Вирусная эпидемия в сетях.
Вирус Downadup, использующий уязвимость MS08-067 в ОС Windows, заразил уже около 9 млн ПК, причем более 5 млн было инфицировано за последние 4 дня.
Главные симптомы заражения - повышенный сетевой трафик (напомню, что этот вирус классифицируется как сетевой червь), связанный с атаками на машины в сети, а также сообщения файрволов на атакуемых машинах.
Червь отключает функцию автоматического обновления на зараженных системах.
Распространяется через сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.
Червь копирует свой файл в системную папку Windows как dll-библиотеку со случайным именем, прописывается в автозагрузку в реестр.
Создает ключ в реестре
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
(Проверьте свой реестр на наличие такого ключа!)
Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] “netsvcs” = “<оригинальное значение> %System%\Случайное_имя_вируса.dll”
Со сменными носителями происходит вот какая бяка: червь копирует свой исполняемый файл на все съемные диски со следующим именем:
X:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\Случайное_имя_вируса.vmx, где , X – буква съемного диска.
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
X:\autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы “Проводник”.
По сведениям F-Secure, еще 13 января насчитывалось всего 2,4 млн зараженных ПК, через день их было уже 3,5 млн, а по данным на 16 января вирус заразил почти 9 млн систем.
На сегодняшний день, происхождение вируса остается неизвестным, однако специалисты F-Secure предполагают, что Downadup был создан злоумышленниками из Украины. Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны. По мнению F-Secure, говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей.
Как лечится?
Можно ручками.
1. Удалить ключ системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
2.Удалить строку “%System%\какое-то_случайное_имя.dll” из значения следующего параметра ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] “netsvcs”
3.Перезагрузить компьютер
4.Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5.Удалить файл:
%System%\какое-то_случайное_имя.dll
6.Удалить следующие файлы со всех съемных носителей:
X:\autorun.inf
X:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\какое-то_случайное_имя.vmx, где X – буква съемного диска.
Можно с помощью утилит Касперского.
Качать здесь.
Радикальный метод (подходит не всем).
Пересесть на другую операционную систему.