w32.downadup.b crv - kako ga se otarasiti imate ovde

View previous topic View next topic Go down

w32.downadup.b crv - kako ga se otarasiti imate ovde

Post  Admin on Sun May 31, 2009 6:52 am

evo upustva kako da ga iscistite

Crv se siri preko exploita u rpc-u (Remote procedure Call) windowsa - svi AV softveri ga oznacavaju kao low nivo zaraze jer se na zapadu podrazumeva da imate sveze update-ovan operativni sistem. Sta vise na njega su imuni svi windowsi koji imaju rpc zakrpu - bilo da je XP service pack 2,3 ili Vista, no bez zakrpe - moze se zaraziti bilo koji. Ove security zakrpe (3 ili 4) su izasle tokom jeseni i zime 2008. godine. Mogu se skinuti odavde http://www.softwarepatch.com/windows/

manifestacija:

Crv napada racunar u fazama:
1. busi OS i formira servis slucajnog imena (ali veoma uobicajenog opisa - sto se vidi iz liste servisa na windowsu), pravi exception na Firewall-u
2. Posto se implementira na sve ControlSet kljuceve u registriju, otvara slucajni port (portove) da bi se sirio dalje
3. posle izvesnog vremena gasi slucajni servis na lokalnom racunaru - sto vreme vise prolazi (mislim da ima veze sa restartovanjem) - sve je vise servisa pogaseno
4. ukoliko ubodete flesh memoriju - kreira autorun.inf od 57.4 KB i fajl slucajnog imena sa ekstenzijom .vmx ispod Recycle direktorijuma na fleshu (ukoliko na sledecem racunaru startujete taj autorun.inf - i taj racunar je zarazen)

Otklanjanje:

Pre ciscenja virusa, t.j. crva - ugasiti System Restore i ukljuciti firewall (ukoliko Vam je iskljucen) - i jednostavno za sada skinite (decekirajte) sve sumnjive izuzetke (exceptions) - na nekim racunarima sam video exceptions koji se zove kao servis virusa na tom racunaru.

servis koji formira ovaj crv se ne moze jednostavno stopirati jer pravo pristupa nad njegovim kljucem ima samo System korisnik, te mora kroz Registry:

Moze se naci u svim ControlSet kljucevima ili samo u jednom. Najlakse se vidi kada se startuje regedt32.exe koji se nalazi na Windows serverima - tada je u spisku servisa ovo jedini zasivljeni kljuc - inace iz obicnog regedit ili regedt32 sa XP-a se mora pregledati kljuc po kljuc sa cudnim imenom (aahjmxc, frggjk, dsguuh i slicno) lako ga je prepoznati ako udjete u Edit-permissions - to je jedini servis nad kojim samo korisnik System ima pravo (nema ostalih korisnika kao CreatorOwner, Administrators,...). Morate mu dati, pre svega pravo da mozete da ga obrisete. Znaci dodajte korisnika Everyone, cekirate Full Control, zatim kliknete na Advanced i oznacite Replace existing permissions on all descedent.... OK, OK i zatim jednostavno delete tog kljuca. Ovo se mora ponoviti za svaku pojavu ovog servisa, a moze se naci u kljucevima:

HKEY_local_machine\System\ControlSet001\Services\slucajno_ime
HKEY_local_machine\System\ControlSet001\Enum\Root\legacy_slucajno_ime - na ovom mestu je ono ime iz servisa ali pocinje sa legacy_

ovo isto se mora proveriti i u ControlSet002, ControlSet003 i CurrentControlSet kljucevima (ukupno na max 8 mesta - ne verujem da bilo ko ima vise od 3 ControlSet-a)

jedna olaksica - kada utvrdite koje je to slucajno ime servisa - ono je isto u svim kljucevima na tom racunaru (ovde ne spadaju kljucevi cije je ime neki dugacak broj u velikim zagradama).

Kada ovo uradite - time ste ubili servis, te je pravo vreme za update operativnog sistema (Security patchevi sa pomenute lokacije), update-ujte zatim AV softver koji god da imate i probajte da ga nadjete AV softverom :
NOD32 je ovo pogresno prepoznavao kao stariju verziju (bez .b extenzije) i iako prijavi da ga je ocistio - nije radio nista (mozda posle 3. januara konacno vidi ovo pravilno - ne znam)
Symantec update od 31.12.2008. prepoznaje ovaj virus
Kaspersky od 1. ili 2. janura vidi ovaj virus

Na zalost iasko AV softver moze da ukloni ovaj virus, t.j. crv - ukoliko ne zakrpite Windows mozete se zaraziti ponovo u roku od nekoliko sekundi.
Kada zavrsite Full skeniranje racunara - restartujte ga i proverite ponovo u registry-ju (ukoliko niste sve uradili kako treba pojavice se ponovo ili pod drugim imenom)
Napomena - spustati patcheve OS-a dok je servis virusa aktivan - nema svrhe, prema tome budite sigurni da ste ga ubili u Registry-ju - ako je racunar u mrezi - spustite patcheve sa Net-a na neki dir, iskljucite racunar sa mreze, pobite sve pojave servisa, pa tek onda patchevi i update AV softvera.


najlakse ga je otkloniti sa flesh-a - obelezite autorun.inf i Recycle direktorijum i obrisete ga sa Shift-delete (da ne ide u korpu) ili ga skenirajte AV softverom ali nikako ne startujte autorun. inf

Generalno lek protiv ovakvih sranja, t.j. crva je uvek sveze updateovan Windows i neki pravi firewall, a ne Windows-ov (u nedostatku boljeg i on moze da posluzi)

prijatno ciscenje svima koji imaju ovakvih problema:geek:

Admin
Admin
Admin

Posts : 1175
Join date : 2009-04-01
Age : 26
Location : Srbija,Bor

http://rapidbor030.forumotion.com

Back to top Go down

View previous topic View next topic Back to top

- Similar topics

 
Permissions in this forum:
You cannot reply to topics in this forum