Форум переносится на http://f.zakat.ru/

**CbIPHuK** · 16-02-2010, 06:35 PM

Как заражает:

Распространяется преимущественно в корпоративных и городских сетях, но не исключено заражение по инету.

Открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.

Как работает

Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы:

Когда Win32/Conficker запускается, он создает копии самого себя в %System% каталоге с разными именами. Червь внедряет свой код в процесс “services.exe” чтобы его было труднее найти и удалить. Имя сервисной службы: netsvcs

Путь исполняемого файла:

%System%\svchost.exe -k netsvcs,

а также создает запись в реестре:

HKLM\SYSTEM\CurrentControlSet\Services\\Parameters \ServiceDll = “%System%\”

Как проявляется:

Постоянно отключает сетевую и звуковую карты. У некоторых еще блокирует панель “пуск” и стандартную панель “файл, правка, вид…”, но могут проявляться и другие симптомы (вирус до конца не изучен)

Как лечить:

Вирус использует уязвимость операционной системы Windows, которая ликвидируется патчем безопасности MS08-067, также рекомендуется установить эти фиксы MS08-068 , MS09-001 для предотвращения заражения компьютера через сеть.

Устанавливаем указанные выше патчи безопасности MS08-067, MS08-068, MS09-001, обновить антивирусную базу вашего антивируса, скачать утилиту от BitDefender
). Дополнительно можно скачать утилиты CureIt или Kaspersky Virus Removal Tool.

Или эту подборку для SP3 состоящую из:

Патчей:

WindowsXP-KB957097-x86-RUS

WindowsXP-KB958644-x86-RUS

WindowsXP-KB958687-x86-RUS

Утилиты:

Anti-Downadup

Напоминаю это для SP3

Далее

1. Отключится от локальной сети и Интерента.

2. Установить патчи безопасности.

3. Запустить утилиту от anti-Downadup.

4. Проверить компьютер уже установленным антивирусом или утилитами CureIt или Kaspersky Virus Removal Tool.

Если после проверок вирус остался, повторяем данные операции до посинения.

16-02-2010, 06:35 PM	#1
CbIPHuK ПельмешкО Регистрация: Nov 2004 Адрес: Ипет ??? Сообщения: 2,396	Внимание!!!Вирус!!!Win32/Conficker.AA Как заражает: Распространяется преимущественно в корпоративных и городских сетях, но не исключено заражение по инету. Открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе. Как работает Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы: Когда Win32/Conficker запускается, он создает копии самого себя в %System% каталоге с разными именами. Червь внедряет свой код в процесс “services.exe” чтобы его было труднее найти и удалить. Имя сервисной службы: netsvcs Путь исполняемого файла: %System%\svchost.exe -k netsvcs, а также создает запись в реестре: HKLM\SYSTEM\CurrentControlSet\Services\\Parameters \ServiceDll = “%System%\” Как проявляется: Постоянно отключает сетевую и звуковую карты. У некоторых еще блокирует панель “пуск” и стандартную панель “файл, правка, вид…”, но могут проявляться и другие симптомы (вирус до конца не изучен) Как лечить: Вирус использует уязвимость операционной системы Windows, которая ликвидируется патчем безопасности MS08-067, также рекомендуется установить эти фиксы MS08-068 , MS09-001 для предотвращения заражения компьютера через сеть. Устанавливаем указанные выше патчи безопасности MS08-067, MS08-068, MS09-001, обновить антивирусную базу вашего антивируса, скачать утилиту от BitDefender ). Дополнительно можно скачать утилиты CureIt или Kaspersky Virus Removal Tool. Или эту подборку для SP3 состоящую из: Патчей: WindowsXP-KB957097-x86-RUS WindowsXP-KB958644-x86-RUS WindowsXP-KB958687-x86-RUS Утилиты: Anti-Downadup Напоминаю это для SP3 Далее 1. Отключится от локальной сети и Интерента. 2. Установить патчи безопасности. 3. Запустить утилиту от anti-Downadup. 4. Проверить компьютер уже установленным антивирусом или утилитами CureIt или Kaspersky Virus Removal Tool. Если после проверок вирус остался, повторяем данные операции до посинения. __________________