Червь Conficker атакует по-новому

[Wolf 101]

Эксперты "Лаборатории Касперского" сообщают о новых методах работы широко известного сетевого червя Conficker (в терминологии ЛК этот червь называется Kido). Согласно последним данным, червь загружает на зараженные ПК поддельный антивирус SpywareProtect2009. Его работа в системе видна пользователям, чьи компьютеры заражены.

 

Выглядит это примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об "обнаружении вирусов", "сетевых атаках", "проблемах с браузером" и так далее.

 

Назойливость этого поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате "лечения" и не только потерять 50 долларов США, но и "подарить" данные своей кредитной карточки злоумышленникам - с самым непредсказуемым результатом.

 

Кроме демонстрации многочисленных сообщений, SpywareProtect2009 пытается загрузить в систему еще один компонент - троянец-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl). Этот троянец, в свою очередь, должен обеспечивать загрузку новых версий SpywareProtect2009.

 

"Перехваченный нами вариант этого троянца осуществлял загрузку новых версий поддельного антивируса с сайта alsterstore.com. Об этом нами был извещен регистратор доменной зоны, и в течении 20 минут этот ресурс был закрыт", отмечается в блоге компании.

 

Ранее сообщалось, что ботнет Kido установил на зараженные компьютеры другого известного червя - Iksmas aka Waledac. Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.

 

"Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры. За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама", - говорят в компании.

 

Всего за 12 часов работы одного единственного бота он отправил 42 298 спам-писем. В спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.

 

"Нами было зафиксировано использование 40542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки. Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных" - сообщается в блоге "Лаборатории Касперского".

 

Простой математический подсчет показывает, что один бот Iksmas отправляет примерно 80000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5 000 000, то получается, что за одни сутки этот ботнет мог разослать примерно 400 миллиардов писем со спамом.

[klimok 1]

Кроме демонстрации многочисленных сообщений, SpywareProtect2009 пытается загрузить в систему еще один компонент - троянец-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl). Этот троянец, в свою очередь, должен обеспечивать загрузку новых версий SpywareProtect2009.

Эти вирусы уже совсем обнаглели! Уже поддерживают загрузку новых версий! Куда катится мир?

[Serj 61]

млин, у меня Нод есет смарт секьюрити постоянно сообщает что ловит єту тварь Conficker - червь,

 

13.04.2009 16:14:24 Защита в режиме реального времени файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WZQXQTY7\mwhaec[1].bmp модифицированный Win32/Conficker.AE червь очищен удалением (после следующего перезапуска) - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe.

 

я надеюсь что нод его вовремя ловит, потому как перечисленіх віше симтомов не наблюдаю.....

[Wolf 101]

у меня Смарт Сек. раньше тоже ловил постоянно на флешке вирус Кидо и писал что удалил...., помогло только форматирование флешки

[VslavX 2]

Просто антивирус не помогает - надо еще кучу патчей на Windows с microsoft.com поставить. А на сайт MS с зараженной машины не зайдешь - DNS перехвачен вирусом и тот не пускает. У меня через офисную сетку два раза заражали - пока все обновления не поставил, почти два дня на вычистку убил

[Serj 61]

VslavX

можно по подробне , а то у меня и внутрення сеть на половине машин не дишить, грит что днс не запущено..шо то типо того

[VAZовод 679]

Ы-ы-ы, и давай ликбез компьютерный устраивать.

первое что нужно сделать посмотреть автозагрузку. Если не знаешь для чего та или иная программа можно посмотреть поиском в яндоксе с рабочих тачек. От подозрительных программ автозагрузку лучше очистить.

Ветки в реестре автозагрузки можно посмотреть набрав в командной строке msconfig - Автозагрузка.

Потом надо будет посмотреть файлы \WINDOWS\system32\drivers\etc\lmhosts.sam и hosts. Упоминания о сайте микрософт там быть не должно, если нашли то стираем.

Все сделали, перезагружаем. После этого с большой долей вероятности получится зайти на сайт микрософт, можно наложит заплатки.

Потом обязательно надо установить антивирус. По своему богатому опыту рекомендую связку дрвеб+windows defender, хотя у всех вкусы разные. Ну и на последок нужно пройтись ативирусами по машинке, и не забывать их во время обновлять.

[klimok 1]

Если будете устанавливать новый антивирус, не ищите "лекарства" для него в Интернете (ну, или ищите, но только в проверенных местах)... Под видом кряка с вероятностью 99.9% вам подсунут другой вирус (или даже целый букет)!

[VAZовод 679]

не ищите "лекарства" для него в Интернете

Не совсем согласен, надо просто искать в проверенных местах.

Очень рекомендую forum.ru-board.com - можно найти много полезной информации.

[Serj 61]

на майкрософт ком я захожу без проблем, значит ли єто что все таки нод ловит его вовремя.....?