Win32.Invictus + I-Warm.Toil !!!!!!!!!

← →
Digitman (2001-12-03 15:27) [0]

Чем реально "лечится" эта дружная семейка злобных червяков ?
Апдейт AVP трехдневной давности (по свежести) обнаруживает червей, но "лечить" почему-то отказывается без всяких на то комментариев (причем только Invictus; Toil он вроде бы успешно вырезает, но это бесполезно - "невылеченный" Invictus плодит его при след.загрузках).
Проблема касается только Win9x/Me. Тех, кого сия беда пока еще миновала, сочту необходимым предупредить - заражение базируется на "дыре" в интерфейсе IFrame от MS OutlookExpress5 и происходит при простом открытии корреспонденции с инфицированным вложением (уточняю - именно простое открытие письма для чтения его HTTP-содержимого в окне просмотра выбранного email из списка входящих в MSOE5, а не открытие вложения в него !!!!!)

← →
Digitman (2001-12-03 17:10) [1]

судя по отсутствию сколь-лиюо эмоц.реакций на сабж (при обычно заметной активности в "Потрепаться" на фоне прочих местных форумов) - или я не туда вопрос задал, или - полный бред, или с сей заразой никто дела не имел .... )))))))))))))

← →
sudiv (2001-12-03 17:13) [2]

Я не имел.
Были старые Hybris и transl какой-то, но уже дохлых прислали.

← →
asafr (2001-12-03 17:16) [3]

Я как-то тоже не встречал. Недавно свежий DrWeb отказывался SirCam мне лечить, при этом его обнаруживая. Пришлось ручечками удалить.

← →
Wonder (2001-12-03 17:33) [4]

Та же беда.
Мне так думается, что AVP не может влезть в формат аутлуковских почтовых БД. Точнее, не может внести изменения. Поэтому пользуюсь исключительно The Bat!

← →
Digitman (2001-12-03 18:09) [5]

>Wonder
Мне кажется, БД OE5 здесь уже не играют роли - OE5, прочитав infected-сообщение из своей БД, уже пустил червя "гулять" по системе. Заражается куча важных для системы исполняемых файлов и библиотек, причем перехваченные червем точки входов червем "прячутся", и не самым примитивным образом, а в тщательно скрываемых зонах диска (но не в Boot - вроде бы проверено). Сама лабор-я Касперского, хоть и достаточно подробно излагает механизм заражения, ни слова не говорит о возможности восстановления пораженных червем файлов/структур/зон. Но плодится он, червь, надо заметить, великолепно !! И во всех дописанных им телах есть ссылка на WSOCK.DLL - пытается слать "шпионскую" инфу. Неплохо трет он и системные пароли, кстати.

← →
sunwheel (2001-12-03 18:49) [6]

Недавно столкнулся с бессилием AVP убрать NIMDA c машин. Он их находил но удалял не все копии. Не знаю по каким причинам. И после перезагрузки вирусы опять плодились. Только с помощью NAV удалось очистить сеть. Так, что рекомендую установить NAV.

← →
J_S (2001-12-03 21:07) [7]

ну так чем же это все-таки лечится??? потому как у меня анологичная проблема.. Народ хелп плиз!!!!

← →
Прикольщик (2001-12-03 21:42) [8]

To J_S Поможеш мне, помогу тебе !

← →
J_S (2001-12-03 22:22) [9]

2 Прикольщик

??? подробнее plz

← →
Digitman (2001-12-04 13:03) [10]

Сдается мне, что DrWeb32 с последними апдейтами вирусных баз "лечит" сию гадость. По кр.мере - обнаруживает не хуже AVP. Да вот беда (как всегда, впрочем) - под рукой есть только ознакомительный DrWeb32 v4.26, и "лечить", соотв-но, он отказывается. Может, у кого есть файл с коммерческим ключем (не drweval.key, имеется ввиду) к DrWeb32 v4.26 ? Или - ссылочка ?

← →
wHammer (2001-12-04 13:10) [11]

Я вообще не знаю что такое AVP, Dr.Web - вот антивирус. Ключ на 12-ть попробую скинуть по почте, ловите.

← →
Digitman (2001-12-04 14:48) [12]

>wHammer
Спасибо, получил. Но ключ то ли просрочен, то ли поврежден.

← →
Digitman (2001-12-04 15:13) [13]

Совершенно непонятная, просто дикая ситуация с DrWeb32 !
Демо-версия с последними обновлениями успешно обнаруживала "сладкую парочку". Но стоило только установить коммерч.ключ , разрешающий лечение, как DrWeb32 "ослеп" ! Причем - на все имеющиеся у него "глаза" ! Не видит он ни с того ни с сего ни одного зараженного файла ! Хотя достоверно известно, что они есть, и тот же Касперский кричит об этом (но работать не хочет) ! Да что Касперский - и так видно : сигнатура-то червяков известна.
Кто-нибудь может по сему поводу что-то вразумительное изречь, господа ?

← →
wHammer (2001-12-04 16:10) [14]

Sorry, а моем ключе забыл сказать наверное самое главное, он для версии DrWeb 4.20, им и пользуюсь, просто переодически обновляю базы!

← →
Vad (2001-12-04 16:54) [15]

To:Digitman ©
Лови рабочий ключ. Только не сильно тиражируй.

← →
Digitman (2001-12-04 17:42) [16]

>Vad
Ключ-то я уже нашел, спасибо)... только толку от него мало (см. мое предыдущее сообщение)

← →
Vad (2001-12-04 18:10) [17]

To:Digitman ©
Такие звери до меня не доходили, поэтому определенного
не могу ничего сказать про то, что DRWEB их не видит.

Для профлактики червей я пользуюсь Spider"ом.
Кроме этого почту принимаю BAT"ом и поудалял у
себя все зарегистрированные типы файлов связанные
со скриптами, VB и прочим, что используют черви.

← →
Wonder (2001-12-04 18:22) [18]

>Digitman
Я имел ввиду лечение еще не открытого письма. Просто на будущее поставь Avp monitor. Но все равно толку от него не много будет. Он предупредит, а вот вылечить не сумеет, как раз потому, что я писал раньше.
Но "предупрежден значит вооружен". :)

← →
Sir Alex (2001-12-04 19:55) [19]

Пришлось тут давеча повозится с I-Worm.Nimda.e, гадская штучка. Размножается со скоростью 100Mbit/s (по сети), глазом не успеешь моргнуть, а у тебя уже весь венник забит файлами *.EML и *.NWS
Пытался вылечить AVP 3.5 с базой от 16.11.2001: облом, вроде вылечил, но через некоторое время опять завизжал AVP Monitor.
Включил проверку всех файлов, а он (AVP) начал виснуть.
Поставил AVP 3.6 с теми же базами: помогло, пока ничего нет, все чисто, даешь AVP 3.6!

← →
Pat (2001-12-04 21:47) [20]

А что можете сказать насчет Nav? Стоит ли его на комп ставить?

← →
Никто (2001-12-05 04:05) [21]

Очень похоже, что сия дыра не только в ОЕ, примерно в тоже время я имею проблемы и с The Bat. Мой Firewall пока что справляется, но...
Может я и ошибаюсь (т.е. мои проблемы из другой оперы), но описание функционирования очень похожи.

← →
Axel (2001-12-05 12:10) [22]

http://securityresponse.symantec.com/avcenter/venc/data/w32.invictus.dll.html
http://search.symantec.com/custom/us/query.html?col=us+kb&ht=0&qp=&qs=-url%3Ahttp%3A//service2.symantec.com/support/inter/&qc=&pw=100%25&ws=0&la=en&si=0&fs=&qt=i-worm&ex=&rq=0&oq=&qm=0&ql=&st=21&nh=10&lk=1&rf=0

for info:
http://www.viruslist.com/viruslist.asp?id=4439&key=00001000140000100107

Win32.Invictus + I-Warm.Toil !!!!!!!!! Найти похожие ветки