Форум: "Потрепаться";
Поиск по всему сайту: delphimaster.net;
Текущий архив: 2002.01.31;
Скачать: [xml.tar.bz2];




Вниз

Свежий червяк I-Worm.Badtransll... Обновляйте антивирус !!! 


Adder   (2001-12-06 02:14) [0]

Сегодня чуть не словила :( Червяк при открытии прикрепленного к письму файла (с включенным АВП монитором, обновление 23.11.01) записывает в windows\system файл kernel32.exe (размер 29020), и запускает его. При этом прописывает в реестр HKLM\SOFTWARE\MICROSOFT\WINDOWS\RunOnce\Kernel32.exe
Успел ли у меня "сработать" - не знаю. Процесс был практически сразу прихлопнут FAR"ом , а реестр почищен ручками. После перезагрузки пока ничего не заметно.
AVP, обновленный до 23 ноября включительно, его не видит.
Нужны обновления up011123.avc,up011130.avc (какое именно - не знаю, обновляла сегодня).



РУС   (2001-12-06 02:18) [1]

А чё он мочит? Мож для меня это всё равно...



Adder   (2001-12-06 03:02) [2]

http://www.viruslist.com/viruslist.asp?id=4435&key=00001000140000100106&f_page=0


Состоит из двух основных частей: червь, рассылающий электронные письма, и троянец, ворующий пароли.

Компонента-червь отсылает зараженные письма. Компонента-троянец отсылает с компьютера конфиденциальную информацию (имя пользователя, RAS-данные, кешированные пароли, текст, набираемый на клавиатуре). Эта компонента также создает на диске дополнительный DLL-файл (библиотеку), которая следит за клавиатурой (т.е. клавиатурный шпион).



Digitman   (2001-12-06 08:58) [3]

>Adder
Сразу
Сразу после снятия процесса kernel32 вместе с параметром в RunOnce удали сам kernel32.exe. Он будет восстанавливать себя в RunOnce до тех пор, пока существует, сразу после старта. Если даже какие-то хвосты в виде DLL остались, они уже не будут представлять угрозы.



Adder   (2001-12-06 12:08) [4]

2 Digitman © Это было сделано сразу же (прожило бедное животное на моем компе ровно 15 минут) . Но все равно, за совет Спасибо :)






Digitman   (2001-12-06 13:14) [5]

>Adder
Хочу лишь заметить, что заражение в случае с твоим "зверем" так же использует "дыру" в интерфейсе IFrame объекта Internet Explorer (который автоматом загружается при preview письма). Я не работал с Bat"ом и не могу сказать, какой объект там используется для той же цели, но если , по-умолчанию, исп-ся тот же IE, то утверждения о 100%-ной безопасности Bat"а при работе с зараженной этими "зверями" корреспонденцией лишены оснований



Merlin   (2001-12-06 13:24) [6]

У Bat-а свой просмотрщик HTML файлов, потому утрверждения о его 100% безопасности не лишены оснований ;)



Digitman   (2001-12-06 13:50) [7]

>Merlin
Просто интересно - единственный просмотрщик ? Или все же есть возможность подключить external HTML-viewer как default ?



Merlin   (2001-12-06 13:54) [8]

Не видел такой функции.



Almaz   (2001-12-09 02:19) [9]

Делайте upgrade до IE6.0 - там дырку с IFrame залатали.

Удачи.



Someone   (2001-12-09 02:57) [10]

Поддержу Merlin"а. Получил вчера таковой червяк. The Bat не позволил ему самому активироваться. Ну а далее InnoculateIT легко справился (он бы и раньше сделал это, но он в тот момент был выключен).



Adder   (2001-12-09 03:50) [11]

Ну... у меня IE5.5 с "заплаткой" ... Аутглюк тож не позволил червяку активизироваться самому... а вложенный файл открыла сдуру - письмо выглядело как ответ от одного знакомого (Re: ....), да и на Касперского понадеялась (оказалось, зря ) :(.
Кстати, у меня оказался довольно свежий червяк - дата компиляции 21.11.01 ...



iZEN   (2001-12-09 11:01) [12]

У меня вчера пришёл такой, Norton Antivirus 2002 (последнее обновление баз от 07.12.2001) его быстренько прихлопнул.
AVP -- тормозилло, снёс к чертям (со 128Мб комп жутко тормозил).
Поставил NAV2002 каждый день -- обновление вирусных баз через LiveUpdate.



Nikolay   (2001-12-09 19:04) [13]

А у меня вот так называется

I-Worm.Hybris.gen

Вот так!(с)



sudiv   (2001-12-10 09:59) [14]

Такую штуку я словил уже пару недель назад.
Да, AVP не лечит ее, но прекрасно обнаруживает.
А лечение "ручками".
Удачи.




Форум: "Потрепаться";
Поиск по всему сайту: delphimaster.net;
Текущий архив: 2002.01.31;
Скачать: [xml.tar.bz2];




Наверх





Память: 0.74 MB
Время: 0.04 c
3-99912           RoadRunner            2001-12-28 20:57  2002.01.31  
Помогите новичку со вставкой данных


14-100051         fliz                  2001-12-07 11:37  2002.01.31  
что лучше - сисадминство или прогерство?


4-100108          Filat                 2001-12-03 16:42  2002.01.31  
Не перегружается комп. Мешает сообщение, что к компу подкл. несколько юзеров.


3-99901           Oleon                 2001-12-28 17:32  2002.01.31  
Ну прямо никто не знает что-ли? Не может быть.


1-99967           Jano                  2002-01-10 02:12  2002.01.31  
Получение ширины текста в Memo