none
Win32.HLLW.Shadow.based (по классификации DrWeb) Кто как борется? RRS feed

  • Общие обсуждения

  • На данный момент решение проблемы - установка всех последних патчей безопасности.

    Выдергивание патчкорда, анализ всей сетевой активности и настройка файрволла. Антивирусного лечения как я понимаю нету...

    У кого какие мнения?

    29 января 2009 г. 19:45

Все ответы

  • А как его устанавливать? ;) В смысле через что происходит заражение?
    AKA Xaegr, MCSE: Security, Messaging; MCITP: Server\Enterprise Administrator; Блог: http://xaegr.wordpress.com
    30 января 2009 г. 5:29
    Модератор
  • Щас отредактирую сообщение. Просто в начале как я понял вирь назвали так. Сейчас он известен под названием

    Win32.hllw.shadow.based

    разных версий.

    На ДрВебе пишут:

    Способы распространения

    Сетевой червь Win32.HLLW.Shadow.based, некоторые образцы которого также могут определяться антивирусом Dr.Web как Win32.HLLW.Autorunner.5555, использует для своего распространения сразу несколько способов. Прежде всего — съёмные носители и сетевые диски посредством встроенного в Windows механизма автозапуска. В этом случае имя вредоносного файла является случайным и содержится в папке вида RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. Такую же структуру папок использует Корзина Windows для хранения удалённых файлов, что позволяет вирусу оставаться незаметным для пользователя.

    Кроме того, червь может распространяться по сети с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. При положительном результате поиска червь копирует себя в системную папку компьютера-жертвы и создаёт задание на запуск через определённый промежуток времени.

    Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

    30 января 2009 г. 5:36