Просмотр полной версии : Новый червячок Worm/Maslan.B
Worm/Maslan.B
На его присутствие указывают следующие признаки:
Наличие файлов:
\%SystemDIR%\___u (Размер файла: 54.784 Bytes)
\%SystemDIR%\___r.exe (Размер файла: 49.445 Bytes)
\%SystemDIR%\___j.dll (Размер файла: 21.504 Bytes)
\%SystemDIR%\___n.EXE (Размер файла: 15.872 Bytes)
\%SystemDIR%\___synmgr.exe (Размер файла: 15.872 Bytes)
\%SystemDIR%\___t (Размер файла: ~ Bytes)
\%SystemDIR%\___Prior (Размер файла: ~ Bytes)
\%SystemDIR%\___e (Размер файла: 74.972 Bytes, BASE64 Datei)
\%SystemDIR%\___m (Размер файла: ~ Bytes)
\%WindowDIR%\a (Размер файла: ca. 57 Bytes, Batchdatei)
\%SystemDIR%\AlaFtp (Размер файла: ~ Bytes)
\%SystemDIR%\AlaDdos (Размер файла: ~ Bytes)
\%SystemDIR%\AlaScan (Размер файла: ~ Bytes)
\%SystemDIR%\AlaMail (Размер файла: ~ Bytes)
c:\___b\*.*
Ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"Microsoft Synchronization Manager"="___synmgr.exe"
"Microsoft Windows DHCP"="\%WindowDIR%\___r.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices]
"Microsoft Synchronization Manager"="___synmgr.exe"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"Microsoft Synchronization Manager"="___synmgr.exe"
Worm/Maslan.B завершает след процессы:
_AVPM.EXE, _AVPCC.EXE, _AVP32.EXE, ZONEALARM.EXE, ZAPSETUP3001.EXE, ZONALM2601.EXE, ZAPRO.EXE, VIRUSMD, PERSONALFIREWALL.EXE, VIR-HELP.EXE, VFSETUP.EXE, TAUMON.EXE, TASKMON.EXE, RESCUE32.EXE, PROCESSMONITOR.EXE, PADMIN.EXE, OUTPOSTINSTALL.EXE, OUTPOST.EXE, NPROTECT.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NETUTILS.EXE, NETMON.EXE, NC2000.EXE, NAVWNT.EXE, NAVW32.EXE, NAVDX.EXE, AUTO-PROTECT.NAV80TRY.EXE, NAV.EXE, KILLPROCESSSETUP161.EXE, KERIO-WRP-421-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-PF-213-EN-WIN.EXE, KAVPF.EXE, KAVPERS40ENG.EXE, KAVLITE40ENG.EXE, JAMMER.EXE, GUARDDOG.EXE, GUARD.EXE, DRWEBUPW.EXE, DRWEB32.EXE, DRWATSON.EXE, CLICK.EXE, CLEANPC.EXE, CLEANER3.EXE, CLEANER.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVKWCTl9.EXE, AVKSERVICE.EXE, AVKSERV.EXE, AVKPOP.EXE, AVGUARD.EXE, AUTOUPDATE.EXE, AUPDATE.EXE, ATGUARD.EXE, ANTIVIRUS.EXE und ANTI-TROJAN.EXE
Более подробно на: http://www.antivir.de/en/virus_information/virus_encyclopaedia/index.html?show=1&tx_ideaavviruslex_pi2[showUid]=789&no_cache=1
Grisoft об этой заразе еще 5 декабря 2004 г. сообщил.
http://free.grisoft.com/freeweb.php
P.S.: ждём реакции KAV.
Grisoft об этой заразе еще 5 декабря 2004 г. сообщил.
http://free.grisoft.com/freeweb.php
P.S.: ждём реакции KAV.
А что, они ещё не детектят?
Участковый
07.12.2004, 20:04
Worm/Maslan.B завершает след процессы:
Неужели действительно убивает антивирусы? А как же их защита от выгрузки?
А что, они ещё не детектят?
Поставь, попробуй и узнаешь. И нечего ехидничать.
P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.
Поставь, попробуй и узнаешь. И нечего ехидничать.
P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.
Чё пробовать? У ртебя этот вирус есть? Если есть, то кидай на
[email protected]
Чё пробовать? У ртебя этот вирус есть? Если есть, то кидай на
[email protected]
Как только поймаю, ты первый об этом узнаешь (в принципе можно поискать на http://www.google.com или http://vx.netlux.org (недели через две может там всплывёт :)).
P.S.: Касперскому в пополнении баз я помогать не намерен :).
Как только поймаю, ты первый об этом узнаешь.
P.S.: Касперскому в пополнении баз я помогать не намерен.
Ну так если у тебя его нет, откуда знаешь что КАВ его не ловит?
Ну так если у тебя его нет, откуда знаешь что КАВ его не ловит?
Ну конечно, как я забыл, что KAV обзывает вирусы по-своему, не как у людей.
Кстати, я посылаю вирусы не только в ЛК а так же ДрВеб, ВБА32, АВЗ.
Кстати, я посылаю вирусы не только в ЛК а так же ДрВеб, ВБА32, АВЗ.
И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.
И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.
Помогаю чистить интрнет. По той же причине создан и этот форум.
Помогаю чистить интрнет. По той же причине создан и этот форум.
А почему не посылаешь new вирусы в компании предлагающее антивирусные программы бесплатно?
avast! -
[email protected]
AntiVir -
[email protected] ,
[email protected]
и т.д.
Участковый
07.12.2004, 21:15
Поставь, попробуй и узнаешь. И нечего ехидничать.
Я действительно просто спрашивал. Извини, если что не так.
P.S.: Кроме KAV, ради интереса, другие антивирусы поизучай.
Ставил DrWeb, Vba32, Nod 32, обе Панды, а также Tauscan. Остались только KAV и Vba (сканер). И вообще, если столько людей, несмотря на тормоза, выбирают KAV, это не причина для размышлений?
Ну а лично у меня он не пропустил ни одного виря (в отличие от всех остальных антивирусов - хоть один пропуск был у каждого). Хотя это, видимо, следствие не самой программы, а её широкой распространённости (чем больше людей присылают файлы, тем больше база).
А почему не посылаешь new вирусы в компании предлагающее антивирусные программы бесплатно?
avast! -
[email protected]
AntiVir -
[email protected] ,
[email protected]
и т.д.
Потому что лень проверять знает ли каждая из них файлы которые мне попадают :)
Alexey P.
07.12.2004, 22:29
И что тобой руководит? Помогаешь очистить Интернет от грязи или помогаешь ещё больше заработать AV компаниям, учитывая, что при этом гибнет профессиональная VX сцена.
Очень странное мнение, не сказать бы большего.
Никогда не думал, что препятствие _распространению_ вирусов как-то может сказаться на VX сцене. Уж скорее наоборот - чем меньше вирусов шляется "in the wild", тем меньше претензии к этой самой сцене.
Потому что лень проверять знает ли каждая из них файлы которые мне попадают :)
А http://virusscan.jotti.dhs.org на что? Правда там базы не очень оперативно обновляют.
Очень странное мнение, не сказать бы большего.
Никогда не думал, что препятствие _распространению_ вирусов как-то может сказаться на VX сцене. Уж скорее наоборот - чем меньше вирусов шляется "in the wild", тем меньше претензии к этой самой сцене.
Существует мнение, что все более-менее совершенные разработки и наработки AV компании используют внутри, предлагая пользователям очень урезанные версии своих продуктов. http://vmyths.com
P.S.: Возможно кое-кто из AV фирм в тайне спонсирует VX сцену, чтобы не потерять свои доходы (очень даже не шуточные).
Я действительно просто спрашивал. Извини, если что не так.Ставил DrWeb, Vba32, Nod 32, обе Панды, а также Tauscan. Остались только KAV и Vba (сканер). И вообще, если столько людей, несмотря на тормоза, выбирают KAV, это не причина для размышлений?
Ну а лично у меня он не пропустил ни одного виря (в отличие от всех остальных антивирусов - хоть один пропуск был у каждого). Хотя это, видимо, следствие не самой программы, а её широкой распространённости (чем больше людей присылают файлы, тем больше база).
Выбор KAV большинством людей, не признак ли это стада (толпы), ни чего не понимающей и следующий за вожаком (лидером, СМИ и т.д.) (в истории много таких примеров).
Участковый
08.12.2004, 18:47
Выбор KAV большинством людей, не признак ли это стада (толпы), ни чего не понимающей и следующий за вожаком (лидером, СМИ и т.д.) (в истории много таких примеров).
И что, ставить что-то другое только потому, чтобы стать непохожим на остальных?
P.S. KAV нравится лично мне.
И что, ставить что-то другое только потому, чтобы стать непохожим на остальных?
P.S. KAV нравится лично мне.
Основная проблема КАВ это большое потребление ресурсов. Однако, вместе с тем, на сегодня он даёт максимальную защиту. Так что для "чайника" это наилучший выбор.
Участковый
08.12.2004, 19:42
Основная проблема КАВ это большое потребление ресурсов. Однако, вместе с тем, на сегодня он даёт максимальную защиту. Так что для "чайника" это наилучший выбор.
Зачем ставить антивирус, который хоть и работает быстро, но плохо? Защита – она или по максимуму (хотя стопроцентной, конечно, не бывает), или это уже не защита, а только бесполезные тормоза. Вы ведь критиковали многие антивирусы (NAV, например) именно из-за незнания ими паковщиков, некоторых троянов и т. п., а не из-за скорости.
А какой антивирус – наилучший выбор не для “чайников”?
Тот, устройство, работу и особенности которого хорошо знаешь. Для меня это Dr.Web.
Зачем ставить антивирус, который хоть и работает быстро, но плохо? Защита – она или по максимуму (хотя стопроцентной, конечно, не бывает), или это уже не защита, а только бесполезные тормоза. Вы ведь критиковали многие антивирусы (NAV, например) именно из-за незнания ими паковщиков, некоторых троянов и т. п., а не из-за скорости.
А какой антивирус – наилучший выбор не для “чайников”?
Например ДрВеб. В принципе он работает не намного быстрее КАВ, но возможность отключения некоторых функций (к примеру проверки файлов при чтении) позволяет сильно уменьшить потребляемые ресурсы. Конечно это ухудшает защиту, но вполне компенсируется наличием головы на плечах. Кроме того, возможность устанавливать только нужные модули исключает всевозможные конфликты, когда используются дополнительные программы для защиты. К примеру я использую SurfinGuard для защиты от вредоносных скриптов. В данном случае отсутствие у ДрВеб плагина в ИЕ для меня является приемуществом, а не недостатком.
Участковый
08.12.2004, 22:17
Кроме того, возможность устанавливать только нужные модули исключает всевозможные конфликты, когда используются дополнительные программы для защиты.
Да, здесь Касперский явно проигрывает. Особенно его последняя версия 5.0.227, которая, по слухам, конфликтует с Outpost. Есть над чем задуматься.
Спасибо за ответы.
Alexey P.
09.12.2004, 00:20
Пятую версию KAV (в частности, 5.0.227 на Win98) народ материт всяческими непотребными словами в их эхоконференции техподдержки. Ибо глюкало. И откатываются на старую 4.5.
А вообще их "все в одном флаконе", лично меня абсолютно не устраивает. Писал когда-то Энди Никишину, что один лишь сканер (по разумной цене, конечно) меня бы вполне устроил - но, видимо, таких слишком мало, чтоб учитывать в маркетинговой политике. Фигли думать, когда Билли уже все придумал и наглядно продемонстрировал :).
Но для полного чайника оно, видимо, действительно лучше дрвеба.
С добрым утром дядя Женя! ;D Наконец-то нашел и добавил! ;D Лучше с таким опозданием, чем совсем не добавлять! ;D Вот так в KAV и работают! ;D
http://www.viruslist.com/viruslist.html?id=146390583
P.S.:И так с любым вирусом, опоздания в несколько дней. ;D
Прошу прощение за злорадство ;D.
С добрым утром дядя Женя! ;D Наконец-то нашел и добавил! ;D Лучше с таким опозданием, чем совсем не добавлять! ;D Вот так в KAV и работают! ;D
http://www.viruslist.com/viruslist.html?id=146390583
P.S.:И так с любым вирусом, опоздания в несколько дней. ;D
Прошу прощение за злорадство ;D.
А где написано что он добавлен в базы сегодня?
Net-Worm.Win32.Maslan.b
Dec 08 2004
Вчера добавлен в энциклопедию, а в базы очевидно раньше.
Там ещё и Maslan.a присутствует.
Информация об этой хрене появилась на сайте KAV http://www.kaspersky.ru/index.html сегодня. ;D
Информация об этой хрене появилась на сайте KAV http://www.kaspersky.ru/index.html сегодня. ;D
Ну и что? Описание могут сделать и через месяц после добавления в базы.
Vladimir
13.12.2004, 18:52
Добрый день. У меня вопросик по этому вирусу. Ситуация такая. Подключал компьютер к интернету и через 5-10 минут появился на системе этот вирус. Комп в интернете никогда не был, до подключения этой заразы тоже не было. Через 15 минут работы продадает Интернет, система тормозит и самое интересное вирус не смог удалить. Процессы убивались ___r.ехе и ___synmgr.ехе, реги чистились, каталог Windows также подвергся детальному изучению, антивирусы боролись как могли, но пали смертью храбрых. Может ли этот вирус вызвать такие проблемы и как его в данной ситуации удалить?? Заранее спасибо.
Проверь все в безопасном режиме (включая папки востановления системы), поставь Outpost и будет тебе счастье.
Здравствуйте.
Я уже ничего не понимаю с этим вирусом. Отчаявшись вылечить его, я снес систему, оформатировал диск и переустановил ее заново. Но как только я подключаю сеть, так сразу появляется этот вирус. Как такое может быть ????
Здравствуйте.
Я уже ничего не понимаю с этим вирусом. Отчаявшись вылечить его, я снес систему, оформатировал диск и переустановил ее заново. Но как только я подключаю сеть, так сразу появляется этот вирус. Как такое может быть ????
Всё может быть если не стоят все заплатки на Винду и межсетевой экран: http://virusinfo.info/index.php?board=31;action=display;threadid=223
Vladimir
14.12.2004, 12:07
Ни безопастный режим, ни firewall не помогли. :-[
Ни безопастный режим, ни firewall не помогли. :-[
1. Скачайте программу HijackThis http://www.tomcoyote.org/hjt/
2. Запустите HijackThis в обычном режиме (не в защищённом, ничего не удаляйте!). Все апликации кроме HijackThis должны быть закрыты перед сканированием.
3. Нажмите на кнопку Scan.
4. Дождитесь конца сканирования и нажмите на кнопку Save log
5. Сохраните лог и запомните где.
6. Нажмите на кнопку Config...
7. Нажмите на кнопку Misc Tools
8. Отметьте (поставьте птичку) List also minor sections
9. Нажмите на кнопку Generate StartupList Log, на запрос который появится ответьте Yes
10. Откройте тему с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логами HijackThis полученными в пунктах 5 и 9
Ни безопастный режим, ни firewall не помогли. :-[
Странно, через сеть червячек распространяется используя уязвимостb LSASS (MS04-011) и RPC DCOM (MS03-039), которая закрыта около года назад, все маламальски приличные firewallы защитят от такой атаки. Может у вас какой хитрый TrojanDroper, который скачивает вирус из сети. Нужен лог HijackThis. Тогда точнее скажем.
Для заражения достаточно просто подключиться к сети?
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot