Перейти к содержимому

Вирус Win32.HLLW.Autoruner.5555

- что за странный вирус?
  • почтенный теронозавр
  • PipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 760

 

Кто знает, что эта за вирус такой Win32.HLLW.Autoruner.5555, главное НОД32 и Касперский его не видят, а вот доктор веб Cure It нашел. Да еще и файлы странный, что название. что расширение...
Прикрепленные изображения
  • Прикрепленное изображение: Вирус.JPG

  • 0

  • HTTP/1.1 404 Not Found
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 946

Вирусов многие тысячи. Каждый день сотни новых "выходят". Спрашивать о конкретном звере, ИМХО, практически бесполезно.
QUOTE (Shark! @ 14 января 2009, 21:46)
НОД32 и Касперский его не видят, а вот доктор веб Cure It нашел.

Это обычное дело. Вчера у друга на компе нашёл вирус 2006 года, который свежий лицензионный каспер не видел. На вирустотале этот вирус детектился только 2 антивирусами из 30.

Внимательно изучайте, что ещё стоит в автозапуске. Есть вероятность, что у вас ещё зловреды остались

Сообщение отредактировал IDDQD: 14.01.2009 - 20:57

Из всех устройств для нас важнейшим является компьютер.
  • -1

  • почтенный теронозавр
  • PipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 760

Да видимо, что то с автозапуском связано, а то и на флешке фигня творится, как из темы соседней. Чую взамосвязано, а то как флешку сегодня вставил, так НОД32 нашел это C:\WINDOWS\system32\ojdhsar.dll модифицированный Win32/Conficker.AE червь...
А на флешке такую дрянь очистил - J:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - модифицированный Win32/Conficker.AE червь - очищен удалением - изолирован...
  • 0

  • HTTP/1.1 404 Not Found
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 946

Утилитку фирменную попробуйте, если хотите заниматься самолечением.
http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx

Или сразу идите к врачу:
http://virusinfo.info/showthread.php?t=1235

Из всех устройств для нас важнейшим является компьютер.
  • 0

  • почтенный теронозавр
  • PipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 760

QUOTE (IDDQD @ 14 января 2009, 22:00)
Утилитку фирменную попробуйте, если хотите заниматься самолечением.
http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx

Или сразу идите к врачу:
http://virusinfo.info/showthread.php?t=1235

Спасибо за ссылки smile.gif
  • 0

  • О чём ты сейчас думаешь?
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Отключенные
  • Сообщений: 7 275

QUOTE
Червь Win32.HLLW.Shadow.based использует уязвимости Windows

Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based, который использует несколько альтернативных методов распространения, один из которых — уязвимости операционной системы Windows, которой подвержены Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

Способы распространения
Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.
Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.

Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.

Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 (http://www.microsoft...n/ms08-067.mspx);
MS08-068 (http://www.microsoft...n/ms08-068.mspx);
MS09-001 (http://www.microsoft...n/ms09-001.mspx).

Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.

Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.

Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield™, который позволяет получать неограниченный доступ к файлам и веткам реестра, защищённым таким образом.

Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based установиться в систему.

Продаётся комплект колёс (4 шт) на дисках Tigar Sigura 175/70 R14 84Т (диски под десятку)
Состояние близкое к отличному, б/у 1 сезон
  • 0

  • почтенный теронозавр
  • PipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 760

Вобщем этот висус касперский и нод стали определять только пару дней назад, хотя вирус уже с неделю ходит, вроде Kimo называется.
  • 0

  • форумчанин со стажем
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 1 656

Гм... Вот если не в курсе, зачем писать?
Семейство называется Kido. Известно куча модификаций, постоянно находят новые. Здесь подробнее http://virusinfo.info/showthread.php?t=37191

Сообщение отредактировал anton_dr: 22.01.2009 - 23:09

  • 0

  • почтенный теронозавр
  • PipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 760

QUOTE (anton_dr @ 22 января 2009, 23:01)
Гм... Вот если не в курсе, зачем писать?
Семейство называется Kido. Известно куча модификаций, постоянно находят новые. Здесь подробнее http://virusinfo.info/showthread.php?t=37191

А что не в курсе? Я же говорю Kimo, ну Kido (я эту ересь не запоминаю). Что расшифровывать то, они все одинаково работают, всякие авторуны и т.п.

Сообщение отредактировал Shark!: 23.01.2009 - 00:38

  • 0

  • форумчанин со стажем
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 1 656

А как Вы узнали, что он уже неделю ходит? А Каспер и Веб только два дня видят? Ссылку там, скриншот, ещё что-то. Есть у Вас?
  • 0

  • почтенный теронозавр
  • PipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 760

QUOTE (anton_dr @ 23 января 2009, 0:46)
А как Вы узнали, что он уже неделю ходит? А Каспер и Веб только два дня видят? Ссылку там, скриншот, ещё что-то. Есть у Вас?

Потомучто его доктор веб Cure IT лично на моём компе еще 14 числа нашел, т.е от создания этого топика, а каспер только базами от 20 числа стал блокировать файл авторун.инф на флешке, сейчас проверил и нод 32 определяет его. А до этого эти 2 антивируса в упор его не видели. А вирус так и живет постоянно создавая авторун.инф в папке, фигли, если антивирусники его уже пропустили.
  • 0

  • О чём ты сейчас думаешь?
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Отключенные
  • Сообщений: 7 275

Не знаю, у меня в прошлом году касперский удалял эти трояны, оставляя лишь autorun. И ничего криминального нет, видимо просто стали удалять и autorun до кучи
Продаётся комплект колёс (4 шт) на дисках Tigar Sigura 175/70 R14 84Т (диски под десятку)
Состояние близкое к отличному, б/у 1 сезон
  • 0

  • форумчанин со стажем
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 1 656

QUOTE (Shark! @ 23 января 2009, 2:00)
Потомучто его доктор веб Cure IT лично на моём компе еще 14 числа нашел, т.е от создания этого топика, а каспер только базами от 20 числа стал блокировать файл

Видите ли, на уже зараженном компьютере АВ может и не найти зверя. В данном случае действует принцип "Кто раньше встал - того и тапки".

А вам, если вирус продолжает жить - в раздел "Помогите" на virusinfo.info
  • 0

  • почтенный теронозавр
  • PipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 760

QUOTE (anton_dr @ 23 января 2009, 10:54)
Видите ли, на уже зараженном компьютере АВ может и не найти зверя. В данном случае действует принцип "Кто раньше встал - того и тапки".

А вам, если вирус продолжает жить - в раздел "Помогите" на virusinfo.info

Просто видимо вирус удачный получился.
А так просто винду снесу и заново поставлю...
  • 0

  • форумчанин со стажем
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 1 656

Ну если Вам это проще - сносите.
Только - бывает и в течении получаса-часа люди с нашей помощью "изгоняют злых духов" smile.gif Не думаю, что Вы поставите систему быстрее.
  • 0

  • почтенный теронозавр
  • PipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 760

QUOTE (anton_dr @ 23 января 2009, 21:18)
Не думаю, что Вы поставите систему быстрее.

Смотря что ставить. Есть замечательная сборка Windows® XP Sp3 XTreme™ Night Live Edition, там на полном автомате ставится, меньше получаса наверное. Ставь хоть по 20 раз за день smile.gif
Вот только думаю, там форматирование будет быстрое, может еще дополнительно жесткий обнулить, чтобы точно вирус убить...
  • 0


1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей