Vicious червь продолжает распространяться, угрожая перерасти в эпидемию Червь называли Win32/Conficker на ESET имеет входит в число наиболее широкое распространение глобальных угроз, уже в конце прошлого года. По сравнению с его первоначальной версии, вариант spreding еще более агрессивно, благодаря своей способности блокировать обновление антивирусных программ. Для увеличения своей разрушительной мощи, даже дальше, его создатели добавили функцию, позволяя ему распространиться на пути USB ключа. "Новая функциональность позволяет ему проникать в систему с помощью USB ключа играет важную роль в успехе ее распространения, так как это часто бывает, что если антивирус решение не может обнаружить вредоносные программы (в связи с отключением в А.В.), единственный способ удалить его, чтобы загрузить обновления подписи или "вылечить" с помощью USB-устройство. В ходе этой процедуры, однако, червь, как известно, переходит к USB устройство, которое, по сути, продолжает увековечивать ее распространения на другие рабочие , говорит Юрай Malcho, руководитель ESET в Антивирусная лаборатория. Червь первоначальный вариант содержал ссылку на домен известные как "центр для распространения шпионских программ и фальшивых антивирусных продуктов". Это было о ложной тревоге, выработанные создателей вредоносных программ на заманить пользователя в разработке дистанционным управлением botnet, которые могут быть потенциально использованы для вредоносных целей. Кроме того, авторы вредоносных программ с применили новаторский метод контроля червя - каждый день создания новой псевдослучайного доменов (Domain себя как случайные), где червь докладов по инструкции.
Именно эта особенность, что сделало возможным для борьбы с вирусом специалисты по карте из фактического размера из botnet - которые в соответствии с настоящей сметы содержит миллионы зараженных компьютеров. Во всем мире продолжает Win32/Conficker на звание одной из угроз в начале 2009 года. "Conficker обладает потенциалом роста в эпидемию. Она эксплуатирует известную уязвимость в ОС Windows, которая только способствует его распространению в массовом масштабе". По сравнению с некоторыми другими сопоставимыми червей, Conficker является более сложной и более высокой степени сложности по мере ее обнаружения и удаления беспокоит ", добавляет Malcho. Удаление Win32/Conficker 1) Отключите зараженный компьютер от сети и Интернет. 2) Используйте незараженный компьютер для загрузки соответствующих исправлений Windows из следующих сайтов: MS08-067, MS08-068 в MS09-001. 3) Сброс системе пароли администратора счет использования более сложных из них. 4) Скачать аккордная ESET заявка (опять же, используя неинфицированными ПК), который будет удалить червя. http://download.eset.com/special/EConfickerRemover.exe 5) Установка обновленной антивирусной программой. 6) вновь подключить компьютер к сети и Интернету. Сохранить или доли статью о своем любимом социальной сети страницу. Сетевой червь Win32.HLLW.Shadow.based использует уязвимости Microsoft Windows Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based (известный также под именем Conficker.worm, Downadup и Kido), который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ. Способы распространения Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx- xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя. Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP. Действия, совершаемые после запуска вируса После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу. Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети. Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний. В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений. Назначение Win32.HLLW.Shadow.based Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений Установить патчи, указанные в следующих информационных бюллетенях Microsoft: MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx); MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx); MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx). Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. Скачать текущую версию утилиты Dr.Web CureIt! на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему. Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield™, который позволяет получать неограниченный доступ к файлам и веткам реестра, защищённым таким образом. Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based установиться в систему.
По роду своей работы в сфере IT мне достаточно часто приходится сталкиваться с проблемами не всегда стандартными для IT сферы. Так же заметки со ссылками на статьи которые очень часто на практике выручали, держать на своем компе стало не удобно. По этой причине создан этот блог - записная книжка статей и заметок. Авторов статей прошу не обижаться если местами забыл сделать на них обратную ссылку. Пишите в комментариях все обязательно поправлю..
Поиск по моему блогу
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий