Показано с 1 по 3 из 3.

Удаление червя Jobaka aka Sasser

  1. #1
    Geser
    Guest

    Удаление червя Jobaka aka Sasser

    С форума "ДиалогНауки" - свежий опыт удаления этого виря:
    (Оригинал: http://www.dials.ru/forum/6619.shtml ) от Zakan:
    1. ДокторВеб свежий, с позавчерашнего дня эту пакость лечит.
    Даже шароварный, халявный.
    http://www.dials.ru/inf/vsearch.php?...obaka&x=6&y=12

    А чтоб не повторилось:
    2. Файрволл и закрыть 445, 5554, 9996 порты.
    3. Говорят еще. Возможны затыки компа — выскакивает сообщение типа «неправильный логин»
    Помогает: перезагрузиться и потом сразу набрать в окне «RUN» что-то вроде «shutdown -a» Но это по слухам, у меня так не было.

    ================================================== ==
    Картинка работающего виря:
    - Размер AVSERVE.EXE в памяти все время плывет.
    Увеличивается так на 50 примерно кб в секунду.
    И когда доходит до 40 мега, то компу тяжело. Тормозит.

    - Этот AVSERVE.EXE и второй процесс, у которого имя с цифр начинается типа 12345_UP.EXE
    УБИВАТЬ ИХ ТОЛЬКО ВМЕСТЕ ОБА СРАЗУ ПОБЫСТРЕЕ!
    они похоже что друг друга СТРАХУЮТ в памяти.
    Если один убить, другой его снова запускает.
    Но проверяет видать каждые секунд несколько, так что есть время убить обоих!
    ================================================== ===

    Полезные ссылки:

    Патч Микрософт, закрывающий дыру в lsass :
    http://www.microsoft.com/technet/sec.../MS04-011.mspx

    Free утилиты для удаления. Полезны для лечения там, где не было антивируса:
    - Утилита McAfee Avert Stinger (убивает много чего, добавлена и эта гадость).
    http://download.nai.com/products/mca...rt/stinger.exe
    - Утилита Symantec от этого червя:
    http://securityresponse.symantec.com...r/FxSasser.exe
    (убивает процессы виря, удаляет его файлы, чистит реестр).

    McAffee рекомендует такой порядок удаления вручную:
    1. Перезагрузить систему в безопасном режиме (Hажать F8 при появлении
    стартового текста Windows и выбрать "безопасный режим" - "Safe Mode")
    2. Удалить файл AVSERVE.EXE из директории WINDOWS (обычно c:\windows или
    c:\winnt)
    3. Запустить regedit, удалить переменную "avserve" из
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    4. Перезагрузить компьютер в нормальный режим.

    Источник:
    http://us.mcafee.com/virusInfo/defau...virus_k=125007

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest

    Re:Удаление червя Jobaka aka Sasser

    Worm.Win32.Sasser.b
    [ 01.05.2004 20:03, GMT +03:00, Москва ]
    Опасность : средняя

    Вирус-червь.

    Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:

    http://www.microsoft.com/technet/sec.../MS04-011.mspx

    Червь написан на языке C/C++, с использованием компилятора Visual C.
    Имеет размер ок. 15 Кб, упакован ZiPack.

    Размножение

    При запуске червь регистрирует себя в ключе автозапуска системного реестра:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    avserve2.exe = %WINDIR%\avserve2.exe

    Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.

    Загрузка выполняется по протоколу FTP.
    Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N - случайное число.

    http://www.viruslist.com/alert.html?id=145080269

    Что делать, если компьютер перезагружается, не позволяя скачать обновление ?

    Возможно, с первого раза не получится, поскольку у Вас будет около 20 секунд на выполнение пунктов 3 - 6.
    1. Отключите компьютер от локальной сети / Интернет (можно отключить кабель).
    2. Перезагрузите компьютер.
    3. Как только Windows загрузится и Вы увидите рабочий стол, щелкните
    "Пуск" - "Выполнить" (Start -> Run)
    4. Введите:
    cmd
    и нажмите Enter.
    5. В появившемся окне введите
    shutdown -i
    и нажмите Enter.
    6. Откроется окно диалога удаленной перезагрузки, смените там
    20 секунд на 9999 секунд и нажмите "ОК".

    Теперь у Вас будет почти 3 часа до перезагрузки. После установки патча можно вернуть эти 20 секунд обратно.

    http://securityresponse.symantec.com...er.c.worm.html

    P.S. Правда, я не совсем понял, почему при такой спешке не ввести сразу в окне "Выполнить" команду "shutdown -i". Проверил - все срабатывает, правда, червь у меня в это время, конечно, ничего не перезагружает .

  4. #3
    Geser
    Guest

    Re:Удаление червя Jobaka aka Sasser

    На сегодняшний день известно уже 5 модификаций Sasser: A-F (Jobaka - Jobaka.5).
    Общие - для заражения используется порт TCP 445 и дыра в LSASS (MS04-011).
    Меняются имена файлов в %windir%, одноименные ключи в автозапуске реестра (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run)
    и номера портов, открываемых для доступа извне после заражения
    Sasser: avserve.exe, порты TCP/5554, TCP/9996
    B - Avserve2.exe, TCP/5554, TCP/9996
    C - avserve2.exe, TCP/5554, TCP/9996
    D - skynetave.exe, TCP/5554, TCP/9995
    E - lsasss.exe, TCP/1022, TCP/1023
    F - napatch.exe, TCP/5554, TCP/9996

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 26.10.2010, 01:19
  2. опять Sasser?
    От kubik в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 16.01.2007, 13:18
  3. W32.Sasser.Worm по определению Дядюшки Нортона
    От Casper в разделе Вредоносные программы
    Ответов: 9
    Последнее сообщение: 13.03.2005, 17:01
  4. Автор Sasser'а получил работу в Securepoint
    От Geser в разделе Новости компьютерной безопасности
    Ответов: 3
    Последнее сообщение: 27.12.2004, 11:26

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01249 seconds with 16 queries