NFX.cz CZFree.net Czela.net KLfree.net Echo24 České noviny Forum24 Novinky Seznam Google Živě Ventusky Blesky Meteo Siki Speedtest |
|
||||||||||
Čapí web KHnet na facebooku kutnahora.tv mojeKH.cz Zmizelá Kutná Hora Lepší Místo Denemark SK Sršni Ares Root Parkinto |
|
Vydáno dne 01. 08. 2005 (11906 přečtení)
Server viruslist.com upozorňuje na to, že nový Virus Win32/Tanga je po dvou letech (!) opravdu Virem s velkým "V". Využívá totiž metody šíření, které byly před pár lety naprosto běžné a co je důležité, vychází mu to a úspěšně se šíří. upraveno 4.8.05 doplněno 16.8.05 Virus Win32/Tanga je totiž parazitickým virem což znamená, že dokáže infikovat další EXE - spustitelné soubory na disku (konkrétně Win32 PE EXE soubory). K těmto souborům se připojí bez toho, aby nějak narušil jejich chod (resp. původní funkčnost) a věří, že je uživatel někdy v budoucnu přenese na jiné PC a tam se opět najde jedinec, který tyto infikované programy spustí. Antivirové programy mohou opět "oprášit" dlouho nevyužité tlačítko LÉČENÍ, jelikož zatímco 99% dnešní havěti je nutné mazat (resp. léčení = mazání), v tomto případě lze infikovaný soubor opravdu léčit a virus "vykousnout". Tanga nezapomíná ani na šíření přes síť a to lokální, tak i Internetovou. Tanga rozesílá SYN pakety na náhodné IP adresy na portu TCP 139 (NetBIOS) a následně se snaží připojovat přes systémové sdílení IPC$ a nechráněná sdílení pro přístup ke vzdálené stanici a následné infekci dalších vzdálených EXE souborů. A co je nejhorší: tyto pakety jsou malinkaté a je jich strašné množství!!! Jeden takový infikovaný počítač je schopný zrušit komunikaci minimálně na AP kde je připojen, ale i jinde po síti! Pokud takový případ bude, budeme nemilosrdně blokovat na prvním místě, kde to bude možné! Tj. se to ani nedozvíte, prostě vám nepůjde nic, ani internet, ani vnitřní provoz! Máme na to právo, přečtěte si Provozní řád. Ludva Převzato z www.viry.cz doplněno 16.8.05 Dle dalšího zkoumání nejde o červ Tanga (nebo gael či licum - podle té které antivirové firmy), ale o variantu červa Gaobot. Což ale nic nemění na jeho projevech ... Zatím mám tuto identifikaci: v adresáři (složce) Windows/System32 je soubor Soff.pif (často označený jako skrytý). Postup odstranění: Zaktualizovat Windows! Nelze-li, tak (pravděpodobně) stačí tyto záplaty - pro XP SP1: WindowsXP-KB823980-x86-CSY.exe WindowsXP-KB835732-x86-CSY.exe WindowsXP-KB828035-x86-CSY.exe pro W2k: Windows2000-KB835732-x86-CSY.exe Windows2000-KB823980-x86-CSY.exe Windows2000-KB828749-x86-CSY.exe Windows2000-KB828035-x86-CSY.exe Pak (po restartu počítače) stačí opět restartovat do nouzového režimu, vymazat ho (soff.pif) a taky všechny odkazy z registru (jsou asi tři). NOD32 ho zná, AVG a Avast NE!!!! Tak pozor na to. I výrobci NODu jsem ho musel poslat, aby ho identifikovali ... Důrazně upozorňuji, že toto není vir, ale červ. Takže všeobecně každý antivir ho má šanci detekovat, až když je počítač nakažen! Jediné, co pomáhá, je udržovat windows aktualizované a používat firewall! Také netvrdím, že se nemůže vyskytnout jiná varianta, která se bude jmenovat na disku jinak, případně úplně jiný červ ale projevující se stejně! Prověřit počítač můžete také tímto nástrojem: TcpView. Pokud tam uvidíte spoustu podobných řádků - stejný název v prvním sloupci, a ve sloupci Remote address něco, co končí na ":139" nebo ":netbios-ssn", tak je to on! Zároveň pomocí pravého tl. myši a zvolením Process properties zjistíte, kde ho máte hledat. WindowsXP SP2 je již proti tomuto typu infekce imunní (zvlášť se zapnutým firewallem) a Windows2000 se všemi záplatami taky!!!! Už lenin říkal: aktualizovat, aktualizovat, aktualizovat! Autor: Monty |Komentáře: 30 | Přidat komentář | |
|
layout: Monty & Ludva - verze 2.0.0
Všechny původní články na těchto a příbuzných (wiki, blog) stránkách (tj. pocházející vlastnoručně od členů KHnetu) je možno libovolně
přebírat, zveřejňovat, odkazovat či citovat na webových stránkách spřátelených sítí (sdružených v nfx.cz)
s podmínkou uvedení autora či původu.