снова autorun.inf

nomore
удали сам файл autorun.inf с носителя

 

Удаляй не удаляй, а при подключении флэхи, он туда всёравно копируется.
Убить все процессы rundll32, тогда нечего не копуруется.
Лежит в патченом svchost, заменил его и на всякий случай сам rundll32/
пока тихо.
И перестало при подключении нета, постоянно передавать пакетики по5-8kb.

 

Выдержка из самого jwgkvsq-vmx.

MZђ   яя ё @ и є ґ Н!ё
LН!This program cannot be run in DOS mode.$ PE L
 V„ј4 а !
 : 
лG  P     
 Ђ
       0Q   p
 P ,
.text љ8  :  `.rdata r P  > @ @.data \
` 
F @ А.reloc 4
p
 L
@ B YѓбУкЎ?a йЇ
#щЗЗe
 ‰E¤‹•XяяяRh NяњP ѓДЈ?f
й & XЇЗЖ‹
b
Б‹Mря%Фb
я5˜a XPярP я5@b
я`P ЌC(й" vЬя%pd
ЎЂa 
РяuьY!Ия5la й6. КБбѓбУи‹
?a !И Гя%Ш` яЊP ѓДЈ`g
h rямP я%Дc
1Тчuњ9Б‚~ йk1 hW
‹UђRя°P ѓДйв ЇБPYчЩБб)ББбй
яdP ‹?g
Јlg
я5°d
XЃвяя RPя,P я%иc
YЛЌН ѓбУи‹
?a !Ия%˜`

 

Вот еще, вычитал

Теперь как от него избавиться. Активный файл вируса живет в C:\WINDOWS\system32\
Посмотреть на него можно в Far-e, заходим в эту папку и ищем dll с hidden атрибутами, он обычно там один такой (его размер от 169кб до 171кб), файл с безобразным названием. Из под Explorer-a вы его не увидите и не удалите.

Новости из Лаборатории Net-Worm.Win32.Kido

Не так давно появился интересный червь, проникающий на компьютер жертвы через уязвимость ОС Windows, которая позволяет злоумышленнику выполнить любой код на атакуемой системе. Интересным свойством является то, что он производит обновление системы, которое закрывает указанную уязвимость. Делается это для того, чтобы таким же способом на компьютер не попали другие вредоносные программы...

Технические детали

Сетевой червь, использующий для проникновения на компьютер достаточно «свежую» уязвимость, описанную в бюллетене MS08-067. Червь может загружать произвольные файлы и запускать их на выполнение. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт.

Деструктивная активность

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверят, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:

Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\<название_файла>.dll"


Червь пытается подключиться к домену traff******ter.biz и загрузить следующий файл:

http://traffi******ter.biz/*******/loadadv.exe

В случае успеха, загруженный файл запускается на выполнение.

Рекомендации по удалению

Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный троянцем в каталоге:

%SYSTEM%\<название_файла>.dll

Посмотреть имя файла можно в ключе:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll

3. Удалить ветку реестра:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs

4. Произвести полную проверку компьютера антивирусом с обновлёнными антивирусными базами.

Другие названия: Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

 

Есть уже Conficker.B и Conficker.AB (по классификации ESET).
Кто-нибудь знает, чем они отличаются от Conficker.A?

 

Конфикер - это [censored], бегаю по всем и ставлю патчи, а в сети более 100 машин
Зараженная машина начинает SYN-флуд на сервера, и контроллер домена в частности. Ну и на остальные машины. Заразилось примерно 1/2 от всех компов (не обновленные базы, или отсутствие антивируса). По сети заражаются в момент, через скачивание файла по http с уже зараженной машины. ESETовский нод видит мою заразу как "модифицированный Confiker.A". Я помню эпидемии Klez и MyDoom - так вот конфикер в большой локалке намного неприятнее. Один из советов МС - при лечении отключать от сети, и не подключать снова, пока не будут вылечены все

 

Судя по описанию, у меня был этот вирус. Я его удалила с помощью утилиты GMER. http://www.gmer.net/ Он находит скрытую службу, удаляем её, потом удаляем из system32 dll-файл. Вроде сдох.

 

У меня эта гадость N:\viri\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx действует примерно слудующим способом. (Запускал на своем компе и мониторил sysinternalomi) Эта dll кроме entrypoint ничё не экспортирует. Упакована UPX и замечательно распаковывается upx шелом хотя PEID говорит что ASProtect. После рапаковки PEID сообщает что С++ dll. В ини пишет по русски:
AcTION =Открыть папку для просмотра файлов
После запуска rundll32 c:\jwgkvsq.vmx,"любой текст" rundll ругнётся что нет такой функции "любой текст" а меж тем запущенный rundll32 первым делом копирует jwgkvsq.vmx в c:\windows\system32\xrbkq.dll дальше к сожалению расплывчато. Чёто в реестре создаёт с Криптографией связано, потом создаёт службу о чём говорят создаваемые ключи в ветке реестра services Потом xrbkq.dll подхватывает svchost.exe Короче я так понял эта слу;ба промежуточный этап (служба в автозагрузке легко палиться) для внедрения в другой процесс svchost на котором больше всего служб (Телефония, диспетчер подключения и тд) чтобы осесть там навечно ничем себя не выдавая кроме неудаляемого скрытого c:\windows\system32\xrbkq.dll. Никаких зацепок почему его svchost похватывает после перезагрузки (не проверял только всякого рода runonce, надо попробовать ресетом перезагрузить) Удалить dll можно только убив SVCхозяина/ Или как говорили анлокером

 

FatMoon

А ктож вам доктор, об уязвимости было известно 3-4 месяца назад, уже можнобыло пропатчить все от и до.

 

PaCHER
...гром не грянет - русский мужик не перекрестится...

 

И американский тоже...

 

Вот бы подружиться с хозяином этой гадости.
Много полезного можно было узнать.
Ещё на вечер...

 

Привет!
скинь мне файл -вирус на почту, поглядеть

мой почт ящик 1050202@rambler.ru




спасибо

 

_faq_
Да вирус, а его KKiller от Kaspersky видит, вирус няк упакован UPX, ну напишут елы палы

 

Есть сканер собственного производства, вот только не всегда удаляет потому -что прога написана под Дос7 с поддержкой длинных имен файло, кто хочет про тестить могу скинуть, поиск идет по вирусным сигнатурам (всего 5 записей в базе)