Свежий червяк I-Worm.Badtransll... Обновляйте антивирус !!!

← →
Adder (2001-12-06 02:14) [0]

Сегодня чуть не словила :( Червяк при открытии прикрепленного к письму файла (с включенным АВП монитором, обновление 23.11.01) записывает в windows\system файл kernel32.exe (размер 29020), и запускает его. При этом прописывает в реестр HKLM\SOFTWARE\MICROSOFT\WINDOWS\RunOnce\Kernel32.exe
Успел ли у меня "сработать" - не знаю. Процесс был практически сразу прихлопнут FAR"ом , а реестр почищен ручками. После перезагрузки пока ничего не заметно.
AVP, обновленный до 23 ноября включительно, его не видит.
Нужны обновления up011123.avc,up011130.avc (какое именно - не знаю, обновляла сегодня).

← →
РУС (2001-12-06 02:18) [1]

А чё он мочит? Мож для меня это всё равно...

← →
Adder (2001-12-06 03:02) [2]

http://www.viruslist.com/viruslist.asp?id=4435&key=00001000140000100106&f_page=0

Состоит из двух основных частей: червь, рассылающий электронные письма, и троянец, ворующий пароли.

Компонента-червь отсылает зараженные письма. Компонента-троянец отсылает с компьютера конфиденциальную информацию (имя пользователя, RAS-данные, кешированные пароли, текст, набираемый на клавиатуре). Эта компонента также создает на диске дополнительный DLL-файл (библиотеку), которая следит за клавиатурой (т.е. клавиатурный шпион).

← →
Digitman (2001-12-06 08:58) [3]

>Adder
Сразу
Сразу после снятия процесса kernel32 вместе с параметром в RunOnce удали сам kernel32.exe. Он будет восстанавливать себя в RunOnce до тех пор, пока существует, сразу после старта. Если даже какие-то хвосты в виде DLL остались, они уже не будут представлять угрозы.

← →
Adder (2001-12-06 12:08) [4]

2 Digitman © Это было сделано сразу же (прожило бедное животное на моем компе ровно 15 минут) . Но все равно, за совет Спасибо :)

← →
Digitman (2001-12-06 13:14) [5]

>Adder
Хочу лишь заметить, что заражение в случае с твоим "зверем" так же использует "дыру" в интерфейсе IFrame объекта Internet Explorer (который автоматом загружается при preview письма). Я не работал с Bat"ом и не могу сказать, какой объект там используется для той же цели, но если , по-умолчанию, исп-ся тот же IE, то утверждения о 100%-ной безопасности Bat"а при работе с зараженной этими "зверями" корреспонденцией лишены оснований

← →
Merlin (2001-12-06 13:24) [6]

У Bat-а свой просмотрщик HTML файлов, потому утрверждения о его 100% безопасности не лишены оснований ;)

← →
Digitman (2001-12-06 13:50) [7]

>Merlin
Просто интересно - единственный просмотрщик ? Или все же есть возможность подключить external HTML-viewer как default ?

← →
Merlin (2001-12-06 13:54) [8]

Не видел такой функции.

← →
Almaz (2001-12-09 02:19) [9]

Делайте upgrade до IE6.0 - там дырку с IFrame залатали.

Удачи.

← →
Someone (2001-12-09 02:57) [10]

Поддержу Merlin"а. Получил вчера таковой червяк. The Bat не позволил ему самому активироваться. Ну а далее InnoculateIT легко справился (он бы и раньше сделал это, но он в тот момент был выключен).

← →
Adder (2001-12-09 03:50) [11]

Ну... у меня IE5.5 с "заплаткой" ... Аутглюк тож не позволил червяку активизироваться самому... а вложенный файл открыла сдуру - письмо выглядело как ответ от одного знакомого (Re: ....), да и на Касперского понадеялась (оказалось, зря ) :(.
Кстати, у меня оказался довольно свежий червяк - дата компиляции 21.11.01 ...

← →
iZEN (2001-12-09 11:01) [12]

У меня вчера пришёл такой, Norton Antivirus 2002 (последнее обновление баз от 07.12.2001) его быстренько прихлопнул.
AVP -- тормозилло, снёс к чертям (со 128Мб комп жутко тормозил).
Поставил NAV2002 каждый день -- обновление вирусных баз через LiveUpdate.

← →
Nikolay (2001-12-09 19:04) [13]

А у меня вот так называется

I-Worm.Hybris.gen

Вот так!(с)

← →
sudiv (2001-12-10 09:59) [14]

Такую штуку я словил уже пару недель назад.
Да, AVP не лечит ее, но прекрасно обнаруживает.
А лечение "ручками".
Удачи.

Свежий червяк I-Worm.Badtransll... Обновляйте антивирус !!! Найти похожие ветки