Отправлено: 13.02.09 16:10. Заголовок: Вирусы

Черви, трояны, вирусы или какие-то сбои в работе компьютера - с этим сюда, постараемся помочь.

 Отправлено: 05.01.09 00:43. Заголовок: Решили писать здесь ..

Решили писать здесь про всякие вирусы..

Обзор вирусной обстановки за декабрь 2008 года от компании «Доктор Веб»

Критическое обновление Windows

В декабре вышло очередное критическое обновление для операционных систем семейства Windows, которое закрыло уязвимость в обработчике XML. Причиной оперативного выпуска обновления стало распространение эксплойта, который использовал данную уязвимость. Данный эксплойт по классификации Dr.Web имеет название Exploit.CVE2008.4844. При запуске он осуществляет проверку наличия в системе браузера Internet Explorer 7, а также проверку на то, что он загружен в ОС Windows XP или Windows 2003 Server, после чего создаёт специально подготовленный XML-тег, в результате обработки кот орого начинается загрузка со специально подготовленного сайта и установка в систему вредоносных программ.

Блокирование доступа к документам

В декабре появилось сразу несколько заметных случаев распространения вредоносных программ, в функционал которых входит блокирование доступа к документам пользователя.
Одной из таких программ стал троянец Trojan.Locker.8, который блокировал доступ к документам и папкам посредством их переименования на имена, не соответствующие стандартам, принятыми в Windows. Этот троянец распространялся в виде генератора серийных номеров на продукты, выпускаемые Adobe Systems.


Trojan.Encoder.33 представлял из себя новую модификацию программ, использующих шифрование пользовательских документов. На этот раз помимо шифрования файлов троянец перемещал их специально создаваемые папки, расположенные в профиле пользователя Windows. Оригинальные файлы заменялись сообщением "FileError_22001", при этом если документ имел текстовые формат, то и сообщение было в текстовом формате, на место же графических файлов помещалось графический файл с тем же сообщением.

Компания «Доктор Веб» в оперативном режиме выпустила утилиты, которые устраняют последствия действия этих двух троянцев - (Trojan.Locker.8 и Trojan.Encoder.33). Почтовые рассылки
Вирусописатели продолжают рассылать вредоносные программы под видом электронных открыток. Для этого в почтовых сообщениях могут включаться как прямые ссылки на якобы электронные рассылки, так и В частности, в рассылке от якобы сервиса Hallmark давалась прямая ссылка на самораспаковывающийся архив, который содержал целый набор вполне безвредных системных утилит, которые использовались для своих нужно вредоносной программой, также входящей состав архива. Данная вредоносная программа содержится в вирусной базе Dr.Web под именем Trojan.Runner.15.



Также авторами «электронных открыток» активно эксплуатировалась тема рождественских праздников. В течение последней декады декабря пользователи электронной почты получили множество писем со ссылкой на сайт, откуда якобы можно скачать рождественскую открытку. На деле же все ссылки на данном подставном сайте вели на различные вредоносные программы, которые определяются Dr.Web как Trojan.Spambot.4202, Trojan.Spambot.4204, Trojan.Spambot.4214, а также Trojan.Promo.42.





С 16 по 23 декабря была заметна русскоязычная рассылка, к которой была приложена якобы фотография. На самом деле в приложенном архиве находился исполняемый файл DC005.JPG[множество символов подчёркивания].exe, который является троянцем Trojan.DownLoad.9125. Данный троянец при запуске загружает из Интернета вредоносную программу Trojan.PWS.GoldSpy.2581, которая, в свою очередь устанавливает в систему ещё два своих компонента - Trojan.PWS.GoldSpy.2579 и Trojan.PWS.GoldSpy.2580. Рассылка данного троянца, к сожалению, подтверждает высказанную ранее тенденцию о том, что почтовые сообщения всё чаще используются в качестве транспорта для троянцев, ворующих пользовательские пароли.



Социальные сети
Механизмы личных сообщений, реализованные на сайтах социальных сетей, продолжают использоваться для различных схем мошенничества. В частности, многие пользователи социальной сети «В контакте» получили сообщение от специально созданного для рассылки аккаунта том, что пользователь этой социальной сети может получить денежный бонус.



Подставной сайт имеет дизайн, похожий на официальный сайт социальной сети «В контакте» и предлагает пользователю ввести логин и пароль на свой аккаунт.



После этого выводится сообщение об условиях «акции», в котором, в частности, предлагается скачать программу и установить её в мобильный телефон



На самом деле никакого бонуса пользователь в итоге не получал, а программа, установленная в телефон, начинала несанкционированную рассылку платных SMS-сообщений. Данная вредоносная определяется Dr.Web как одна из модификаций Java.SMSSend.

Фишинг

В декабре, как и в предыдущие месяцы, интернет-мошенниками активно использовался метод фишинга. В частности, в прошедшем месяце жертвами фишинга оказались клиенты JPMorgan Chase Bank, Frost Bank, а также пользователи интернет-аукциона eBay.





SMS-мошенничество

В декабре был зафиксирован примечательный случай SMS-мошенничества, ориентированный на пользователей нелицензионных копий Windows. Trojan.SMSReg.1 при запуске копирует себя папку установки Windows и прописывает себя в автозапуск. После этого троянец убирает с рабочего стола все окна и панели и отображается сообщение от имени корпорации Майкрософт с требованием зарегистрировать используемую копию Windows с помощью SMS-сообщения.



Смотрите внимательно перед тем как что-то качать с инета!

 Отправлено: 26.01.09 23:01. Заголовок: Сетевой червь Win32...

Сетевой червь Win32.HLLW.Shadow.based использует уязвимости Microsoft Windows

Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.

Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.

Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса

После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.

Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.

Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.

В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based

Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.

Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений

1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
* MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx);
* MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);
* MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx).

2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.

Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based

Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield™, который позволяет получать неограниченный доступ к файлам и веткам реестра, защищённым таким образом.

Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based установиться в систему.

P.S. вот эту гадость я поймала Если кому-то нужны обновления Microsoft, которые указаны выше пишите.

 Отправлено: 01.02.09 15:14. Заголовок: Компания «Доктор Веб..

Компания «Доктор Веб» информирует пользователей о массовой рассылке сообщений, эксплуатирующих тему грядущего Дня Святого Валентина. В сообщениях содержится ссылка на сайт, с которого происходит загрузка вредоносной программы, определяемой антивирусом Dr.Web как Trojan.Spambot.4266, а также известной под именем Waledac.
На специально подготовленном сайте, ссылку на который получает пользователь, отображаются сердечки, символизирующие День Святого Валентина. При этом сайт построен так, что подталкивает пользователя к нажатию на картинку, после чего начинается загрузка вредоносного файла.



Цель данного троянца — создание очередной бот-сети из заражённых компьютеров, которую затем можно использовать для любых целей злоумышленников. Файл, загружаемый с вредоносного сайта, периодически обновляется. Все новые модификации троянца оперативно добавляются в базу антивируса Dr.Web.
Компания «Доктор Веб» в период до 14 февраля рекомендует интернет-пользователям быть бдительными и тщательно проверять происхождение присылаемых «валентинок».

 Отправлено: 30.06.09 00:27. Заголовок: Ключики к антивирусн..

Ключики к антивирусникам воть

Компания «Доктор Веб» сообщает о появлении новой угрозы, распространяемой через известный сервис микроблогинга Twitter.com. C одного из аккаунтов по его подписчикам распространяется сообщение, содержащее вредоносную ссылку. При переходе по ней, пользователю предлагается скачать специальный кодек для просмотра порно-ролика, который оказывается вредоносной программой. При этом ресурс, созданный злоумышленниками, самостоятельно определяет вид операционной системы, предлагая разные угрозы для ОС Windows и Mac OSX.
В среду, 24 июня, в микроблоге одного из пользователей Twitter.com, который является бывшим сотрудником компании Apple, появилось сообщение, содержащее следующую запись - Leighton Meester sex tape video free download!, а также ссылку, как оказалось, на сайт с вредоносными объектами.
Так как блог данного пользователя на Twitter.com обладает значительным количеством подписчиков (около 140 000), она тут же попала в их ленты. При нажатии на сообщение, пользователь через сервис сокращенных ссылок попадал на страницу видео-хостинга, содержащую ролик. При попытке посмотреть его, пользователь переадресовывался на страницу с видео. Далее при нажатии на видео, ему предлагается скачать специальный кодек ActiveXsetup.exe, который на самом деле оказывался вирусом.

Вредоносный скрипт на http://worldt**e.su при этом самостоятельно определяет вид операционной системы по user-agent браузера. В случае если используются браузеры, работающие под Windows, за кодеком скрывается Backdoor.Tdss.119. Если же используются браузеры, работающие с Mac OS X – Mac.Dnschanger.2. После запуска ActiveXsetup.dmg стартует файл install.pkg, активирующий Perl-скрипт, который загружает основной вирус.
Его функционал в зараженной системе заключается в подмене адресов DNS-серверов при запросах, которые производит пользователь в адресной строке своего браузера.
Такое поведение вируса может использоваться как для продвижения различных сайтов в поисковых системах, так и для переадресации пользователей на вредоносные интернет-ресурсы.

В скором времени после появления данного сообщения ссылка с http://www.nowpublic.com/ на http://worldt..e.su была удалена. Тем не менее, она была активна более 10 часов. Таким образом, она не только попала в ленты подписчиков блоггера, но и цитировалась ими.

Будьте внимательны и лезьте куда попало

 Отправлено: 30.06.09 02:53. Заголовок: Angel пишет: Будьте..

Angel пишет:

цитата:

Будьте внимательны и лезьте куда попало

*Упала в приступе дикого ржача* *Бьется в истерике* Маришка..Я так понимаю здесь ошибочка
Angel пишет:

цитата:

Ключики к антивирусникам

Спасибо)) У меня как раз закончился)))

 Отправлено: 30.06.09 05:54. Заголовок: Angel пишет: Ключик..

Angel пишет:

цитата:

Ключики к антивирусникам

У меня пишет: невозможно запустить преложение....Что с этим делать?
Elle girl пишет:

цитата:

*Упала в приступе дикого ржача* *Бьется в истерике* Маришка..Я так понимаю здесь ошибочка

Ну подумаешь, описочка вышла....

 Отправлено: 30.06.09 15:24. Заголовок: Elle girl пишет: *У..

Elle girl пишет:

цитата:

*Упала в приступе дикого ржача* *Бьется в истерике* Маришка..Я так понимаю здесь ошибочка

Это меня муж сбил и не посмотрела

Асенька пишет:

цитата:

У меня пишет: невозможно запустить преложение....Что с этим делать?

Какое преложение??

 Отправлено: 30.06.09 15:38. Заголовок: Angel пишет: Какое ..

Angel пишет:

цитата:

Какое преложение??

Перехожу по ссылке, нажимаю скачать, а оно мне: Невозможно запустить преложение...(((

 Отправлено: 30.06.09 18:26. Заголовок: Асенька пишет: Пере..

Асенька пишет:

цитата:

Перехожу по ссылке, нажимаю скачать, а оно мне: Невозможно запустить преложение...(((

А вот он, ключик от каморки папы Карло

 Отправлено: 25.08.09 11:06. Заголовок: Не знаю, в тему я ил..

Не знаю, в тему я или нет, но это уже начинает надоедать.
Часто стали вылазить блокираторы сайтов, теперь они добрались и до форума. Именно что частичные темы, такие как флуд, некоторые сейфы и другие - блокируются и у меня нет возможности писать сообщения. Хорошо хоть здесь мне дозволили это сделать.
http://s41.radikal.ru/i093/0908/59/6ee852871bbb.jpg

 Отправлено: 25.08.09 11:14. Заголовок: Lirika а можно адрес..

Lirika а можно адреса форумов и сайтов... хочу сначала глянуть..

 Отправлено: 25.08.09 11:46. Заголовок: Lirika Странная ка..

Lirika

Странная какая штука, интересно, не вирус ли это...

 Отправлено: 25.08.09 12:36. Заголовок: Lirika, вот тут всё ..

Lirika, вот тут всё написано.

 Отправлено: 25.08.09 18:28. Заголовок: Эм..Может я пишу не ..

Эм..Может я пишу не в ту тему,но все же:
Я хотела скачать одну фигню,и антивирусник мне крикнул,что обнаружил троян,и предложил его кинуть в хранилище,а как теперь мне просканировать комп...Просто у меня новый антивирусник и я еще с ним не разобралась...

 Отправлено: 25.08.09 18:42. Заголовок: Знаешь,я в настройка..

Знаешь,я в настройках(у меня НОД32)поставила движок на полную очистку,он мне тоже раньше посылал вирусы в карантин,а теперь автоматически удаляет.Можешь зайти в карантин и удалить их вручную.
И обязательно просканируй всю систему.У тебя должно быть в меню:"Сканирование ПК".Какой у тебя антивирусник?

 Отправлено: 25.08.09 18:53. Заголовок: frensy ,Nod32 и Аvas..

frensy ,Nod32 и Аvast

 Отправлено: 25.08.09 21:52. Заголовок: !К@Р@МЕЛЬК@! пишет: ..

!К@Р@МЕЛЬК@! пишет:

цитата:

Nod32 и Аvast

А зачем тебе 2 Они ж между собой конфликтуют и нормальные файлы могут посчитать за вирус! !К@Р@МЕЛЬК@! поставь себе нормальный антивирусник.. Касперский или доктор Вэб..

Тем более ключи для них каждый месяц выкладываю

drweb32.key

KAV.txt

NOD32.txt

Lirika пропала пошла проверять комп и исчезла

 Отправлено: 25.08.09 21:58. Заголовок: Angel ,У меня был Ка..

Angel ,У меня был Касперский...Так из за него мне пришлось винду переустанавливать
Angel пишет:

цитата:

А зачем тебе 2

Это не я..
Это программист...
а куда кидать логин а пароль?

 Отправлено: 25.08.09 22:50. Заголовок: Angel пишет: Каспер..

Angel пишет:

цитата:

Касперский или доктор Вэб..

Сколько читаю и слушаю знакомых-говорят:дрянь
У меня Нод32-тьфу,тьфу

 Отправлено: 25.08.09 23:54. Заголовок: frensy пишет: Сколь..

frensy пишет:

цитата:

Сколько читаю и слушаю знакомых-говорят:дрянь

Точно также могу сказать о Nod32... Но уже с полной уверенностью! У меня когда лицензия закончилась поставила Nod32, так он пропустил Downadup еще известный под несколькими названиями Conficker или Kido ... На 14 января 2009 года было зараженных компьютеров 3,5 миллиона, а с 16 по 23 января — около миллиона. Заразил он около 10 миллионов компьютеров.. И вы можете оказаться в их числе

Что мы только не делали - эта гадость не удалялась.. И Нод ее в упор не видел.. Абалденный антивирусник! Нечего сказать.. Потом ребята как-то поставили Доктор Вэб и он убил эту гадость.. Быстренько продлила лицензию и живу спокойно! Кстати вторая атака этого вируса была весной или в начале лета..

На данный момент у меня стоит Доктор, Outpost Firewall и маршутизатор.. Лезет дряни до фига, но у меня комп защищен..

frensy пишет:

цитата:

У меня Нод32-тьфу,тьфу

А ты его снеси и поставь любой антивирусник и потом прозреешь.. Кстати твой Нод кейгены пропускает?

И еще, что хотела сказать: пусть винда будет стоят паленная, но антивирусник должен быть только лицензия.. Все взломанные антивирусы блокируются рано или поздно.. И тогда вы даже не поймете есть у вас, что-то или нет!