РЕКЛАМА

Загрузка...
Компания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.' />

"Доктор Веб": сетевой червь использует уязвимости ОС Microsoft

"Доктор Веб": сетевой червь использует уязвимости ОС MicrosoftКомпания «Доктор Веб» сообщила о массовом распространении опасного сетевого червя Win32.HLLW.Shadow.based, использующего несколько альтернативных методов заражения компьютеров, один из которых - эксплуатация уязвимостей операционных систем от Windows 2000 и вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет полиморфный (постоянно видоизменяющийся) упаковщик, что затрудняет его детектирование обычными методами.

Способы распространения

Сетевой червь Win32.HLLW.Shadow.based (некоторые образцы которого также могут определяться антивирусами Dr.Web как Win32.HLLW.Autorunner.5555), применяет для своего распространения сразу несколько способов. Прежде всего, посредством встроенного в операционную систему механизма автозапуска съёмных носителей и сетевых дисков. В этом случае имя вредоносного файла является псевдослучайным, а сам он содержится в папке вида "RECYCLER\\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx". Такая же структура папок используется в Windows для хранения удалённых объектов, что и позволяет вирусу долгое время оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также варианты из своего словаря. В случае положительного результата червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Еще один вариант распространения вируса по сети - использование уязвимости, устраняемой критичным обновлением Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению системного буфера. В итоге данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится. Если это процесс rundll32.exe, то происходит внедрение вирусного кода в системные процессы svchost.exe и explorer.exe. Затем червь открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, вносит изменения в реестр для обеспечения автоматического запуска после перезагрузки компьютера, а также останавливает работу службы обновления Windows. Далее происходит установка собственного HTTP-сервера, с помощью которого начинается дальнейшее распространение инфекции по сети.
Если вирус определяет, что находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то он внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, изменяющий в памяти системный файл tcpip.sys с целью снятия стандартных ограничений системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специальных серверов, установку и запуск этих программ на компьютерах бот-сети. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на такие работающие сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
1. Скачать текущую версию утилиты Dr.Web CureIt! с неинфицированного компьютера и просканировать все диски, тем самым произведя лечение системы.
2. Отключить зараженный компьютер от локальной сети и от Интернета. Если все ПК находятся в одной локальной сети, то вылеченный компьютер необходимо подключать обратно лишь после того, как будут вылечены все зараженные станции.
3. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
* MS08-067
* MS08-068
* MS09-001
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не использовать простые пароли для входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Так как сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами становится невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield, который позволяет получать неограниченный доступ к защищенным такими образом файлам и веткам реестра.
Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based проникнуть в систему.
8
1980
16 января 2009
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
Смотрите также
На сервисе На сервисе "ВКонтакте.Ру" зафиксирована серьезная вирусная эпидемия

Служба вирусного мониторинга компании «Доктор Веб» сообщила о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети \"ВКонта...

Вирус Win32/Stuxnet: заплат для Windows XP не будетВирус Win32/Stuxnet: заплат для Windows XP не будет

На днях корпорация Microsoft подтвердила наличие уязвимости \"нулевого дня\" во всех версиях Windows — от 2000 до 7. Причём уязвимость оказалась очень...

Хакеры освоили новую технологию обхода сетевых экранов

Злоумышленники разработали новую технологию использования службы обновления Windows в своих собственных целях и приступают к ее широкому использованию...

По интернету распространился троян-вымогатель Trojan.BlackmailerПо интернету распространился троян-вымогатель Trojan.Blackmailer

Компания «Доктор Веб» информирует о крупномасштабной эпидемии сразу нескольких модификаций Trojan.Blackmailer, которая началась в конце марта 2009 год...

Загрузка...
Комментарии

Marley
16 января 2009 11:34
Хороший антивирь fellow Долгое время у меня стоял, пока я не соблазнился перейти на бесплатно обновляемый на Айчыне Нод...
kazz, залей на ФТП плз 5ую версию с ключиками bully
ну и подумай плз о создании бсп. сервера обновлений как у Нод feel


Бесплатные ресурсы Айчыны

kpm
16 января 2009 13:32
где бы скачать его :)

KpeBeDko
16 января 2009 13:38
ничего
никогда
лучше
касперского
НЕ БУДЕТ!!!

а сраньё типо аваста, нода или доктора веба лучше удалить без возможности восстановления

Marley
16 января 2009 14:01
KpeBeDko,
ничего
никогда
тормознутее
касперского
Я НЕ ВИДЕЛ!!!
а с нормальными антивирями типа нода и др.вэба хотябы можно нормально работать за компом fellow

Timon
16 января 2009 14:15
с 13го числа в базе Avira AntiVir есть...
KpeBeDko, касперский - зло!

Rezan_boy
16 января 2009 14:35
у кого зло у кого нет. Юзаю касперского 2009 и радуюсь жизни. Ничего не тормозит и нет никаких проблем.

KpeBeDko
18 января 2009 02:42
Marley,
Я думаю 10 баксов на доп память стоят потерянной и тупо удалённой информации нодом , авастом и ещё каким либо кривым антивирусом
при 1гб оперативы я каспера вообще не ощущаю , у меня вообще загрузка никогда выше 500-700мб не заходит(любых приложений) -проц не позволяет(дюр 1800)
Перешёл на касперского после того, как тупо установил нод и оставил комп наночь (ничего не запускал) а на утро не нашёл ни одного ехе файла . А от аваста и доктора веба просто крышу сносит кривизной интерфейса

Tugcrereled
21 июня 2011 05:02
Если вы решились скачать utorrent , будьте готовы к возможным
неожидоннастям, начиная от пойманного вируса и заказнчивая
настойчивым стуком в дверь от милицейского патруля, который хочет изъять
ваш компьютер и проверить его на наличие взломанных игр и фильмов.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
Воскресенье, 26 Февраля
USD 1.8774
EUR 1.9875
RUB 0.0324
Margasan 12 минут назад GISMO_2
3ARA3A
Какие вы умные!
Сервером я обозвал один из компов, на котором "сетевой" Эксперт установлен. Там больше ничего и нету. Компьютер, выполняющий всего одну "серверную" функцию.
На настоящий сервер я зайти не смогу. Там сисадмины что-то на Линуксе ваяют. Я не силен и не в теме ...

Цитата: 3ara3a
Тимвьювер на серваке института. И эти люди учат компьютерной безопасности. Образование ниже плинтуса........
Не учим мы компьютерной безопасности. Абсолютно не наш профиль.
Paralax 78 минут назад Прокуратор Иудеи,
Цитата: Прокуратор Иудеи
Лурка не открывается, всё он правильно пишет
(

Цитата: 375257458577
ЦИТАТА: ПРОКУРАТОР ИУДЕИ
Лурка не открывается, всё он правильно пишет
неправда только что открыл прекрасно работает, а маб тупой балабол и копипастер


Все работает, кому нужна эта помойка, то вот
http://lurkmore.to/Главная страница
gismo_2 90 минут назад
Цитата: 3ara3a
Чтобы троллить, нужен базис. Начитанностоь, чувство юмора, харизма....

Все так, все имеется
Да и ты уже второй час на говно исходишь пока я в игрушку рублюсь. Что приятно.
3ara3a 96 минут назад
Цитата: gismo_2
А мне казалось что потроллить тролля - самая мякотка.

Чтобы троллить, нужен базис. Начитанностоь, чувство юмора, харизма.... Это не про тебя. Ты просто еблан...
gismo_2 97 минут назад
Цитата: 3ara3a
Хули от тебя толку. Не ты не умеешь, твоей кривой роже просто бананов не дает баловаться )) Не умеет он )) сцыкота........ У меня тоже прав нет в вашем гадюшнике баловаться.....

Дурашка, создавать новости у всех есть право.
3ara3a 102 минут назад
Цитата: gismo_2
Создавай, не умею я. wink

Хули от тебя толку. Не ты не умеешь, твоей кривой роже просто бананов не дает баловаться )) Не умеет он )) сцыкота........ У меня тоже прав нет в вашем гадюшнике баловаться.....
gismo_2 107 минут назад
Цитата: AntoNeo
За столько лет существования персонажа на сайте не понять,что он упоротый ватный троль,а может еще и сам Впдик,развлекающийся под такой маской и тратить время в попытках что то обосновать невменяемому человеку,не крайняя ли это форма тупости?

А мне казалось что потроллить тролля - самая мякотка.
Цитата: 3ara3a
Давай по теме. Создавай сабж. Или ты только пи3деть умеешь))

Создавай, не умею я.
3ara3a 108 минут назад
Цитата: AntoNeo
Видишь,ты как дешевая проститутка готов принимать чужое мнение когда тебе это выгодно:))))
За столько лет существования персонажа на сайте не понять,что он упоротый ватный троль,а может еще и сам Впдик,развлекающийся под такой маской и тратить время в попытках что то обосновать невменяемому человеку,не крайняя ли это форма тупости?

И это пи3дит гаденыш, прикрывающейся чужой рожей )))))) Пиздливый сучок )))))) срулек прыщавый ))
Новости от партнеров

ИНТЕРЕСНОЕ:

Загрузка...
Сейчас на сайте
10 пользователей, 840 гостей