CbIPHuK
16-02-2010, 06:35 PM
Как заражает:
Распространяется преимущественно в корпоративных и городских сетях, но не исключено заражение по инету.
Открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.
Как работает
Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы:
Когда Win32/Conficker запускается, он создает копии самого себя в %System% каталоге с разными именами. Червь внедряет свой код в процесс “services.exe” чтобы его было труднее найти и удалить. Имя сервисной службы: netsvcs
Путь исполняемого файла:
%System%\svchost.exe -k netsvcs,
а также создает запись в реестре:
HKLM\SYSTEM\CurrentControlSet\Services\\Parameters \ServiceDll = “%System%\”
Как проявляется:
Постоянно отключает сетевую и звуковую карты. У некоторых еще блокирует панель “пуск” и стандартную панель “файл, правка, вид…”, но могут проявляться и другие симптомы (вирус до конца не изучен)
Как лечить:
Вирус использует уязвимость операционной системы Windows, которая ликвидируется патчем безопасности MS08-067, также рекомендуется установить эти фиксы MS08-068 , MS09-001 для предотвращения заражения компьютера через сеть.
Устанавливаем указанные выше патчи безопасности MS08-067, MS08-068, MS09-001, обновить антивирусную базу вашего антивируса, скачать утилиту от BitDefender
). Дополнительно можно скачать утилиты CureIt или Kaspersky Virus Removal Tool.
Или эту подборку для SP3 состоящую из:
Патчей:
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS
Утилиты:
Anti-Downadup
Напоминаю это для SP3
Далее
1. Отключится от локальной сети и Интерента.
2. Установить патчи безопасности.
3. Запустить утилиту от anti-Downadup.
4. Проверить компьютер уже установленным антивирусом или утилитами CureIt или Kaspersky Virus Removal Tool.
Если после проверок вирус остался, повторяем данные операции до посинения.
Распространяется преимущественно в корпоративных и городских сетях, но не исключено заражение по инету.
Открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.
Как работает
Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы:
Когда Win32/Conficker запускается, он создает копии самого себя в %System% каталоге с разными именами. Червь внедряет свой код в процесс “services.exe” чтобы его было труднее найти и удалить. Имя сервисной службы: netsvcs
Путь исполняемого файла:
%System%\svchost.exe -k netsvcs,
а также создает запись в реестре:
HKLM\SYSTEM\CurrentControlSet\Services\\Parameters \ServiceDll = “%System%\”
Как проявляется:
Постоянно отключает сетевую и звуковую карты. У некоторых еще блокирует панель “пуск” и стандартную панель “файл, правка, вид…”, но могут проявляться и другие симптомы (вирус до конца не изучен)
Как лечить:
Вирус использует уязвимость операционной системы Windows, которая ликвидируется патчем безопасности MS08-067, также рекомендуется установить эти фиксы MS08-068 , MS09-001 для предотвращения заражения компьютера через сеть.
Устанавливаем указанные выше патчи безопасности MS08-067, MS08-068, MS09-001, обновить антивирусную базу вашего антивируса, скачать утилиту от BitDefender
). Дополнительно можно скачать утилиты CureIt или Kaspersky Virus Removal Tool.
Или эту подборку для SP3 состоящую из:
Патчей:
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS
Утилиты:
Anti-Downadup
Напоминаю это для SP3
Далее
1. Отключится от локальной сети и Интерента.
2. Установить патчи безопасности.
3. Запустить утилиту от anti-Downadup.
4. Проверить компьютер уже установленным антивирусом или утилитами CureIt или Kaspersky Virus Removal Tool.
Если после проверок вирус остался, повторяем данные операции до посинения.