Ознакомьтесь с нашей политикой обработки персональных данных
14:23 

Первоапрельский вирус - ваши мнения?

Ela
conficker april - что это такое?
Просветитет ламера, пожалуйста! А то трепа о нем в сети много, а вот понять, что это такое и не розыгрыш ли это вообще, по ламерству своему не могу...

@темы: вопрос

URL
Комментарии
2009-03-28 в 14:26 

Тварь еще та
I am ray and I am night, I am black but I am light...
Конфикер это вирус. Вполне себе действующий. Что касается активации этой дряни первого апреля - может оказаться лажей естественно.

2009-03-28 в 14:27 

Ela
И как он действует?

URL
2009-03-28 в 15:00 

Тварь еще та
I am ray and I am night, I am black but I am light...
Ela Внедряется на компьютер через сеть. Переставляет некоторые настройки и блокирует некоторые антивирусы (DrWeb например) начинает распространять себя дальше пользуясь любыми адресными книгами у вас на компе.
С учетом всяких возможных вариантов-мутантов может еще кое что делать - например как порядочный троян отсылать злым хозяевам ваши пароли и другую информацию, предостовлять несанкционированный доступ врагам к вашему компу и т.д.

2009-03-28 в 15:17 

Hikedaya
В Dash'e под Chronostasis'ом.
Ela Эла, упаси вас боже поймать эту дрянь. Это реакция меня, как обычного человека. А вот что он из себя представляет с точки зрения администратора:
Conficker, он же Downadup, он же Kido (в различных вариациях) - червь, распространяющийся через критическую уязвимость, описанную в бюллютенях MS08-067, MS08-68, MS09-001. Успешное использование этой узявимости позволяет червяку прописаться в системе не запрашивая при этом ни о чем у конечного пользователя - т.н. удаленное исполнение кода.
Вторичные каналы распространения - сетевые папки и флешки, при этом вирус использует механизм автоматического запуска с флеш-устройств.
При заражении компьютера первым и явным следствием будет полное блокирование сайтов основных производителей антивирусного ПО, MIcrosoft в частности, создание специальных задач в Планировщике задач (это обеспечивает повторный запуск вируса каждый час). проверить их наличие можно, открыв сам планировщик.
Если происходит заражение доменной сети, пользователи получают весьма неприятную головную боль - постоянную блокировку их учетных записей. Не менее сильный головняк получают и администраторы, потому что количество звонков в ИТ-отделы возрастает лавинообразно.

Как предотвратить заражение. Прежде всего - установить все три заплатки: MS08-067, MS08-68, MS09-001. Второе - отключить автоматический запуск с флеш-дисков, компакт-дисков и т.п. Третье - остановить у себя службу "Сервер", если компьютер не является членом сети и не предоставляет каких-либо общих ресурсов.

Как лечить. Вот здесь Сайт ЛК расписана процедура лечения при помощи утилиты KidoKiller от Лаборатории Касперского. В моем случае помогла она. Здесь Сайт Майкрософт расположена статья о том, как его можно попытаться излечить подручными методами.

2009-03-28 в 15:19 

Ela
Пакость изрядная. А что его ловит и обезвреживает? Было бы обидно аж на сутки вырубить комп из сети "во избежание"...

URL
2009-03-28 в 15:22 

Ela
Третье - остановить у себя службу "Сервер", если компьютер не является членом сети и не предоставляет каких-либо общих ресурсов. а служба "Сервер" - это что такое?
Остальное я более или менее поняла.
И в любом случае выполню НЕзависимо от первого апреля.

URL
2009-03-28 в 15:28 

Hikedaya
В Dash'e под Chronostasis'ом.
Ловит его много что. Касперский, Тренд Микро, Др. Веб - эти его видят. Проблема в том, что практически никто из обычных повседневных антивирусных продуктов еще не научился выгонять вирус из системы в полностью автоматическом режиме. В каждом случае заражения необходимо предпринимать действия самому - это очень плохо в случае больших сетей.

И еще, всем на заметку. Сейчас поднята достаточно большая шумиха по поводу того, что вирус шарахнет по всем зараженным системам первого апреля. Представители компании F-Secure расковыряли код зловреда и выяснили, что 1 числа вирус будет пытаться получить какой-то набор команд с управляющего сервера. Возможно, это будет новое обновление червяка (сейчас в инете насчитывается три его версии), возможно это будет команда к действию, а возможно (если произойдет чудо) - команда на ликвидацию заражения - чем черт не шутит. В любом случае - что это будет - на сегодняшний момент не знает никто, кроме создателей этого бот-нета. Вот тут Хабрахабр находится интервью с сотрудником F-Secure в формате вопрос-ответ, посвященное червю и дню дураков.

2009-03-28 в 16:05 

Hikedaya
В Dash'e под Chronostasis'ом.
Служба "Сервер" - это функция Windows, которая позволяет другим пользователям смотреть что-то, что вы выкладываете в общий доступ на вашем компьютере посредством папок общего доступа. Если в доме нет локальной сети, а только интернет на единственном компьютере, серверная служба на нем вряд ли будет нужна. Согласитесь, что вряд ли вам захочется, чтобы кто-то без вашего ведома по жесткому диску шастал.
Как ее отключить? Нажать Пуск, далее выбрать там пункт Выполнить. В поле ввода ввести вот такую команду: services.msc
Появляется окно, в котором перечислены все службы операционной системы. Среди них нужно будет найти службу, которая так и называется - Сервер. Нужно будет щелкнуть на ней правой кнопкой и выбрать пункт Остановить. Но в данном сценарии служба эта будет снова запущена при следующем запуске системы. Для того, чтобы ее отключить, нужно вывести на экран свойства службы и в поле Тип запуска выставить Отключено.
Для выполнения этой операции вы должны обладать административными правами на вашем компьютере.

Если же когда-нибудь понадобится эту службу включить - нужно будет в поле Тип запуска проставить значение Автоматически, и запустить ее.

2009-03-28 в 16:19 

My Precious
Убогий человек, не имеющий ничего, чем бы он мог гордиться, хватается за единственно возможное и гордится нацией, к которой он принадлежит. (с) Артур Шопенгауэр
sysadmins.ru/topic221033-225.html
«Несколько дней назад на все компьютеры, зараженные печально известным червем Conficker, был в принудительном порядке установлен модифицированный вариант опасной программы. Напомним, что червь Conficker, также известный под именем Downadup, приобрел широкую популярность во второй половине прошлого года, когда вредоносная программа была обнаружена на миллионах персональных компьютеров по всему миру. Для проникновения в систему Conficker использует уязвимость в программных продуктах Microsoft (устраненную с выпуском октябрьского патча). Захваченный червем ПК превращается в «зомби-систему», которая контролируется злоумышленниками и может использоваться для решения таких задач, как рассылка спама и совершение распределенных атак.
Эксперты из компании Symantec вынуждены констатировать факт, что хакеры на шаг опережают ведущих производителей средств защиты, которые пытаются общими усилиями ликвидировать угрозу.»
Ну и т.д.
Есть смысл прочитать весь тред. Он небольшой, а внятной, толковой и полезной инфы много. Ссылки на свежие кидокиллеры етк опять же оперативно появляются.

2009-03-28 в 16:36 

Ela
Служба "Сервер" - это функция Windows, которая позволяет другим пользователям смотреть что-то, что вы выкладываете в общий доступ на вашем компьютере посредством папок общего доступа. а, поняла - ну эту штуку мы обычно сразу отключаем по дефолту.
За ссылки и пояснения всем огромное спасибо - будем ставить заплатки и все такое прочее. Уж слишком мне это напоминает то, что подцепили в прошлом году - предположително прицепленное к баннерам гугла - а поскольку что делать, мы не знали, пролечили раз шесть, а все равно пришлось сносить все поностью. Второй раз так влететь не хотелось бы...

URL
2009-03-29 в 18:57 

Эрл Грей
Þræll einn þegar hefnist en argur aldrei.
Спасибо, прочитал не без пользы.

Комментирование для вас недоступно.
Для того, чтобы получить возможность комментировать, авторизуйтесь:
 
РегистрацияЗабыли пароль?

Фамильная клумба Шенно

главная