[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4668: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4670: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4671: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4672: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
ДОУНБ :: Просмотр темы - Conficker
ДОУНБ
http://forum.libr.dp.ua/

Conficker
http://forum.libr.dp.ua/viewtopic.php?f=51&t=169
Страница 1 из 1

Автор:  Wladimir Mutel [ 17 фев 2010, 23:21 ]
Заголовок сообщения:  Conficker

Говорю здесь примерно о том же, что и в
Этот вирус Conficker заставил многих забеспокоиться. Microsoft даже награду объявил для того, кто найдёт его автора.
Была создана рабочая группа по вирусу Conficker (). Видные специалисты по безопасности исследовали его.
И вот немецкие академики поделились результатами своих исследований со всеми пользователями Internet :
Как этим пользоваться :
1. Запустить на заражённой системе программу conciller.exe . Эта программа ищет код вируса, загруженный в память, и деактивирует его.
2. Там ещё есть программа regnfile_01.exe, которая якобы удаляет созданные вирусом записи в реестре и файлы в \windows\system32 . Но из-за того, что авторы слегка забывают о списках контроля доступа (ACL) на этих объектах, их удаление не срабатывает.
Вместо этого надо запустить Autoruns, после окончания сканирования найти на вкладке Services подозрительную .dllку в system32, затем запустить regedit (в более старых системах типа Win2000 - regedt32), найти ветку с подозрительным именем службы, включить в её свойствах безопасности "наследовать разрешения от содержащей объект папки" (может также понадобиться добавить "полный доступ" для группы "Все"), после чего удалить со всеми подветками. Удалять .dllку из system32 не обязательно.
3. Microsoft выпустил обновление MS08-067, оно же KB958644, якобы устраняющее уязвимость, за счёт использования которой Conficker распространяется на новые компы. Но для старых систем типа Win2000 (или, например, если в домене на заражённый комп логинится пользователь с полномочиями доменного администратора) это обновление, похоже, не действует. Если на вашей системе такое обновление установлено, но Conficker всё равно там периодически появляется, нужно распаковать nonficker.zip, скачанный с того же сайта, и запустить nonficker_setup.exe . Это установит сервис-"вакцину", которая будет сообщать входящим снаружи Confickerам, что в системе уже установлен Conficker бОльшей версии :>

Если указанные файлы не скачиваются на заражённую систему прямо из Интернета, нужно скачать их на здоровой системе и перенести на больную по сети или на диске/флэшке.
Там же есть скрипт scs2.py дистанционного обнаружения Confickerа на компьютерах локальной сети. И ещё в Интернете можно найти несколько рецептов массового дистанционного обнаружения Confickera с помощью сканера nmap 5.x и его скрипта smb-check-vulns.

Вообще, поражает меня расслабленность авторов антивирусов и более мелких лечащих средств. Симптомы вируса давно уже определены и характеризованы, а многие антивирусы не видят их в упор. Включая мой любимый MBAM. То же самое насчёт файлов и разделов реестра, которые вирус защищает от удаления с помощью атрибутов скрытый/системный и списков контроля доступа. Не захотел удалятся раздел/файл ? Отказано в доступе ? - Ну и пёс с ним, давайте лучше поговорим о хорошей погоде. Так, должно быть, думают те, на кого мы уповаем. Вместо того, чтоб через стандартные функции Windows снять лишние и установить нужные атрибуты, и потом спокойно стереть негодный объект с лица земли.

По-прежнему для действенного устранения вирусов требуется ручной человеческий труд и творческое сочетание нескольких разных инструментов.
О некоторых из которых я бы хотел узнать намного раньше, чем у меня в итоге получилось :>

Страница 1 из 1 Часовой пояс: UTC + 2 часа [ Летнее время ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/