Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
вот после чего эта тварь завелась скажу приватно тому кто мне ее впер. собственно, проявился запрос от файервола по поводу tftp.exe пущать/не пущать. думаю "интересно что далее" далее мне по этому протоколу передают файлик winole.exe и это файло в свою очередь тоже начинает куда то ломиться, естествеено файл получил запрет.
далее, svhost.exe начал жрать порядка 80% ресурсов, файл windows/system32/winole.exe удалить не получаеться, занят процессом. черт с ним, загружаюсь под safe_mode выношу эту гнусь, правлю группу автозагрузки (естественно он уже и туда прописался). перезагружаю винды, честно купленные винды молвят, с момента активации конфигурация была значительно изменена, пошли регистрироваться ... вообщем поимел легкую головную боль, поскольку деяние сего виреза описано оч скудно. а именно.
Цитата
Also Known As
Type Backdoor Systems Affected Win32 Resident in System Memory No Origin others Encryption No Discovered on 09/23/2004 How it spread Network Infection symptoms DoS attack, Changes registry, Accessing certain IRC server, Opens the specific port Specific date of infections None Destructivity/ Distribution Potential *** / *** ViRobot version able to detect/repair Able to detect/repair [ViRobot version: 09/23/2004]
Technical description [Summary]
Backdoor.Win32.IRBot_Gen is the name that detects unknown Bot system applied from ViRobot engine update (Sep. 23,
2004).Backdoor.Win32.IRCBot_Gen is the name that contains the following Bot series.
ViRobot detects/repairs unknown Bot series but there are some cases that it doesn't detect if the variants change a lot. ViRobot engine is constantly updated so you should maintain the latest version.
[Infection method]
The spreading method is changed and added under the variants besides the typical spreading method arranged as below.
1. It takes an advantage of the following Windows Security Vulnerability.
2. It takes an advantage of IPC$(Manager) Password Vulnerability(Infection caused by the password that is easy to inferred).
The reason why the malignant code can use IPC$ share is because System Manager Password isn't set or simply set. Therefore the password
should be set long enough to protect against illegal access.
[Infection path]
The typical symptoms of Bot which is known currently are as the following.
1. Random TCP port is opened. After Bot connects to the specified IRC channel without a user's permission, it becomes the agent that receives
commands from a hacker to execute the following functions.
- Close process - Execute HTTP, ICMP, SYN, UDP flood - Upload/download and execute file from the specified url or server - Update installed backdoor - Send backdoor file to another IRC channel - Delete installed backdoor(include registry modification) - Expose system information of infected PC, Windows product CDKey, AOL password and famous game CDKey - Steal email address saved in computer
2. After it connects to IRC server, it attempts to DoS(Denial of Service) attack specified URL by a hacker's commands.
3. The following network share is removed by a hacker's command.
- admin$ - ipc$ - d$ - c$
4. Worm modifies "(Windows system folder)\drivers\etc\hosts" of infected computer to make user hard to connect to the websites related to
anti-virus. Worm set the following path with 127.0.0.1 to be black-hole routing. (hosts file modified by worm is detected/repaired as "HOSTS.Noconnt.A" in ViRobot.)
Currently there is no description available for this malicious program.
As many viruses and worms are modifications of earlier versions, it may help you to check the descriptions of similar malicious software. If such descriptions are available, they will be listed at the top of the page.
скажите, а просто Каспером или drWeb-ом эту ****ю удалить можно? а то я полный ноль в этих всех системных делах. Кстати, у меня это само приползло, f-prot ее не заметил, скотина. А когда заметил, то отказался удалять, только доступ закрыл. щас поставила zonealarm, но не знаю чем она в данный помочь может.
Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
annamb загрузитесь под Save Mode (кнопка F8 при загрузке) удалите файл winole.exe из папки кажеться system32, откройте группу автозагрузки Пуск _ Выполнить _ msconfig закладка Автозагрузка уберите оттуда строку которая соответсвует автозапуску этой дряни. усё.
____________________
Ничто так не сближает людей, как снайперский прицел
А мне вчера машинку принесли сказка пень 400х128 ХП с двумя ланнч. паками с кучей вирей погонял антивирь убил 60шт запустил антиспай от мелкомягких находит три виря но удалить неможет. Ладно лезу через дос убиваю загруз все вири на месте ладно ставлю каспера ох и гемор если до этого комп ползал то теперь встал каспер шуршит и больше ничего даже не шевелится оставил на ночь. Утром нашел 150 вирей почти всех убил, но этот vtd_16.exe сидит на месте в сейв моде выкидывает окно с ошибкой если окно убрать видишь чорный экран, а вот если его здвинуть работать можно каспер с последним обновлением этот вирь не видит в упор ладно нахожу инфу
Вирус первой категории Обнаружен: 21 октября 2004 года Последнее обновление: 22 октября 2004
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
2.запускает %System%vdt_16.exe как скрытый процесс.
3.добавляет в реестр ключи: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesvdnt32 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetENUMROOTLEGACY_VDNT32 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmemlow HKEY_LOCAL_MACHINESYSTEMCurrentControlSetENUMROOTLEGACY_MEMLOW
4.добавляет значение "Disable TrayIcon" = 1 в ветку реестра: HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters
5.добавляет значения "Impersonate" = "[1236477522472955044]" "StackSize" = "21:10" в ветку реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
6.модифицирует значение "EnforceWriteProtect" = "0" в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
7.добавляет значение "hws" = "0x428" в HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersion
8.модифицирует значения HKEY_LOCAL_MACHINESystemCurrentControlSetControlMPRServicesTestService HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifydraw32
9.пытается удалить значения HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRun"secboot" HKEY_LOCAL_MACHINESystemCurrentControlSetServices SharedAccess"start"
10.открывает TCP порты 16661, 55168,18916 и ждет команд.
11.пытается скопировать файл паролей SAM как файл с именем SLL.
Убиваю выше описаные файлы правлю реестр перезагруз вири на месте Убиваю снова а заодно убираю все из папки _restore перезагруз вири на месте и все это на тачке которая еле двигается. Блин какое счастье это слово format. Неэнаю что они поменяли в этом вире но сейчас он вообще не убиваемый.