильно нужна

ну всего-то расшареные папки и принтеры исчезнут

Да исчезли, но принтерами расшареными не пользуюсь, а файл передать еще кучи способов есть, некоторые даже удобнее Не знаю как реагировал бы мой Касперский 2009, он под другой виндой был, а вот NOD32 с последними апдейтами детектил уже скачанный файл на диске, и попытки обращения к нему svchostом, хотя и блокировал. При этом у нода и http модуль и файловый резидент, и прочая фигня. И удалить его могут не все антивири. Ручками как то надежнее Вообще способ распространения хороший, но маскировка и закрепление в системе простые, можно было бы посильнее воздействовать на систему и реестр, что бы сложнее было предотвратить удаление. Да и а то от него не сильно много. Это так просто, к слову, что последствия могли бы быть хуже.

Большинство заражений происходит через уязвимость, закрытую Microsoft еще в октябре. Поэтому самый действенный способ защиты - это установить последние обновления безопасности.

Да исчезли, но принтерами расшареными не пользуюсь, а файл передать еще кучи способов есть, некоторые даже удобнее

вопрос не в альтернативах. в офисных масштабах это может быть абсолютно неприемлимо.

Не знаю как реагировал бы мой Касперский 2009

KIS7 сказал Win.NETAPI.buffer-overflow.exploit, думаю 9ка сказалаб приблизительно то-же самое

а вот NOD32 с последними апдейтами детектил уже скачанный файл на диске, и попытки обращения к нему svchostом, хотя и блокировал. При этом у нода и http модуль и файловый резидент, и прочая фигня.

ну я и не сомневался что Eset как всегда все проспал, и детект появился после заражения

И удалить его могут не все антивири. Ручками как то надежнее

- значит может. Иначе - так облажавшись антивирусные компании будут из кожи вон лезть, чтоб как можно безгеморней юзеры могли удалить то, что не обнаруживают их продукты

Вообще способ распространения хороший, но маскировка и закрепление в системе простые, можно было бы посильнее воздействовать на систему и реестр, что бы сложнее было предотвратить удаление. Да и вреда то от него не сильно много.

никто не спорит, только излишняя самозащита могла вызвать срабатывание эвристики антивирусов, с учетом блокировки обновлений антивирей автору это было не к чему. к тому-же рано или поздно юзверя задолбают вылеты svchost'а (зря доспускалось многократное заражение, а не как в первых версиях дыра затыкалась), и он либо по привычке форматнет винт переставит винду, либо поисчет по форумам, чтож это за напасть такая.. а вредоностность на зараженном компе второстепенна - ботнетам выгодны работоспособные участники

а вот что у меня нод32 нашел:
и лечение - http://virusinfo.info/showthread.php?t=1235

Отредактировал Denni - 8 Апреля, 2009, 18:03

а это так, для смеха и слез и кто мне пояснит как это исправить ???

Если кому интересно - в последнем подкасте security now Steve Gibson подробно рассказывал про механизмы распространения и защиты этогго червя. Послушать можно вот здесь: http://twit.tv/sn193 . Если такой возможности нет, можно почитать статью в wiki вот здесь: http://en.wikipedia.org/wiki/Conficker (она переведена на русский, но очень кратко, и многие детали упущены). Меня лично удивило, что червь может скачивать произвольные апдейты, подтверждая их "оригинальность" с использованием MD6 для хэша, который он потом использует как ключ в RC4 шифровании, а сам хэш подписывает с помощью 4096 битного RSA ключа, private key от которого есть только у автора, а public распространяется вместе с червем. Вдобавок он еще и распространяет эти "апдейты" по принципу P2P, в дополнении к другой хитрой схеме, описанной в wiki.

Что еще интересно - по известной информации червь пытается недопустить заражение IP адресов компьютеров, которые geoip идентифицирует как украинские (первоначальная версия также завершалась без заражения при попадании в систему, в которой установлена украинская раскладка). Это вдвойне странно учитывая сообщения о заражениях в этой теме.

Что еще интересно - по известной информации червь пытается недопустить заражение IP адресов компьютеров, которые geoip идентифицирует как украинские (первоначальная версия также завершалась без заражения при попадании в систему, в которой установлена украинская раскладка). Это вдвойне странно учитывая сообщения о заражениях в этой теме.

А у подавляющего большинства украинской раскладки не установлено-просто не нужна, хоть и Украина, но русскоязычная зона

У меня ДрВеб отлавливал само тельце,но при попытке записаться на диск. Спасает нормально только связка Outpost+DrWeb (или ещё какой антивирь по половым предпочтениям ).

А у подавляющего большинства украинской раскладки не установлено-просто не нужна, хоть и Украина, но русскоязычная зона 

Я честно говоря не знаю как там у "подавляющего большинства", но на предприятиях и в гос секторе в теории должна быть установлена, тк документация проходит на украинском. Хотя это мелочь - проверка по IP должна была срабатывать, или у большинства российские IP тоже установлены?

ну у меня айпишник точно украинский

у большинства российские IP тоже установлены?

смотря как он определяет что украина - у меня Torent и Emule напротив укртелекомовских IPадресов рисует американский флаг.

As of 13 February 2009, Microsoft is offering a $USD250,000 reward for information leading to the arrest and conviction of the individuals behind the creation and/or distribution of Conficker

_ttp://letitbit.net/download/64f4bd684735/WINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86indowsXP-KB958644-x86indowsXP-KB958644-x86indowsXP-KB958644-x86-RUS.exe.html - заплатка для виндов

Хм... одной заплаткой не отделаешься =) Я ставил 3.
_ttp://www.davi.net.ua/wu/WindowsXP-KB957097-x86-RUS.exe
_ttp://www.davi.net.ua/wu/WindowsXP-KB958644-x86-RUS.exe
_ttp://www.davi.net.ua/wu/WindowsXP-KB958687-x86-RUS.exe