Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2002.01.28;
Скачать: [xml.tar.bz2];

Вниз

Win32.Invictus + I-Warm.Toil !!!!!!!!!   Найти похожие ветки 

 
Digitman   (2001-12-03 15:27) [0]

Чем реально "лечится" эта дружная семейка злобных червяков ?
Апдейт AVP трехдневной давности (по свежести) обнаруживает червей, но "лечить" почему-то отказывается без всяких на то комментариев (причем только Invictus; Toil он вроде бы успешно вырезает, но это бесполезно - "невылеченный" Invictus плодит его при след.загрузках).
Проблема касается только Win9x/Me. Тех, кого сия беда пока еще миновала, сочту необходимым предупредить - заражение базируется на "дыре" в интерфейсе IFrame от MS OutlookExpress5 и происходит при простом открытии корреспонденции с инфицированным вложением (уточняю - именно простое открытие письма для чтения его HTTP-содержимого в окне просмотра выбранного email из списка входящих в MSOE5, а не открытие вложения в него !!!!!)


 
Digitman   (2001-12-03 17:10) [1]

судя по отсутствию сколь-лиюо эмоц.реакций на сабж (при обычно заметной активности в "Потрепаться" на фоне прочих местных форумов) - или я не туда вопрос задал, или - полный бред, или с сей заразой никто дела не имел .... )))))))))))))


 
sudiv   (2001-12-03 17:13) [2]

Я не имел.
Были старые Hybris и transl какой-то, но уже дохлых прислали.


 
asafr   (2001-12-03 17:16) [3]

Я как-то тоже не встречал. Недавно свежий DrWeb отказывался SirCam мне лечить, при этом его обнаруживая. Пришлось ручечками удалить.


 
Wonder   (2001-12-03 17:33) [4]

Та же беда.
Мне так думается, что AVP не может влезть в формат аутлуковских почтовых БД. Точнее, не может внести изменения. Поэтому пользуюсь исключительно The Bat!


 
Digitman   (2001-12-03 18:09) [5]

>Wonder
Мне кажется, БД OE5 здесь уже не играют роли - OE5, прочитав infected-сообщение из своей БД, уже пустил червя "гулять" по системе. Заражается куча важных для системы исполняемых файлов и библиотек, причем перехваченные червем точки входов червем "прячутся", и не самым примитивным образом, а в тщательно скрываемых зонах диска (но не в Boot - вроде бы проверено). Сама лабор-я Касперского, хоть и достаточно подробно излагает механизм заражения, ни слова не говорит о возможности восстановления пораженных червем файлов/структур/зон. Но плодится он, червь, надо заметить, великолепно !! И во всех дописанных им телах есть ссылка на WSOCK.DLL - пытается слать "шпионскую" инфу. Неплохо трет он и системные пароли, кстати.


 
sunwheel   (2001-12-03 18:49) [6]

Недавно столкнулся с бессилием AVP убрать NIMDA c машин. Он их находил но удалял не все копии. Не знаю по каким причинам. И после перезагрузки вирусы опять плодились. Только с помощью NAV удалось очистить сеть. Так, что рекомендую установить NAV.


 
J_S   (2001-12-03 21:07) [7]

ну так чем же это все-таки лечится??? потому как у меня анологичная проблема.. Народ хелп плиз!!!!


 
Прикольщик   (2001-12-03 21:42) [8]

To J_S Поможеш мне, помогу тебе !


 
J_S   (2001-12-03 22:22) [9]

2 Прикольщик

??? подробнее plz


 
Digitman   (2001-12-04 13:03) [10]

Сдается мне, что DrWeb32 с последними апдейтами вирусных баз "лечит" сию гадость. По кр.мере - обнаруживает не хуже AVP. Да вот беда (как всегда, впрочем) - под рукой есть только ознакомительный DrWeb32 v4.26, и "лечить", соотв-но, он отказывается. Может, у кого есть файл с коммерческим ключем (не drweval.key, имеется ввиду) к DrWeb32 v4.26 ? Или - ссылочка ?


 
wHammer   (2001-12-04 13:10) [11]

Я вообще не знаю что такое AVP, Dr.Web - вот антивирус. Ключ на 12-ть попробую скинуть по почте, ловите.


 
Digitman   (2001-12-04 14:48) [12]

>wHammer
Спасибо, получил. Но ключ то ли просрочен, то ли поврежден.


 
Digitman   (2001-12-04 15:13) [13]

Совершенно непонятная, просто дикая ситуация с DrWeb32 !
Демо-версия с последними обновлениями успешно обнаруживала "сладкую парочку". Но стоило только установить коммерч.ключ , разрешающий лечение, как DrWeb32 "ослеп" ! Причем - на все имеющиеся у него "глаза" ! Не видит он ни с того ни с сего ни одного зараженного файла ! Хотя достоверно известно, что они есть, и тот же Касперский кричит об этом (но работать не хочет) ! Да что Касперский - и так видно : сигнатура-то червяков известна.
Кто-нибудь может по сему поводу что-то вразумительное изречь, господа ?


 
wHammer   (2001-12-04 16:10) [14]

Sorry, а моем ключе забыл сказать наверное самое главное, он для версии DrWeb 4.20, им и пользуюсь, просто переодически обновляю базы!


 
Vad   (2001-12-04 16:54) [15]

To:Digitman ©
Лови рабочий ключ. Только не сильно тиражируй.


 
Digitman   (2001-12-04 17:42) [16]

>Vad
Ключ-то я уже нашел, спасибо)... только толку от него мало (см. мое предыдущее сообщение)


 
Vad   (2001-12-04 18:10) [17]

To:Digitman ©
Такие звери до меня не доходили, поэтому определенного
не могу ничего сказать про то, что DRWEB их не видит.

Для профлактики червей я пользуюсь Spider"ом.
Кроме этого почту принимаю BAT"ом и поудалял у
себя все зарегистрированные типы файлов связанные
со скриптами, VB и прочим, что используют черви.




 
Wonder   (2001-12-04 18:22) [18]

>Digitman
Я имел ввиду лечение еще не открытого письма. Просто на будущее поставь Avp monitor. Но все равно толку от него не много будет. Он предупредит, а вот вылечить не сумеет, как раз потому, что я писал раньше.
Но "предупрежден значит вооружен". :)


 
Sir Alex   (2001-12-04 19:55) [19]

Пришлось тут давеча повозится с I-Worm.Nimda.e, гадская штучка. Размножается со скоростью 100Mbit/s (по сети), глазом не успеешь моргнуть, а у тебя уже весь венник забит файлами *.EML и *.NWS
Пытался вылечить AVP 3.5 с базой от 16.11.2001: облом, вроде вылечил, но через некоторое время опять завизжал AVP Monitor.
Включил проверку всех файлов, а он (AVP) начал виснуть.
Поставил AVP 3.6 с теми же базами: помогло, пока ничего нет, все чисто, даешь AVP 3.6!


 
Pat   (2001-12-04 21:47) [20]

А что можете сказать насчет Nav? Стоит ли его на комп ставить?


 
Никто   (2001-12-05 04:05) [21]

Очень похоже, что сия дыра не только в ОЕ, примерно в тоже время я имею проблемы и с The Bat. Мой Firewall пока что справляется, но...
Может я и ошибаюсь (т.е. мои проблемы из другой оперы), но описание функционирования очень похожи.


 
Axel   (2001-12-05 12:10) [22]

http://securityresponse.symantec.com/avcenter/venc/data/w32.invictus.dll.html
http://search.symantec.com/custom/us/query.html?col=us+kb&ht=0&qp=&qs=-url%3Ahttp%3A//service2.symantec.com/support/inter/&qc=&pw=100%25&ws=0&la=en&si=0&fs=&qt=i-worm&ex=&rq=0&oq=&qm=0&ql=&st=21&nh=10&lk=1&rf=0

for info:
http://www.viruslist.com/viruslist.asp?id=4439&key=00001000140000100107



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2002.01.28;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.49 MB
Время: 0.005 c
7-90405
Лана Розанова
2001-10-11 12:07
2002.01.28
Путь к каталогу


1-90267
elk
2002-01-09 13:24
2002.01.28
перекодировка hello <-> руддщ


7-90390
Andrei
2001-10-17 10:08
2002.01.28
Помогите: необходима эмуляция поведения мыши


3-90234
Быданцев Александр
2001-12-09 16:40
2002.01.28
DB2


6-90331
krimer
2001-11-04 18:56
2002.01.28
пример консольного приложения с TServerSocket





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский