Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2002.01.31;
Скачать: [xml.tar.bz2];

Вниз

Свежий червяк I-Worm.Badtransll... Обновляйте антивирус !!!   Найти похожие ветки 

 
Adder   (2001-12-06 02:14) [0]

Сегодня чуть не словила :( Червяк при открытии прикрепленного к письму файла (с включенным АВП монитором, обновление 23.11.01) записывает в windows\system файл kernel32.exe (размер 29020), и запускает его. При этом прописывает в реестр HKLM\SOFTWARE\MICROSOFT\WINDOWS\RunOnce\Kernel32.exe
Успел ли у меня "сработать" - не знаю. Процесс был практически сразу прихлопнут FAR"ом , а реестр почищен ручками. После перезагрузки пока ничего не заметно.
AVP, обновленный до 23 ноября включительно, его не видит.
Нужны обновления up011123.avc,up011130.avc (какое именно - не знаю, обновляла сегодня).


 
РУС   (2001-12-06 02:18) [1]

А чё он мочит? Мож для меня это всё равно...


 
Adder   (2001-12-06 03:02) [2]

http://www.viruslist.com/viruslist.asp?id=4435&key=00001000140000100106&f_page=0


Состоит из двух основных частей: червь, рассылающий электронные письма, и троянец, ворующий пароли.

Компонента-червь отсылает зараженные письма. Компонента-троянец отсылает с компьютера конфиденциальную информацию (имя пользователя, RAS-данные, кешированные пароли, текст, набираемый на клавиатуре). Эта компонента также создает на диске дополнительный DLL-файл (библиотеку), которая следит за клавиатурой (т.е. клавиатурный шпион).



 
Digitman   (2001-12-06 08:58) [3]

>Adder
Сразу
Сразу после снятия процесса kernel32 вместе с параметром в RunOnce удали сам kernel32.exe. Он будет восстанавливать себя в RunOnce до тех пор, пока существует, сразу после старта. Если даже какие-то хвосты в виде DLL остались, они уже не будут представлять угрозы.


 
Adder   (2001-12-06 12:08) [4]

2 Digitman © Это было сделано сразу же (прожило бедное животное на моем компе ровно 15 минут) . Но все равно, за совет Спасибо :)






 
Digitman   (2001-12-06 13:14) [5]

>Adder
Хочу лишь заметить, что заражение в случае с твоим "зверем" так же использует "дыру" в интерфейсе IFrame объекта Internet Explorer (который автоматом загружается при preview письма). Я не работал с Bat"ом и не могу сказать, какой объект там используется для той же цели, но если , по-умолчанию, исп-ся тот же IE, то утверждения о 100%-ной безопасности Bat"а при работе с зараженной этими "зверями" корреспонденцией лишены оснований


 
Merlin   (2001-12-06 13:24) [6]

У Bat-а свой просмотрщик HTML файлов, потому утрверждения о его 100% безопасности не лишены оснований ;)


 
Digitman   (2001-12-06 13:50) [7]

>Merlin
Просто интересно - единственный просмотрщик ? Или все же есть возможность подключить external HTML-viewer как default ?


 
Merlin   (2001-12-06 13:54) [8]

Не видел такой функции.


 
Almaz   (2001-12-09 02:19) [9]

Делайте upgrade до IE6.0 - там дырку с IFrame залатали.

Удачи.


 
Someone   (2001-12-09 02:57) [10]

Поддержу Merlin"а. Получил вчера таковой червяк. The Bat не позволил ему самому активироваться. Ну а далее InnoculateIT легко справился (он бы и раньше сделал это, но он в тот момент был выключен).


 
Adder   (2001-12-09 03:50) [11]

Ну... у меня IE5.5 с "заплаткой" ... Аутглюк тож не позволил червяку активизироваться самому... а вложенный файл открыла сдуру - письмо выглядело как ответ от одного знакомого (Re: ....), да и на Касперского понадеялась (оказалось, зря ) :(.
Кстати, у меня оказался довольно свежий червяк - дата компиляции 21.11.01 ...


 
iZEN   (2001-12-09 11:01) [12]

У меня вчера пришёл такой, Norton Antivirus 2002 (последнее обновление баз от 07.12.2001) его быстренько прихлопнул.
AVP -- тормозилло, снёс к чертям (со 128Мб комп жутко тормозил).
Поставил NAV2002 каждый день -- обновление вирусных баз через LiveUpdate.


 
Nikolay   (2001-12-09 19:04) [13]

А у меня вот так называется

I-Worm.Hybris.gen

Вот так!(с)


 
sudiv   (2001-12-10 09:59) [14]

Такую штуку я словил уже пару недель назад.
Да, AVP не лечит ее, но прекрасно обнаруживает.
А лечение "ручками".
Удачи.



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2002.01.31;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.47 MB
Время: 0.006 c
1-99986
ГС ТОФ
2002-01-14 15:03
2002.01.31
Пропала форма в проекте


3-99858
Genka
2001-12-26 13:38
2002.01.31
ADO в Delphi 6.0


3-99893
F
2001-12-27 18:22
2002.01.31
Как регенирировать индексы


14-100065
fliz
2001-12-11 15:07
2002.01.31
опечатка в метро


4-100114
AlexandrH
2001-12-04 13:50
2002.01.31
Как сделать так что-бы программа один раз запустилась,,,,





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский