KHnet.info, z. s. - Kutná Hora v síti sítí, aneb komunita (a internet) pro kutnohorsko.

Pozor, sítí se šíří nový virus

Autor: Monty (mailto:monty@khnet.info), Téma: Dění v síti
Vydáno dne 01. 08. 2005 (11916 přečtení)

Server viruslist.com upozorňuje na to, že nový Virus Win32/Tanga je po dvou letech (!) opravdu Virem s velkým "V". Využívá totiž metody šíření, které byly před pár lety naprosto běžné a co je důležité, vychází mu to a úspěšně se šíří.
upraveno 4.8.05
doplněno 16.8.05

Virus Win32/Tanga je totiž parazitickým virem což znamená, že dokáže infikovat další EXE - spustitelné soubory na disku (konkrétně Win32 PE EXE soubory). K těmto souborům se připojí bez toho, aby nějak narušil jejich chod (resp. původní funkčnost) a věří, že je uživatel někdy v budoucnu přenese na jiné PC a tam se opět najde jedinec, který tyto infikované programy spustí. Antivirové programy mohou opět "oprášit" dlouho nevyužité tlačítko LÉČENÍ, jelikož zatímco 99% dnešní havěti je nutné mazat (resp. léčení = mazání), v tomto případě lze infikovaný soubor opravdu léčit a virus "vykousnout". Tanga nezapomíná ani na šíření přes síť a to lokální, tak i Internetovou.

Tanga rozesílá SYN pakety na náhodné IP adresy na portu TCP 139 (NetBIOS) a následně se snaží připojovat přes systémové sdílení IPC$ a nechráněná sdílení pro přístup ke vzdálené stanici a následné infekci dalších vzdálených EXE souborů.

A co je nejhorší: tyto pakety jsou malinkaté a je jich strašné množství!!! Jeden takový infikovaný počítač je schopný zrušit komunikaci minimálně na AP kde je připojen, ale i jinde po síti! Pokud takový případ bude, budeme nemilosrdně blokovat na prvním místě, kde to bude možné! Tj. se to ani nedozvíte, prostě vám nepůjde nic, ani internet, ani vnitřní provoz! Máme na to právo, přečtěte si Provozní řád.
Ludva

Převzato z www.viry.cz

doplněno 16.8.05

Dle dalšího zkoumání nejde o červ Tanga (nebo gael či licum - podle té které antivirové firmy), ale o variantu červa Gaobot. Což ale nic nemění na jeho projevech ...

Zatím mám tuto identifikaci: v adresáři (složce) Windows/System32 je soubor Soff.pif (často označený jako skrytý).

Postup odstranění:
Zaktualizovat Windows! Nelze-li, tak (pravděpodobně) stačí tyto záplaty - pro XP SP1:
WindowsXP-KB823980-x86-CSY.exe
WindowsXP-KB835732-x86-CSY.exe
WindowsXP-KB828035-x86-CSY.exe

pro W2k:
Windows2000-KB835732-x86-CSY.exe
Windows2000-KB823980-x86-CSY.exe
Windows2000-KB828749-x86-CSY.exe
Windows2000-KB828035-x86-CSY.exe

Pak (po restartu počítače) stačí opět restartovat do nouzového režimu, vymazat ho (soff.pif) a taky všechny odkazy z registru (jsou asi tři).

NOD32 ho zná, AVG a Avast NE!!!! Tak pozor na to. I výrobci NODu jsem ho musel poslat, aby ho identifikovali ...

Důrazně upozorňuji, že toto není vir, ale červ. Takže všeobecně každý antivir ho má šanci detekovat, až když je počítač nakažen! Jediné, co pomáhá, je udržovat windows aktualizované a používat firewall!

Také netvrdím, že se nemůže vyskytnout jiná varianta, která se bude jmenovat na disku jinak, případně úplně jiný červ ale projevující se stejně!

Prověřit počítač můžete také tímto nástrojem: TcpView.
Pokud tam uvidíte spoustu podobných řádků - stejný název v prvním sloupci, a ve sloupci Remote address něco, co končí na ":139" nebo ":netbios-ssn", tak je to on! Zároveň pomocí pravého tl. myši a zvolením Process properties zjistíte, kde ho máte hledat.

WindowsXP SP2 je již proti tomuto typu infekce imunní (zvlášť se zapnutým firewallem) a Windows2000 se všemi záplatami taky!!!! Už lenin říkal: aktualizovat, aktualizovat, aktualizovat!