Вирусни неволи
August 11th, 2008 от singu
Наложи ми се да прекарам няколко дни в борба с последното ( Август 2008 ) вирусно изчадие наречено Murlo.nn съгласно означенията на Касперски (Trojan.DownLoader.1039 при Doctor Web, Trojan.Downloader.Agent-7 при ClamAV, Suspect File при Panda ). Гадта e последната издънка от около 300 разновидности и представлява троянски кон, който сваля и стартира над 40 допълнителни зловредни програми от Интернет. Точният адрес, откъдето сваля е root.51113.com / 60.191.223.76.
Другата мизерия, която прави е, че наблъсква в %windir%\system32\drivers\etc\host огромно количество хостове и ги пренасочва към 127.0.0.1. По-голямата част от хостовете са използвани за обновяване на антивирусни програми, като по този начин ефективно спира новите версии на дефинициите.
За съжаление основният процес се закача на svchost и засега поне няма начин да се изчисти, освен преинсталация на машината. Временно решение е да се изчистят периферните програми чрез boot-сканиране и се спре достъпа до адреса, от който се свалят, например с командата ( в Windows ):
route add -p 60.191.223.76 mask 255.255.255.255 192.168.1.145
Последният адрес от рутинга всъщност е несъществуваща машина – най-общо казано пращаме пакетите в трета глуха. НЕ разчитайте, че ще заковете името на хоста към 127.0.0.1 в hosts файла, защото вируса си го търси по адрес. Освен това не забравяйте да изчистите и самия hosts файл от цялата гмеж набутана там. Добрата новина е, че всъщност сваляните програми са доста стари и читавита антивируси ги хващат, преди да са се активирали. Надяваме се, че до няколко дни антивирусните програми ще вземат и да се сдобият със сигнатура за изчистването му.
Подобни статии:
