Вирус троянчик снова косит наши ряды! Спасайтесь, кто может!
20-01-2008 11:56
к комментариям - к полной версии
- понравилось!
У нас в сети эпидемия. Обнаружился очередной страшный зверь-троян, блокирующий работу интернета. Вот, что пишут о нем на сетевом форуме:
От себя добавлю: цепляется он к дыркам в IE. Если вы работаете в любом другом броузере (не на основе IE), вероятность заражения снижается, но не исключается (ессно). Так что будьте внимательны, позаботьтесь о своей безопасности.
вверх^
к полной версии
понравилось!
в evernote
У нас в сети эпидемия. Обнаружился очередной страшный зверь-троян, блокирующий работу интернета. Вот, что пишут о нем на сетевом форуме:
Внимание!!! Появились новый вирус блокирующий работу интернета! Название: Trojan.Exploit.131 Будьте внимательны и побеспокойтесь о своей безопасности.
Лечение - переустановка Windows...
Троян оказался действительно сильный, пока смог только локализовать его. Сейчас ищем средства удаления. Основное что он делает, это блокирует шлюз по умолчанию. Т.е. интернет не работает, аська отключена, пинг на ********(прокси-сервер) не идет.
Сейчас ищем методы удаления его с компьютера полностью.
Вот нашел в инете про него
Hint: NOD32 Win32/TrojanDownloader.Ani.Gen Trojan. rev 1.1
Hint: NOD32 Win32/TrojanDownloader.Ani.Gen Trojan. Неуловимый зверек. (редакция 1.1)
Есть такой зверек Win32/TrojanDownloader.Ani.Gen Trojan в природе и многие (http://forums.birulevo.net/index.php?showtopic=20619) на него налетели. Увы, и я оказался в их числе. Окошко с сообщением IMON (http://flash... ) вылезало регулярно.
Что не помогло:
Сканирование NOD32, Spybot, Ad-aware результатов недавало. NB! Весь софт был с обновленными (актуальными) базами.
Что помогло обнаружить:
AVG и KAV, запускал в portable-варианте – успешно нашли в кеше «зараженный» .js файл.
Лечение:
чистить кеш браузера; затем ручками поискать в кеше браузера все .js файлы с текстом, который выдает IMON и прибить эти файлы.
У KAV есть on-line версия. Из ослика (IE) с помошью ActiveX проверится можно. Цена вопроса – менее 20 метров трафика.
Имхо, подозрение схемы работы вируса: с некого сайта на машину попадает javascript-сод (который мы впоследствии и прибиваем) который «как-то» умеет цепляться к страницам, просматриваемым в IE. При срабатывании этот javascript-код пытается скачать свою следующую часть, на чем его и ловит IMON от NOD32.
В «итоге»:
мониторит систему NOD32;
на «подхвате», запуск по необходимости: SpyBot, AVG 7.5 free, AVG anti-spyware free, AVG anti-rootkit free, Ad-aware Pro.
Зы: на последок прописал в локальном hosts имана сайтов (один начинается со слова flash, второй – ms.; полный имена можно глянуть в логах NOD32) , с которых вирус пытался загрузиться. Так сказать «на всякий случай».
итоговая добавка к hosts
#hint-1 start
127.0.0.1 flash.958167.com
127.0.0.1 ms.35832.com
127.0.0.1 an.yandex.ru
127.0.0.1 direct.yandex.ru
127.0.0.1 www.liveinternet.ru/ad/
127.0.0.1 ads.sup.com
127.0.0.1 www.liveinternet.ru/cgi-bin/
127.0.0.1 83.222.3.196
127.0.0.1 81.222.128.90
127.0.0.1 engine.awaps.net
127.0.0.1 pics.imho.ru
#hint-1 finish
Еще сию хреню лечит X-Cleaner. Довольно неплохая штука с многочисленными настройками и возможностями по чистке, удалению, проверке.
Он начал прогрессировать ....SUKA - сначала отвалился фаервол -потом при попытке скана компа нодом-я нашёл много чего интересного в Систем32-хотя вчера всё было пусто - нод отказался функционировать загрузив систему на 100% - ну и следом стала умирать винда !
Этот вирус добавлен в базы касперского только 11 января этого года!!! Он его фиксирует, но полноценно не блокирует!
От себя добавлю: цепляется он к дыркам в IE. Если вы работаете в любом другом броузере (не на основе IE), вероятность заражения снижается, но не исключается (ессно). Так что будьте внимательны, позаботьтесь о своей безопасности.
Комментарии (2):
Queen_Isabelle
21-01-2008-12:22
удалить
Блокируйте http://k.222360.com (ip 222.216.28.25 серверок китайский, впрочем еще лучше блокировать этот ip ;) ),ибо оттуда берутся тела. А вообще тут целая коллекция ходов проникновения, но все они завязаны на одно: IE.
Уж сколько раз твердили миру, что ослик — зло, но все равно используют. А ход с использованием подгружаемого курсора — это прямая эксплуатация дырки windows.
Да, NOD на него ноль эмоций ;(
Уж сколько раз твердили миру, что ослик — зло, но все равно используют. А ход с использованием подгружаемого курсора — это прямая эксплуатация дырки windows.
Да, NOD на него ноль эмоций ;(
Queen_Isabelle
21-01-2008-12:49
удалить
Кстати, кроме всех остальных мероприятий (как то блокирование ip), советую так же закрыть дырку, которую использует этот троян (строчка document.write("/k.222360.com/ads.c')\">")), а именно уязвимость при обработке анимированного курсора в Microsoft Windows. Уязвимость существует из-за неизвестной ошибки при обработке анимированных курсоров (.ani файлов). Удаленный пользователь может с помощью специально сформированной Web страницы или email сообщения вызвать переполнение стека и выполнить произвольный код на целевой системе. http://www.securitylab.ru/vulnerability/293565.php
Комментарии (2):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Вирус троянчик снова косит наши ряды! Спасайтесь, кто может! | Queen_Isabelle - Иногда здесь бродят мысли... |
Лента друзей Queen_Isabelle
/ Полная версия
Добавить в друзья
Страницы:
раньше»