Блогът на Maniac

От няколко дни в Skype нахлу нова вълна от поредния vbs скрипт чрез който се разпространява вече бившия сайт www.sword.host56.com . За съжаление, аз успях да попадна на такъв случай едва днес следобед.

[18:21:50] [x].*** **§.[x]: Форума беше хакнат но бързо го въстанових моля регистрирайте се наново http://sword.host56.com

След, като влязох в сайта, имаше лого на Skype и две полета за въвеждане на потребителско име и парола. Веднага проверих и се оказа, че е качен на хостинг предлагащ се от 000webhost и веднага им сигнализирах за проблема. Аз лично очаквах, че ще предприемат някакви мерки поне на другия ден, но се оказа, че работят дори в неделя и в 21:40 получих отговор от поддръжката им, които ми съобщиха, че са затворили сайта.

Може би се чудите защо пиша затова, това е просто поредната вълна в Skype? Правя това поради две причини:
1) Авторът на това „произведение“ да разбере, че аз съм виновникът края на неговата незаконна дейност.
2) Всеки, който се е сблъскал с това да знае, че данните му вече са достъпни на втори човек, така че да променят своите пароли на skype акаунтите им. Освен това е добре да открият и отстранят този vbs скрипт, който разпространява тази информация. Ако не можете да се справите с нещо, не се колебайте да се свържете с мен.

Какво е Conficker?

Това червей, появил се за пръв път в края на миналата 2008 година, съдържащ препратки към домейн, известен с това, че е център за разпространение на шпионски сотуер (spyware) и фалшиви антивирусни програми (fake antivirus program). Той използва уязвимост в Windows, което допринася за неговото бързо развитие. Червеят е програмиран, така че да бъде контролиран от разстояние, веднъж инфектиран компютър с този червей, той става част от огромна бот мрежа – мрежа от компютри използвани за изпращане на спам и/или други форми на зловреден софтуер (malware). Според експертите по компютърна сигурност, един от последните варианти Win32/Conficker.X (Наречен още от някои антивирусни компании, като Conficker.C, Conficker.D, Downadup или Kido) е още по-опасен от неговите предшественици. За съжаление се очаква бъдещите варианти на Conficker да бъдат все по-опасни.

Какви са възможностите на Win32/Conficker.X?

* Променя DNS, блокирайки всички инструменти за сигурност включени в Windows.
* Блокира или прекратява работата на всички програми за сигурност.
* Притежава способността с мрежа peer-to-peer (P2P).
* На първи април 2009 г., започва да проверява за инструкции от над петдесет хиляди домейна на ден.

Как да се защитя?

За тази цел са нужни три неща:
1) Да изтеглите и инсталирате следните обновления: MS08-067, MS08-068 и MS09-001
2) Да изтеглите и инсталирате: ESET NOD32 Antivirus или ESET Smart Security.
3) Да промените паролата/ите на администраторския акаунт/и (Препоръчително е да използвате комбинация от букви и цифри).

Какво да правя, ако вече съм заразен?

Ако вече сте инфектиран с Win32/Conficker, то лесно можете да го премахнете използвайки безплатния инструмент от ESET направен за тази цел. Следвайте тези инструкции:

1) Изтеглете ESET Conficker Remover (на компютър, който не е инфектиран), който ще успее успешно да премахне червея.
2) Използвайте компютър, който не е инфектиран, за да изтеглите следните обновления: MS08-067, MS08-068 и MS09-001.
3) Изтеглете (на компютър, който не е инфектиран) някой от следните продукти: ESET NOD32 Antivirus или ESET Smart Security.
4) Инсталирайте всичко изтеглено до тук на инфектирания компютър.
5) Променете паролата/ите на администраторския акаунт/и (Препоръчително е да използвате комбинация от букви и цифри).

Ако, след изпълнението на всички инструкции до тук все още имате проблем, не се притеснявайте да пишете в Официалния форум на ESET за България. За да Ви помогнем е нужно да следвате инструкциите в тази тема.

Напоследък в Skype се появи вълна от нова заплаха. Разпространява се чрез файловете:
YOUR-DAD-NAKED-hahahaha.pif
YOUR-MOM-NAKED-hahahaha.pif

както и други членове на рода, които потребителя, който Ви ги праща твърди, че са голи. Както сами ще се сетите това е лъжа! Потребителят, който Ви ги изпраща е инфектиран с този червей и той червеят се разпространява до всички потребители в списъка без знанието на инфектирания потребител. Освен, че червеят се разпраща, той изтегля и друг зловреден софтуер, отново без вашето съгласие. В случай, че някой Ви го изпраща, не приемайте изтеглянето, а препоръчайте на изпращателя да си обнови антивирусната програма и да сканира своя компютър.

Наскоро успях да се добера до този вирус и го изпратих до ESET, а те го добавиха в обновление 3756 (20090110) с името Win32/Agent.NFB worm. От тук на татък, потребителите използващи ESET NOD32 Antivirus и ESET Smart Security са защитени от този червей.

В събота попаднах на един много интересен случай. В събота бях да поправя компютъра на едно момиче. Проблемът при нея беше такъв, че при стартиране на Windows, всичко е OK, но тя има две антивирусни (CA Antivirus и Avast! Antivirus) и стартира и се CS – OK, но стартира ли и се и Avast! – край, забива и нищо не може да се направи повече. Влязох в Safe Mode деинсталирах CA и нещата потръгнаха, но имаше симптоми за вируси/заплахи. Деинсталирах и Avast! Antivirus, която нищо не засичаше и сложих NOD32 v4 Beta 1, която се справи с всичко. Прегледах с помощта на ESET SysInspector положението и нещо странно имаше в SoundMan.exe. Качих си го на флашката и си го отнесох вкъщи. Междувременно проверих и никоя антивирусна нищо нередно се засече, но това не е гаранция разбира се. Изпратих го на ESET Lab и преди малко в обновление 3654, той беше добавен. Оказа се, че предчувствието ми този път не ме е подвело:

1.12.2008 г. 18:20 ч. Real-time file system protection file C:\USERS\MANIAC\DOCUMENTS\SOUNDMAN.EXE Win32/Agent.ONK trojan cleaned by deleting – quarantined NT AUTHORITY\SYSTEM Event occurred during an attempt to run the file by the application: C:\Windows\System32\svchost.exe.

Изводите са:
1. Да вярвам повече на предчувствието си
2. Да не се инсталират, две или повече антивирусни програми на един компютър.
3. Както винаги, само един може да бъде №1 – ESET NOD32 Antivirus
4. Да бъда, а също и всички други много внимателни.
5. ESET SysInspector е №1

Вчера, реших да се по разтърся тук-там и успях да се сдобия с доста съмнителни файлове, а също и днес. Изпратих ги за анализ и резултата не закъсня:
Win32/Adware.Rabio – http://www.eset.eu/podpora/aktualizacia-3460?lng=en
Win32/HackAV.BS (8) – http://www.eset.eu/podpora/aktualizacia-3476?lng=en
Win32/BHO.NHT – http://www.eset.eu/podpora/aktualizacia-3498?lng=en
Win32/Adware.AntiVirusLab2009 (2) – http://www.eset.eu/podpora/aktualizacia-3498?lng=en
Win32/TrojanDownloader.Delf.OHZ (5) – http://www.eset.eu/podpora/aktualizacia-3498?lng=en
Win32/TrojanDownloader.Zlob.CPU (2) – http://www.eset.eu/podpora/aktualizacia-3501?lng=en
Win32/TrojanDownloader.FakeAlert.LH (2) – http://www.eset.eu/podpora/aktualizacia-3501?lng=en