Мини-чат

Запрещается мат, реклама в любом её виде, оскорбления. За любое нарушение будет бан или наказание как в чате, так и на форуме.
Загрузка...
Очистить поле ввода
Запрещается мат, флуд, реклама в любом её виде, оскорбления. За любое нарушение будет бан как в чате, так и на форуме.
Основная справка
Чат MGC Chatbox Evo очень легок в использовании
Вы можете:
  1. Отправлять сообщения: введите текст в поле ввода и нажмите Enter, или кнопку OK в чате.
  2. Форматировать сообщения: открыв панель форматирования нажатием кнопки BBCode, вы получаете доступ к различным настройкам форматирования текста ваших сообщений.*
  3. Общаться в разных комнатах: в зависимости от настроек группы пользователей, в которой вы состоите, либо настроек чата вы можете оставлять сообщения в разных комнатах. Выбор комнаты осуществляется нажатием соответствующей кнопки в левой части чата.*
  4. Редактировать свои сообщения (или сообщения других): редактирование осуществляется двойным нажатием на сообщение.*
  5. Использовать команды: команды позволяют пользоваться новыми опциями форматирования, управления и т.д... Информация о доступных вам командах будет расположена ниже. Вы можете не вводить префикс команды (/название_команды) в связанной с ней комнате (исключение составляет основная комната).*
* в зависимости от настроек выбранных администрацией форума для вашей группы.
Показано с 1 по 2 из 2

Тема: Win32 HLLW Shadow based

  1. #1
    Супер-модератор Аватар для markos
    Регистрация
    21.07.2008
    Адрес
    Планета Земля
    Сообщений
    4,406
    Получено (+/-): 10/1

    Восклицание Win32 HLLW Shadow based

    Win32 HLLW Shadow based
    Тему побудило написать война закончившаяся вчера у меня этой "гадиной"..
    Патч для закрытия ДЫР в операционке

    Блокирование АВТОЗАПУСКА у флешек
    ..тем самым вы обезопасите себя от автозапускаемых вирусов с съёмных устройств.. Просто запустите файл из архива НА ФЛЕШКЕ..

    Добавление:
    доработанный скрипт от автозапуска на флешке /найдено на просторах интернета/

    Скрипт:
    rem Антивирусный скрипт AUTOSTOP.BAT version 1.9 (7 февраля 2009)
    attrib -a -h -r -s autorun.*
    del autorun.*
    mkdir "\\?\%~d0\AUTORUN.INF\LPT3"
    mkdir "\\?\%~d0\AUTORUN.INF\LPT3\.."
    attrib +h +s "%~d0\AUTORUN.INF"
    rd /s /q "\\?\%~d0\RECYCLED"
    rd /s /q "\\?\%~d0\RECYCLER"
    type nul>"\\?\%~d0\recycler"
    type nul>"\\?\%~d0\recycled"
    attrib +h +s "%~d0\recycle?"
    @echo off
    copy AUTOSTOP.BAT AUTORUN.INF\AUTOSTOP.BAT
    Сетевой червь Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ. Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web и NOD32 как Win32.HLLW.Autorunner.5555

    (Каспер его не обнаружил /при этом я не говорю что он плохой, очевидно в базах на тот момент его просто небыло/)
    Использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.

    Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.

    Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

    После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.

    Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.

    Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.

    В состав Win32.HLLW.Shadow.based входит драйвер, который изменяет в памяти системный файл tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.

    Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.

    Для лечения системы от Win32.HLLW.Shadow.based и профилактики заражения рекомендуется установить патчи, указанные в следующих информационных бюллетенях Microsoft:

    MS08-067
    MS08-068
    MS09-001

    Также необходимо отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.

    Вообщем сволочь редкая и пакостная! ..может кому-то данная тема поможет.. тьфутьфутьфу

    Способ лечения нашёл у каспера:

    Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.

    С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

    Установить патч, закрывающий уязвимость MS08-067.

    Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

    Отключить автозапуск исполняемых файлов со съемных носителей.

    Локальное удаление:

    Скачайте архив KidoKiller_v3.1.zip и распакуйте его в отдельную папку на зараженной машине.

    Запустите файл KidoKiller.exe.

    По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.

    Дождитесь окончания сканирования.

    Если на компьютере, на котором запускается утилита KidoKiller.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

    Дополнительно можно прогнать Куреитом веба для надёжности!

    Централизованное удаление

    В Консоли Kaspersky Administration Kit создайте инсталляционный пакет для приложения KidoKiller.exe. На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем.

    В поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.



    На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети.

    Вы можете запустить утилиту KidoKiller.exe на всех компьютерах вашей сети.

    Запустите задачу на выполнение.

    После того как утилита отработает, выполните сканирование каждого компьютера сети с помощью Антивируса Касперского.

    Если на компьютере, на котором запускается утилита KidoKiller.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

    Ключи для запуска утилиты KidoKiller.exe из командной строки:

    -p <путь для сканирования> - сканировать определённый каталог.
    -f - сканировать жёсткие диски.
    -n - сканировать сетевые диски.
    -r - сканировать flash-накопители.
    -y - не ждать нажатия любой клавишы.
    -s - "тихий" режим (без чёрного окна).
    -l <имя файла> - запись информации в лог-файл.
    -v - ведение расширенного лога (необходимо вводить вместе с параметром -l).
    -help - получение дополнительной информации об утилите.

    Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KidoKiller.exe) используйте следующую команду:

    kidokiller.exe -r -y -l report.txt -v

    0 Not allowed! Not allowed!
    Последний раз редактировалось markos; 10.02.2009 в 16:21.

  2. # ADS
    ООО "Рекламная реклама"
    Регистрация
    Always
    Адрес
    Advertising world
    Сообщений
    Many
     

  3. #2
    Долгожитель Аватар для Mc Che
    Регистрация
    17.10.2008
    Адрес
    Варавино
    Сообщений
    754
    Получено (+/-): 0/0

    По умолчанию

    Спаиб,полезная инфа.Так сказать возьму на вооружение ))
    Помню давненько был у меня вирус Win32lazy или как то так.Притащил от друга.
    У него с компом всё в поряде а у меня через пол часа после того как в комп флешку вставил всё напрочь повисло...Пришлось винду сносить.

    0 Not allowed! Not allowed!

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Внести пожертвование на развитие!