Форум: "Потрепаться";
Текущий архив: 2002.01.31;
Скачать: [xml.tar.bz2];
ВнизСвежий червяк I-Worm.Badtransll... Обновляйте антивирус !!! Найти похожие ветки
← →
Adder (2001-12-06 02:14) [0]Сегодня чуть не словила :( Червяк при открытии прикрепленного к письму файла (с включенным АВП монитором, обновление 23.11.01) записывает в windows\system файл kernel32.exe (размер 29020), и запускает его. При этом прописывает в реестр HKLM\SOFTWARE\MICROSOFT\WINDOWS\RunOnce\Kernel32.exe
Успел ли у меня "сработать" - не знаю. Процесс был практически сразу прихлопнут FAR"ом , а реестр почищен ручками. После перезагрузки пока ничего не заметно.
AVP, обновленный до 23 ноября включительно, его не видит.
Нужны обновления up011123.avc,up011130.avc (какое именно - не знаю, обновляла сегодня).
← →
РУС (2001-12-06 02:18) [1]А чё он мочит? Мож для меня это всё равно...
← →
Adder (2001-12-06 03:02) [2]http://www.viruslist.com/viruslist.asp?id=4435&key=00001000140000100106&f_page=0
Состоит из двух основных частей: червь, рассылающий электронные письма, и троянец, ворующий пароли.
Компонента-червь отсылает зараженные письма. Компонента-троянец отсылает с компьютера конфиденциальную информацию (имя пользователя, RAS-данные, кешированные пароли, текст, набираемый на клавиатуре). Эта компонента также создает на диске дополнительный DLL-файл (библиотеку), которая следит за клавиатурой (т.е. клавиатурный шпион).
← →
Digitman (2001-12-06 08:58) [3]>Adder
Сразу
Сразу после снятия процесса kernel32 вместе с параметром в RunOnce удали сам kernel32.exe. Он будет восстанавливать себя в RunOnce до тех пор, пока существует, сразу после старта. Если даже какие-то хвосты в виде DLL остались, они уже не будут представлять угрозы.
← →
Adder (2001-12-06 12:08) [4]2 Digitman © Это было сделано сразу же (прожило бедное животное на моем компе ровно 15 минут) . Но все равно, за совет Спасибо :)
← →
Digitman (2001-12-06 13:14) [5]>Adder
Хочу лишь заметить, что заражение в случае с твоим "зверем" так же использует "дыру" в интерфейсе IFrame объекта Internet Explorer (который автоматом загружается при preview письма). Я не работал с Bat"ом и не могу сказать, какой объект там используется для той же цели, но если , по-умолчанию, исп-ся тот же IE, то утверждения о 100%-ной безопасности Bat"а при работе с зараженной этими "зверями" корреспонденцией лишены оснований
← →
Merlin (2001-12-06 13:24) [6]У Bat-а свой просмотрщик HTML файлов, потому утрверждения о его 100% безопасности не лишены оснований ;)
← →
Digitman (2001-12-06 13:50) [7]>Merlin
Просто интересно - единственный просмотрщик ? Или все же есть возможность подключить external HTML-viewer как default ?
← →
Merlin (2001-12-06 13:54) [8]Не видел такой функции.
← →
Almaz (2001-12-09 02:19) [9]Делайте upgrade до IE6.0 - там дырку с IFrame залатали.
Удачи.
← →
Someone (2001-12-09 02:57) [10]Поддержу Merlin"а. Получил вчера таковой червяк. The Bat не позволил ему самому активироваться. Ну а далее InnoculateIT легко справился (он бы и раньше сделал это, но он в тот момент был выключен).
← →
Adder (2001-12-09 03:50) [11]Ну... у меня IE5.5 с "заплаткой" ... Аутглюк тож не позволил червяку активизироваться самому... а вложенный файл открыла сдуру - письмо выглядело как ответ от одного знакомого (Re: ....), да и на Касперского понадеялась (оказалось, зря ) :(.
Кстати, у меня оказался довольно свежий червяк - дата компиляции 21.11.01 ...
← →
iZEN (2001-12-09 11:01) [12]У меня вчера пришёл такой, Norton Antivirus 2002 (последнее обновление баз от 07.12.2001) его быстренько прихлопнул.
AVP -- тормозилло, снёс к чертям (со 128Мб комп жутко тормозил).
Поставил NAV2002 каждый день -- обновление вирусных баз через LiveUpdate.
← →
Nikolay (2001-12-09 19:04) [13]А у меня вот так называется
I-Worm.Hybris.gen
Вот так!(с)
← →
sudiv (2001-12-10 09:59) [14]Такую штуку я словил уже пару недель назад.
Да, AVP не лечит ее, но прекрасно обнаруживает.
А лечение "ручками".
Удачи.
Страницы: 1 вся ветка
Форум: "Потрепаться";
Текущий архив: 2002.01.31;
Скачать: [xml.tar.bz2];
Память: 0.47 MB
Время: 0.006 c