Был обнаружен новый вирус/троян/эксплоит (называйте как угодно). Это программа, которая использует серьезную уязвимость (насколько я понимаю, во многострадальной службе RPC) в операционных системах win2000 и winXP (включая версии с сервис-паками), что дает ей право проникать на компьютер без ведома пользователя и запускать другие приложения (воровать пароли и пр.). Лично у меня это проявляется в наличии в списке процессов avserve2.exe (файл находится в главном каталоге Windows), а также файлов up_XXXX.exe (где X - число), которые в большом количестве создаются в каталоге Windows\System32, а также запись в ключе реестра Run, на автозапуск avserve2.exe. Троян периодически начинает свою работу, запуская многочисленные процессы up_XXXX.exe, а также (что опаснее всего, cmd.exe и ftp.exe - последний на мой взгляд применяется для отсылки данных с компьютера жертвы, либо наоборот для невидимой загрузки чего-то на комп, либо и то, и другое).
Внешне деятельность трояна проявляется в сильном подтормаживании системы, а также в периодическом появлении надписи о сбое службы NT AUTHORITY и перезагрузке компа через минуту, которую нельзя отменить (как это было с один всем известным вирусом, также использующим уязвимость RPC. Этот вирус, насколько я понимаю, также каким-то образом использует данную уязвимость. Удалось уже найти эксплоит 
) Так что надо будет потестить, чтобы сказать точно).
А теперь главное: антивирус Dr. Web 4.31 в ПОСЛЕДНИМИ обновлениями данный троян НЕ ВИДИТ!
Потому остается либо самому писать прогу по его удалению, либо удалять все вручную.
Установил последние обновления (в частности WindowsXP-KB828741-x86), пока что трой больше на комп не залазил.. Посмотрим, что будет дальше...
-
Neophyte PosterАвтор темыофлайнNeophyte Poster Автор темы
4
21 год на сайте
пользователь #77104# 2 мая 2004 14:10 -
Senior MemberофлайнSenior Member
13117
21 год на сайте
пользователь #391913117# 2 мая 2004 17:54Установил последние обновления (в частности WindowsXP-KB828741-x86), пока что трой больше на комп не залазил..
Советую всем поступить также
Не то страшно, что мы в жопе, а то что мы решили в ней обживаться -
Apple TeamофлайнApple Team
1246
20 лет на сайте
пользователь #155721246# 2 мая 2004 22:12Вот блин! Уже успел подхвотить.
Может знает кто-нибудь, где найти утилиту, чтобы сначала его удалить? -
# 2 мая 2004 22:30
Worm.Win32.Sasser.a или .b
Опасность : средняяВирус-червь
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows.
Ее описание приведено в Microsoft Security Bulletin MS04-011: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack.Размножение
При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]avserve2.exe = %WINDIR%\avserve2.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.Взято с VirusList - http://www.viruslist.com/alert.html?id=145080269
-
Panasonic ClubофлайнPanasonic Club
27315
20 лет на сайте
пользователь #1265527315# 4 мая 2004 13:46burgerss, ruki.exe /deleteAllviruses.
1. "убей" процесс avserve2.exe
2. "грохни" ключ автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]avserve2.exe = %WINDIR%\avserve2.exe
3 поставь "заплатку" WindowsXP-KB828741-x86 или Windows2000-KB828741-x86-RUS.EXE
[url=http://forum.onliner.by/viewtopic.php?t=814397]BELNETMON на onliner.by[/url] -
GooDMooD TeamофлайнGooDMooD Team
18388
21 год на сайте
пользователь #355418388# 4 мая 2004 14:18я себе поставил WindowsXP-KB835732-x86-ENU и все подошло!
У нас сетка за 1,5-2 часа из 50 компов осталось 5-8 (win9 Мы не ищем легких путей - у нас на это мозгов не хватает. -
veterem sodalemофлайнveterem sodalem
15505
22 года на сайте
пользователь #251015505# 4 мая 2004 14:31[gone to pot]
