-
Junior Member
- Вес репутации
- 56
По поводу последней эпидемии сетевого червя
1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll (размер зависит от штамма), лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).
2) В реестре найти запись о запускаемом вирусном сервисе. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в "Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5", где вирус под видом кешированных фалов прячет свои копии.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
Первые впечатления после лечения Net-Worm.Win32.Kido (конкретно .ih)...
На патченых машинах вирь пока не проявлялся. Закрытие порта 445 ничего не даёт, как и следовало ожидать, п.ч. дырява сама служба "Сервер", а это и порты 138, 139. Так 6 непатченых компов были снова небезуспешно атакованы и брешь пробита, но спасло то, что на этапе попытки прописаться в системе вирус не может заблокировать на себя права доступа, поэтому Каспер с актуальными базами легко с ним справляется. Но факт остаётся фактом: пока есть брешь и остаются заражённые компы в сетке, пользователи ещё не раз увидят сообщение о заблокированном и удалённом вирусе.
Определение этого виря другими антивирусами зависит от его разновидности. Так напр. .ih Каспер видел, а ДрВеб нет. С др. стороны, нашёл в корзинах странный файл hlpsvc.exe, который оказался загрузчиком Worm.Win32.AutoRun.
Для знакомых с английским есть хорошее описание этого ивруса на http://www.f-secure.com/v-descs/worm...nadup_al.shtml : где прячется, как удалять следы.
Последний раз редактировалось rasclogin; 21.01.2009 в 22:06.
-
Junior Member
- Вес репутации
- 55
Извините а можно поподробней о svchost.exe?.
-
-