a tentokrát si nedělám srandu, moje pracoviště se stalo na noc mým domovem, zabezpečte si PC dřív, než vás navštíví…
Warning: new virus on the net, delete keys in registery (keys with name of virus), kill service and delete virus from %system%\system32\name_virus (windowspag.exe or winsvc32.exe). Close port 2967 on your personal firewall.
Je to drsné, celé odpoledne, večer a noc jsem strávil na zkoumáním dvou virů, kteří spolu souvisí a o kterých toho na webu moc není. Jedná se o soubory WINDOWSPAG.EXE (330 kB) a WINSVC32.EXE (331 kB) a zpočátku to vypadalo na neškodný malý vir. Bohužel to tak není, využívá díry v klientech pro update Symantec Antiviru a používají porty 2967 a 139. Prvně jmenovaný dokonce i 135 a 445. Zakázat je na aktivních prvcích znamená zbořit síť (pokud používáte síť MS). Posílají se na mnoho adres najednou (řádově tisíce za sekundu). Zkoušejí se dál šířit, jako červ. Vždycky jsem chtěl něco objevit, ale že se dostanu (spolu s kolegy) k takovému viru jako jeden z prvních na světě jsem nečekal. Zatím to tak ale vypadá. Najít zmínku o nich je na netu nemožné (a pokud ji najdete, jde o odkaz na vir, který je o řád menší). V této chvíli na tom ještě stále děláme.
Díky tomu tu dnes moc dalších zpráv nenajdete. Viry jsem zkusil odeslat do antivirových společností, ale jak to celé dopadne je ve hvězdách. Virus se snažil poslat něco na univerzitu v Brooklynu (129.49.24.205:3132), Stony Brook (129.49.18.112:3132) a Athenách (147.102.20.141:3132), ale to je směrodatné jak Paroubkův slib. Vše to jsou ale školy.
Pokud tímto budete infikováni, vypněte sdílení, na personálním firewallu zakažte port 2967 a přes taskmanager zrušte proces stejného jména (winsvc32 nebo windowspag), poté zapněte editor registrů (spustit\regedit) a dejte vyhledávat WINDOWSPAG.EXE či WINSVC32.EXE. Veškeré klíče s těmito hodnotami smažte. Pak zbývá smazat jen soubor, kde je virus ukryt. Je to adresář systému WINDOWS (XP) nebo WINNT (Win2000) \SYSTEM32\jméno_viru, tím by měl být virus zažehnán. V případě použití Symantec Antiviru doporučuji nastavit jiný port pro aktualizace. Problémy ale mohou nastat na větších sítích, kde není dostatek lidí pro obíhání PC, protože antivirové firmy bez vyjímky totálně zaspaly a virus je extrémně rychlý na šíření…
Doplněno: U systémů WIN2000 nelze přes taskmanager shodit proces viru, doporučaná aplikace pro shození je pskill.exe
když chceš na bloguje napsat zpštné lomítko, napiš 2 za sebou.
thx za info, naše fabrika si na firewally moc nehraje, až to sem přijde asi nám dají dovolenou :)
je to fakt novinka, ani NOD to nezna, ale uz to identifikuje, jako new virus…
nenasadil ti ho tam benny ? ;-)
Hm, škoda že nepoužívám antivir
Mam ho tiez. AV zaspali. alebo som vynimka..?od 11.1 sa snazim ziztit o co ide, ale marne ziadna AV spoloconst zatial na to nereagovala. Rovnaky postup na vycistenie som pouzil aj ja, s tum ze po vycisteni musis updatovat Symantec Antivirus na verziu minimalne 10.1.4.4000, idelane 10.1.5.5010(3.1.5.5000). pretoze inak za par minut zo siete ho mas spat. Jeden nakazeny klient otvori 10-tki spojeni na nahodne IP. Zatial ani symantec k tomu nic nenapisal.
aby ses nenakazil staci predelat v registrech defaultni port 2967 na jiny. a to same udelat u aktualizacnich serveru. cela ta vec je prusvih hlavne pro symantech :-/, protoze mit jejich antivisur je v tomto pripade horsi jak nemit zadny
ted budu zkouset z pameti: HKLM/software/intel/LANDESK/VirusProtect6/CurrentVersion/ a hned prvni klic s hodnotou 2967