Смілянський форум

Ласкаво просимо

* Погода 
* Правила   * Учасники
* Вхід   * Реєстрація
Об'яви форума

Смілянський форум засвідчує свою підтримку українському народу. Ми засуджуємо дії російської влади, що нахабно ввела свої збройні сили на територію України.
Ми єдина, незалежна держава і вторгнення на нашу територію - це порушення суверенності України.
Слава Україні !


Сьогодні: 13 Грудня, 2019 14:45

Часовий пояс UTC + 2 годин [ DST ]




Створити нову тему Відповісти  [ 8 повідомлень ] 
Автор Повідомлення
ПовідомленняДодано: 18 Січня, 2009 14:49 
Офлайн
Частий гість
Частий гість
Аватар користувача

З нами з: 16 Січня, 2008 1:13
Повідомлення: 96
Репутація: 24
Червь Conficker заразил уже 3,5 миллиона компьютеров

Супер-ботнет, который строит появившийся в конце ноября прошлого года червь Conficker, вырос уже по крайней мере до 3,5 млн компьютеров. Таким образом, эта зомби-сеть по размерам переплюнула все известные до сих пор ботнеты, в том числе Storm, который, по некоторым оценкам, на пике своего развития включал от 500 тысяч до миллиона машин, сообщает The Register.

Инвентаризацию нового ботнета провели сотрудники антивирусной компании F-Secure. Для этого они воспользовались особенностями алгоритма, по которому работает Conficker (он же Downadup в классификации F-Secure).

Алгоритм этот достаточно хитрый: ежедневно, беря за основу отметки времени с публичных сайтов вроде Google и Baidu, программа генерирует массу последовательностей символов, похожих на доменные имена. Используя этот набор строк, зараженный компьютер пытается связаться с серверами, расположенными на соответствующих доменах. На практике такой домен может быть только один — его, используя тот же алгоритм, заранее регистрируют владельцы бот-сети, поднимают на нём сервер и, таким образом, контролируют всё стадо зомби-компьютеров.

Такой подход делает неэффективными традиционные методы борьбы с ботнетами, заключающиеся в закрытии вредоносных серверов. Ведь новые домены злоумышленники регистрируют каждый день, и даже если этот домен удастся обнаружить и заблокировать в столь короткий срок, завтра наступит новый день, и схема отработает снова.

С другой стороны, "хорошим парням" из F-Secure ничто не мешает самим зарегистрировать подходящий домен и дождаться, когда зараженные червём компьютеры начнут с ним связываться. Теоретически это даёт возможность вмешаться в работу всех выходящих на связь "зомби" и даже излечить их — но только теоретически: юридически такие действия расцениваются как "неправомочное использование", так что за благие намерения хорошим парням светит дорога прямо в пенитенциарный ад. (Аналогичная причина мешает немецким учёным зарубить на корню ботнет Storm.)

Поэтому в F-Secure ограничились лишь наблюдениями, которые, в частности, позволили определить количество входящих в супер-ботнет компьютеров. По самым скромным прикидкам, по состоянию на 13 января таких компьютеров оказалось без малого 2,4 млн, но уже через сутки их число выросло до 3,5 млн. В антивирусной компании считают свои расчёты весьма консервативными (точный подсчёт затрудняется тем, что за одним IP-адресом часто скрываются целые локальные сети), так что в реальности размеры ботнета должны быть существенно больше.

Первая пятёрка стран, где располагаются зараженные компьютеры, включает Китай, Бразилию, Россию, Индию и Украину. Примечательно, что, согласно ноябрьским данным Microsoft, Conficker по какой-то причине брезговал украинскими компьютерами, однако с тех пор, очевидно, ситуация изменилась.

Напомним, что для захвата контроля над компьютером-жертвой Conficker использует брешь в безопасности Windows, заплатка для которой была выпущена ещё 23 октября. После успешного захвата червь, опасаясь конкуренции, предусмотрительно прикрывает лазейку, через которую сам проник в компьютер.

Conficker.A
Сетевой червь, эксплуатирующий уязвимость, описанную в бюллетене  Ви не авторизовані для перегляду. . Червь может также загружать и выполнять произвольные файлы.

Другие названия: Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

При запуске, червь Win32/Conficker.A создает копию в директории %System% с произвольным именем. Win32/Conficker.A c проверяет использует ли зараженная машина Windows 2000. Если да, то червь внедряет свой код в процесс services.exe.

Если операционная система отлична от Windows 2000, червь создает службу со следующими характеристиками:

Имя службы: netsvcs
Путь к файлу: %System%\svchost.exe -k netsvcs

Также создает следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%System%\<worm>.dll"

Win32/Conficker.A подключается к домену trafficconverter.biz и пытается загрузить и выполнить следующие файлы:
http://trafficconverter.biz/<censored>/loadadv.exe

_________________
Зображення
Зображення


Догори
 Профіль  
 
 Тема повідомлення:
ПовідомленняДодано: 18 Січня, 2009 14:58 
Офлайн
Псих
Псих
Аватар користувача

З нами з: 14 Грудня, 2007 19:37
Повідомлення: 2808
Звідки: USSR
Репутація: 663
22 октября


У вас недостатньо прав для перегляду приєднаних до цього повідомлення файлів.

_________________
жертвоприношение было обильным.
Всю ночь в небе сверкали молнии
и доносилась сытая отрыжка
Зображення


Востаннє редагувалось Dimitriys в 18 Січня, 2009 17:00, всього редагувалось 1 раз.

Догори
 Профіль  
 
 Тема повідомлення:
ПовідомленняДодано: 18 Січня, 2009 15:04 
Офлайн
Живу я тут
Живу я тут
Аватар користувача

З нами з: 19 Грудня, 2007 9:55
Повідомлення: 6735
Звідки: Cмела
Мне кажется, что это антивирусные кампании раздувают ажиотаж... ведь им тоже нужно "хлебушек кушать"
Обновления с Майкрософт и антивирусов решают все проблемы.


Догори
 Профіль  
 
 Тема повідомлення:
ПовідомленняДодано: 18 Січня, 2009 18:01 
Офлайн
Частий гість
Частий гість
Аватар користувача

З нами з: 16 Січня, 2008 1:13
Повідомлення: 96
Репутація: 24
Я створив цю тему після того, як у себе на компі виявив цей вірус, точніше виявив НОД32 ( з комплекту ESET Smart Security 3.0.672). Але антивірус чомусь видалити не зміг. Пише начебто , що видалив, але після перезавантаження і повторного сканування НОД32 знаходив його знову. Довелось діяти нестадартними методами. І допомогла мені в цьому програма Unlocker, яка видаляє заблоковані файли. Спочатку вона прибила процес який блокував заражений dll файл, а потім і видалила його. Після перезавантаження і сканування все ok! До речі, ця зараза гуляє нашою мережею, бо періодично Фаєрволл попереджує про спробу проникнення даним вірусом, з різних адрес.
Так, що ставте оновлення.

_________________
Зображення
Зображення


Догори
 Профіль  
 
 Тема повідомлення:
ПовідомленняДодано: 18 Січня, 2009 23:04 
Офлайн
Живу я тут
Живу я тут
Аватар користувача

З нами з: 19 Грудня, 2007 9:55
Повідомлення: 6735
Звідки: Cмела
Вспомнил я что это за Conficker, еще осенью о нем писали.. особенно мне показалось интересным, что инфицирует все компьютеры других стран кроме Украины, но это тогда было, сейчас видимо не так...

Вот еще такая инструкция по удалению у кого будет все таки заражен компьютер:
1.Качаем и ставим обновление для своей версии виндовс - http://www.microsoft.com/technet/securi ... 8-067.mspx
2.Качаем и извлекаем - http://www.bitdefender.com/site/Downloa ... emovalTool
3.Вырубаем все сетевые соединения
4.Запускаем Anti-Downadup-graphics.exe из скачанного архива
5.Reboot


Догори
 Профіль  
 
 Тема повідомлення:
ПовідомленняДодано: 18 Січня, 2009 23:52 
Офлайн
Маніяк
Маніяк
Аватар користувача

З нами з: 15 Листопада, 2007 0:20
Повідомлення: 1537
Репутація: 718
вірь блокує сайти антивірусів, майкрософт...


Догори
 Профіль  
 
 Тема повідомлення:
ПовідомленняДодано: 19 Січня, 2009 1:02 
Офлайн
Частий гість
Частий гість
Аватар користувача

З нами з: 16 Січня, 2008 1:13
Повідомлення: 96
Репутація: 24
Maksimus написав:
вірь блокує сайти антивірусів, майкрософт...


Твоя правда, сам переконався. Хотів встановити оновлення з офіційного сайту... Спочатку було подумав, що сервер Майкрософт упав :-)
Що цікаво, цей вірь навіть доступ до китайського сайту nod321.com заблокував.
Зараз все в нормі :-)

_________________
Зображення
Зображення


Догори
 Профіль  
 
 Тема повідомлення:
ПовідомленняДодано: 28 Січня, 2009 22:01 
Офлайн
Проходив мимо
Проходив мимо
Аватар користувача

З нами з: 06 Січня, 2009 18:48
Повідомлення: 4
Репутація: 0
спасибки за инфу нашол и у себя такое щастье


Догори
 Профіль  
 
Показувати повідомлення за:  Сортувати за  
Створити нову тему Відповісти  [ 8 повідомлень ] 

Часовий пояс UTC + 2 годин [ DST ]


Хто зараз онлайн

Зараз переглядають цей форум: Немає зареєстрованих користувачів і 1 гість


Ви не можете створювати нові теми у цьому форумі
Ви не можете відповідати на теми у цьому форумі
Ви не можете редагувати ваші повідомлення у цьому форумі
Ви не можете видаляти ваші повідомлення у цьому форумі
Ви не можете додавати файли у цьому форумі

Вперед:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Український переклад © 2005-2011 Українська підтримка phpBB
*Мобільна версія