Нов вирус и съответен ъпдейт на Microsoft

[EveReady]

<font color="red">W32/Sasser.worm</font id="red">



<font color="red">Virus Information</font id="red">

Discovery Date: 04/30/2004

Origin: Unknown

Length: 15,872 bytes

Type: Virus

SubType: Internet Worm

Minimum DAT: 4355 (05/01/2004)

Updated DAT: 4355 (05/01/2004)

Minimum Engine: 4.2.40

Description Added: 04/30/2004

Description Modified: 05/02/2004 11:45 AM (PT)



<font color="red">Дезинфекция</font id="red">

със <u>Stinger</u> и след това инсталация на поредната кръпка на Microsoft от <u>тук</u> според операционната система.



<font color="red">Или ръчно, който може:</font id="red">

1.Стартиране в Safe Mode с F8

2.Изтриване на avserve.exe от Windows директорията

3.Редактиране в регистратурата: Изтриване на стойността avserve.exe от HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4.Стартиране на системата в нормален режим



И при двата вида "чистене" на вируса задължително изключване на System Restore при XP, а и съответните мерки при MЕ. След интервенцията го включете отново.



<font color="red">Симптоми:</font id="red">

1.

Вируса се копира във Windows директорията като avserve.exe и естествено се записва в регистратурата за зареждане при стартиране на операционната система

Тук:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe



2.

Съобщения









3.

Прави си win.log фай в коренната директория. Вътре са записани "успешните" IP адреси.



<font color="red">Повече информация</font id="red"> <u>тук</u>

[Raid]

Уточнение:



1. В момента по-активен е W32.Sasser.B.Worm - exe-то е avserve2.exe



2. Като начало е добре от "огнената стена" да се блокира трафика през портове 5554, 9996 и 445.



3. Removal tool от Symantec: тук

[EveReady]

Още ...

Първия, втория, а вече и третия вариант <font color="red">W32.Sasser.C.Worm</font id="red"> [от снощи] се самокопира във системната директория на Windows във файл или файлове с имена със следния синтаксис <font color="red">#_up.exe</font id="red">.



Например



c:\WINDOWS\system32\11583_up.exe

c:\WINDOWS\system32\16913_up.exe

c:\WINDOWS\system32\29739_up.exe

...



Информация от McAfee Security

Tool-четата за премахване на вируса и на Symantec и на McAfee нямат промяна, въпреки новите версии. Поне на пръв поглед.

[ilhanbg]

W32.Netsky.P@mm от няколко седмици ми идват едни маилове с тоя вирус.....някакво инфо за него.....

[EveReady]

<font color="red">W32.Netsky.P@mm</font id="red">

Има описание на всичките по долу, включително и на този, който ти посочваш.

Копирай линка и като го пейстнеш, само замени червеното <font color="red">а</font id="red">, със @, че направо се изнервих с тая бъгава интерпретация на дългите линкове или на @ във форума.



http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky<font color="red">a</font id="red">mm.removal.tool.html



W32.Netsky.B@mm

W32.Netsky.C@mm

W32.Netsky.D@mm

W32.Netsky.E@mm

W32.Netsky.K@mm

<font color="red">W32.Netsky.P@mm</font id="red">

W32.Netsky.Q@mm

W32.Netsky.S@mm

W32.Netsky.T@mm

W32.Netsky.X@mm

W32.Netsky.Y@mm

W32.Netsky.Z@mm

W32.Netsky.AB@mm

[komando_boy]

Искам да питам - аз имам на харда ИСО на Уиндоус може ли в него да се вмъкне тая гад или това е само за инсталиран Уиндоус?



10х!

[Raid]

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Искам да питам - аз имам на харда ИСО на Уиндоус може ли в него да се вмъкне тая гад или това е само за инсталиран Уиндоус?



10х!



<div align="right">Originally posted by komando_boy*-*05/05/2004*:* 00:32:22</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">

[:D][:D][:D] ...само за инсталиран Windows e...

[DoHKuXoT]

Наи интересното е че тези Remove Tool не го откриват изобщо.Антивирусната го засича трие фаила и чисти регистрите ама тои си е там все още.Наи вече Windows Update.Нищо друго не помага.Така че хора download на воля и се молете да е на време.

[viper]

Ако се е сложил в паметта жална ни майка[:D]

дано не е Stealth вирус[xx(]

[EveReady]

//off

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Ако се е сложил в паметта жална ни майка[:D]



<div align="right">Originally posted by viper - 05/05/2004 : 09:48:13</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">





Пък ако се набута и в захранването .... тогава не знам .... [8]



//off

[Cko]

стига бе...не е толкова страшен, и мене ме хвана от раз, но си го почистих ръчно по процедурата на EveReady и му видях сметката окончателно []