РЕКЛАМА

Загрузка...
Компания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.' />

"Доктор Веб": сетевой червь использует уязвимости ОС Microsoft

"Доктор Веб": сетевой червь использует уязвимости ОС MicrosoftКомпания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.

Способы распространения

Сетевой червь Win32.HLLW.Shadow.based (некоторые образцы которого также могут определяться антивирусами Dr.Web как Win32.HLLW.Autorunner.5555), применяет для своего распространения сразу несколько способов. Прежде всего, посредством встроенного в операционную систему механизма автозапуска съёмных носителей и сетевых дисков. В этом случае имя вредоносного файла является псевдослучайным, а сам он содержится в папке вида "RECYCLER\\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx". Такая же структура папок используется в Windows для хранения удалённых объектов, что и позволяет вирусу долгое время оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также варианты из своего словаря. В случае положительного результата червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Еще один вариант распространения вируса по сети - использование уязвимости, устраняемой критичным обновлением Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению системного буфера. В итоге данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится. Если это процесс rundll32.exe, то происходит внедрение вирусного кода в системные процессы svchost.exe и explorer.exe. Затем червь открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, вносит изменения в реестр для обеспечения автоматического запуска после перезагрузки компьютера, а также останавливает работу службы обновления Windows. Далее происходит установка собственного HTTP-сервера, с помощью которого начинается дальнейшее распространение инфекции по сети.
Если вирус определяет, что находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то он внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, изменяющий в памяти системный файл tcpip.sys с целью снятия стандартных ограничений системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специальных серверов, установку и запуск этих программ на компьютерах бот-сети. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на такие работающие сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
1. Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.
2. Отключить зараженный компьютер от локальной сети и от Интернета. Если все ПК находятся в одной локальной сети, то вылеченный компьютер необходимо подключать обратно лишь после того, как будут вылечены все зараженные станции.
3. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
* MS08-067
* MS08-068
* MS09-001
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не использовать простые пароли для входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Так как сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами становится невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield, который позволяет получать неограниченный доступ к защищенным такими образом файлам и веткам реестра.
Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based проникнуть в систему.
8
2047
16 января 2009
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
Смотрите также
На сервисе На сервисе "ВКонтакте.Ру" зафиксирована серьезная вирусная эпидемия

Служба вирусного мониторинга компании «Доктор Веб» сообщила о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети \"ВКонта...

Вирус Win32/Stuxnet: заплат для Windows XP не будетВирус Win32/Stuxnet: заплат для Windows XP не будет

На днях корпорация Microsoft подтвердила наличие уязвимости \"нулевого дня\" во всех версиях Windows — от 2000 до 7. Причём уязвимость оказалась очень...

Хакеры освоили новую технологию обхода сетевых экранов

Злоумышленники разработали новую технологию использования службы обновления Windows в своих собственных целях и приступают к ее широкому использованию...

По интернету распространился троян-вымогатель Trojan.BlackmailerПо интернету распространился троян-вымогатель Trojan.Blackmailer

Компания «Доктор Веб» информирует о крупномасштабной эпидемии сразу нескольких модификаций Trojan.Blackmailer, которая началась в конце марта 2009 год...

Загрузка...
Комментарии

Marley
16 января 2009 11:34
Хороший антивирь fellow Долгое время у меня стоял, пока я не соблазнился перейти на бесплатно обновляемый на Айчыне Нод...
kazz, залей на ФТП плз 5ую версию с ключиками bully
ну и подумай плз о создании бсп. сервера обновлений как у Нод feel


Бесплатные ресурсы Айчыны

kpm
16 января 2009 13:32
где бы скачать его :)

KpeBeDko
16 января 2009 13:38
ничего
никогда
лучше
касперского
НЕ БУДЕТ!!!

а сраньё типо аваста, нода или доктора веба лучше удалить без возможности восстановления

Marley
16 января 2009 14:01
KpeBeDko,
ничего
никогда
тормознутее
касперского
Я НЕ ВИДЕЛ!!!
а с нормальными антивирями типа нода и др.вэба хотябы можно нормально работать за компом fellow

Timon
16 января 2009 14:15
с 13го числа в базе Avira AntiVir есть...
KpeBeDko, касперский - зло!

Rezan_boy
16 января 2009 14:35
у кого зло у кого нет. Юзаю касперского 2009 и радуюсь жизни. Ничего не тормозит и нет никаких проблем.

KpeBeDko
18 января 2009 02:42
Marley,
Я думаю 10 баксов на доп память стоят потерянной и тупо удалённой информации нодом , авастом и ещё каким либо кривым антивирусом
при 1гб оперативы я каспера вообще не ощущаю , у меня вообще загрузка никогда выше 500-700мб не заходит(любых приложений) -проц не позволяет(дюр 1800)
Перешёл на касперского после того, как тупо установил нод и оставил комп наночь (ничего не запускал) а на утро не нашёл ни одного ехе файла . А от аваста и доктора веба просто крышу сносит кривизной интерфейса

Tugcrereled
21 июня 2011 05:02
Если вы решились скачать utorrent , будьте готовы к возможным
неожидоннастям, начиная от пойманного вируса и заказнчивая
настойчивым стуком в дверь от милицейского патруля, который хочет изъять
ваш компьютер и проверить его на наличие взломанных игр и фильмов.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
Среда, 23 Августа
USD 1.9303
EUR 2.2749
RUB 0.0327
Новости от партнеров
Сейчас на сайте
2 пользователя, 1344 гостя