Прав си Docki, не съм го видял. Сега го намерих, в същия ревижън.
Бяха ми се просълзили очите от нерви и сигурно затова не съм го видял.
То е и логично, щом Symantec има Removing Tool, би трябвало и с дефиницията да са готови, но не се замислих.
Вече всичко е наред, оправих нещата за щастие.
Благодаря Docker.
А пък аз имам друг проблем - не съм се опаразитил защото си имам firewall, а може би и защото нет-а ми минава през линукс рутер. Както и да е - не знам защо го нямам вируса, но се оказа, че не мога да слагам пача на MS. Някой има ли идея защо? Да не би да е заради Corporate Edition-a? Грешката която ми дава е "Setup could not verify the integrity of the file Update.inf. Makesure the Cryptographic service is running on this computer.", естествено мейк-нах се "sure" че сървиса го има и е "running", но това не променя нещата.
Иначе - любопитен пропуск на MS е това с RPC-a.
Благодарен съм на тези които написаха този вирус и се вдигна врява. Така се напънах и се поразрових из любимите ми руски сайтове. Оказа се, че отдавна си има експлойд точно за RPC DCOM, който експлойд, забележете, дава мигновен администраторски шел достъп до системата. Любопитството ми не стигна до тук, аз го изтеглих и познайте....работи чудесноЛеле, не ми се мисли. Добре, че при мен поне видими поражения няма. Щях да го пробвам и на сетком, ама версията на екплойда с който се снабдих не поддържа 2003 сървър. Това не значи че няма друга която поддържа
)) Майтапа на страна, ъпдейта е важен и още един път - браво на вирусописачите
blue, нямам представа, но и при едната машина от около 110 при мен е така. Нямам представа защо.
И имай предвид, че инсталацията на всички е еднаква. Направена е на един, след това Truel Image и оттам на другите. Абсолютна идентичност. Рестартирах Cryptographic service и то нееднократно, но без ефект. Утре ще видя, какво са направили тигрите, но мисля, че ще изберат по лесния вариант и ще преинсталират.
Ще ти напиша впечатления де, така или иначе.
Добре де, само не можах да разбера къде точно го намерихте тоя вирус и как...аз аз никога не на мирам
Малко допълнение и от мен, освен в RUN - USER, и в RUN - System, вируса, или негова разновидност, инсталира сървис с аdutorun параметър.
Забравих как се казваше сървиса, но ще го намерите, няма дескрипшън и ще се ориентирате
По принцип от опитен USER вируса се унещожава за 10-15 мин. без антивирусна програма.
<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Добре де, само не можах да разбера къде точно го намерихте тоя вирус и как...аз аз никога не на мирам
<div align="right">оргинално мнение на LordOfEvil</div id="right">
</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">
И аз съм така, постоянно кисна в нета, не използвам антивирусна програма и огнена стена и все другите попадат на вируси, не и аз [:D].
10x на сички,аз имах наистина големи проблеми с тоя вирус,ама накрая сложих тоя пач WindowsXP-KB823980-x86-ENU , от саита на маикроцофт и се махна маи тоя вирос...
П.С. Един вапрос има още ,значи аз първо сложих pc-clean 2003,тя почна да сканва и не намери никакви вироси ,ама след като сканира и pc-to почна да рестартва без предопреждение(се едно че натискаш рестарт),така ми напраи 4-5 пъти и накрая махнах pc-clean,сложох тоя пач и не се е рестартирал вече!Обаче искам да питам от pc-clean ли е почнало да се рестартира без предупреждение или и тва вироса го праише....
Интересно, аз съм на Win2000 и преди ден-два ми забиваше единия svchost.exe процес онлайн (само потребителския) - доколкото разбрах днес, сигурен признак за посещение от червея. Не мога да разбера защо не прихвана обаче - дали защото обикновено не работя като 'administrator' или поради вътрешна грешка при заразяването ? Не прочетох никъде дали правата на потребителя влияят... Така или иначе, никакъв не го откривам наоколо !!! И svchost си работи...
Така или иначе, при пролуката си остава открита, защото ъпдейта на M$ иска SP2, а аз съм го проспал
А на тези (като мен впрочем), които се чудят как така все на другите им се лепят гадини - е срещу такъв ръжен не се рита, момчета и момичета! Едно е да не отваряш глупави атачмънти и javascript-ове, друго си е чичо Бил да ти сложи мрежа за комари вместо метална врата...
Hmm, при пробив от такъв мащаб май вируса действа с права на SYSTEM... трябва експериментално да се зарази машина и да се тества подробно как работи...
аз доколкото разбрах може да не си заразен на някои от заразените да ти прави DoS атака на портове които са отворени по принцип и се ползват за пускане на сървиси от отдалечен компютър (това са предположения основно защото не намерих и аз тялото на вируса никъде по хард диска си и като извадя мрежовия кабел и рестартна нямаше никакви проблеми) това че вируса може да се копира сам някакси без намесата на потребителя не е вярно просто поема контрол над сървисите и при мен svchost.exe се срина нямах copy/paste ама и това се дължи на някой от спрените процеси от ремоте компютъра който е заразен
бързам да кажа преди да сте се нахвърлили че това са предположения сигурен съм единствено че от микрософт са предвидили да може да се пускат процеси от отдалечен компютър и е включено по подразбиране
Абсолютно си прав Coppermine, ако спреш ръчно процеса, изтриеш самото ехе и евентуално редактираш регистратурата, като ПРЕДИ ТОВА си отстранил всякъкъв физически дъстъп до някоя мрежа, проблема ти е решен.
Но само до момента в който се закачиш и някоя заразена машина атакува теб или машина от твоята мрежа. Избора на IP e random.
А за възпроизвеждането не си прав. Срещал съм възпроизвеждащи се от source файлове, без участието на потребителя.
Възпроизвеждането е свързано с изпълнението на две условия. Отсъствие на отрочето и определен периодичен event от операционната система.
Тук случая не е такъв, няма възпроизвеждане, ами приемане от друга машина [чрез мрежата]
<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote"> микрософт са предвидили да може да се пускат процеси от отдалечен компютър и е включено по подразбиране
<div align="right">оргинално мнение на Coppermine</div id="right">
</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">
Да аз имам програма която може да инсталира приложения, пуска/спира сървиси и т.н. на всяка NT-class машина. (4, 2000, XP, 2003)
Включително и да ти преинсталира или деинсталира OS.
Novell имат такава програма.
Новини
Форум
Актуално
сървър