Суббота, 02.11.2024
Полигон 51
[ Обновленные темы · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Win32.HLLW.Shadow.based, он же Conficker/Kido/NetWorm
Promodz Дата: Среда, 30.11.2011, 20:24 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 447
Награды: 5
Статус: Offline
Описание

На данный момент согласно официальной статистике им заражено свыше 12 миллионов компьютеров во всём мире. Вирус крайне сложный, многоуровневый и постоянно обновляющийся. За информацию о его создателях корпорация Microsoft объявила награду $250 000.
Компьютеры, подвергшиеся заражению, превращаются в зомби (ботнет) - с них начинается сетевая атака. В случае, если ОС защищена активным сетевым экраном, система может выдать сообщение вида "Win.NetApi.bufferoverflow.exploit". По номенклатуре Dr. WEB этот вирус зовётся Win32.HLLW.Shadow.based.
Последние версии червя используют уязвимость в сетевой подсистеме операционных систем семейства Windows (переполнение программного буфера, приводящее к запуску произвольного кода), включая Windows 2000, Windows XP (вплоть до SP3), Windows Server, Windows 7. Также не исключён перенос вируса через автозапуск с USB-флэшек. Другими словами, заражённый компьютер не только представляет собой угрозу для объектов, подверженных атаке типа "отказ в обслуживании", но и сам становится источником вируса - для заражения "чистого" компьютера достаточно лишь подключить его к локальной сети, где уже есть хотя бы один инфицированный ПК.
После заражения вирус начинает пытаться обновить себя, работая по принципу торрент-трекера, генерируя при этом огромное количество произвольных DNS-имён. Кроме того, если пользователь вошёл в систему с ограниченными правами, то начинается подбор пароля администратора методом "атаки в лоб", а также по собственному словарю (прямым признаком этого является постоянная загрузка ЦП в зависимости от числа ядер на 100, 50 или 25% процессом svchost.exe).
Не исключена возможность генерации в системных папках файлов с расширением .dll и произвольным именем. Также возможно существенное увеличение сетевого трафика с компьютеров-зомби.

Лечение

Лечение Kido следует начинать предварительно отключившись от локальной сети. Необходимо загрузить и перенести на поражённый компьютер антивирусную утилиту типа CureIt, затем загрузиться в безопасном режиме и произвести проверку с последующим лечением всех обнаруженных угроз. В процессе лечения компьютер потребуется перезагрузить.
Затем следует убедиться, что в локальной сети не осталось других заражённых этим же вирусом компьютеров!!! Если таковые имеются, к ним следует применить аналогичную процедуру исцеления. Подключать здоровые компьютеры к локальной сети опасно.
Затем в случае, если используется лицензионная копия Windows, следует загрузить и установить все последние критические обновления ОС во избежании повторения ситуации.
В первую очередь следует вручную установить критический патч KB958644 для своей версии ОС - именно он закрывает брешь в сетевых протоколах, позволяющую произвести на удалённой машине запуск произвольного кода (Remote Code Execution).
 
  • Страница 1 из 1
  • 1
Поиск:

Copyright POLYGON51 © 2024
Сайт управляется системой uCoz