Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нем неправильно. Необходимо обновить браузер или попробовать использовать другой.
Три зловредные программы поэтапно захватывает компьютеры
Три зловредные программы поэтапно захватывает компьютеры 07 июня 2005 года, 18:08 Текст: Юрий Ильин
Антивирусные эксперты выражают озабоченность появлением целого "ансамбля" зловредных программ, которые, поэтапно убивая все средства антивирусной защиты и брандмауэры, установленные на заражённом компьютере, постепенно превращают его в "зомби" для пересылки спама или организации DoS-атак.
Злоумышленники выработали целую "тройственную" стратегию заражения и захвата компьютера: указанные трояны - Glieder, Fantibag и Mitglieder - проникают на компьютер по очереди и отключают конкретные защитные программы, заодно скачивая друг друга с удалённых сайтов.
Первым идёт Glieder.AK, он же Tooso, он же Bagle.bo. По данным "Лаборатории Касперского", самостоятельно вирус-троян не размножается, он изначально был разослан по спам-рассылке. Запускается он тоже только вручную - если у пользователя хватит ума открыть и запустить вложенный файл, червь начинает активно безобразничать.
При инсталляции червь создает в системном каталоге Windows файлы с именами winshost.exe и wiwshost.exe.
Затем червь регистрирует себя в ключе автозапуска системного реестра и изменяет файл %System%driversetchosts, перекрывая доступ к длинному списку сайтов, в первую очередь, принадлежащим антивирусным компаниям. Кроме того, червь удаляет из системного реестра Windows ключи антивирусных пакетов и брандмауэров.
По данным антивирусной компании Computer Associates, червь также закрывает процессы антивирусных пакетов и межсетевых экранов и сканирует длинный список адресов, с которых пытается скачать Fantibag и Mitglieder, своих "подельников".
Fantibag блокирует доступ к сайтам, посвящённым сетевой безопасности, и хуже того, интегрирует свой dll-файл в explorer.exe, чтобы скрыть следы своего присутствия в системных процессах. Впрочем, его выдают модифицированные ключи реестра в разделе Run, - оказавшись в системном реестре, он запускается при каждом старте Windows.
Последний из троянов - Mitglieder - работает как средство пересылки почты, при этом он также блокирует некоторые программы и передаёт своим создателям некую информацию, а точнее, в свою очередь, пытается выкачать ещё один троян - Ldpinch - с трёх разных сайтов. По данным F-Secure, Ldpinch с тех сайтов уже удалён.
Антивирусные эксперты предполагают, что подобная "кооперация" между тремя программами имеет целью создание крупной сети компьютеров-"зомби".
По утверждению Саймона Терри, вице-президента по стратегии компании Computer Associates, хакеры используют сети "зомби"-компьютеров для элементарного вымогательства у коммерческих компаний (платите, иначе получите DDoS-атаку). А сами "зомби"-компьютеры - расхожий товар, торговля которым между хакерами осуществляется "на подпольном подобии аукциона Ebay".
Люди, в соседней теме про конедержателей я давала ссылку на прогу. Поверте, лучшей прогу отлавливающей трояны вы не найдете. Она ловит такие вещи , которые игнорируют практически ве антивирусы и искатели шпионов. Прога покажет все слабые места вашей системы. У менянапример нашла прогу которая прослушивала порт. И не бойтесь, троянов в ссылке нет. Будете потом меня еще благодарить
конечно заметить падение скорости интернет или солидный исходящий траффик можно быстро. я думаю стоит ожидать скорых русских модификаций. Я уже сталкивался с так называемым "зомби". Конечно вымогательство с СНГ компаний еще не актуально, т.к. у нас еще не тот уровень развития. Но "загрузить" слабенького хостера могут или передать ключ вашего киппера. А как вам кажется... повсеместное введение "так сказать" ламерского интерфейса (например тотже касперский или возьмите любую иную утилиту) перспективно? Не секрет, что современные "продвинутые" пользователи не смогут даже форматнуть винт из под Дос и сильно доверяют навороченным фаерволам с кнопочками и т.д. и поэтому теряется "компьютерное" сознание (нет понимания основных принципов...) Поэтому наверно число троянов и прочих вирусов(хотя я не считаю троянов вирусами, это spy программы) будет расти и количество "кинутых" тоже будет увеличиваться с огромной скоростью, которая наверно будет както пропорционально развитию денежного оборота и подобного в СНГинтернет. Поэтому готовимся к атаке, с каждым днем она все ближе и ближе к вашему компьютеру
kosh, По поводу рекомендованной программы. После проверки компьютера прога выдала следующее: Поиск перехватчиков API, работающих в KernelMode Внимание, таблица KiST перемещена ! (804E4F40(284)->E1D6EB58(297) Функция ZwClose (19) перехвачена (80570D29->BAC14C00), перехватчик C:WINDOWSSystem32driversklif.sys Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:WINDOWSsystem32Amhooker.dll>>> Нейросеть: файл с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши Эвристичеcкая проверка системы >>> C:WINDOWSsystem32SSubTmr6.dll ЭПС: подозрение на вирус Adware.WhenU После удаления этих 3-х файлов на карантин, обнаружилось, что перестали работать: 1. Антивирус Касперского 2. Восстановление системы (была создана контрольная точка перед удалением) 3. Поиск по Windows 4. Internet Explorer 5. Драйвера мыши (A4TECH с колёсиками) 6. Windows Media Player 7. Редактирование лотов в TurboLister 8. Я ещё не всё проверял Восстановление этих файлов из карантина и попытки переустановки программ не помгли (в случае с TL и IE). Вобщем система ещё живая, но работает уже криво. Уж не знаю кто виноват - мои кривые руки или эта, мать её, прога... Но советую всем быть очень внимательными.
Nekto, Да, я уже разобрался, спасибо. А klif.sys работает с Касперским. Но раньше то я этого не знал, а прога выдала, что драйвер мыши: "с вероятностью 99.92% похож на типовой перехватчик событий клавиатуры/мыши". Я понял одно - нельзя надеяться на "Восстановление системы". В моём случае она просто перестала работать. Надо сохранять образы дисков.