Показано с 1 по 4 из 4.

По поводу последней эпидемии сетевого червя

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2009
    Сообщений
    3
    Вес репутации
    29

    По поводу последней эпидемии сетевого червя

    1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll (размер зависит от штамма), лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).
    2) В реестре найти запись о запускаемом вирусном сервисе. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
    3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в "Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5", где вирус под видом кешированных фалов прячет свои копии.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    16.01.2009
    Сообщений
    3
    Вес репутации
    29
    Первые впечатления после лечения Net-Worm.Win32.Kido (конкретно .ih)...
    На патченых машинах вирь пока не проявлялся. Закрытие порта 445 ничего не даёт, как и следовало ожидать, п.ч. дырява сама служба "Сервер", а это и порты 138, 139. Так 6 непатченых компов были снова небезуспешно атакованы и брешь пробита, но спасло то, что на этапе попытки прописаться в системе вирус не может заблокировать на себя права доступа, поэтому Каспер с актуальными базами легко с ним справляется. Но факт остаётся фактом: пока есть брешь и остаются заражённые компы в сетке, пользователи ещё не раз увидят сообщение о заблокированном и удалённом вирусе.
    Определение этого виря другими антивирусами зависит от его разновидности. Так напр. .ih Каспер видел, а ДрВеб нет. С др. стороны, нашёл в корзинах странный файл hlpsvc.exe, который оказался загрузчиком Worm.Win32.AutoRun.
    Для знакомых с английским есть хорошее описание этого ивруса на http://www.f-secure.com/v-descs/worm...nadup_al.shtml : где прячется, как удалять следы.
    Последний раз редактировалось rasclogin; 21.01.2009 в 22:06.

  4. #3
    Junior Member Репутация
    Регистрация
    24.05.2009
    Сообщений
    2
    Вес репутации
    28
    Извините а можно поподробней о svchost.exe?.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287

Похожие темы

  1. В интернете зафиксирована новая версия сетевого червя Storm
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 29.04.2010, 10:17
  2. VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido
    От NickGolovko в разделе Информационные сообщения
    Ответов: 180
    Последнее сообщение: 02.04.2009, 06:28
  3. Пользователи Symbian подвержены атаке нового сетевого червя
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 20.02.2009, 18:54
  4. Французский флот стал жертвой сетевого червя Conficker
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 12.02.2009, 13:46
  5. Ответов: 0
    Последнее сообщение: 17.01.2009, 21:26

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00484 seconds with 20 queries