[ Поиск ]
Полная Версия: Win32.conflicker
Страницы: 1, 2
Loperamid
Всем привет!

Я небольшой специалист в этом вопросе, но все же выложу инфу об эпидемии жертвой которой я стал.

Причина - Win32.conflicker

Обновленный нод его не валит.

Подробнее о вирусе - _ttp://sinitsyn.org/2009/01/virusnaya-epidemiya-v-ritme-novogo-goda-win32conflicker/

Валит его утилитка - _ttp://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
(если вы не можете скачать утилитку, то скорее всего ваш комп заражен, т.к. вирь блокирует сайты по списку).

Всем удачи, сори если ложная тревога вас.
Loperamid
* Users may not be able to connect to websites or online services that contain the following strings:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

Это то, что вирь блокирует (как я понял)
Iverton
еще можно почитать
Поймал троянчика.
dwor
Loperamid
Аналогичная хуйня уронила у нас всю сеть почти на сутки. Лицензионный Доктор Веб в полной жопе, впрочем как всегда.
Обычный !avast home или семантик решают проблему легко.

Iverton
Не совсем то.
Loperamid
dwor
Да, на буке стоит аваст - там все ок. А стационарной машинке пришлось туго.
ordruf
у нас в конторе 500 компов заразил, до сих пор не выведут, так что поосторожней
Gear
Когда выведут, пусть защиту поставят, антивирусы не эффективны против conflickera, он использует уязвимость в виндовой службе, копируется на винт, и выполняется. Антивирусы максимум его блокируют когда он уже скопировался и пытается запустится. Также всякие сайты с апдейтами недоступны пока он активен, так что после удаления неплохо поставить ой нить апдейт от Microsoft. Кстати я проверял, и нашел способ заходить на те сайты которые он блокирует, причем любым браузером. У себя после первых сообщений антивиря, поудалял файлы conflickera, почистил реестр, лень было ставить патчи или придумывать что то другое, поэтому просто вырубил уязвимую службу, она то и не сильно нужнаsmile.gif Результат 100% smile.gif За последние две недели ни одного сообщения о нем, да и быть его впринципе не можетsmile.gif
XXXLer
Цитата
Когда выведут, пусть защиту поставят, антивирусы не эффективны против conflickera, он использует уязвимость в виндовой службе, копируется на винт, и выполняется

Очень даже эффективны, те кто с встроенным детектором атак блокируют сам нюкающий запрос, с http-модулем - загрузку с http тела вируса, тупо файловые резиденты блокируют доступ при записи вируса на диск - в любом случае если удалить его антивирем, то он не запускается и ничего не блокируется, единственное - вылетает svchost на котором висит LanManServer и уносит с собой часть сетевых служб висевших на нем, после чего конечно сеть ничерта не пашет.
На 2000-ной, где политика аля "с пустым паролем только консольные сеансы" отсуствует, червь резво расползался с учеток админов с пустыми паролями - впрочем это тоже исправимо wink.gif

Выводил последовательной установокой хотфикса и запуском утили от Кастрацких. Ну и на 2k админов в политику аля "Отказ в доступе из сети"

Цитата
поэтому просто вырубил уязвимую службу, она то и не сильно нужна

ну всего-то расшареные папки и принтеры исчезнут bigwink.gif
Gear
Да исчезли, но принтерами расшареными не пользуюсь, а файл передать еще кучи способов есть, некоторые даже удобнее smile.gif Не знаю как реагировал бы мой Касперский 2009, он под другой виндой был, а вот NOD32 с последними апдейтами детектил уже скачанный файл на диске, и попытки обращения к нему svchostом, хотя и блокировал. При этом у нода и http модуль и файловый резидент, и прочая фигня. И удалить его могут не все антивири. Ручками как то надежнее smile.gif Вообще способ распространения хороший, но маскировка и закрепление в системе простые, можно было бы посильнее воздействовать на систему и реестр, что бы сложнее было предотвратить удаление. Да и а то от него не сильно много. Это так просто, к слову, что последствия могли бы быть хуже. smile.gif
alexk
Большинство заражений происходит через уязвимость, закрытую Microsoft еще в октябре. Поэтому самый действенный способ защиты - это установить последние обновления безопасности.
XXXLer
Цитата
Да исчезли, но принтерами расшареными не пользуюсь, а файл передать еще кучи способов есть, некоторые даже удобнее

вопрос не в альтернативах. в офисных масштабах это может быть абсолютно неприемлимо.

Цитата
Не знаю как реагировал бы мой Касперский 2009

KIS7 сказал Win.NETAPI.buffer-overflow.exploit, думаю 9ка сказалаб приблизительно то-же самое

Цитата
а вот NOD32 с последними апдейтами детектил уже скачанный файл на диске, и попытки обращения к нему svchostом, хотя и блокировал. При этом у нода и http модуль и файловый резидент, и прочая фигня.

ну я и не сомневался что Eset как всегда все проспал, и детект появился после заражения

Цитата
И удалить его могут не все антивири. Ручками как то надежнее

- значит может. Иначе - так облажавшись антивирусные компании будут из кожи вон лезть, чтоб как можно безгеморней юзеры могли удалить то, что не обнаруживают их продукты naughty.gif

Цитата
Вообще способ распространения хороший, но маскировка и закрепление в системе простые, можно было бы посильнее воздействовать на систему и реестр, что бы сложнее было предотвратить удаление. Да и вреда то от него не сильно много.

никто не спорит, только излишняя самозащита могла вызвать срабатывание эвристики антивирусов, с учетом блокировки обновлений антивирей автору это было не к чему. к тому-же рано или поздно юзверя задолбают вылеты svchost'а (зря доспускалось многократное заражение, а не как в первых версиях дыра затыкалась), и он либо по привычке форматнет винт переставит винду, либо поисчет по форумам, чтож это за напасть такая.. а вредоностность на зараженном компе второстепенна - ботнетам выгодны работоспособные участники bigwink.gif
Denni
а вот что у меня нод32 нашел:
и лечение - http://virusinfo.info/showthread.php?t=1235
Denni
а это так, для смеха lol.gif и слез blink.gif и кто мне пояснит как это исправить ???
alexk
Если кому интересно - в последнем подкасте security now Steve Gibson подробно рассказывал про механизмы распространения и защиты этогго червя. Послушать можно вот здесь: http://twit.tv/sn193 . Если такой возможности нет, можно почитать статью в wiki вот здесь: http://en.wikipedia.org/wiki/Conficker (она переведена на русский, но очень кратко, и многие детали упущены). Меня лично удивило, что червь может скачивать произвольные апдейты, подтверждая их "оригинальность" с использованием MD6 для хэша, который он потом использует как ключ в RC4 шифровании, а сам хэш подписывает с помощью 4096 битного RSA ключа, private key от которого есть только у автора, а public распространяется вместе с червем. Вдобавок он еще и распространяет эти "апдейты" по принципу P2P, в дополнении к другой хитрой схеме, описанной в wiki.

Что еще интересно - по известной информации червь пытается недопустить заражение IP адресов компьютеров, которые geoip идентифицирует как украинские (первоначальная версия также завершалась без заражения при попадании в систему, в которой установлена украинская раскладка). Это вдвойне странно учитывая сообщения о заражениях в этой теме.
WereWolf
Цитата(alexk @ 27 Апреля, 2009, 0:39)
Что еще интересно - по известной информации червь пытается недопустить заражение IP адресов компьютеров, которые geoip идентифицирует как украинские (первоначальная версия также завершалась без заражения при попадании в систему, в которой установлена украинская раскладка). Это вдвойне странно учитывая сообщения о заражениях в этой теме.


А у подавляющего большинства украинской раскладки не установлено-просто не нужна, хоть и Украина, но русскоязычная зона lol.gif

У меня ДрВеб отлавливал само тельце,но при попытке записаться на диск. Спасает нормально только связка Outpost+DrWeb (или ещё какой антивирь по половым предпочтениям bigwink.gif ).
alexk
Цитата("Werewolf")

А у подавляющего большинства украинской раскладки не установлено-просто не нужна, хоть и Украина, но русскоязычная зона 


Я честно говоря не знаю как там у "подавляющего большинства", но на предприятиях и в гос секторе в теории должна быть установлена, тк документация проходит на украинском. Хотя это мелочь - проверка по IP должна была срабатывать, или у большинства российские IP тоже установлены? wink.gif

simpyalex
ну у меня айпишник точно украинский biggrin.gif
Rumlin
Цитата(alexk @ 27 Апреля, 2009, 16:08)
у большинства российские IP тоже установлены?

смотря как он определяет что украина - у меня Torent и Emule напротив укртелекомовских IPадресов рисует американский флаг.

Цитата
As of 13 February 2009, Microsoft is offering a $USD250,000 reward for information leading to the arrest and conviction of the individuals behind the creation and/or distribution of Conficker
Loperamid
_ttp://letitbit.net/download/64f4bd684735/WINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86INDOWINDOWSXP-KB958644-X86INDOWINDOWSXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86SXP-KB958644-X86indowsXP-KB958644-x86indowsXP-KB958644-x86indowsXP-KB958644-x86-RUS.exe.html - заплатка для виндов
Nikolas
Хм... одной заплаткой не отделаешься =) Я ставил 3.
_ttp://www.davi.net.ua/wu/WindowsXP-KB957097-x86-RUS.exe
_ttp://www.davi.net.ua/wu/WindowsXP-KB958644-x86-RUS.exe
_ttp://www.davi.net.ua/wu/WindowsXP-KB958687-x86-RUS.exe
Fast Reply:

 Enable Smilies |  Enable Signature
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2018 Invision Power Services, Inc.