РЕКЛАМА

Загрузка...
Компания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.' />

"Доктор Веб": сетевой червь использует уязвимости ОС Microsoft

"Доктор Веб": сетевой червь использует уязвимости ОС MicrosoftКомпания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.

Способы распространения

Сетевой червь Win32.HLLW.Shadow.based (некоторые образцы которого также могут определяться антивирусами Dr.Web как Win32.HLLW.Autorunner.5555), применяет для своего распространения сразу несколько способов. Прежде всего, посредством встроенного в операционную систему механизма автозапуска съёмных носителей и сетевых дисков. В этом случае имя вредоносного файла является псевдослучайным, а сам он содержится в папке вида "RECYCLER\\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx". Такая же структура папок используется в Windows для хранения удалённых объектов, что и позволяет вирусу долгое время оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также варианты из своего словаря. В случае положительного результата червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Еще один вариант распространения вируса по сети - использование уязвимости, устраняемой критичным обновлением Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению системного буфера. В итоге данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится. Если это процесс rundll32.exe, то происходит внедрение вирусного кода в системные процессы svchost.exe и explorer.exe. Затем червь открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, вносит изменения в реестр для обеспечения автоматического запуска после перезагрузки компьютера, а также останавливает работу службы обновления Windows. Далее происходит установка собственного HTTP-сервера, с помощью которого начинается дальнейшее распространение инфекции по сети.
Если вирус определяет, что находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то он внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, изменяющий в памяти системный файл tcpip.sys с целью снятия стандартных ограничений системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специальных серверов, установку и запуск этих программ на компьютерах бот-сети. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на такие работающие сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
1. Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.
2. Отключить зараженный компьютер от локальной сети и от Интернета. Если все ПК находятся в одной локальной сети, то вылеченный компьютер необходимо подключать обратно лишь после того, как будут вылечены все зараженные станции.
3. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
* MS08-067
* MS08-068
* MS09-001
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не использовать простые пароли для входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Так как сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами становится невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield, который позволяет получать неограниченный доступ к защищенным такими образом файлам и веткам реестра.
Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based проникнуть в систему.
8
1944
16 января 2009
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
Смотрите также
На сервисе На сервисе "ВКонтакте.Ру" зафиксирована серьезная вирусная эпидемия

Служба вирусного мониторинга компании «Доктор Веб» сообщила о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети \"ВКонта...

Вирус Win32/Stuxnet: заплат для Windows XP не будетВирус Win32/Stuxnet: заплат для Windows XP не будет

На днях корпорация Microsoft подтвердила наличие уязвимости \"нулевого дня\" во всех версиях Windows — от 2000 до 7. Причём уязвимость оказалась очень...

Хакеры освоили новую технологию обхода сетевых экранов

Злоумышленники разработали новую технологию использования службы обновления Windows в своих собственных целях и приступают к ее широкому использованию...

По интернету распространился троян-вымогатель Trojan.BlackmailerПо интернету распространился троян-вымогатель Trojan.Blackmailer

Компания «Доктор Веб» информирует о крупномасштабной эпидемии сразу нескольких модификаций Trojan.Blackmailer, которая началась в конце марта 2009 год...

Загрузка...
Комментарии

Marley
16 января 2009 11:34
Хороший антивирь fellow Долгое время у меня стоял, пока я не соблазнился перейти на бесплатно обновляемый на Айчыне Нод...
kazz, залей на ФТП плз 5ую версию с ключиками bully
ну и подумай плз о создании бсп. сервера обновлений как у Нод feel


Бесплатные ресурсы Айчыны

kpm
16 января 2009 13:32
где бы скачать его :)

KpeBeDko
16 января 2009 13:38
ничего
никогда
лучше
касперского
НЕ БУДЕТ!!!

а сраньё типо аваста, нода или доктора веба лучше удалить без возможности восстановления

Marley
16 января 2009 14:01
KpeBeDko,
ничего
никогда
тормознутее
касперского
Я НЕ ВИДЕЛ!!!
а с нормальными антивирями типа нода и др.вэба хотябы можно нормально работать за компом fellow

Timon
16 января 2009 14:15
с 13го числа в базе Avira AntiVir есть...
KpeBeDko, касперский - зло!

Rezan_boy
16 января 2009 14:35
у кого зло у кого нет. Юзаю касперского 2009 и радуюсь жизни. Ничего не тормозит и нет никаких проблем.

KpeBeDko
18 января 2009 02:42
Marley,
Я думаю 10 баксов на доп память стоят потерянной и тупо удалённой информации нодом , авастом и ещё каким либо кривым антивирусом
при 1гб оперативы я каспера вообще не ощущаю , у меня вообще загрузка никогда выше 500-700мб не заходит(любых приложений) -проц не позволяет(дюр 1800)
Перешёл на касперского после того, как тупо установил нод и оставил комп наночь (ничего не запускал) а на утро не нашёл ни одного ехе файла . А от аваста и доктора веба просто крышу сносит кривизной интерфейса

Tugcrereled
21 июня 2011 05:02
Если вы решились скачать utorrent , будьте готовы к возможным
неожидоннастям, начиная от пойманного вируса и заказнчивая
настойчивым стуком в дверь от милицейского патруля, который хочет изъять
ваш компьютер и проверить его на наличие взломанных игр и фильмов.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
Суббота, 03 Декабря
USD 1.9703
EUR 2.1019
RUB 0.0307
Mab 1 минут назад
Цитата: Suum_cuique
назвал бы уже ответ.

Толку тебе от этого ответа? Тут решение нужно.
Suum_cuique 3 минут назад
Цитата: Mab
Почему то я не удивлен.
Ты даже сам того не понимая только что сказал почему ты такой недалекий.

да. ок. только уже отъпись от меня )
присматривай за курочкой своей. а то рили потеряешь )
Цитата: Mab
Решай как хошь. Хоть гадалок призови.

назвал бы уже ответ. да мне пох на это, если честно )
от этого ответа не зависит моя жизнь, благосостоянием. мне нет ризона распыляться на бессмысленные вещи )
Mab 5 минут назад
Цитата: Suum_cuique
мне лень думать.

Почему то я не удивлен.
Ты даже сам того не понимая только что сказал почему ты такой недалекий.

Цитата: Suum_cuique
надо решать по кругам эйлера-вена, что логично )

Решай как хошь. Хоть гадалок призови.
Suum_cuique 10 минут назад
Цитата: Mab
) решение давай. Назвать наобум число это хуже дошкольника.

надо не числа вычислять, которые до равно. а нужно смотреть на числа, которые после равно. вычислить их алгоритм. после вычисления их алгоритма, заменить знак вопроса на конкретное число.
вот и всё решение.

Mab,
ладно. хрен с ним. так ответ какой? мне лень думать.

Mab,
ты скрыл условие задачи. условие заключается, если выражаться в терминах логики. надо решать по кругам эйлера-вена, что логично )
Mab 17 минут назад
Цитата: Suum_cuique
будет 5 )пару сек хватило )

)) решение давай. Назвать наобум число это хуже дошкольника.

Цитата: Vardisodo
Он сам о себе все рассказывает, только не понимает этого)

Ахаха. Кто я? Гей или негей? Есть ли у тебя точный ответ?
Suum_cuique 20 минут назад
Цитата: Mab
Серьезно.
Вот тебе задачка для дошколят.
Я продумал 20 минут. Но не решил ее.

будет 5 )
пару сек хватило )

Цитата: Vardisodo
Правильно, я вот тоже недавно подсел на мощные интеллектуальные контенты.

хаххаха. это круто )
Цитата: Vardisodo
Терпят.
Вообще Маб забавный. Он сам о себе все рассказывает, только не понимает этого) Потому что не контролирует свою речь и не думает над смыслом сказанного...что опять же говорит о низком интеллекте)

это и так очевидно )
Mab 23 минут назад
Цитата: Vardisodo
Правильно, я вот тоже недавно подсел на мощные интеллектуальные контенты.

Серьезно?
Вот тебе задачка для дошколят.
Я продумал 20 минут. Но не решил ее.
Suum_cuique 24 минут назад
Цитата: Mab
Это ты не понял.

Цитата: Mab

Видишь. Это не для твоего ума.

Цитата: Mab
Т.е. еслиты сказал что от меня сбегают жаренные курочки, то это значит что меня не терпят в реале? )))) Ахаха. Идиотический вывод. Я уже молчу про доказательства.

ну, ок. мой сверхумный и сверхинтеллектуальный дружочек )
ты прав во всём, везде и всегда. ты - Бог )
о, мой повелитель!!! )
Новости от партнеров

ИНТЕРЕСНОЕ:

Загрузка...