РЕКЛАМА

Загрузка...
Компания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.' />

"Доктор Веб": сетевой червь использует уязвимости ОС Microsoft

"Доктор Веб": сетевой червь использует уязвимости ОС MicrosoftКомпания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.

Способы распространения

Сетевой червь Win32.HLLW.Shadow.based (некоторые образцы которого также могут определяться антивирусами Dr.Web как Win32.HLLW.Autorunner.5555), применяет для своего распространения сразу несколько способов. Прежде всего, посредством встроенного в операционную систему механизма автозапуска съёмных носителей и сетевых дисков. В этом случае имя вредоносного файла является псевдослучайным, а сам он содержится в папке вида "RECYCLER\\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx". Такая же структура папок используется в Windows для хранения удалённых объектов, что и позволяет вирусу долгое время оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также варианты из своего словаря. В случае положительного результата червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Еще один вариант распространения вируса по сети - использование уязвимости, устраняемой критичным обновлением Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению системного буфера. В итоге данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится. Если это процесс rundll32.exe, то происходит внедрение вирусного кода в системные процессы svchost.exe и explorer.exe. Затем червь открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, вносит изменения в реестр для обеспечения автоматического запуска после перезагрузки компьютера, а также останавливает работу службы обновления Windows. Далее происходит установка собственного HTTP-сервера, с помощью которого начинается дальнейшее распространение инфекции по сети.
Если вирус определяет, что находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то он внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, изменяющий в памяти системный файл tcpip.sys с целью снятия стандартных ограничений системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специальных серверов, установку и запуск этих программ на компьютерах бот-сети. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на такие работающие сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
1. Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.
2. Отключить зараженный компьютер от локальной сети и от Интернета. Если все ПК находятся в одной локальной сети, то вылеченный компьютер необходимо подключать обратно лишь после того, как будут вылечены все зараженные станции.
3. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
* MS08-067
* MS08-068
* MS09-001
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не использовать простые пароли для входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Так как сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами становится невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield, который позволяет получать неограниченный доступ к защищенным такими образом файлам и веткам реестра.
Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based проникнуть в систему.
8
1991
16 января 2009
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
Смотрите также
На сервисе На сервисе "ВКонтакте.Ру" зафиксирована серьезная вирусная эпидемия

Служба вирусного мониторинга компании «Доктор Веб» сообщила о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети \"ВКонта...

Вирус Win32/Stuxnet: заплат для Windows XP не будетВирус Win32/Stuxnet: заплат для Windows XP не будет

На днях корпорация Microsoft подтвердила наличие уязвимости \"нулевого дня\" во всех версиях Windows — от 2000 до 7. Причём уязвимость оказалась очень...

Хакеры освоили новую технологию обхода сетевых экранов

Злоумышленники разработали новую технологию использования службы обновления Windows в своих собственных целях и приступают к ее широкому использованию...

По интернету распространился троян-вымогатель Trojan.BlackmailerПо интернету распространился троян-вымогатель Trojan.Blackmailer

Компания «Доктор Веб» информирует о крупномасштабной эпидемии сразу нескольких модификаций Trojan.Blackmailer, которая началась в конце марта 2009 год...

Загрузка...
Комментарии

Marley
16 января 2009 11:34
Хороший антивирь fellow Долгое время у меня стоял, пока я не соблазнился перейти на бесплатно обновляемый на Айчыне Нод...
kazz, залей на ФТП плз 5ую версию с ключиками bully
ну и подумай плз о создании бсп. сервера обновлений как у Нод feel


Бесплатные ресурсы Айчыны

kpm
16 января 2009 13:32
где бы скачать его :)

KpeBeDko
16 января 2009 13:38
ничего
никогда
лучше
касперского
НЕ БУДЕТ!!!

а сраньё типо аваста, нода или доктора веба лучше удалить без возможности восстановления

Marley
16 января 2009 14:01
KpeBeDko,
ничего
никогда
тормознутее
касперского
Я НЕ ВИДЕЛ!!!
а с нормальными антивирями типа нода и др.вэба хотябы можно нормально работать за компом fellow

Timon
16 января 2009 14:15
с 13го числа в базе Avira AntiVir есть...
KpeBeDko, касперский - зло!

Rezan_boy
16 января 2009 14:35
у кого зло у кого нет. Юзаю касперского 2009 и радуюсь жизни. Ничего не тормозит и нет никаких проблем.

KpeBeDko
18 января 2009 02:42
Marley,
Я думаю 10 баксов на доп память стоят потерянной и тупо удалённой информации нодом , авастом и ещё каким либо кривым антивирусом
при 1гб оперативы я каспера вообще не ощущаю , у меня вообще загрузка никогда выше 500-700мб не заходит(любых приложений) -проц не позволяет(дюр 1800)
Перешёл на касперского после того, как тупо установил нод и оставил комп наночь (ничего не запускал) а на утро не нашёл ни одного ехе файла . А от аваста и доктора веба просто крышу сносит кривизной интерфейса

Tugcrereled
21 июня 2011 05:02
Если вы решились скачать utorrent , будьте готовы к возможным
неожидоннастям, начиная от пойманного вируса и заказнчивая
настойчивым стуком в дверь от милицейского патруля, который хочет изъять
ваш компьютер и проверить его на наличие взломанных игр и фильмов.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
Пятница, 24 Марта
USD 1.8808
EUR 2.0268
RUB 0.0328
kalyan 15 минут назад да ебам таких банок, а пиво может быть дерьмом... moshino12 26 минут назад
Если жена увидит, что муж перед телевизором поглощает 12-ую банку пива за вечер, то тот всегда может оправдаться, что занимается получением строительного материала.

Сколько пива собираетесь сегодня выпить? :)
Зоя Бибер 36 минут назад Почему все влогеры так не делают? SabakaZ 45 минут назад
Цитата: Sheldon
Че то как то несоразмерно :) 6 за 0,4 и 5 за литр. Ошибся, может, не?
Ну просто разливайки для холопов, а Крафтман для эстетствующих пидарасов благородных донов.
shield1 47 минут назад Женщине в целом то за руль нельзя. А тут... Урок остальным. 375257458577 49 минут назад
Цитата: Topotop
Хз, такое дерзкое заявление(высер). А что тебя подтолкнуло на это????

наверное, Сталин ему в тапки срал
Sheldon 50 минут назад
Цитата: Вадим Бананов
в районе 5 рублей литр по разливайкам, в Крафтмане на днях пил, рублей 6 за 0,4

Че то как то несоразмерно :) 6 за 0,4 и 5 за литр. Ошибся, может, не?
coloradobug 56 минут назад glum,
Цитата: glum
Отправить бы туда жить тех кто плачет по Совку и не в Москву, а на окраину. На сколько бы их хватило?

Ты баран? Война только закончилась, люди только только восстановили страну из пепла.
Новости от партнеров