Антивирусы vs Вирусы, Вирусные эпидемии И борьба с ними Опции

[Griz]

Люди у кого стоит ХР!!!
Вчера вылез в инет и через 15 минут вылетелело сообщение об остановке системы (ака через 30 сек машина будет перезагружена из-за сбоя системы)...
Товарищи, будте бдительны это червь!!!
Исполняемый файл msblast.exe (7кб), висит в трее (вот наглый, гад!) и пускает себя после выхода в инет на портах 137 и т.п. менее 1024 порта!!!
Возможно это схвачено из аськи (я позавчера выходил и мне кто-то бросил мессагу со ссылкой (вот дурак, нафиг я ее нажал!)
Сам червь htm`овский.
Лекартсво одно - найти по поиску этот exe`шник и удалить его windowssystem32msblast.exe (я кстати его так и нашел, а только седня узнгал что это червь)
А так же выбить из реестра...
Ни один антивирус его не видит (хотя находит htm-червяка).
Подробности здесь http://www.livejournal.com/users/karimovru/172460.html

[Z@RrAZza]

Итак, время для анализа сложившейся ситуации с новым вирусом "Novarg", существующим в природе также под названием "MyDoom". Для начала - информация от Лаборатории Касперского:


Всего за несколько часов существования "Novarg" (также известный как "Mydoom") успел вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F. Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Почему же возникла эпидемия? Вирус распространяется как по файлообменным сетям, так и по электронной почте. Он использует различные возможности для маскировки - различные названия писем, различные расширения файлов (bat, exe, scr, pif) вложений и т.п. В файлообменных сетях всё проще - вирус маскируется под дистрибутивы известных программ (Winamp, ICQ и т.п.). Типичный пример поставки вируса: письмо с сообщением о невозможности отображения содержимого в нужной кодировке и присоединённым файлом - якобы с сохранённым телом письма...

После запуска вируса он открывает Notepad с беспорядочным набором символов. Вместе с этим создаются файлы Taskmon.exe (носитель червя) и Shimgapi.dll (троянский модуль), которые регистрируются для автозапуска в системном реестре. После этого проистекает попытка дальнейшего распространения вируса с заражённой машины.

Лаборатория Касперского отмечает три основные особенности вируса:

Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.

Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.

В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный web-сайт, что может привести к его отключению.

Относительно третьего пункта существует следующая информация: вчера компания SCO Group предложила награду в 250 тысяч долларов тому, кто поможет арестовать подозреваемого в авторстве вируса. Если учесть, что Лаборатория Касперского предполагает, что автор вируса - наш с вами соотечественник, то получается интересная картина...

Однако вернёмся к прозе жизни - та же Лаборатория Касперского уже выпустила бесплатную утилиту для определения вируса Novarg и удаления его из системы. Кстати сказать, этот инструмент - весьма полезен, так как предназначен для обнаружения и вычищения из системы и других вирусов, а именно: I-Worm.BleBla.b, I-Worm.Navidad, I-Worm.Sircam, I-Worm.Goner, I-Worm.Klez.a,e,f,g,h, Win32.Elkern.c, I-Worm.Lentin.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p, I-Worm.Tanatos.a,b, Worm.Win32.Opasoft.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p, I-Worm.Avron.a,b,c,d,e, I-Worm.LovGate.a,b,c,d,e,f,g,h,i,j,k,l, I-Worm.Fizzer, I-Worm.Magold.a,b,c,d,e, Worm.Win32.Lovesan, Worm.Win32.Welchia, I-Worm.Sobig.f, I-Worm.Dumaru.a-d, Trojan.Win32.SilentLog.a-b, Backdoor.Small.d, I-Worm.Swen, Backdoor.Afcore.l-ad, I-Worm.Sober.a,c. Распакуйте программу и запустите исполняемый файл - сканирование пойдёт в режиме командной строки...
Утилита для обнаружения и удаления вирусов (около 113 Кбайт)