Взрослая социальная сеть
Текстовая версия форума
Знакомства для секса Регистрация


вирус против сайтов антивирусов

Текстовая версия форума: Архив компьютерного форума



Полная версия топика:
вирус против сайтов антивирусов -> Архив компьютерного форума


Страницы: [1]

задумчивый
У меня стоял НОД32. Мне он показался отстоем. Пропустил вирус, который обрушил систему, причём так, что впервые пришлось вызывать специалиста на дом. Специалист трудился 9 часов, пока восстановил. Лечил Касперским, и Касперский нашёл штук 400 вирусов, которые НОД не видел. Ну, и не только это. Лицензия кончилась, и я не хотел этот НОД опять ставить. Короче, когда собрался наконец обновить антивирус - хотел сначала зайти на сайт НОДа, посмотреть условия продления лицензии. Выдало: сервер не найден. Позвонил в техподдержку НОДа - там удивились, и сказали, что 2 месяца с окончания лицензии уже прошло, так что всё равно его покупать заново. Короче, не обратил я на эту недоступность сайта внимания. Хотел поставить Панду, но в магазине попался доктор Вэб, и купил. Удалил НОД, поставил доктора, а при попытке активации мне выдало то же самое: невозможно найти сервер. Техподдержка Вэба обрадовала такой новостью:


QUOTE
  Сетевой червь Win32.HLLW.Shadow.based использует уязвимости
    Microsoft Windows

*15 января 2009 г.*

*Компания «Доктор Веб» информирует о широком распространении опасного
сетевого червя Win32.HLLW.Shadow.based (известный также под именем
Conficker.worm, Downadup и Kido), который использует несколько
альтернативных методов распространения, один из которых — уязвимости
операционной системы Windows, которой подвержены Windows 2000 и более
поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов
Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся
(полиморфный) упаковщик, что затрудняет его анализ.*


      Способы распространения

Сетевой червь *Win32.HLLW.Shadow.based*, некоторые образцы которого
также могут определяться антивирусом *Dr.Web как
Win32.HLLW.Autorunner.5555*, использует для своего распространения сразу
несколько способов. Прежде всего — съёмные носители и сетевые диски
посредством встроенного в Windows механизма автозапуска. В этом случае
имя вредоносного файла является случайным и содержится в папке вида
RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же
структуру папок использует Корзина Windows для хранения удалённых
файлов, что позволяет вирусу оставаться незаметным для пользователя.

Кроме того, червь может распространяться по сети с использованием
стандартного для Windows-сетей протокола SMB. При этом для организации
удалённого доступа к компьютеру *Win32.HLLW.Shadow.based* перебирает
наиболее часто встречающиеся способы задания пароля, а также пароли из
своего словаря. При положительном результате поиска червь копирует себя
в системную папку компьютера-жертвы и создаёт задание на запуск через
определённый промежуток времени.

Наконец, вирус распространяется по сети с использованием уязвимости,
которая устраняется с помощью критичного обновления, описанного в
бюллетене Microsoft MS08-067. На целевой компьютер отправляется
специально сформированный запрос, приводящий к переполнению буфера. В
результате данных действий компьютер-жертва загружает вредоносный файл
по протоколу HTTP.


      Действия, совершаемые после запуска вируса

После запуска *Win32.HLLW.Shadow.based* проверяет, в каком процессе он
находится, и если это процесс rundll32.exe, то внедряет свой код в
системные процессы svchost.exe и explorer.exe. Затем вирус открывает в
Проводнике текущую папку и прекращает свою работу.

Если *Win32.HLLW.Shadow.based* определяет, что он находится не в
процессе rundll32.exe, то он создает свою копию со случайным именем и
прописывает её в качестве службы Windows, а также в реестр для
обеспечения автозапуска после перезагрузки компьютера и останавливает
работу службы обновления Windows. Далее в системе устанавливается
собственная реализация HTTP-сервера, с помощью которого начинается
распространение вируса по сети.

Если вирус определяет, что он находится в процессе svchost.exe,
запущенном в качестве DNS-клиента, то внедряет свой код в функции работы
DNS на компьютере, тем самым блокируя доступ к сайтам множества
антивирусных компаний.

В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого
входит изменение в памяти системного файла tcpip.sys с целью увеличения
стандартного ограничения системы на количество одновременных сетевых
подключений.


      Назначение Win32.HLLW.Shadow.based

Данная вредоносная программа была создана с целью формирования очередной
бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых
файлов со специально созданных для этого серверов, установку и запуск
этих программ на компьютерах, входящих в эту бот-сеть. Целью
преступников может быть как самостоятельное извлечение прибыли из
построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе
на работающие бот-сети в настоящее время нет.


Прислали мне на почту программу для лечения, а я её скачать не могу - у меня какая-то вэб-страница скачивается, и не открывается. К сожалению, другого, незаражённого компа в зоне доступа сейчас нет.
Не знает ли кто случайно, где скачать это, или аналогичное средство:
launch.exe
Алексеев
Легко, у меня на компе файлов launch.exe штук десять всяких разных. Могу ещё setup.exe и readme.txt заодно залить :)

Но, дабы не работать в пень, советую скачать архив отсюда: http://www.rapidshare.ru/927457. После скачивания нужно запустить утилиту Anti-Downadup, если не поможет - CureIT в !!!безопасном режиме.
JeyLo
Что за бред?
задумчивый
t-kvark, за коммент спасибо!) Но я уже решил вопрос: я не мог скачать файл через Мозиллу, и мне не сразу пришло в голову, что Эксплорер - тоже браузер)
Скачал, пролечил в безопасном режиме, антивирус активировал. Работает хорошо. Уже пару раз сообщил за час работы о попытке того Шадоу-как-его-там пролезть ко мне снова, и ещё пяток вирусов перехватил.
busbm
аваст про рулит ))) никаких проблем, вообще. уже который год
zlo28
QUOTE (задумчивый @ 23.02.2009 - время: 20:57)
У меня стоял НОД32. Мне он показался отстоем.

Когда кажется крестится нужно! Если не обновлять базы любой антивирус покажется отстоем. Стоит 3-ий нод и успешно борится с этим вирусом. ДА и тут с этим вирусом уже пару тем поднималось можно было почитать...Или цель топик стартера реклама касперского и доктора веба?
задумчивый
zlo28, нет, рекламных целей я не преследовал. Темы про "этот" вирус не увидел, возможно, невнимательно смотрел.
Нод у меня был лицензионный, база постоянно обновлялась через инет.
Алексеев
Да ладно, человек на этом форуме не бывает почти, не стоит требовать от него знаний архивариуса :)
А споры на предмет "какой антивирус лучше", наряду с "Что лучше, Intel или AMD", "Windows или Linux" всегда бесконечные, бессмысленные и беспощадные. Идеального всё равно нет book.gif
Ибис
Народ, подскажите. Как удалить вирус с компа? У меня стоит Аваст, вчера при сканировании он обнаружил вирус Win 32. Удалить его антивирусник не может, смог только переместить в хранилище. Из хранилища тоже не удалается. Пришлось делать откат системы, но, думаю, это не надолго. Что делать?

Страницы: [1]

Архив компьютерного форума -> вирус против сайтов антивирусов





Проститутки Киева | индивидуалки Москвы | Эротический массаж в Москве | Проститутки-индивидуалки Москва