Тоже наловил на незащищенной машине на работе аж в октябре и ноябре еще 2009г.
Просто машина была без антивируса, поскольку на мои штуки на ассемблере антивирь кидался как зверь.
Антивирусами бесполезно штатными — эта дрянь это не вирус, это эксплоит выполняющий определенный код,
который собсно разворачивает пакость из "контейнера" типа *.vmx *.vmh *.vhd или файла типа MHQ.EXE на КасперЛабе есть уже описание. Контейнер пишется по-разному — может быть в корне тома или раздела, в мусорке, в темпорари файлз, в SRP state точки восстановления. Потом из него уже лезет в сетку, валит сервисы как KIDO или пишет в system32 подменяя explorer.exe и ключи в реестре определяющие его как шелл,
или user32 и rundll и тоже правя реестр. Потом еще что-то делается, но если он уже сработал то последствия
могут быть самые плачевные — недавно тоже видел как заразил и зашифровал все файлы типа EXE COM и DLL.
В итоге танцы с бубном никакие не помогли — бэкап с LiveCD, формат С и переустановка с образа готовой ОС для этой машины (сделана была заранее как только поставил вручную все что надо из программ)
Единственно чем можно вытравить эту дрянь более-менее эффективно — это AVZ 4.32 но надо загрузиться с другой системы или с флэшки типа Alkid или с LiveCD потом записать AVZ с новыми базами и еще сорри, к нему надо скрипт для удаления Trojan.Downloader (он же WinLock) потому как эта дрянь активно сопротивляется — лезет себя копировать на RAM-диск, в мусорки и SRP других разделов и дисков, на флэшку с которой загрузился, и после лечения опять если сидит в памяти как скрытый процесс-возвращается.
Желательно запускаться в безопасном режиме или даже в консоли с под админа, с минимумом процессов в памяти, перед тем как запустить AVZ надо его настроить-включить AVZ драйвер режима ядра и желательно запустить AVZGuard, блокирующий все процессы и не дающий во время работы делать запуск/изменения.
Настроить грамотно режим лечения. Если после того как AVZ пролечил система не "сдохла" то надо запуститься в штатном режиме и еще несколько раз прогнать например утилитами от Каспера b DRWeb CureIt!
так как эта гадость оставляет следы и в user profiles и кстати при перезагрузке если контейнер цел может сработать снова, смотря что там в HKLM\Users\Run прописано.
Вылечить-то можно, кроме самых извратных модификаций, там тока перестановка с бэкапом быстрее поможет
но такой пакостной заразы для Win32 архитектуры со времен WinCih (Чернобыля) и MSBlaster/SasserWorm еще не было. Соответственно кто "попал" уже не лезьте сами, лучше малеха отстегнуть тем кто знает как травить.
Поимел модификацию этой заразы в выходные. Причём экран был чёрный, и выскочило сообщение с обратным отсчётом — "Этот код для разблокировки с помощью СМС доступен в течение 120-119-118 и т.д. секунд". Мне потребовалось 3 секунды, чтобы отключить интернет — эта сволочь ищет и угоняет пароли email, FTP и т.д. После этого перегрузил компьютер с диска Acronis True Image Home и восстановил образ системного диска, созданный 2 недели назад. Ну, потерял несколько писем в email. Всё! Кстати, Acronis имеет режим Try and Decide — что-то вроде виртуального диска, части им пользуюсь — проверить новую программу — хороша ли и стоит её ставить, запустить программу на один раз и расстаться с ней без мучений по чистке реестра и т.д.
Хорошо Вам, повышаете свою квалификацию в борьбе с вирусами, а тут полный застой, ничто не пролазит, ни с чем бороться не нужно — скоро дисквалифицируюсь окончательно. :)
вот срач-то развели, клоуны! а с телефона, через оперу мини не пробовали, а?
по теме: скока денех я срубил ужо, и скока еще срублю на сносе этой хни! за этот тока год я новых таких просилок видал с десяток разных новых: блокирующих, неблокирующих, с порнухой зверской, маскирующихся под антивирь, под кодеки, тупых и ппц каких продуманных (неблокирующий, просто небольшое окно онтоп по центру, с перехватом файловых операций из-под обновленного последнего киса и шифрованием пользовательских данных в нтфс потоках) — аж уважуха авторам... были даже такие которые после смски самоудалялись бесследно! т.е. описанное здесь изделие есть одно из.
dkuznets После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows. Зайди под другтм пользователем с правами администратора (в безопасном режиме) и все получится.
Исправлена критическая уязвимость Internet Explorer
Артём Синицын
Microsoft Valuable Professional Forefront
Microsoft Certified IT Professional: EMA/EA/SA
Microsoft Certified Systems Engineer: Security
Microsoft Certified Systems Administrator: Messaging
Kaspersky Lab Data Security Technician
Наверняка многие из Вас слышали о ряде широкомасштабных атак, совершённых во второй половине декабря прошлого года на целый ряд крупных американских компаний, включая Google, Adobe, Yahoo, Symantec, Juniper Networks и McAffee. Массированные атаки, целями которых явились более 30 компаний силиконовой долины, продолжались в течении трех недель, до 4 января 2010 года. Большинство атак использовало целый коктейль из 0day-уязвимостей, разбавленный технологиями социальной инженерии, десятком вредоносных программ и backdoor-модулем, подключающемуся к командному центру по маскировочному SSL-соединению.
Данное событие было названо “Операция Аврора” (Aurora) по имени каталога в системе злоумышленников, в котором был скомпилирован вредоносный код. Одной из уязвимостей, используемых в рамках данных атак, была ранее неизвестная уязвимость в браузере Microsoft Internet Explorer. Критической уязвимости оказались подвержены версии Internet Explorer 5, 6, 7, 8 под управлением Windows 2000, XP, 2003, Vista, 2008, 7, 2008 R2. Примечательный факт: несмотря на то, что данной уязвимости были подвержены все версии браузера, успешная эксплуатация и проведение атаки были зафиксированы исключительно на компьютерах с IE 6. Уязвимые системы с IE 7/8 на платформе Windows Vista/7 смогли противостоять угрозе за счет дополнительных механизмов защиты, таких как Internet Explorer Protected Mode (msdn.microsoft.com), Data Execution Prevention (msdn.microsoft.com) и Address Space Layout Randomization (technet.microsoft.com). На данный момент не было зафиксировано ни одного случая успешной работы вредоносного кода волны Aurora на компьютерах с браузерами Internet Explorer 8. Компанией Microsoft было выпущено внеочередное обновление безопасности, полностью закрывающее обнаруженную уязвимость во всех версиях Internet Explorer. За более подробной информацией Вы можете обратиться к моему блогу co1piltwb.partners.extranet.microsoft.com.
Вот жил бы ты в Омериге, мог бы по суду "за маральный ущерб" выкрутить из владельца сайта всё, что у него есть плюс четверть его зарплаты всю оставшуюся жизнь. )))
Комментарии
Просто машина была без антивируса, поскольку на мои штуки на ассемблере антивирь кидался как зверь.
Антивирусами бесполезно штатными — эта дрянь это не вирус, это эксплоит выполняющий определенный код,
который собсно разворачивает пакость из "контейнера" типа *.vmx *.vmh *.vhd или файла типа MHQ.EXE на КасперЛабе есть уже описание. Контейнер пишется по-разному — может быть в корне тома или раздела, в мусорке, в темпорари файлз, в SRP state точки восстановления. Потом из него уже лезет в сетку, валит сервисы как KIDO или пишет в system32 подменяя explorer.exe и ключи в реестре определяющие его как шелл,
или user32 и rundll и тоже правя реестр. Потом еще что-то делается, но если он уже сработал то последствия
могут быть самые плачевные — недавно тоже видел как заразил и зашифровал все файлы типа EXE COM и DLL.
В итоге танцы с бубном никакие не помогли — бэкап с LiveCD, формат С и переустановка с образа готовой ОС для этой машины (сделана была заранее как только поставил вручную все что надо из программ)
Единственно чем можно вытравить эту дрянь более-менее эффективно — это AVZ 4.32 но надо загрузиться с другой системы или с флэшки типа Alkid или с LiveCD потом записать AVZ с новыми базами и еще сорри, к нему надо скрипт для удаления Trojan.Downloader (он же WinLock) потому как эта дрянь активно сопротивляется — лезет себя копировать на RAM-диск, в мусорки и SRP других разделов и дисков, на флэшку с которой загрузился, и после лечения опять если сидит в памяти как скрытый процесс-возвращается.
Желательно запускаться в безопасном режиме или даже в консоли с под админа, с минимумом процессов в памяти, перед тем как запустить AVZ надо его настроить-включить AVZ драйвер режима ядра и желательно запустить AVZGuard, блокирующий все процессы и не дающий во время работы делать запуск/изменения.
Настроить грамотно режим лечения. Если после того как AVZ пролечил система не "сдохла" то надо запуститься в штатном режиме и еще несколько раз прогнать например утилитами от Каспера b DRWeb CureIt!
так как эта гадость оставляет следы и в user profiles и кстати при перезагрузке если контейнер цел может сработать снова, смотря что там в HKLM\Users\Run прописано.
Вылечить-то можно, кроме самых извратных модификаций, там тока перестановка с бэкапом быстрее поможет
но такой пакостной заразы для Win32 архитектуры со времен WinCih (Чернобыля) и MSBlaster/SasserWorm еще не было. Соответственно кто "попал" уже не лезьте сами, лучше малеха отстегнуть тем кто знает как травить.
"Трудно быть гадом!"
Я как-то увидел рекламу от гугла: "сайт с музыкой тыры-пыры". От Гугла! Который типа следит что рекламируется.
Зашел на сайт, вижу надпись — "нажмите педальку и согласитесь на установку плеера".
Аж поплохело, чувство было такое, как будто я стою с зажигалкой возле открытого бензобака...
С сайта ушел, все ОК.
Люди, будьте бдительны!
по теме: скока денех я срубил ужо, и скока еще срублю на сносе этой хни! за этот тока год я новых таких просилок видал с десяток разных новых: блокирующих, неблокирующих, с порнухой зверской, маскирующихся под антивирь, под кодеки, тупых и ппц каких продуманных (неблокирующий, просто небольшое окно онтоп по центру, с перехватом файловых операций из-под обновленного последнего киса и шифрованием пользовательских данных в нтфс потоках) — аж уважуха авторам... были даже такие которые после смски самоудалялись бесследно! т.е. описанное здесь изделие есть одно из.
ты всегда был гламурным, сцуко )))
обычно очень. очень опасны
Пося, попробуй из под Wine! Если из под Wine не запустится, тогда только в виртуальной машине :(
глянь...
вот оне чухонцы злобу зотаили... ))
Billing ID:CR40795967
Billing Name:Kalev Suursalu
Billing Organization:
Billing Street1:Kopli 78-30
Billing Street2:
Billing Street3:
Billing City:Tallinn
Billing State/Province:Harjumaa
Billing Postal Code:12917
Billing Country:EE
Billing Phone:+372.5578654
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:[email protected]
Хорошо хоть опознало что это Lynx ))
Миллионы хомячкофф -это сила!
ТАК! ПАБИДИМ!!
Ты помнишь как это делается? Я нет.. ))
Кста, адрес у тебя сверху неверный, а вот хуиз правильный =)
главное — хуиз
Артём Синицын
Microsoft Valuable Professional Forefront
Microsoft Certified IT Professional: EMA/EA/SA
Microsoft Certified Systems Engineer: Security
Microsoft Certified Systems Administrator: Messaging
Kaspersky Lab Data Security Technician
Наверняка многие из Вас слышали о ряде широкомасштабных атак, совершённых во второй половине декабря прошлого года на целый ряд крупных американских компаний, включая Google, Adobe, Yahoo, Symantec, Juniper Networks и McAffee. Массированные атаки, целями которых явились более 30 компаний силиконовой долины, продолжались в течении трех недель, до 4 января 2010 года. Большинство атак использовало целый коктейль из 0day-уязвимостей, разбавленный технологиями социальной инженерии, десятком вредоносных программ и backdoor-модулем, подключающемуся к командному центру по маскировочному SSL-соединению.
Данное событие было названо “Операция Аврора” (Aurora) по имени каталога в системе злоумышленников, в котором был скомпилирован вредоносный код. Одной из уязвимостей, используемых в рамках данных атак, была ранее неизвестная уязвимость в браузере Microsoft Internet Explorer. Критической уязвимости оказались подвержены версии Internet Explorer 5, 6, 7, 8 под управлением Windows 2000, XP, 2003, Vista, 2008, 7, 2008 R2. Примечательный факт: несмотря на то, что данной уязвимости были подвержены все версии браузера, успешная эксплуатация и проведение атаки были зафиксированы исключительно на компьютерах с IE 6. Уязвимые системы с IE 7/8 на платформе Windows Vista/7 смогли противостоять угрозе за счет дополнительных механизмов защиты, таких как Internet Explorer Protected Mode (msdn.microsoft.com), Data Execution Prevention (msdn.microsoft.com) и Address Space Layout Randomization (technet.microsoft.com). На данный момент не было зафиксировано ни одного случая успешной работы вредоносного кода волны Aurora на компьютерах с браузерами Internet Explorer 8. Компанией Microsoft было выпущено внеочередное обновление безопасности, полностью закрывающее обнаруженную уязвимость во всех версиях Internet Explorer. За более подробной информацией Вы можете обратиться к моему блогу co1piltwb.partners.extranet.microsoft.com.
(с)Бюллетень TechNet
drweb.com
softget.net
то что у вас нашли уязвимость и для скачивания просят отправить СМС — РАЗВОД
и добрые люди о тебе позабтились вовремя )))