Пятница
29.11.2024
10:23

Приветствую Вас Гость
RSS

ГлавнаяРегистрацияВход

Главная | ClanInfo | Фотоальбом | Файлы | Посольство

Windows XP - Форум Клана Majestic North

  • Страница 1 из 1
  • 1
Модератор форума: KoLLle4ka  
Windows XP
LinkДата: Вторник, 28.04.2009, 12:35 | Сообщение # 1
MN Creator
Группа: Администраторы
Сообщений: 1578
Награды: 16
Репутация: 68
Статус: Offline
Обнаружил странную вещь тут.
Переустановил винду на работе у коллеги, и при попытке обновится через microsoft update не смог зайти на сайт microsoft.com. Потом как оказалось отсутствовала возможность заходить на сайты практически всех популярных антивирусов.

Полчаса рысканья по инету и оказалось, что это просто напросто червь Downadup
Информация по нему тут
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Червь не лечится антивирусами, если попал на комп до них - проверено на NOD 32. Послдений тупо при загрузке винды выдавал сообщение о некоемом процессе, который он может убить, и предлагал перегрузить комп. После перезагрузки НОД успокаивался, но сайт мелкосовта не грузился все равно.
Червем блокируются домены:
• virus
• spyware
• malware
• rootkit
• defender
• microsoft
• symantec
• norton
• mcafee
• trendmicro
• sophos
• panda
• etrust
• networkassociates
• computerassociates
• f-secure
• kaspersky
• jotti
• f-prot
• nod32
• eset
• grisoft
• drweb
• centralcommand
• ahnlab
• esafe
• avast
• avira
• quickheal
• comodo
• clamav
• ewido
• fortinet
• gdata
• hacksoft
• hauri
• ikarus
• k7computing
• norman
• pctools
• prevx
• rising
• securecomputing
• sunbelt
• emsisoft
• arcabit
• cpsecure
• spamhaus
• castlecops
• threatexpert
• wilderssecurity
• windowsupdate
• nai
• ca
• avp
• avg
• vet
• bit9
• sans
• cert

Как вылечить?

Качайте киллер по данной ссылке http://depositfiles.com/ru/files/x6okco7r7

После убийства червя обновитесь.
Если скачать не удастся пишите в ПМ, вышлю на мыло.



Тебя не видя жить, а толку?
Идут года...
Тебя смогу не видеть долго,
Но никогда?
Дней дань тяжелых за спиною,
Несу куда?
Мне никогда не быть с тобою,
А это долго, "никогда"?
 
Evgenius56Дата: Вторник, 28.04.2009, 19:13 | Сообщение # 2
Граф
Группа: Majestic North
Сообщений: 1254
Награды: 10
Репутация: 17
Статус: Offline
Спасибо за информацию! Был такой)))

Evermore Evgenius56 Duelist 81/79/75/79/78/77 bb 8(
RuOf[Atlant] Evgenius Разбойник Одала 90/83/78/76 offline
RuOf[Atlant] Javi Волшебник Фео 95/87/78/76 sold
RuoF[Blackbird] Evza Призрачный Охотник Одала 99/98/80/80 in progress
 
N0th1nGДата: Вторник, 28.04.2009, 19:21 | Сообщение # 3
Барон
Группа: Ancient MN
Сообщений: 87
Награды: 1
Репутация: 5
Статус: Offline
Костик новую версию червя выложил))))

по сабжу, после "убиения" конфликера нужно почистить папочку %systemroot%/Tasks

если там есть какието непонятные задания и в диспетчере появились rundll32.exe в количестве больше 1 шт - то знач конфликер почищен не до конца

так же еще есть веточки в реестре, но их не помню - гуглите)

 
BountiДата: Среда, 29.04.2009, 13:46 | Сообщение # 4
Казначей
Группа: Majestic North
Сообщений: 736
Награды: 15
Репутация: 39
Статус: Offline
wacko


Сшей крылья облаков.Выше, чем любовь полетим с тобой! Слышишь там...Всё открыто нам...Знаешь, я тебя сердцем не предам.
 
KoLLle4kaДата: Среда, 29.04.2009, 17:14 | Сообщение # 5
Советник Тайной Канцелярии
Группа: Администраторы
Сообщений: 494
Награды: 5
Репутация: 27
Статус: Offline
хм.. мой нод убил без проблем...

Bible+MaLLlka
 
NightwindДата: Среда, 29.04.2009, 17:22 | Сообщение # 6
Серый Рыцарь
Группа: Ancient MN
Сообщений: 586
Награды: 5
Репутация: 26
Статус: Offline
А мне даже искать лень. на работе нод обновляется регулярно, и я домой эту антивирусную базу тож регулярно таскаю

Свет, да озари мой путь, ибо гораздо проще потушить огонь в себе,чем развеять тьму вокруг!!!
 
Evgenius56Дата: Среда, 29.04.2009, 23:43 | Сообщение # 7
Граф
Группа: Majestic North
Сообщений: 1254
Награды: 10
Репутация: 17
Статус: Offline
Не помогло однажды) Заплаток всяких навтыкал)

Evermore Evgenius56 Duelist 81/79/75/79/78/77 bb 8(
RuOf[Atlant] Evgenius Разбойник Одала 90/83/78/76 offline
RuOf[Atlant] Javi Волшебник Фео 95/87/78/76 sold
RuoF[Blackbird] Evza Призрачный Охотник Одала 99/98/80/80 in progress
 
LinkДата: Пятница, 06.01.2012, 17:14 | Сообщение # 8
MN Creator
Группа: Администраторы
Сообщений: 1578
Награды: 16
Репутация: 68
Статус: Offline
Современные вирусы, написанные с толком, с точки зрения программирования становятся похожими на произведения искусства. Деструктивная программа BackDoor.Dande, написанная на C, будоражит воображение своими возможностями. Имея данный функционал, можно предположить, что это преднамеренный заказ на ряд систем, используемых в фармацевтике. И так, попадая с систему, скрипт проверяет установлена ли копия трояна на данном компьютере, может определить имя текущей учетной записи и версию оси. Потом, в случае если установлены ОС Windows XP/Windows Server 2003, бэкдор удаленно связывается с управляющим сервером и подгружает сам исходник трояна Trojan.PWS.Dande, а также зашифрованный конфиг. файл, после чего они дешифруются и оседают где-то в недрах системы.
BackDoor.Dande это своего рода инструмент по управлению действиями троянского модуля, т.е. скачивание, сохранение, запуск, сбор статистики в конфиге и удаление, ну и ряд других действий. Заложенные в программу алгоритмы, способны указать бэкдору рабочий управляющий сервер, в случае если какой-нибудь из них не будет функционировать. Механизм встраивания очень хорошо продуман, заражение происходит в библиотеке advapi32.dll, с которой работают все процессы в системе, что значительно облегчает саму процедуру внедрения.

Теперь про Trojan.PWS.Dande, его основная функция – похищение данных клиентской базы систем электронного заказа, которыми пользуются фармацевтические компании, ряд аптек и фирм дилеров мед. препаратов.
В пределах юрисдикции трояна находятся следующие программные продукты:

Спец. приложение «Аналит: Фармация 7.7» для 1С;
Система эл. заказа СЭЗ-2 (производитель «Аптека-Холдинг»);
Система формирования заявок (компания «Российская Фармация»);
Система эл. заказа фарм. группы «Роста»;
Программный комплекс «Катрен WinPrice» и т.д.
Какие данные перехватывает вирус:

Про ПО, установленное на компьютере;
Пароли пользователей и многое др.
Предполагается, что киберпреступников в первую очередь интересует информация о ценах и объемах поставок препаратов. Соответственно после сбора, все сведения шифруются и передаются на сервера. Получается, что данный вид троянской программы имеет узкую сферу использования, но можно сказать, что уже сейчас просматривается определенный почерк в алгоритмах таких вирусов, и уже давно не секрет, что на черном рынке частенько попадаются исходники довольно стоящих программ, которые в хитрых руках могут приобретать разные возможности и направление для поражения.
Компания Dr.Web уже позаботилась и добавила новый вирус в свои сигнатуры, для его лечения.



Тебя не видя жить, а толку?
Идут года...
Тебя смогу не видеть долго,
Но никогда?
Дней дань тяжелых за спиною,
Несу куда?
Мне никогда не быть с тобою,
А это долго, "никогда"?
 
LinkДата: Среда, 28.03.2012, 10:16 | Сообщение # 9
MN Creator
Группа: Администраторы
Сообщений: 1578
Награды: 16
Репутация: 68
Статус: Offline
Trojan.Mayachok.1


Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)?

По описаниям ресурса Dr.Web, это:
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 'LoadAppInit_DLLs' = '00000001'
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 'AppInit_DLLs' = '\pjjtnjk.dll'

Вредоносные функции:
Запускает на исполнение:
\logonui.exe /status /shutdown
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
Code
%TEMP%\1.1
%WINDIR%\Temp\1.1
%TEMP%\2.2
<SYSTEM32>\pjjtnjk.dll

Удаляет следующие файлы:
Code
%WINDIR%\Temp\1.1
%TEMP%\1.1
%TEMP%\2.2


Другое:
Ищет следующие окна:
Code
ClassName: 'Shell_TrayWnd' WindowName: ''
ClassName: 'StatusWindowClass' WindowName: ''


Что происходит после заражения? Чаще всего пострадавший сталкивается со следующими проблемами:

- Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

- Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

- Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.


Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра:
нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

2. Перезагружаемся. Это обязательный момент!

3. Разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

  • Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.

    Для пользователей x64 разрядных систем:

    Троянец находится в каталоге C:\windows\SYSWOW64

    Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
    Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
    %SystemRoot%\SysWOW64\regedit.exe

    По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

    разновидность - trojan.mayachok.550. Принцип удаления аналогичный.




  • Если Вы не запомнили (не записали) имя файла и удалили, как теперь его найти?

    При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 42-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

    А временные файлы можете удалить командой (вставить в командную строку):
    Code
    del "%windir%\system32\*.tmp" /q

    нажать enter.
    Для 64 битных систем:
    Code
    del "%windir%\syswow64\*.tmp" /q


    Если Вы по ошибке удалили из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

    На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

    При попытке внести изменения в реестр Вы получаете сообщение "Отказано в доступе"

    Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ".



    Тебя не видя жить, а толку?
    Идут года...
    Тебя смогу не видеть долго,
    Но никогда?
    Дней дань тяжелых за спиною,
    Несу куда?
    Мне никогда не быть с тобою,
    А это долго, "никогда"?
     
    • Страница 1 из 1
    • 1
    Поиск:

    Copyright Majestic North © 2024

    Рейтинг@Mail.ru