?

Log in

No account? Create an account
 
 
20 Март 2010 @ 22:39
Про winupd01.exe  
Подцепила я эту гадость 17 марта, когда вернулась из ЦНИИмаша. Сначала думала, что она прилепилась ко мне с порносайта, который открывается в качестве рекламы на Металарее, но потом поняла, что, скорее всего, эта гадость лезет ко мне из локалки.
Вирус сначала создает в папке Windows/system32 файл с именем две-цифры.scr, который просит доступ в сеть. Мой файервол его блокирует, и тогда в той же папке создается файл winupd01.exe. Параллельно после создания этого файла создаются соответствующие записи в реестре - в том числе языковой панели (ctfmon.exe) в качестве дебаггера ставится этот самый winupd01.exe. Также добавляется много гадостей в файл hosts, из-за чего становится невозможно зайти на некоторые сайты антималварной направленности (но, например, на сайт Касперского зайти можно). Если перезагрузить маздай, не удаляя вирус, то при следующем запуске вирь удалит из автозагрузки файервол, а также отключит отображение скрытых и системных файлов.
Я попробовала отослать winupd01.exe на Virustotal, но из 40 представленных там антивирусов его обнаружил только антивирь от Symantec.
Лечила я эту дрянь так: из-под Линукса удаляла winupd01.exe, потом перезагружалась в маздай и чистила реестр (надо обязательно удалить вирусный дебаггер у ctfmon.exe, иначе его не запустить - будет ругаться, что, мол, такого файла нет). Затем надо с помощью политик безопасности (secpol.msc) запретила выполнение всех .scr и winupd01.exe из папки system32; также потом надо снова включила отображение скрытых и системных файлов (если через графический интерфейс не получится включить отображение всех скрытых и системных файлов, то делаем так: Start -> Run -> regsvr32 /i shell32.dll), а также снова поставила файервол в автозагрузку. Однако, похоже, все политики безопасности пишутся не для администратора, поэтому вирус все равно проник ко мне. Удаляла его я уже описанным выше способом (исключая пункт с политиками безопасности).
Короче говоря, надо совсем переходить на Линукс.

P.S. Еще надо сказать, что когда я отправила winupd01.exe на Virustotal, его смог определить только один антивирус из 40 (!) - Symantec'овский; он определил эту дрянь как Win32.Pilleuz.

P.P.S. Уже читала кое-что в инете и видела, что на одном сайте кто-то ляпнул, будто winupd01.exe - это нормальный виндовый файл, ответственный за доставку обновлений. Ничего подобного. Включаем мозг (или элементарную логику) и понимаем, что у составной части винды такого имени просто не может быть.

P.P.P.S. Думаю, эта дрянь ко мне лезла из локалки. С 21 марта вирь перестал ко мне лезть.
 
 
Настроение: sleepysleepy
Музыка: Фоновый шум в наушниках
 
 
 
(Анонимно) on Апрель, 10, 2010 07:35 (UTC)
Вирь
Спасибо за совет с политикой, а то грузится не с чего было ни ХРе ни Линукса... а так можно без них обойтись запретив на исполнение и перезагрузить компьютер... эх жаль я сам не догадался =(, кстати самый дельный совет за час гуглежа инета =)
no4noi_dozdno4noi_dozd on Июнь, 4, 2010 10:19 (UTC)
Локальная сеть- зло) Но зло неизбежное..