Hard & Soft > IT-News
Новости о вредоносном ПО
andy:
KidoKiller
В связи с появлением новой модификации червя Kido (general name: Net-Worm.Win32.Kido.js) ЛК выпустило новую версию бесплатной лечащей утилиты, которая теперь называется KK (догадайтесь почему) :)
Скачать версию 3.4.5 можно тут: http://www.secureblog.info/files/KK.rar
Без дополнительных ключей запуска, она сканирует только места
возможного заражения.
дополнительные ключи:
сканировать определённый каталог: -p path
сканировать жёсткие диски: -f
сканировать сетевые диски: -n
сканировать флешки: -r
не ждать нажатия anykey: -y
тихий режим(без чёрного окна): -s
запись информации в лог -l log_name
ведение расширенного лога(вместе с -l) -v
восстановление служб Background Intelligent Transfer Service (BITS), Windows Automatic Update Service (wuauserv), Error Reporting Service (ERSvc/WerSvc) -z
восстановление возможности показа скрытых и системных файлов -x
отключение автозапуска со всех носителей -a
режим мониторинга потоков, заданий, сервисов -m
удаление из реестра сервисов, оставшихся после лечения червя нашими продуктами -t
восстановление ветки реестра SafeBoot(при ее удалении компьютер не может загрузиться в безопасном режиме) -j
В случае если у клиента установлен Outpost, после использования
настоятельно рекомендуем перезагрузить компьютер.
Список изменений :
- Добавлено лечение последней версии червя (Net-Worm.Win32.Kido.js) — так как этот червь представляет собой отдельное приложение, добавлено сканирование запущенных процессов.
- Расширен набор масок для детектирования по md5
- Улучшено детектирование зловредных потоков под Windows XP x64, 2003 x64
Внимание!
В связи с тем, что последние модификации kido блокируют запуск процессов, названия которых содержат слово "kido" и "kill", утилита переименована в KK.exe
rabbit:
Специалист ЛК учит бороться с вирусом-шантажистом
Специалист Лаборатории Касперского Олег Зайцев опубликовал заметку о том, как можно бороться с вирусом-шантажистом.
Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер они прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.
Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
"Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний?", - задался вопросом Олег Зайцев. В результате изысканий был обнаружен довольно простой алгоритм. Сначала необходимо нажать комбинацию WIN-U, что вызовет окно специальных возможностей, изображенное на рисунке.
Оно обладает очень высоким приоритетом и не блокируется трояном. В появившемся окне выбираем экранную лупу, а в окошке данного инструмента кликаем на гиперссылку "Веб-узел Майкрософт". Это приведет к запуску IE, из которого можно загружать любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
rabbit:
Sophos обнаружила троянскую программу, созданную для борьбы с пиратством
Специалисты Sophos обнаружили троянскую Windows-программу, созданную некими принципиальными энтузиастами с целью нанести удар по музыкальному пиратству.
Троян маскируется под mp3-файл с записью песни некой индонезийской группы Samsons, являясь при этом исполняемым файлом вида <имя>.mp3.exe с пиктограммой от плеера WinAmp. Попытка прослушать эту "песню", запустив файл из Проводника Windows, приводит к ряду вредоносных действий.
Так, троян создаёт в системной папке файл winamp.dll.exe и делает несколько записей в системном Реестре. При этом, в частности, блокируется работа плеера WinAmp, а также программы regedit, предназначенной для просмотра и редактирования реестра. Кроме того, он цепляется ко всем обнаруженным на жёстком диске компьютера mp3-файлам, превращая их в зараженные exe-шники того же вида (<старое имя>.mp3.exe).
Наконец, при каждой загрузке зараженной системы пользователю выдаётся сообщение на индонезийском языке с призывом прекратить воровать интеллектуальную собственность музыкальной индустрии и не использовать больше mp3. В Sophos ничего не говорят о том, умеет ли троян отличать музыкальные файлы, защищённые авторским правом, от тех, на которые действие копирайта не распространяется.
Стоит отметить, что в Windows по умолчанию скрываются стандартные расширения файлов, в том числе исполняемых, так что файлы вида <имя>.mp3.exe выглядят в Проводнике как <имя>.mp3. Эта практика сохранилась и в релиз-кандидате грядущей ОС Windows 7.
http://www.securitylab.ru
rabbit:
В интернете появился троян - убийца файлов
Компания «Доктор Веб» сообщила о появлении в Интернете опасного трояна, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.
Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троян начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троян делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.
Уникальным для современных вредоносных программ свойством данного трояна является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.
Можно предположить, что данный троян, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу
http://www.securitylab.ru/news/381018.php
Навигация
Перейти к полной версии