Вирусы и борьба с ними ..., ВСЕ О ВИРУСАХ. Опции

[Гость_ФЕНИКС_*]

Компания «Доктор Веб» сообщила о появлении новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker), обеспечивающего основной функционал бот-сети Shadow. По прогнозам «Доктор Веб», с 1 апреля бот-сеть перейдет на новый режим работы.

Как пояснили в антивирусной компании, на компьютерах, зараженных ранее различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного ПО, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50 000 адресов, среди которых будет выбираться 500 адресов, через которые будут происходить попытки обновления вредоносного ПО. При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Такой работе бот-сети воспрепятствовать будет значительно сложнее, считают в «Доктор Веб».

Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067.

Компания Eset сообщила о том, что с 1 апреля возможно резкое увеличение DDoS- и спам-атак с использованием крупнейшей в истории интернета бот-сети, состоящей из компьютеров, зараженных семейством червей Conficker.

По данным Eset, новая версия червя – Сonficker.X – взаимодействует с управляющим пулом из 50 тыс. доменов. Это существенно усложняет борьбу с угрозой, поскольку при таком количестве постоянно обновляемых url-адресов отследить и блокировать команды от владельцев бот-сети компьютерам-зомби будет практически невозможно. Эксперты предполагают, что 1 апреля станет датой начала широкомасштабных атак на ПК пользователей. Это могут быть DDoS-атаки, рассылка спама, действия, направленные на заражение новых компьютеров и увеличение бот-нета.

Червь Conficker.X (также известный как Conficker.C или Conficker.D) был детектирован с помощью технологии компании Eset – ThreatSense. Вредоносная программа быстро распространяется по интернету и представляет собой еще большую угрозу, нежели ее предыдущие версии, отмечают в Eset.

Первая версия червя - Conficker.A – была зафиксирована специалистами Eset в ноябре 2008 г. С тех пор принцип действия вредоносной программы не изменился — заражая компьютеры, червь объединяет их в бот-нет. Conficker блокирует антивирусное ПО и доступ к сайтам производителей антивирусов, вносит изменения в работу локальной службы DNS. Помимо собственной вредоносной функции, червь выступает плацдармом для последующих атак, дополнительно скачивая и устанавливая другое вредоносное ПО.

По информации Eset, Conficker.X использует уязвимость MS08-067 в операционной системе MS Windows, распространяется с помощью внешних носителей, через p2p-сети и общие папки внутри локальных сетей.

Чтобы избежать заражения, специалисты Eset советуют использовать лицензионное антивирусное ПО, детектирующее данную угрозу, и следить за тем, чтобы на компьютере было установлены актуальные обновления операционной системы Windows. Антивирусные системы Eset NOD32 проактивно детектируют Conficker во всех его вариациях. С уже зараженного компьютера червь удаляется с помощью специальной утилиты.

«Аналитики Eset внимательно отслеживают распространение червя. Антивирусные решения Eset NOD32 успешно детектируют новую версию Conficker с помощью технологии проактивной защиты, гарантируя 100%-ое предотвращение заражения, – заявил Юрай Малчо, глава вирусной лаборатории Eset. – Способность Conficker заражать огромное количество компьютеров единовременно делает его одной из наиболее опасных сетевых угроз в истории. Главной задачей авторов червя является создание глобального бот-нета, позволяющего проводить массивные атаки на интернет-инфраструктуру».

[Гость_Георгий_*]

Запускаю скайп 4,1 ,через 30 сек комп зависает наглухо,
лечится кнопкой выключения и перезагрузкой!
Прогу переустанавливал,скачивал новую пятую версию,

Много лет назад я полюбил крайне для меня удобную прогу AnVir Task Manager.
Если что то не в порядке, зависает, обгружает -она в одно движение мыши показывает виновника. Также можно его убить, восстановить, зайти в реестр , отредактировать автозагрузку... и многое , многое другое.
Прога бесплатная.
Рекомендую! (сейчас без неё ,как без рук)
http://www.anvir.net/

[Гость_VINT78_*]

Старые,новые версии скайпа пробовал - НЕ ПОМОГАЕТ!УЖЕ МОЗГ СЛОМАЛ!!!
Вот AnVir Task Manager сейчас потестирую...

[Гость_VINT78_*]

Не помогла прога... Сделал кучу оптимизаций и чисток...
Вспомнил,тестил её раньше,не по мне она,хотя и не плохая!
А со скайпом всё по прежнему:
запуск и зависон наглухо - идиотская ситуация!
Систему не хочется сносить!!!

[Гость_VINT78_*]

Нашел причину!!!
Я вчера,по тупости своей ,
залез в msconfig , вспомнить,а включил ли я два ядра в
msconfig-загрузка-дополнительные параметры-число процессоров 2(по умолчанию один),
увидел,что включил и давай дальше смотреть...
Взял да и включил отладку!
И вот эта отладка мне сегодня полдня не давала скайп запустить....

[Гость_Moshkin_*]

Если он двухядреный , то умолчанию два ядра пойдут .
Но можно и вырубить :
Пуск> Выполнить> MSCONFIG> Загрузка> Доп. параметры> Число процессоров с 2-ух на 1>ок >применить> ок и перезагрузиться .

[Гость_VINT78_*]

Если он двухядреный , то умолчанию два ядра пойдут .
Но можно и вырубить :
Пуск> Выполнить> MSCONFIG> Загрузка> Доп. параметры> Число процессоров с 2-ух на 1>ок >применить> ок и перезагрузиться .

Так вот и нет!У меня двухъядерный,но после установки системы галочка
Пуск> Выполнить> MSCONFIG> Загрузка> Доп. параметры> Число процессоров,
где число процессоров не стоит,а серым написано один!
Так что каждый раз ,когда я ставлю семерку,а ставлю я её только на двухъядерные процессоры,
залажу в эту область и ставлю галочку,после этого меняю 1 на двойку,
после этого перезагрузка компа!
Вот поэтому я и вспомнил,а делал ли я это у себя и параллельно залез в отладку...
Кстати,а что это такое?Для чего она?
Ничего не изменилось,тока при включении скайпа вис комп,в остальном всё нормально!!!

[Гость_Moshkin_*]

Это сюда :
Настройка компьютера, или всё о windows
http://www.windowsconfig.ru/archives/tag/msconfig

[Гость_Георгий_*]

Вирусы снова научились удалять антивирусы
14 декабря 2010 года
Компания «Доктор Веб» сообщает о выявлении нового метода противодействия работе антивирусов. Несмотря на то что несколько лет назад большинство антивирусных вендоров включили в состав своих продуктов модули самозащиты, авторы современных вредоносных программ по-прежнему находят способы удаления компонентов антивирусной защиты из системы.
Один из таких методов реализован в троянце Trojan.VkBase.1. В поисках чьих-либо приватных данных пользователь попадает на сайт, предлагающий просмотреть личную информацию участников популярной социальной сети «В Контакте».
Под видом искомой информации к пользователю на компьютер попадает исполняемый файл, который определяется антивирусом Dr.Web как Trojan.VkBase.1.
После запуска этого файла открывается окно Проводника Windows, в котором якобы отображена обещанная на сайте информация. Тем временем вредоносная программа уже устанавливается в систему и осуществляет поиск установленного в ней антивируса.
После того как поиск завершен, производится перезагрузка компьютера в безопасном режиме Windows, и установленный в системе антивирус удаляется. При этом в арсенале программы существуют процедуры удаления многих популярных антивирусных продуктов.
Так как модуль самозащиты Dr.Web SelfPROtect работает и в безопасном режиме Windows, для удаления Dr.Web троянец использовал дополнительный компонент (Trojan.AVKill.2942), эксплуатирующий уязвимость данного модуля. К настоящему времени данная уязвимость закрыта. Для удаления других антивирусных продуктов троянцу дополнительные модули не требовались.
После удаления антивируса производится перезагрузка системы в обычном режиме, а затем доступ к системе блокируется с помощью блокировщика Windows Trojan.Winlock.2477. Злоумышленники требуют за разблокировку отправить через терминал оплаты 295 рублей на счет мобильного телефона. Также выводятся ложные предупреждения о том, что все данные компьютера зашифрованы и будут удалены в течение 90 минут.
После разблокировки компьютера троянец имитирует установленный до заражения антивирус с помощью компонента, который определяется Dr.Web как Trojan.Fakealert.19448. В области уведомлений Windows отображается значок, идентичный тому антивирусу, который работал в системе ранее до его удаления. При щелчке по этому значку отображается окно, похожее на окно интерфейса удалённого антивируса, с сообщением о том, что компьютер якобы по-прежнему находится под защитой. При щелчке по картинке она закрывается. Таким образом, для неподготовленных пользователей создаётся иллюзия, что антивирусная защита системы продолжает работать в штатном режиме.
В настоящее время пользователи всех антивирусных продуктов Dr.Web для Windows защищены от Trojan.VkBase.1 и других вредоносных программ, которые могут использовать подобные схемы противодействия антивирусам.
http://news.drweb.com/show/?i=1406&lng=ru&c=14

[Гость_Moshkin_*]

Полное разоблачение 30-миллионного ботнета Bredolab
16 дек 2010
******************************************************************

1. Полное разоблачение 30-миллионного ботнета Bredolab
2. Как подписаться на новостные блоки и отписаться от них
3. Правила безопасности


******************************************************************

1. Полное разоблачение 30-миллионного ботнета Bredolab


"Лаборатория Касперского" представляет аналитическую статью
антивирусного аналитика Алексея Кадиева "Ботнет Bredolab. Конец
истории?". Ботнет Bredolab появился в середине 2009 года и
насчитывал за время своего существования около 30 миллионов зараженных
компьютеров из разных стран мира. В октябре 2010 года он был закрыт
отделом полиции Нидерландов по борьбе с киберпреступлениями. В статье
Алексей Кадиев "разоблачает" вирусные технологии,
использованные при построении данного ботнета, который успешно
функционировал на протяжении длительного времени.

Особенность ботнета Bredolab заключалась в автоматическом способе
формирования зомби-сети и близком к замкнутому цикле ее построения. Для
начала злоумышленники использовали взломанные легитимные сайты,
посетители которых перенаправлялись на вредоносные ресурсы, с которых и
происходило заражение пользовательских компьютеров зловредом
Backdoor.Win32.Bredolab. Этот зловред, среди прочего, загружал в систему
троянца, "охотившегося" за паролями к ftp-аккаунтам и
передававшего их хозяину ботсети. Так злоумышленники получали доступ к
сайту жертвы и внедряли в него вредоносный код. После того как другой
пользователь посещал зараженный сайт, данная схема повторялась. Таким
образом, был налажен автоматический процесс самоподдержания ботнета.

При этом киберпреступники не останавливались на достигнутом и постоянно
находили новые способы повышения количеств заражения пользовательских
машин. Например, вредоносный код внедрялся в популярные интернет-ресурсы
или распространялся посредством спам-рассылки, имитирующей сообщения от
имени Twitter, YouTube, Amazon, Facebook, Skype.

"Ввиду сложности Bredolab, можно предположить, что он
контролировался не одним человеком. Однако пока известно об аресте
единственного злоумышленника, связанного с этим ботнетом. Существует
вероятность того, что спустя какое-то время остальные участники
преступной группы могут продолжить начатое, так как схема, придуманная и
реализованная ими, достаточно эффективна. Более того, технологии,
использованные для создания и поддержки работоспособности данного
ботнета, могут быть приняты на вооружение и другими
киберпреступниками", - считает Алексей Кадиев.

Одной из мер по предотвращению заражения веб-сайтов является
своевременное обновление программного обеспечения ресурса - так
можно свести к минимуму возможность использования злоумышленниками
уязвимостей в коде сайта. Кроме того, следует помнить о существовании
сервисов и систем сканирования сайтов для обнаружения вредоносного кода,
а также несанкционированного изменения контента.

В целях безопасности лучше отключить автоматическое сохранение
ftp-паролей в ftp-клиентах, а также периодически создавать резервные
копии сайта (баз данных, файлов, в которых может храниться важная
информация) на случай, если в результате заражения данные окажутся
испорченными.

Полная версия статьи "Ботнет Bredolab. Конец истории?"
доступна по адресу www.securelist.com/ru.

[Гость_Moshkin_*]

Вот не знаю , что за штуковина стартует в машине ?
C:\WINDOWS\INSTALLER\MSI16A.TMP
Правда было обращение к HDDlife ( контролировал температуру винтов ) .

Вот что то http://www.bestspywarescanner.net/errors/MSI16A.tmp.html
http://translate.google.ru/translate?hl=ru...G%26prmd%3Divns

MSI16A.tmp является важным исполняемый файл, который действует как динамическая библиотека функций, используемых в программе MSI16A.tmp модуль.

MSI16A.tmp выступает в качестве внешнего хранилища кода использованы в программе MSI16A.tmp модуль, который автоматически загружается и выполняется различными программами и приложениями в Microsoft Windows и OS / 2 операционные системы.