Virus De Retea

Boggy
editat februarie 2009 în Discu355ii malware

Salut. De curand am primit un virus pe retea ... cred. Cum functioneaza? Aprind un calculator "curat" conectat la internet. Aproape instant imi apare in Task Manager executabilul c0nime.exe ... acesta porneste la randul lui alte aplicatii cu nume ciudate si in scurt timp windowsul imi spune ca fisierele sale au fost schimbate si cere cd-ul pentru instalare.


In absolut toata reteaua (de 100 calculatoare) este un trafic infernal de cand avem virusul. Din ce am observat isi cloneaza adresele mac ale placilor de retea si face flood intre calculatoare.


Absolut orice browser (IE, Opera, Steam) care incearca sa se conecteze la internet primeste redirect catre ~ link sters ~.


Ce este de facut? Am intrerupt toata reteaua, am curatat calculatoarele si in clipa in care am pornit reteaua si s-a conectat la internet virusul apare din nou.


Pe server-ul de linux, calculatoarele din retea raspund la ping cu terminatia (DUP!) si cu mii de milisecunde.


Alte efecte nu imi amintesc pe moment, in afara de faptul ca pc-urile merg foarte greu in orice aplicatie.

Comentarii

  • AndreiASM
    editat decembrie 2007

    Virusul este deja detectat (detecte generica). Ca un sfat de acum incolo, arhiveaza fisierele infectate, dar pune si parola "infected". Un analist va analiza virusul in detaliu si iti va spune ce e de facut. De asemenea, nu posta linkuri directe spre siteuri de acest gen, deoarece userii curiosi s-ar putea infecta. E de ajuns sa scri linkul intr-un fisier text pe care sa-l atasezi intr-un nou post.


    Bafta!

    /applications/core/interface/file/attachment.php?id=1120" data-fileid="1120" rel="">link.txt

  • afp
    afp
    editat februarie 2009

    Buna ziua,


    Am sau am avut si eu acest virus. Am scanat cu BitDefender si nu mi-a gasit nimic. Cind deschideam browserul si incercam sa ma conectez la un site, imi dadea un mesaj ca se incearca instalarea unui ActiveX de la Microsoft, daca dadeam "view source" pe pagina imi arata un iframe cu incercare de conectare la "xxx.xx"


    Am blocat conectarea la acest site (in drivers\etc\host) precum si prin adaugare la "restricted sites", dar banuiesc ca virusul este inca activ. Precizez ca lucrez in IT, calculatorul este la zi cu update-uri, mentenanta regulata, etc. Banuiesc ca virusul s-a propagat prin retea, ca Sasser-ul.


    Intrucit o reinstalare de sistem de operare nu este o solutie pentru mine acum, va rog sa-mi spuneti daca este vreo posibilitate pentru a verifica manual existenta acestui virus, sau de indepartare a lui (stergere a unor fisiere etc). Sau orice alte detalii care ma pot ajuta.


    Va multumesc

  • afp
    afp
    editat decembrie 2007

    Alooo......e cineva pe forumul asta? :unsure:

  • ColdAsIce
    editat februarie 2009
    Alooo......e cineva pe forumul asta? :unsure:


    Nu cred.


    Anyway am citit vreo 2 nopti pe site-uri chineze despre acest virus. Se pare ca xxx.xx momentan nu mai merge, dar virusul este inca activ chiar daca nu il vedeti in procese. Pana acuma nu am gasit nici un antivirus care MACAR sa detecteze acest virus.


    Ce am aflat despre : este un downloader , dar are mai multe directoare in care face drop la fisiere infectate ( la mine a facut in C:\Windows\System32\Drivers\ ).


    PS : Boggy incearca sa pui arhiva aici : "http://www.kaspersky.com/scanforvirus"

  • Aloo, Softwinu, haideti dom'le ca ma trezesc cu vreun format...

  • BD detecteaza chestia asta euristic, deci o detecta de cand a aparut, ca urmare daca ati fi avut virus shield-ul activ, nu v-ati fi infectat in prima faza. Mi se pare foarte improbabila teoria conform careia nici un antivirus nu o detecteaza, avand in vedere ca in testele mele mai toti antivirusii (importanti) detecteaza si sample-ul asta, si fisierele infectate de el.


    Ghinionul face ca e file-infector (fisierele infectate sunt prinse cu Win32.Worm.Cekar.A), deci trebuie scris un removal tool, chestie care va mai dura cateva zile. Si nu, propozitii care incep cu "Aloo, Softwinu" nu ne stimuleaza suplimentar.


    @Boggy: multumim pentru sample si scuze de intarzierea raspunsului, dar au fost niste zile foarte aglomerate.


    PS. Nu mai e Softwin, e chiar Bitdefender SRL acuma (divizia care se ocupa de AV s-a desprins de Softwin).

  • Multumesc de raspuns, sint la fel de confuz ca inainte.


    BitDefender nu-mi detecteaza nimic, informatiile pe internet despre Cekar.A sint aproape nule, virusul continua sa existe.


    O sa incerc si cu un alt antivirus.

  • La mine fisierul este detectat de BTS ca Win32.Worm.Anilogo.A


    Cris.

  • Boggy & ColdAsIce, aveti removal tool-ul pe PM (daca-l postez aici nu-l puteti downloada). Daca mai are nevoie cineva, sa-l ceara cu incredere.


    @Cris: A pus cineva semnatura pe el, se pare.


    @afp: Sa ai noroc cu noul antivirus!


    Daca BD-ul actualizat la zi tot nu detecteaza nimic, trimite un mail la [email protected] (in care specifici si licenta pe care o ai), si o sa se rezolve.

  • stryder
    editat februarie 2009

    vlad, imi poti trimite pls si mie removalul pe pm? Am aceeazi problema cu xxxx:(


    multumesc

  • as dori si eu removal tool-ul pe pm. multumesc anticipat.

  • as vrea si eu removal tool pentru acest virus. multumesc!

  • cosminap
    editat februarie 2009

    salut as dori si eu acest removal tool.. desi e tarziu fata de data la care ati postat voi acuma ma lovesc si eu de acest "minunat" virus..... fir-ar mama lui de xxxx... :) 10x

  • Imi cer scuze pentru intarziere (din nou), n-am mai trecut pe forum de multa vreme.


    Removal-tool-ul (pentru care ii multumim la Cd-MaN, ca el l-a scris si am uitat sa specific asta ultima data), il gasiti aici:


    http://forum.bitdefender.com/index.php?act...ost&id=1393