search
top
Мар 30th 09 Posted by Безумный Админ in Windows

Боремся с Conficker.AA

Один знакомы попросил посмотреть его компьютер, жалуясь на то, что пару раз в день вылетает окно с ошибкой типа « У вас глюкнул драйвер звуковухи и т.д.» после перезагрузки звук начинал работать. После недолгих издевательств над компьютером ошибка себя проявила обычным окно Win32, что произошёл сбой в звуковом драйвере. Сразу насторожило то, что звук наработал только при просмотре видео и аудио файлов, Все стандартный виндовые звуки чудесным образом работали, несмотря на ошибку!!

В журнале  нашел вот такое сообщение.

 Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль AcGenral.dll, версия 5.1.2600.5512, адрес 0×000116e2.

 Оказалось что это вовсе не  драйвер глюкал, а новый вирус Win32/Conficker.AA, он же Win32.Worm.Downadup.Gen, Trojan.Win32.Agent.bcjv, Win32.HLLW.Shadow.based
Разные антивири называют по-разному.
Точного описание в интернете нет вот, что я собрал:

Как заражает:

Распространяется преимущественно в корпоративных и городских сетях, но не исключено заражение по инету.

Открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.

Как работает

Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы:

Когда Win32/Conficker запускается, он создает копии самого себя в %System% каталоге с разными именами. Червь внедряет свой код в процесс

services.exe

чтобы его было труднее найти и удалить.  Имя сервисной службы:

netsvcs.

Путь исполняемого файла:

%System%\svchost.exe -k netsvcs,

а также создает запись в реестре:

HKLM\SYSTEM\CurrentControlSet\Services\<random filename>\Parameters\ServiceDll = “%System%\<random filename>”

Как проявляется:

Постоянно отключает сетевую и звуковую карты. У некоторых еще блокирует панель “пуск” и стандартную панель “файл, правка, вид…”, но могут проявляться и другие симптомы (вирус до конца не изучен)

Как лечить:

Вирус использует уязвимость операционной системы Windows, которая ликвидируется патчем безопасности MS08-067, также рекомендуется установить эти фиксы MS08-068, MS09 001 для предотвращения заражения компьютера через сеть.

Устанавливаем указанные выше патчи безопасности MS08-067, MS08-068, MS09-001, обновить антивирусную базу вашего антивируса, скачать утилиту от BitDefender. Дополнительно можно скачать утилиты CureIt или Kaspersky Virus Removal Tool.

 
Или эту подборку для SP3 состоящую из:

Патчей:
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS

Утилиты:
Anti-Downadup

Напоминаю это для SP3

Далее
1. Отключится от локальной сети и Интерента.
2. Установить патчи безопасности.
3. Запустить утилиту от anti-Downadup.
4. Проверить компьютер уже установленным антивирусом или утилитами CureIt или Kaspersky Virus Removal Tool.

Если после проверок вирус остался, повторяем данные операции до посинения.

Были использованы материалы с сайтов:

http://bclan.kiev.ua,  http://084.com.ua/, http://forum.allavatars.ru,  http://compace.lg.ua

Связанные записи

  • Нет связанных записей.
  • e_samolyotov

    Respect!

  • http://e-lektron.blogspot.com/ tegoxyWex

    мда вот как оказалось !

  • rodon

    спасибо огромноеЁ!

  • http://fizioter.ru Вениамин

    Благодарю за пост, а ведь это тема :) В мемориз однозначно, пригодится! :)

  • Юган

    Аххххиренно и неподрожаемоумопомрачительно.респект афтору

  • Dima

    SPAASIBO !!! AVTOR POMOG +1

  • Саша

    Присоединяюсь к сказанному выше. Респект!

  • Антоха_

    ох и в…бал же этот вирус мне мозг
    уже думал звуковуху выкидывать…
    автору большое спасибо за статью. оч помогла

  • Pahan_

    а ещё он сцука не даёт с линейного входа записывать.

  • Tornado

    Мне очень понравились последние слова, очень точно подмечено - “до посинения”.

  • Bic-off

    Спасибо большое, за информацию!!! Выручили.

  • новичок

    за него у меня плохо работал сеть сейчас попробую заранее спасибо

  • http://kvm.in.ua WiseFire

    Спасибо!
    Хоть что-то толковое нашел!
    Сейчас попробую.

  • Максим

    реально помогло, спасибо

  • Lightage

    Информация реально полезна и работоспособна… Очень благодарен!!!

  • http://privats.ru/2009/07/net-wormwin32kido-i-active-directory.html Блог Безумного Админа » Blog Archive » Net-Worm.Win32.Kido и Active Directory

    [...] попортил мне мозг. Предыдущая статья на эту тему тут. Начну с самого [...]

  • Новичок2

    Здрасвуйте,вы не подскажете как удалить вирус ConfickerAA.на Windows server 2003 sp2 зарание спасибо.

  • http://privats.ru/ Безумный Админ

    Конечно знаю последняя статья ка раз об этом. Вам поможет Kido Kill.

  • http://cooledit.org.ua cooledit

    вот ещё одно решение проблемы - кстати помогло ))
    http://privats.ru/d01827/aHR0cDovL2FsZWtzLnNoaW5rYXJlZmYucnUvP3A9NjQ5/

  • Самарканд

    Админ, руль мужик, уважуха!!!

  • pactu

    Спасибо АДМИН

  • Natalia

    Спасибо большое, единственная толкавая статья гдк всё понятно написано…

  • Julia

    Памятник Вам, добрый человек, в полный рост и из чего пожелаете!!!

  • Sanya

    Спасибо вам все получилось почти сутки провел перед компом АДМИНУ респект

  • http://dmarket.com.ua Алекс

    сегодня появился в сети новая модификация конфикера, пока отловить не получается :(

  • http://privats.ru/ Безумный Админ

    Не слышал!!! А можно подробнее что за симптомы, как себя проявляет новый Kido/Conficker??

  • http://2web-master.ru 2web

    Спасибо за информацию. Лечу свой комп по вашему методу.

  • http://freshpage.ru/blog_d/?p=62 win32/conficker.aa « Мысли блогеров всего интернета

    [...] Безумный Админ пишет: Оказалось что это вовсе не драйвер глюкал, а новый вирус Win32/Conficker.AA, он же Win32.Worm.Downadup.Gen, Trojan.Win32.Agent.bcjv, Win32.HLLW.Shadow.based. Разные антивири называют по-разному. Точного описание в интернете нет вот, … [...]

  • http://nexus.dax.ru Ns

    Спасибо большое! Удалил с первого раза!
    Стоит : SP3, NOD32 v3, Outpost Firewall Pro.

    Были симптомы : отрубление интернета, смена темы, отрубление звука.

  • garfield

    а на server 2003 sp2 нет заплаток на сайте майкрософта (((

  • thunder

    Компьютер каждое утро в одно и тоже время терял сеть с данной ошибкой в журнале.( Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль AcGenral.dll, версия 5.1.2600.5512, адрес 0×000116e2)

    Сделал все по данному руководству и проблема решилась.

    Благодарю за информацию. Очень полезный блог.

  • Оля

    Не могу скачать патч безопасности. Блокирует переход на многие сайты. Как жить?

blog comments powered by Disqus
top
Copyright © | Блог Безумного Админа.

57 запросов. 0.959 секунд.