Новый вирус, Пронесёт?

Компьютерный червь Downadup, также известный как Conficker и Kido, заразил каждый шестнадцатый Windows-компьютер в мире, сообщает Computerworld со ссылкой на данные компании Panda Security, занимающейся компьютерной безопасностью.

По данным Panda Security, шесть процентов Windows-компьютеров, проверенных с помощью ее антивирусных продуктов, оказались заражены Downadup. Всего инструментами Panda Security было проверено около двух миллионов машин, из которых более чем 110 тысяч содержали Downadup.

Представители Panda Security подчеркивают, что шесть процентов Windows-компьютеров, зараженных Downadup, это минимум. Если учесть пользователей, не работающих с антивирусами и не охваченных в исследовании Panda Security, то количество зараженных Downadup компьютеров может возрасти до 20-30 процентов от всех машин с Windows.

Впервые атака этого червя была зафиксирована около недели назад. По данным на 14 января, червем Downadup было заражено 3,5 миллиона компьютеров. К 16 января этим червем было заражено как минимум 8,9 миллиона компьютеров.

Для заражения компьютеров червь Downadup использует уязвимость MS08-067 в операционной системе Windows. Она позволяет злоумышленнику выполнить любой код на компьютере пользователя, например, загрузить на него вредоносное программное обеспечение.

Как сообщалось ранее, финская антивирусная компания F-Secure сообщила об обнаружении нового сетевого червя, масштабы распространения которого даже эксперты называют удивительными.

Зы: у меня у знакомого вся фирма заболела,ща там виндоусы переустанавливают на всех компах,не знаю,как другие антивирусы,но там у всех стоял Каспер пропустил на ура. Кого ещё задело?

Это сообщение отредактировал MORDOBIDZE - 22.01.2009 - 16:50

MORDOBIDZE
а как иво найтить?

SapneS, а х.з.,но говорят,первые признаки,начинают тупить компы страшно,особенно,когда сети есть!

Это сообщение отредактировал MORDOBIDZE - 22.01.2009 - 16:48

Кароче

Первые признаки заражение-Вы не можете зайти на сайт КАСПЕРСКОГО!!!

праверил через банальный поиск, не нашел такова имени

Досье на подлого червя!

Имя : Worm:W32/Downadup.AL
Возможные имена при определении : Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
Алиасы : W32/Conficker.worm.gen (Symantec), Worm:Win32/Conficker (Microsoft), Mal/Conficker (Sophos)
Тип: Сетевой червь
Категория: Malware
Платформа: W32

Утилиты для удаления:

F-Downadup
Специальная утилита с эвристической проверкой для поиска различных вариантов червя Downadup:

* ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

FSMRT
Общая утилита для определения вируса (размер файла больше):

* ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip

Внимание: Утилиты работают из командной строки. Пожалуйста, прочтите инструкцию, приложенную в ZIP-файле.

Обновления утилит:

Здесь находятся бета-версии различных дополнительных утилит:

* ftp://ftp.f-secure.com/anti-virus/tools/beta/

Настройки сканирования

Downadup использует множество различных имён, в том числе и случайно сгенерированных, поэтому обязательно используйте режим:

* Scan all files

Microsoft Help and Support

В Базе знаний KB962007 содержит информацию для удаления вируса Conficker.B (Downadup) вручную.

* http://support.microsoft.com/kb/962007

Подробная информация о действиях червя:

Сразу после запуска Downadup (Kido, Conflicker) создаёт свои копии в следующих директориях:

* %System%[Random].dll
* %Program Files%Internet Explorer[Random].dll
* %Program Files%Movie Maker[Random].dll
* %All Users Application Data%[Random].dll
* %Temp%[Random].dll
* %System%[Random].tmp
* %Temp%[Random].tmp

* Внимание: [Random] - случайно сгенерированное имя.

Все атрибуты файла о времени создания копируются из файла %System%kernel32.dll. Затем червь создает ключики в реестре, чтобы абсолютно точно запуститься при следующем старте системы.

Червь может создать следующие файлы на жестких дисках, флэшках и картах памяти:

* %DriveLetter%RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d[...].[3 случайных символа]
* %DriveLetter%autorun.inf

И подцепляется к следующим процессам:

* svchost.exe
* explorer.exe
* services.exe

Червь отключает некоторые системные утилиты и службы, которые могли бы предупредить его активность. В том числе следующие службы Windows:

* Windows Automatic Update Service (wuauserv)
* Background Intelligent Transfer Service (BITS)
* Windows Security Center Service (wscsvc)
* Windows Defender Service (WinDefend)
* Windows Error Reporting Service (ERSvc)
* Windows Error Reporting Service (WerSvc)

В дополнение к отключенным службам он проверяет ОС. Если это оказывается Windows Vista, то червь дополнительно отключает функцию автонастройки TCP/IP, запуская следующую команду:

* netsh interface tcp set global autotuning=disabled

Червь также проверяет использование следующих функций API, чтобы он смог заблокировать доступ к доменам (о них чуть ниже):

* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto

Блокирует доступ к доменам, если в состав имени домена входят следующие словосочетания:

* virus
* spyware
* malware
* rootkit
* defender
* microsoft
* symantec
* norton
* mcafee
* trendmicro
* sophos
* panda
* etrust
* networkassociates
* computerassociates
* f-secure
* kaspersky
* jotti
* f-prot
* nod32
* eset
* grisoft
* drweb
* centralcommand
* ahnlab
* esafe
* avast
* avira
* quickheal
* comodo
* clamav
* ewido
* fortinet
* gdata
* hacksoft
* hauri
* ikarus
* k7computing
* norman
* pctools
* prevx
* rising
* securecomputing
* sunbelt
* emsisoft
* arcabit
* cpsecure
* spamhaus
* castlecops
* threatexpert
* wilderssecurity
* windowsupdate
* nai
* ca
* avp
* avg
* vet
* bit9
* sans
* cert

Распостранение (размножение):

Для возможности быстрого распостранения по сети, Downadup меняет некоторые ключи реестра:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
“TcpNumConnections” = dword:0×00FFFFFE

Червь использует данный драйвер, чтобы ускорить свое размножение, меняя кол-во одновременных открытых соединений на 0×10000000(268435456) с помощью функции, которая находится в %System%driverstcpip.sys.

Далее Downadup проверяет наличие подходящего для заражения в сети компьютера с помощью NetServerEnum, а затем пытается войти на любой найденный компьютер следующими способами:

1. Используя настоящую учетную запись на зараженном ПК. Если данная запись не имеет достаточно прав, этот способ не проходит.
2. Получая имена пользователей с целевого компьютера через NetUserEnum API, Downadup пытается попасть на ПК используя данный перечень паролей:

o [username]
o [username][username]
o [reverse_of_username]
o 00000
o 0000000
o 00000000
o 0987654321
o 11111
o 111111
o 1111111
o 11111111
o 123123
o 12321
o 123321
o 12345
o 123456
o 1234567
o 12345678
o 123456789
o 1234567890
o 1234abcd
o 1234qwer
o 123abc
o 123asd
o 123qwe
o 1q2w3e
o 22222
o 222222
o 2222222
o 22222222
o 33333
o 333333
o 3333333
o 33333333
o 44444
o 444444
o 4444444
o 44444444
o 54321
o 55555
o 555555
o 5555555
o 55555555
o 654321
o 66666
o 666666
o 6666666
o 66666666
o 7654321
o 77777
o 777777
o 7777777
o 77777777
o 87654321
o 88888
o 888888
o 8888888
o 88888888
o 987654321
o 99999
o 999999
o 9999999
o 99999999
o a1b2c3
o aaaaa
o abc123
o academia
o access
o account
o Admin
o admin
o admin1
o admin12
o admin123
o adminadmin
o administrator
o anything
o asddsa
o asdfgh
o asdsa
o asdzxc
o backup
o boss123
o business
o campus
o changeme
o cluster
o codename
o codeword
o coffee
o computer
o controller
o cookie
o customer
o database
o default
o desktop
o domain
o example
o exchange
o explorer
o files
o foobar
o foofoo
o forever
o freedom
o games
o home123
o ihavenopass
o Internet
o internet
o intranet
o killer
o letitbe
o letmein
o Login
o login
o lotus
o love123
o manager
o market
o money
o monitor
o mypass
o mypassword
o mypc123
o nimda
o nobody
o nopass
o nopassword
o nothing
o office
o oracle
o owner
o pass1
o pass12
o pass123
o passwd
o Password
o password
o password1
o password12
o password123
o private
o public
o pw123
o q1w2e3
o qazwsx
o qazwsxedc
o qqqqq
o qwe123
o qweasd
o qweasdzxc
o qweewq
o qwerty
o qwewq
o root123
o rootroot
o sample
o secret
o secure
o security
o server
o shadow
o share
o student
o super
o superuser
o supervisor
o system
o temp123
o temporary
o temptemp
o test123
o testtest
o unknown
o windows
o work123
o xxxxx
o zxccxz
o zxcvb
o zxcvbn
o zxcxz
o zzzzz

Если червю удается проникнуть через сеть. он тут же создает свою копию в следующих папках:

* [Server Host Name]ADMIN$System32[random filename].[random extension]

Затем использует планировщик задач на удаленном сервере. чтобы запустить следующую команду:

* rundll32.exe [random filename].[random extension], [random]

Downadup также распостраняется, используя критическую уязвимость MS08-067. Для этого он подключается к одному из следующих серверов. чтобы получить %ExternalIPAddress%:

* http://checkip.dyndns.org
* http://getmyip.co.uk
* http://www.getmyip.org
* http://www.whatsmyipaddress.com

Затем он создает HTTP-сервер, используя рандомный порт:

* http://%ExternalIPAddress%:%RandomPort%

Создание данного сервера позволяет червю посылать специальные пакеты данных (эксплоит) с инфицированной машины на другие. Если эксплоит успешно выполнился, целевая машина загрузит копию вируса с инфицированной.

Загруженный malware может иметь следующие типы расширений:

* bmp
* gif
* jpeg
* png

Затем он отключает NetpwPathCanonicalize API. чтобы предотвратить последующее использование уязвимости.

Самообновление

Downadup может загружать файлы на инфицированную систему с Интернета. Сначала он подключается к одному из следующих серверов для получения текущей системной даты:

* ask.com
* baidu.com
* google.com
* w3.org
* yahoo.com

Полученные данные используются для генерации доменов, с которыз червь загружает файлы.

Если дата, как минимум, 1 January 2009 он загружает файлы с:

* http://%PredictableDomainsIPAddress%/search?q=%d

Внимание: %PredictableDomainsIPAddress% - сгенерированная на основе системной даты база доменов.

Загруженные файлы имеют такой формат:

* [random].tmp

Реестр

Downadup удаляет множество ключей реестра, чтобы отключить Security Center Notifications и предовратить возможный запуск из автозагрузки службы Windows Defender. В обход брандмауэра он создает следуюobt ключи, чтобы дать системе возможность загружать копии червя.

* HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List, [PortNumber]:TCP = “[PortNumber]:TCP:*Enabled:[random]”

Чтобы скрыть своё пребывание в системе, червь удаляет все контрольные точки восстановления системы, созданные пользователем, и меняет следующие ключи реестра:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%

Во время заражения Downadup может создавать временные файлы (.TMP) системных директориях или в папках, специально предназначенных для хранения временных файлов.:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]
Type = dword:00000001
Start = dword:00000003
ErrorControl = dword:00000000
ImagePath = “\…\%MalwarePath%\[random].tmp”
DisplayName = [Random]

Как только ключ создан, временный файл %MalwarePath%[random].tmp будет удалён.

Также червь модифицирует параметры реестра, создавая липовые службы, следующим образом:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName = %ServiceName%
Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = “%SystemRoot%\system32\svchost.exe -k netsvcs”
ObjectName = “LocalSystem”
Description = %description%
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]\Parameters
ServiceDll = %MalwarePath%

В этих записях, %ServiceName% состоит из комбинации двух слов, взятых с данного списка:

* Boot
* Center
* Config
* Driver
* Helper
* Image
* Installer
* Manager
* Microsoft
* Monitor
* Network
* Security
* Server
* Shell
* Support
* System
* Task
* Time
* Universal
* Update
* Windows

___
Информация взята с официального сайта F-Secure и переведена с английского.

Это сообщение отредактировал ПЕТРО - 22.01.2009 - 16:52

ПЕТРО
а какой у ниво сайт?


все.норм зашел. значит я чист????

Это сообщение отредактировал SapneS - 22.01.2009 - 16:52

Тогда мой зверь подхватил его еще полгода назад

Сегодня пойду на сайт Каспера...

Кароче

Несите скорей все свое бабло Панде и будет вам щастье!!!

тока что не мог зайти!)) а! йа заражен!))))

ПЕТРО, хуяссе ты выдал

Ну можешь пойти вытрихнуть из штанины)))))мож че упустил


Без обид)))просто стараюсь помочь)

ПЕТРО

вытряхнул.вроде чист

я зашел к Касперу на сайт
там кстати вот чо:
Главная / Вирусы / Предупреждения
Net-Worm.Win32.Kido
13.01.2009 20:32, GMT +0300, Москва | комментарии (148)
Статус : средняя опасность

«Лаборатория Касперского» предупреждает о существенном росте числа заражений несколькими версиями полиморфного сетевого червя Kido.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.

Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы.

«Лаборатория Касперского» рекомендует пользователям убедиться в том, что их антивирус использует новейшие базы данных. Для устранения критической уязвимости компания Microsoft выпустила необходимые патчи для ОС Windows.

Подробное описание Net-Worm.Win32.Kido.bt, включающее инструкции по удалению этой вредоносной программы, опубликовано на нашем сайте.

блять...каковата программера сократили в связи с кризисом, а он от безделья вирь нахряпал)

Кстате)))))

Downadup написали Украинские хакеры))))))

Хахлятские компы он не заражает))))

ПЕТРО

А ведь точно! Вирус блокирует все сайты,содержащие слово kaspersky!!!

Меня вот этот убил)))))



В Интернете распространяется новый компьютерный вирус, позволяющий хакерам получать доступ к паролям банковских счетов, номерам кредитных карт и другой конфиденциальной информации пользователей. Вирус распространяется под видом записи обращения Барака Обамы, сообщает специализированный блог CyberCrime & Doing Time Университета Алабамы.

«Менее чем через 12 часов после исторического обращения избранного президента Барака Обамы компьютерные преступники уже организовали атаку на основе его выступления», — сообщает блог. Лаборатория спама Университета Алабамы зафиксировала поступление более 300 электронных сообщений, в которых пользователям предлагается просмотреть видеозапись выступления по указанной в письме ссылке.

«Нажатием ссылку в электронном письме пользователи попадают на интернет-сайт, который якобы содержит видеозапись, но на самом деле просит пользователей установить утилит Adobe_Flash9.exe. Однако речь идет не о программе для обновления видеоплеера, а о компьютерном вирусе», — указывают университетские специалисты.

При этом эксперты предупреждают, что жертвой хакеров могут пасть не только сторонники Обамы, от радости зашедшие на указанную в спаме ссылку, но и те, кого победа кандидата от демократов расстроила. Компьютерные мошенники предусмотрели для них ссылки соответствующего «сенсационного» содержания («Барак Обама может лишиться президентского кресла», «Барак Обама в опасности: Маккейн будет бороться за президентство», «Отставка Барака Обамы» и т.п.).

Письма могут приходить с адресов крупных новостных СМИ, например, CNN, BBC или USA Today. По ссылке пользователь попадает на страницу president.htm, на которой ему предлагается установить программу new Adobe-flash9.exe для просмотра видео.

Анализ вирусной программы показал, что украденные сведения пересылаются на тот же украинский компьютерный адрес, с которым связано и зараженное вирусом видео с участием Обамы. Вредоносная программа прячется в компьютере под именем \9129837.exe и активируется при включенном Internet Explorer.

Заражает! Говорю ж,у меня у знакомого все компы на фирме подзалетели!

Работа у меня такая)

Добавлено в 17:07

Значит у него провайдер не укрэйновский)))

Добавлено в 17:13
Маниторим дальше сеть)

Блять, у меня седня банкомет карточку сожрал, сука.