[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4668: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4670: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4671: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4672: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
ДОУНБ • Просмотр темы - Conficker
Дніпропетровська обласна універсальна наукова бібліотека

For quick login in and fast entrance.
Вернуться на сайт Регистрация Поиск FAQ Вход 

Начать новую тему Ответить на тему  [ 1 сообщение ] 

17 фев 2010, 23:21

 Conficker
Не в сети

Зарегистрирован: 10 ноя 2009, 14:29
Сообщения: 13
Говорю здесь примерно о том же, что и в
Этот вирус Conficker заставил многих забеспокоиться. Microsoft даже награду объявил для того, кто найдёт его автора.
Была создана рабочая группа по вирусу Conficker (). Видные специалисты по безопасности исследовали его.
И вот немецкие академики поделились результатами своих исследований со всеми пользователями Internet :
Как этим пользоваться :
1. Запустить на заражённой системе программу conciller.exe . Эта программа ищет код вируса, загруженный в память, и деактивирует его.
2. Там ещё есть программа regnfile_01.exe, которая якобы удаляет созданные вирусом записи в реестре и файлы в \windows\system32 . Но из-за того, что авторы слегка забывают о списках контроля доступа (ACL) на этих объектах, их удаление не срабатывает.
Вместо этого надо запустить Autoruns, после окончания сканирования найти на вкладке Services подозрительную .dllку в system32, затем запустить regedit (в более старых системах типа Win2000 - regedt32), найти ветку с подозрительным именем службы, включить в её свойствах безопасности "наследовать разрешения от содержащей объект папки" (может также понадобиться добавить "полный доступ" для группы "Все"), после чего удалить со всеми подветками. Удалять .dllку из system32 не обязательно.
3. Microsoft выпустил обновление MS08-067, оно же KB958644, якобы устраняющее уязвимость, за счёт использования которой Conficker распространяется на новые компы. Но для старых систем типа Win2000 (или, например, если в домене на заражённый комп логинится пользователь с полномочиями доменного администратора) это обновление, похоже, не действует. Если на вашей системе такое обновление установлено, но Conficker всё равно там периодически появляется, нужно распаковать nonficker.zip, скачанный с того же сайта, и запустить nonficker_setup.exe . Это установит сервис-"вакцину", которая будет сообщать входящим снаружи Confickerам, что в системе уже установлен Conficker бОльшей версии :>

Если указанные файлы не скачиваются на заражённую систему прямо из Интернета, нужно скачать их на здоровой системе и перенести на больную по сети или на диске/флэшке.
Там же есть скрипт scs2.py дистанционного обнаружения Confickerа на компьютерах локальной сети. И ещё в Интернете можно найти несколько рецептов массового дистанционного обнаружения Confickera с помощью сканера nmap 5.x и его скрипта smb-check-vulns.

Вообще, поражает меня расслабленность авторов антивирусов и более мелких лечащих средств. Симптомы вируса давно уже определены и характеризованы, а многие антивирусы не видят их в упор. Включая мой любимый MBAM. То же самое насчёт файлов и разделов реестра, которые вирус защищает от удаления с помощью атрибутов скрытый/системный и списков контроля доступа. Не захотел удалятся раздел/файл ? Отказано в доступе ? - Ну и пёс с ним, давайте лучше поговорим о хорошей погоде. Так, должно быть, думают те, на кого мы уповаем. Вместо того, чтоб через стандартные функции Windows снять лишние и установить нужные атрибуты, и потом спокойно стереть негодный объект с лица земли.

По-прежнему для действенного устранения вирусов требуется ручной человеческий труд и творческое сочетание нескольких разных инструментов.
О некоторых из которых я бы хотел узнать намного раньше, чем у меня в итоге получилось :>


Başa Dön Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 2 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB