Мобильная версия сайта
Добавить новость
Немного о вирусе "Net-Worm.Win32.Kido" или "win32.hllw.shadow.based"
Немного о вирусе "Net-Worm.Win32.Kido" или "win32.hllw.shadow.based"
источник метода лечения : dcp.sovserv.ru/program/42546/2009/02/21/update/print.html
Позавчера, работая по своей так сказать работе, наткнулись мы на нечто интересное... на компьютерах начали виснуть программы, причем не систематично и не все. Будто таймер кто вживил в них.
Через два дня все же проблему нашли и решили... виновником оказался червячек.
Привожу пример борьбы с ним с официальных источников
Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.
Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
* MS08-067 (//www.microsoft.com/technet/security/bulletin/ms08-067.mspx);
* MS08-068 (//www.microsoft.com/technet/security/bulletin/ms08-068.mspx);
* MS09-001 (//www.microsoft.com/technet/security/bulletin/ms09-001.mspx).
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield™, который позволяет получать неограниченный доступ к файлам и веткам реестра, защищённым таким образом.
Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based установиться в систему.
Для тех кому лень читать весь этот текст напишу кратко, так, как я это делал.
- вирус неплохо грузится с флешек, (автозапуск флешки можно отключить удерживая шифт, потом вставляя флешку)
- автозапускной файл косится легко вручную или бесплатной утилитой CUREIT
- вирус в системе распологается в двух файликах: c:/windows/innounp.exe , c:/windows/sustem32/vowmvwe.dll
- CUREIT, KASPER 7 TOOLS - не лечат их (струдом видят)
- AVAST 4.8 , после перезагрузки, сам начинает искать н авсех дисках и находит их... УБИВАЕТ и красота.
дальнейшие испытания не проводил.
есть еще утилита для уничтожения именного этого вируса, но не пробовал: KidoKiller 3.1 – утилита от Лаборатории Касперского - kukosh.com/fileadmin/user_upload/KidoKiller_v3.1.zip, www.kaspersky.ru/support/wks6mp3/error , data2.kaspersky.com:8080/special/KK_v3.4.7.zip
источник метода лечения : dcp.sovserv.ru/program/42546/2009/02/21/update/print.html
Позавчера, работая по своей так сказать работе, наткнулись мы на нечто интересное... на компьютерах начали виснуть программы, причем не систематично и не все. Будто таймер кто вживил в них.
Через два дня все же проблему нашли и решили... виновником оказался червячек.
Привожу пример борьбы с ним с официальных источников
Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.
Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.
Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Действия, совершаемые после запуска вируса
После запуска Win32.HLLW.Shadow.based проверяет, в каком процессе он находится, и если это процесс rundll32.exe, то внедряет свой код в системные процессы svchost.exe и explorer.exe. Затем вирус открывает в Проводнике текущую папку и прекращает свою работу.
Если Win32.HLLW.Shadow.based определяет, что он находится не в процессе rundll32.exe, то он создает свою копию со случайным именем и прописывает её в качестве службы Windows, а также в реестр для обеспечения автозапуска после перезагрузки компьютера и останавливает работу службы обновления Windows. Далее в системе устанавливается собственная реализация HTTP-сервера, с помощью которого начинается распространение вируса по сети.
Если вирус определяет, что он находится в процессе svchost.exe, запущенном в качестве DNS-клиента, то внедряет свой код в функции работы DNS на компьютере, тем самым блокируя доступ к сайтам множества антивирусных компаний.
В состав Win32.HLLW.Shadow.based входит драйвер, в функционал которого входит изменение в памяти системного файла tcpip.sys с целью увеличения стандартного ограничения системы на количество одновременных сетевых подключений.
Назначение Win32.HLLW.Shadow.based
Данная вредоносная программа была создана с целью формирования очередной бот-сети. В ходе работы вируса делаются запросы на загрузку исполняемых файлов со специально созданных для этого серверов, установку и запуск этих программ на компьютерах, входящих в эту бот-сеть. Целью преступников может быть как самостоятельное извлечение прибыли из построенной бот-сети, так и её продажа. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет.
Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений
1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
* MS08-067 (//www.microsoft.com/technet/security/bulletin/ms08-067.mspx);
* MS08-068 (//www.microsoft.com/technet/security/bulletin/ms08-068.mspx);
* MS09-001 (//www.microsoft.com/technet/security/bulletin/ms09-001.mspx).
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
Возможности антивируса Dr.Web по противодействию Win32.HLLW.Shadow.based
Т.к. сетевой червь Win32.HLLW.Shadow.based устанавливает атрибуты безопасности на свои файлы и ветки реестра средствами Windows таким образом, что чтение их стандартными средствами невозможно, то вылечить систему от этого вируса можно только сканером Dr.Web для Windows с графическим интерфейсом версии не ниже 4.44. В эти версии сканера Dr.Web встроен антируткит-модуль Dr.Web Shield™, который позволяет получать неограниченный доступ к файлам и веткам реестра, защищённым таким образом.
Файловый монитор SpIDer Guard, входящий в состав антивируса Dr.Web для Windows версий 4.44 и 5.0, при использовании актуальных обновлений вирусной базы успешно противодействует всем попыткам Win32.HLLW.Shadow.based установиться в систему.
Для тех кому лень читать весь этот текст напишу кратко, так, как я это делал.
- вирус неплохо грузится с флешек, (автозапуск флешки можно отключить удерживая шифт, потом вставляя флешку)
- автозапускной файл косится легко вручную или бесплатной утилитой CUREIT
- вирус в системе распологается в двух файликах: c:/windows/innounp.exe , c:/windows/sustem32/vowmvwe.dll
- CUREIT, KASPER 7 TOOLS - не лечат их (струдом видят)
- AVAST 4.8 , после перезагрузки, сам начинает искать н авсех дисках и находит их... УБИВАЕТ и красота.
дальнейшие испытания не проводил.
есть еще утилита для уничтожения именного этого вируса, но не пробовал: KidoKiller 3.1 – утилита от Лаборатории Касперского - kukosh.com/fileadmin/user_upload/KidoKiller_v3.1.zip, www.kaspersky.ru/support/wks6mp3/error , data2.kaspersky.com:8080/special/KK_v3.4.7.zip
Добавить в:
Метки блога
Популярные за неделю
Активные комментаторы
Статистика сервиса
-
989 блогов
-
13018 сообщений
Экспорт новостей
