Win32/Conficker.AA Worm

[Mario]

132 подсеть уже получила эту новую заразу
обновляйте антивирус и ставьте заплатки иначе будет плохо

[Chumovoy]

Это оно?

[Mario]

оНо

Добавлено спустя 19 секунд:
а какая у тебя винда?

[Chumovoy]

Xp SP3

Вот что нашел о вирусе этом...
Не так давно появился интересный червь, проникающий на компьютер жертвы через уязвимость ОС Windows, которая позволяет злоумышленнику выполнить любой код на атакуемой системе. Интересным свойством является то, что он производит обновление системы, которое закрывает указанную уязвимость. Делается это для того, чтобы таким же способом на компьютер не попали другие вредоносные программы...

Технические детали

Сетевой червь, использующий для проникновения на компьютер достаточно «свежую» уязвимость, описанную в бюллетене MS08-067. Червь может загружать произвольные файлы и запускать их на выполнение. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт.

Деструктивная активность

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверят, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:

Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\<название_файла>.dll"

Червь пытается подключиться к домену traff******ter.biz и загрузить следующий файл:
http://traffi******ter.biz/*******/loadadv.exe

В случае успеха, загруженный файл запускается на выполнение.

Другие действия

Червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.

Рекомендации по удалению

Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный троянцем в каталоге:
%SYSTEM%\<название_файла>.dll
Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
3. Удалить ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.

Другие названия: Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec)

[Mario]

еще 132.100 IP

[Chumovoy]

Короче расклад такой...он ко мне лезет при каждой загрузке и НОД его удаляет сразу, и это будет продолжатсья пока он будет в сети, как было когда-то несколько лет назад.Есть какие-то заплатки от него, но не заходит на сайты те у меня.А так компьютер не тупит как описывают и интернет не пропадает, а появился он с 13 января у меня в логах.

[Den_Koshkin]

и это будет продолжатсья пока он будет в сети, как было когда-то несколько лет назад

А что, файрволл поставить - не ?

[FaLLeN]

у меня 10.8.132.16 вроде всё норм...

[Chumovoy]

За совет спасибо.Мне фаервол не нужен ... и не думаю, что он тут многим нужен, если что-то хранишь серйозное = то сетевой шнурок не подключай и интернет, а кому надо будет и фаер обойдет. Просто такое когда-то уже было Ловласс или подобный вирус, пока все не полечились, он лез вот и всё.Особой проблемы не вижу для тех кто не заражен с новыми базами и обновлениями винды.

[Greeder]

Чувствую надо форматировать диск С и ставить новую винду...

Хотя 2 года назад даже это не помогало...