Вирусная активность!!! WARNING VIRUS!!!

[gil]

вирусописатели под линукс будут сильно разочарованы, если вдруг у меня не найдется какой-либо библиотеки нужной версии..
или, учитывая то, что вирус-код должен быть небольшим, при переходе на новую версию какой-либо библиотеки вирус просто вывалит мне корку..
и, к тому же, каждый новый вирус, эксплуатирующий какую-либо уязвимость будет вести к тому, что тут же будет выходить патч..
и, к слову, чтоб защитить Windows надо купить файрволл, надо купить антивирус, надо купить антишпион..
а в Линуксе - при установке не снимать галочек с clamav, freshclamav и всяких там shorewall.. и все.. бесплатно..

[FlaTHunTeR]

вирусописатели под линукс будут сильно разочарованы, если вдруг у меня не найдется какой-либо библиотеки нужной версии..
или, учитывая то, что вирус-код должен быть небольшим, при переходе на новую версию какой-либо библиотеки вирус просто вывалит мне корку..
и, к тому же, каждый новый вирус, эксплуатирующий какую-либо уязвимость будет вести к тому, что тут же будет выходить патч..
и, к слову, чтоб защитить Windows надо купить файрволл, надо купить антивирус, надо купить антишпион..
а в Линуксе - при установке не снимать галочек с clamav, freshclamav и всяких там shorewall.. и все.. бесплатно..

покупать не обязательно, и там есть бесплатное!

а про главный вирус... эт действительно сам человек! комп... эт лишь инструмент! и сам он работать не умеет! а потому все проблемы от эксплуатации!

[gil]

да, человеческий фактор - решающий фактор в распространении вирусов..
ну неужели всем вендопользователям сложно создавать на флэшках папку "autorun.inf", делать ее скрытой и системной и не разносить больше вирусы??
сложно.. ой как сложно..

З.Ы.: кстати, про autorun.inf - действительно помогает..
пишем bat-файл:

Код: Выделить всё

@echo off
K:
cd \
attrib -r -s -h -a autorun.inf
del autorun.inf
mkdir autorun.inf
attrib +r +s +h +a autorun.inf

только поменять K: на букву вашего диска..
и все.. никаких больше автозапусков незапланированных..
и не стоит боятся по друзьям ходить.. ничего не пролезет..

[Roha]

Каспер его обозвал Net-Worm.Win32.Kido, SAV обозвал как W32.Downadup.
Останавливает службы Сервер и Обозреватель компьютеров, как на северах так и на клеентах, вследствии чего пропадает доступ к ресурсам. Если компьютер не заражен необходимо поставить заплатку kb958644.

[MiRNiY]

Ты где вируса взял???
Мне тоже такой надо!!!

[MaSe]

Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает злобствовать. Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure - Патрик Руналд (Patrik Runald) .

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.

Лечение: Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:

Решение 1 от Лаборатории Касперского:

http://www.kaspersky.ru/support/wks6mp3 ... =208636215
http://data2.kaspersky-labs.com:8080/sp ... r_v3.1.zip

Решение 2 от Компании «Доктор Веб»:

http://news.drweb.com/show/?i=204&c=5&p=0
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Далее установить 3 заплатки на Windows XP2 и одну Windows XP3:

MS08-067 (http://www.microsoft.com/technet/securi ... 8-067.mspx);
MS08-068 (http://www.microsoft.com/technet/securi ... 8-068.mspx);
MS09-001 (http://www.microsoft.com/technet/securi ... 9-001.mspx)

Атаки с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет антивирус ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.

[Roha]

Заплатки не помогают, симантек лечит зараженные файлы и удаляет некоторые, но вирус всеравно лезет.
Жесткий вирус, интересно кто его написал, русские или нет?

[CrazyOtaku]

А ето....как отличить нормальный локальный траффик от ээ....большого?Ведь он ето, в пакетах измеряется...я чёт недогоняю....

[gil]

А ето....как отличить нормальный локальный траффик от ээ....большого?Ведь он ето, в пакетах измеряется...я чёт недогоняю....

посмотри tcpdump'ом.. посмотри netstat -an..

[MiRNiY]

Жесткий вирус, интересно кто его написал, русские или нет?

по-любому славяне, но стопудово те кто следит за новостями уязвимостей.

[MaSe]

Метод создания на флешке одноименного каталога AUTORUN.INF уже не канает, новые вирусы научились удалять этот каталог, или переименовывать в случае невозможности удаления

[gil]

мне еще ни один такой вирус не попался..
если увидишь - мыльни, в песочнице поиграюсь с ним =)

[MiRNiY]

Метод создания на флешке одноименного каталога AUTORUN.INF уже не канает...

я флеху форматнул да, файлики такие залил да, доступ к ним запретил да,
и вирусов нет..

[ROBOCOP]

re
купитя флеху с защитой от записи и воткните микро командер и нет мусора!

[MaSe]

Мифы о полной защищенности *nix-систем постепенно уходят в прошлое. Недавним примером уязвимости *nix-систем стали обнаруженные Лабораторией Касперского трояны Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a.

Подробности