Vundo

Zilele trecute m-am izbit violent de o problema majora ... adusa in atentia mea de catre Bitdefender Internet Security v10, pe numele ei Vundo, varianta .ZAA (parca), cunoscut si sub numele Trats (de catre alti antivirusi).


si acum intrbarile:


Cand si cum a intrat ? Avand activata scanarea traficului http in shield, update automat la 3 ore, si shield-ul pe agresivitate maxima (metoda euristica, toate fisierele, inclusiv in arhive), ma asteptam sa bata politicos la usa, iar mie sa mi se ofere, de catre antivirus, posibilitatea de a-i tranti usa in nas.


De ce a fost detectat doar dupa 3-4 zile de cand mi-a intrat musafirul nepoftit?, cand deja era instalat ca la el acasa ? De ce la fiecare detectare antivirusul ma asigura ca virusul a fost blocat/inoculat, iar calculatorul nu a fost infectat ? De ce este detectat doar un fisier/proces infectat din cele patru? Si lista cu "De ce?" ar putea continua, dar ar fi de prisos.


Si acum intrebarea fatidica, pe care mi-am repetat-o in mod obsesiv in ultimele 5-6 zile, alaturandu-i diverse injurii ... CUM... ? Cum se dezinfecteaza nenorocirea asta de virus, cu totul, adica toate fisierele si procesele infectate, inclusiv intrarile din registrii ?


Precizez ca am incercat majoritatea antivirusilor cunoscuti, si 80% din removal tool-urile gasite pe internet, fara nici o umbra de succes. Sa se fi gasit rezolvarea in celelalte 20% de posibilitati pe care nu mi-au mai permis rabdarea, timpul si nervii sa le incerc ?


In speranta unui raspuns prompt, si a gasirii unei solutii viabile, va multumesc anticipat.


Cu stima si respect,


Calin Burza.

Comentarii

  • SorinK
    editat decembrie 2007

    Sal.


    Incearca si SUPERAntiSpyware.


    Il gasesti daca cauti cu google si este freeware.


    Definitia a aparut probabil mai tarziu la Bitdefender, dupa ce ai fost deja infectat cu el.


    Probabil nu recunoaste toate procesele deoarece este o versiune mai noua si prin metoda euristica nu considera acele procese ca fiind periculoase, si nu sunt trecute nici in definitie ca daca exista sa fie inchise si sterse fisierele care s-au incarcat in memorie.


    Ar fi frumos din partea ta daca ai intra in safe mode si ai baga intr-o arhiva parolata (parola: infected) acele fisiere care consideri ca sunt ale lui Vundo inainte de indepartarea lui, ca sa poata fi introdusa inca o definitie pentru aceasta versiune, apoi o uploadezi aici pe forum.


    Succes.

  • Been there, done that. SUPERAntiSpyware, la fel ca BitDefender-ul, gaseste, sterge, dar dupa restart ... ce sa vezi ? Virusul nu e cat e putin deranjat ...


    Cam tarziu sa postez fisierele infectate, ca pana sa citesc raspunsul, am formatat si reinstalat windows-ul. mai aveam posibilitate sa il inlatur "manual", dar la capitolul rabdare stau cam prost in aceasta perioada.


    oricum ... nu mi se pare normal sa fiu nevoit sa apelez la niciuna din rezolvarile momentan posibile (formatare-reinstalare sau remediere "manuala"). in momentul si cazul de fata mi se pare total inutila cheltuiala facuta pe un program antivirus. pentru mine a fost singura ocazie in decursul ultimului an cand un program antivirus isi putea arata eficacitatea ... si am ramas profund dezamagit ... nu ma refer la bitdefender, ci in general la programele antivirus.


    in concluzie, ceea ce ma mai intereseaza este modul de propagare a acestei variante de vundo, nefiind identica cu a celorlalte versiuni (spam mail -> site cu exploit de iframe pe IE-> infectie). spre deosebire de celelalte variante, nu afisaza po-up-uri, consuma resurse pana face freeze la os. in plus fata de celelalte infecteaza winlogon, si isi creeaza un dll cu nume fix, in %Windir%\system32.


    sorinK, multumesc pentru raspunsul prompt.


    Cu stima,


    Calin Burza

  • Sal.


    Poate ai avut un malware downloader pe undeva.


    Il scotea pe vundo insa programelul respectiv il lua din nou de pe net.


    Poate ai fi gasit ceva suspect daca te-ai fi uitat inainte sa formatezi in lista programelor care au acces la net.


    O seara buna.

  • defapt sistemul se reinfecteaza altfel ... virusul are undeva un corp, unul sau mai multe fisiere exe, si chei in registrii care ruleaza respectivele fisiere exe la boot cu return. acesta e modul de reinfectare, dupa pseudo-desinfectarile facute de toate programele antivirus. de asemenea presupun ca injecteaza winlogon, astfel incat la fiecare rulare de winlogon la boot, reinfecteaza sistemul. majoritatea antivirusilor au detectat doar dll-ul din %Windir%\system32, Vexira a detectat si un proces in curs de rulare infectat, dar nu preciza care.


    ma intereseaza modul de propagare, adica modul in care se transmite de la un sistem la altul, macar sa stiu sa ma feresc pe viitor.


    Cu stima,


    Calin Burza

  • Acum vreo doua saptamani a fost un atac masiv al unei noi variante de Vundo. Nu stiu daca ai observat, dar este un topic pe aceeasi tema pe aria in Engleza, cu peste 6.000 de accesari in 10 zile (de cand a fost creat topic-ul).


    http://forum.bitdefender.com/index.php?sho...c=3561&st=0


    Poate gasesti acolo solutii. (ce mai frecventa solutie este VundoFix, insa nu tuturor le-a mers) :)


    Cris.