Вирус в компьютере

Компания Microsoft просит всех пользователей операционной системы Windows до 3 февраля в обязательном порядке провести проверку компьютера обновленным антивирусом, в противном случае им грозит новый и весьма деструктивный червь Nyxem. Вирус может удалить все файлы Word и Excel, а также заблокировать клавиатуру и мышь. Уже известно о 300 тысячах зараженных машин.

В пятницу вирус, названный Nyxem-E, активизируется на всех зараженных компьютерах, стерев с жесткого диска все файлы Word, PowerPoint и Excel, а также сами эти программы, входящие в комплект Microsoft Office. Под угрозой оказался также программный продукт Abode – Acrobat Reader.

Предполагается, что вирус осел на многих машинах, пользователи которых открывали пришедшее им по электронной почте сообщение с предложением посетить бесплатный порно-сайт. Компании, выпускающие антивирусы, заявили, что огромное количество копий червя уже выявлено на PC по всему миру.

Первые сигналы о появлении опасности поступили 16 января, и с тех пор жертв Nyxem становится все больше. Вирус известен также под названиями Blackmal, MyWife, Kama Sutra, Grew и CME-24. Заразив PC, вирус посылает информацию на специальный веб-сайт, где установлен счетчик всех инфицированных компьютеров. На прошлой неделе цифра на счетчике зашкалила за миллион, однако сотрудникам фирмы Lurhq, занимающейся компьютерной безопасностью, удалось выяснить, что примерно треть показателей – накрутки. Тем не менее доподлинно известно, что на данный момент Nyxem-E заразил уже около 300 тысяч машин.

Как и многие вирусы подобного типа, Nyxem пользуется тем, что неопытные пользователи открывают вложенные в письма файлы, которые, в свою очередь, содержат разрушительный код, мгновенно встраиваемый в различные файлы системы.

В строке «Subject» зараженного червем e-mail могут содержаться различные надписи, однако они преимущественно предлагают получателю просмотреть бесплатную порнографию. Примеры надписей: «Fw: Funny», «*Hot Movie*», «Re: Sex Video» и другие. Как сообщает BBC, сразу же после заражения вирус сканирует адресную книгу и автоматически рассылает себя по найденным e-mail. Кроме того, он распространяется по всем компьютерам в локальной сети жертвы.

Отличие Nyxem в том, что он, помимо того, что после заражения машины не уничтожается, а продолжает свое «победное шествие» по Сети, еще и заражает 11 типов файлов, наиболее часто используемых на PC, причем делает это каждое третье число месяца. Среди файлов, которым угрожает червь, такие распространенные типы, как, к примеру, doc, pdf, ppt, rar, zip и xls.

Червь настроен таким образом, что способен самостоятельно препятствовать работе антивирусов. Он блокирует обновление программных продуктов, а также в некоторых случаях может вызывать сбои в функционировании клавиатуры и мыши.

Всем пользователям Windows рекомендовано срочно обновить антивирусы и просканировать систему на предмет заражения Nyxem. Многие компании, выпускающие антивирусы, разработали специальные приложения, которые позволят более эффективно выявить и удалить «бомбу замедленного действия».

Джейсон Стир, технический консультант фирмы Ironport, специализирующейся на разработке защищающих от спама программ, подчеркивает, что Nyxem использует начавшую уже устаревать схему, когда вирус активизируется в определенное число месяца. «Если обратить внимание на похожие вирусы, ходившие по сети 10-15 лет назад, они были довольно деструктивны – форматировали жесткий диск, удаляли файлы и тому подобное», - говорит Джейсон Стир.

Пит Симпсон, сотрудник антивирусной лаборатории Clearswift, указывает на отсутствие какого-либо изящества в таком подходе. «Да, сам код вируса довольно сложен, для написания он требует большого объема практических знаний, но никакой мотив, кроме вандализма, не двигает создателями подобных червей», - говорит Пит.

Оба специалиста полагают, что наибольший удар 3 февраля придется на домашних пользователей Windows. IT-отделы большинства компаний регулярно обновляют антивирусные базы данных и отсекают нежелательную почту еще до того, как она попадет на компьютеры сотрудников.

Домашние пользователи, напротив, зачастую игнорируют обновления Windows и антивирусов, а также не проводят проверку системы на наличие вирусов, а о постоянном резервном копировании файлов на сменные носители речи не идет вообще.

Деловая газета «Взгляд»

Привет, народ. Вот уж не думал, что когда-то окажусь в этой теме, но как говориться от сумы и от тюрьмы не зарекайся ))

Сейчас я расскажу историю своих сегодняшних наблюдений, а вы скажете кто что об этом думает. Сразу попрошу пропустить советы про переустановку системы, отправку фаила на анализ касперскому и другие простые пути решения )). Как решить проблему быстро я и так знаю, но этот конкретный вирус меня на столько заинтересовал, что мне стало интересно а было ли что-то подобное у кого-то еще и вдруг кто-то из наших спецов расокпал в чем тут дело.

так вот история...

Вводные данные:
Одноядерный (цел 1,8) ноут с гигом оперативки:
+ Windows XP SP3
+ последние заплатки
+ Авира антивир с последними обновами.
Фаервол - аппаратный на ADSL модеме + комодо на домашнем серваке, который раздает инет ноуту... не спрашивайте зачем. надо.)

Ноут до сегодня работал идеально не проявляя типичных симптоов заражения, что странно, но объяснимо.
История началась с того что мне пришло в голову переставить алкоголя. запустил штатное удаление, все снес, попросил перезагрузку. после загрузки системы контроль автозапуска возмутился новым пунктом в списке.
c:\program files\SATASERY\ellzuP_45_S2BOOK.exe
где на сколько я потом понял из скудной инфы в инете "ellzu" - случайные символы, а S2BOOK соответственно название моей машины.
так вот точно помня что ничего такого я туда не ставил лезу в эту папку и первым делом экзешник на анализ.
Результат: 12/39 (30.77%) не много, но ощутимо.

ладно. исследуем дальше и натыкаемся среди кучи *.tmp фаилов ощутимых размеров на несколько маленьких и интересных файликов. как то:
ellzuP_45_S2BOOK.exe.internet.log
со следующим содержанием:
думаю ни у кого не вызывает сомнения что сие есть лог моего HTTP соединения.

там-же ellzuP_45_S2BOOK.exe_LOG.log

это на сколько я понял лог работы самого бота заразившего уже промеждупрочим и сам антивирус (там были записи процессов антивируса, но сюда не попали).

После попытки снести из автозагрузки "первую ласточку" пошли валом проблемы.
во-первых постоянно в автозагрузку добавляется непонятный процесс с несуществующим названием фаила, а при попытке его удалить оттуда предлагается
"delete RyHDCpl from the registry"

кроме этого вирус начал проявлять себя создавая к каждому экзешнику на вставленой флешке кучу фаилов вида *.exe_tmp.exe, которые на зараженной машине удалить нереально (авторан не трогает, что странно).
При попытке удаления зараженных исполняемых фаилов получаем отказ в доступе и стопроцентную загрузку процессора процессом RunDll.

так вот собственно несколько вопросов...

Почему эта гадость не придерживается какой-то одной линии поведения?

Правильно ли я понял из второго лога что отправить ничего никуда у зверя не вышло?

Какую цель преследует система (хде деньги?)

Откуда сие добро теоритически могло у меня взяться за серым айпи и двумя фаерволами и как ОНО вообще распрастраняется?

Почему касперский, авира, вэб, нортон и нод (запущеные с Live CD и обновленные через инет) ничего подозрительного не видят? (кстати на вирустотале нод нечто определил. наверное у них другой нод).

Чего еще можно ждать от этого зверя если позволить ему зверствовать дальше?

Какие еще могут быть эффективные способы выявления заразы кроме описаных и борьбы с ней кроме радикальных?

У меня проблема схожая с товарисчем у которого скрытый autorun.inf
Авторана вроде totalcommander не увидел. Однако если попробовать через ОС поставить показывать скрытые файлы и папки настройки сбрасываются. Собсно, нод вирус уже один рас спалил, да видать полностью не зачистил

SoulSurvivors, нет. авторана нет. стопудов. зараженная флешка проверялась из-под линукса с показом всех фаилов (мне кажется маловероятной на столько адская кросплатформенность вируса, что он умудрился скрываться под линуксом) только мусор вида *.TMP_EXE возле всех экзешников.
Зачем вирусне нужен этот мусор непонятно, а особенно учитывая, что троян в принципе скрытый. не пойму смысла так явно показывать свое присутствие.

middleman, недавно лечил ноут с немного похожей бякой. Что за фрукт не понял, антивиры обходит только в путь. Загрузка только в нормальном режиме, все остальное BSOD. Посмотреть на BSOD возможности нет, т.е. система творит что хочет ..., подключил вторым винтом к своему ноуту, почистил AVZ и Др.веб с последними базами лицензион. , нашел кучу дряни, вычистил, поставил обратно - танцы с бубном продолжаются, реестр правил, ключи грохал. Как справился слоэно сказать, в прямом смысле расскачивал систему , реестр, cureit,avz...OSAM. Выяснил одну закономерность, поведение такое же как твоего, т.е. четкой линии поведения нет, файлы создает, ключи в реестре, AVZ его засекает в паранойном режиме сканирования. С помощью AVZ восстановил системные настройки. Когда система позволила поставить на себя антивирь, поставил ДРВеба 4,44 и уже изнутри начал его долбать. После такого длинного описания скажу одну очень характерную для него черту: все нормальные exe файлы при сканировании AVZ показываются как зараженные , точнее не то что зараженные а что они являются активными руткит компонентами, вычистить их нельзя, для того чтобы остановить вирус надо удалить все ехе с компа...что вообщем то нереал, но можно с помощью OSAM найти библиотеки котрые грузяться в момент загрузки и создают "зомбиков".
Сори, понимаю написано не понятно, но за все время работы с компами, были разные вири и руткиты в том числе, но такой изощренный первый раз ..

Всем доброго дня.
Пишу по такому поводу. У меня была проблема с инетом. При скачивании, выбивало комп. с полной перезагрузкой. Стоял каспер 7, он ни чего не показывал. Снесла каспера, поставила Dr. Web Skaner. Показал 2 трояна. Удалила. Выбивать перестало. Но симптомы заражения имеются. Ещё раз отсканировала комп. Показал 5 подозрительных, пишет возможно DLOADER, Trojan. И 3 модификации Win 95. Что это значит? Лечить их или удалять?

Помогите решить проблему, уже две недели воюю с вирусом, сначала он давал жизни чудил что хочет . НОД и Авира в упор его не видели. Сейчас стоит Аваст и вот что выдаёт
"25.02.2009 13:40:52 DCOM Exploit attack
from 91.124.174.169:135
25.02.2009 13:55:03 DCOM Exploit attack
from 91.124.110.98:135
25.02.2009 16:30:00 DCOM Exploit attack
from 91.124.57.131:135
28.02.2009 22:12:58 DCOM Exploit attack
from 91.124.117.2:135
28.02.2009 22:18:45 DCOM Exploit attack
from 91.124.52.217:135
28.02.2009 22:24:12 DCOM Exploit attack
from 91.124.117.2:135
28.02.2009 22:24:19 DCOM Exploit attack
from 91.124.0.44:135
28.02.2009 22:25:15 DCOM Exploit attack
from 91.124.52.217:135
28.02.2009 22:26:38 DCOM Exploit attack
from 91.22.76.86:135
28.02.2009 22:28:38 DCOM Exploit attack
from 91.124.254.36:135"
Как от этого избавится, может кто знает? Сразу скажу система Виндовс ХР сборка "Зверь", антивирус "Аваст", чиста винта проводилась два раза вместе с переустановкой ПО.

Атаки на 135 порте DCOM RPC. Попробуй Windows Worms Doors Cleaner он закрывает все червячные порты. Их нужно в первую очередь закрывать в принципе.
https://softoroom.org/topic53259s10.html
И зачем эта тема на форуме существует?

Оутпост выдает:

0:21:21 0.0.0.0 Обнаружена атака, узел не заблокирован WRONG_PACKET
и так днями и ночами
Чего это

Рекомендую сканировать комп прогой Adware Se Professional.Надёжна в работе,все вирусы,трояны и прочие червеподобные найдёт и уничтожит))

0:21:21 0.0.0.0 Обнаружена атака, узел не заблокирован WRONG_PACKET

Вариант первый:
Четыре нуля это ты атакуешь сам себя. либо стоит какой-то глюкавый драйвер, который генерит неправильные пакеты сам себе, либо у тебя вирус, который опять-же генерит эти пакеты.

Вариант второй (более вероятный):
Из сетки или инета приходят тебе пакеты, в которых адрес отправителя подменен на четыре нуля. есть софт, который умеет такое делать.

Вот здесь обсуждается похожий вопрос: