אם ברצונכם להתריע בפני סכנה חדשה, בבקשה הוסיפו את ההתרעה שלכם כתגובה לאשכול זה.

בתוספת מידע רלוונטי, ממקור מוסמך.

במיקרה ויש כבר פיתרון / תיקון, ציינו זאת וקנחו בלינק.

תודה

מזהירה משתמשים מפני תולעת בתוכנה

התולעת, W32/Ramex.A., מנצלת לרעה את ממשק ה-API של Skype. אם היא מותקנת במחשב, היא מדביקה אותו בווירוס וגורמת לתוכנה לשלוח הודעות למשתמשים אחרים ynet
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.ynet.co.il/images/SendArtResponse/mail.gif]
פורסם: 11.09.07, 09:49

משתמשי Skype חשופים לפגיעה של תולעת חדשה המתפשטת ברשת ה-P2P של החברה. מקור הסכנה היא מסר מיידי מאדם ברשימת אנשי הקשר בתוכנה או משתמש בלתי ידוע, כך מסרה Skype באתר הרשמי.

הודעה זו מופצת בנוסחים שונים וכוללת קישור הנראה כמו קובץ תמונה מסוג Jpeg. למעשה, מדובר בקובץ זדוני מסוג .scr (שומר מסך). כאשר הנמען מקליק על הקישור, מוצגת בפניו תיבת הדו-שיח של Windows, המאפשרת לו לשמור את הקובץ או לפתוח אותו.

התולעת, המכונה W32/Ramex.A., W32/Skipi או W32.Pykspa.D, על פי חברות אבטחה שונות, מנצלת לרעה את ממשק ה-API של Skype. אם היא מותקנת

במחשב, היא מדביקה אותו בווירוס וגורמת לתוכנה לשלוח הודעות למשתמשים אחרים ב-Skype, אשר עלולים להדביק את המחשבים של חבריהם.

Skype קוראת למשתמשים להימנע מהקלקה על קישורים לא מוכרים בהודעות. חברות האנטי וירוס הגדולות עדכנו את מאגרי הווירוסים שלהן והתוכנות שלהן מזהות כעת את התולעת החדשה ומוחקות אותה מהמחשב אם תזוהה בו. לאחרונה סבלה החברה מתקלה חסרת תקדים שהשביתה את רשת הטלפוניה האינטרנטית למשך 48 שעות.


******************************
מקור http://www.ynet.co.il/articles/0,7340,L-3448392,00.html

dropbox

יש וירוס במסנגר ששולח לכם קבצים או לינקים ממחשבים שנדבקו ,ומדביק אותכם גם (אומנם זה לא חדש אבל עדיין פעיל).
יש 5 סוגים נכון לעכשיו שאני מכיר:
IM-Names או cute.pif או PIC1234(1)(1)(1)(1)(1)(1).exe או W32.Aplore@mm או Choke.exe
בקיצור סרבו לקבל קבצים או ללחוץ על לינקים שאתם לא בטוחים שזה לא וירוס ששולח במקום האש קשר.

אם נדבקתם> הסרה של וירוס מסנגר :

אם נדבקת ב cute.pif
לחץ Ctrl+Alt+Delete וחפש את hotkeysvc ,אם הוא קיים לחץ לחיצה ימנית עליו ו End Task.
התחל,חיפוש,חפש את hotkeysvc.exe ומחק אותו,רוקן סל מיחזור.
התחל>הפעלה>הקלד msconfig>אנטר.
בחלון שנפתח ,תעבור לטאב שרשום Startup.
חפש את hotkeysvc.exe,אם הוא קיים הסר את תיבת הסימון ,אשר,ואתחל את המחשב.

אם נדבקת ב IM-Names
סגור מסנגר,
התחל>הפעלה>הקלד msconfig>אנטר.
בחלון שנפתח ,תעבור לטאב שרשום Startup.
חפש את IM-Names,אם הוא קיים הסר את תיבת הסימון ,אשר,וסרב לבקשה לאתחל.
לחץ Ctrl+Alt+Delete וחפש את IM-Names ,אם הוא קיים לחץ לחיצה ימנית עליו ו End Task.
התחל,חיפוש,חפש את IM-Names ומחק אותו,רוקן סל מיחזור.
אתחל מחשב.

אם נדבקת ב PIC1234(1)(1)(1)(1)(1)(1)(1)(1).exe
סגור מסנגר,
התחל>הפעלה>הקלד msconfig>אנטר.
בחלון שנפתח ,תעבור לטאב שרשום Startup.
חפש את MSN Messenger ,אם הוא קיים הסר את תיבת הסימון ,אשר,וסרב לבקשה לאתחל.
לחץ Ctrl+Alt+Delete וחפש את MsgSpread ,אם הוא קיים לחץ לחיצה ימנית עליו ו End Task.
גש ל My Documents,וכנס ל Messenger Service Received Files.
אם Messenger Service Received Files לא נמצא פה ,חפש אותו ב Program Files.
מחק את הקובץ PIC1234(1)(1)(1)(1)(1)(1)(1)(1).exe ורוקן את סל המיחזור.
אתחל מחשב.

אם נדבקת ב Choke.exe aka I-Worm.Choke
לחץ Ctrl+Alt+Delete וחפש את Choke.exe ,אם הוא קיים לחץ לחיצה ימנית עליו ו End Task.
סגור מסנגר.
התחל>הפעלה>הקלד msconfig>אנטר.
בחלון שנפתח ,תעבור לטאב שרשום Startup.
חפש את Choke.exe ,אם הוא קיים הסר את תיבת הסימון ,אשר,וסרב לבקשה לאתחל.
התחל,חיפוש,חפש את Choke.exe ומחק אותו,רוקן סל מיחזור.
אתחל מחשב.

אם נדבקת ב W32.Aplore@mm ,שנדבקים בו על ידי לחיצה על לינקים ששולחים לכם ממחשב שנדבק.
התחל>הפעלה>הקלד msconfig>אנטר.
בחלון שנפתח ,תעבור לטאב שרשום Startup.
חפש את Explorer ,אם הוא קיים הסר את תיבת הסימון ,אשר,אתחל.

תוכנית זדונית לא גדולה, מיועדת למאבק נגד אנטי-וירוסים, firewall ותוכנות דמוי-אנטיווירוס אחרות.

גודל קובץ המופעל הינו בסביבות kb5.

בתנאי שמריצים אותה, תוכנה מפעילה באופן חסוי פעולות הבאות :

• יצירת driver(מנהל התקן) ב-C:\WINDOWS\system32\unpr.sys
• בגודל של kb 2.5.( קובץ הנייל נשמר בגוף סוס -הטרויני.)
• רושם את הדרייבר –(driver) דרך ה API סטנדרטי תחת השם UNPR, לאחר מכן טרוין מסיים את עבודתו.

טרויין לא מאלה את דרייבר שהוא התקין , לכן הדרייבר המזיק יעלה רק לאחר הפלת מחשב מחדש. דרייבר unpr.sys עוכב כל הזמן לאחר תוכנות העולות במערכת ללא יירוט של פונקציות, אלא בעזרת מנגנון הידוע (LoadImageNotifyRoutine). כשדרייבר מקבל הודעת התראה על הפעלת תהליך, הוא משווה את שם של קובץ ( היישום) עם בסיס הנתונים הפנימי , הנמצאת בתוך הדרייבר( בדרייבר ישנם 2 בסיסי נתונים – בסיס נתונים של שמות קבצי EXE ובסיס נתונים של דרייברים של תוכנות ה"אנטי" ) במקרא של התאמה ,דרייבר פותח פוחח את התהליך ומפסיק את הפעילות שלו .

טרוין חוסם את עבודתם של תהליכים בעלי שמות הבאים :

avp.exe avpm.exe avz.exe bdmcon.exe bdss.exe ccapp.exe ccevtmgr.exe cclaw.exe ccpxysvc.exe fsav32.exe fsbl.exe fsm32.exe gcasserv.exe iao.exe icmon.exe inetupd.exe issvc.exe kav.exe kavss.exe kavsvc.exe klswd.exe livesrv.exe mcshield.exe msssrv.exe nod32krn.exe nod32ra.exe pavfnsvr.exe rtvscan.exe savscan.exe zclient.exe



על מנת לנקות את המערכת צריך לשנות את השם של תוכנה אוניברסלית AVZ (כמובן צריך להוריד אותה קודם ולהוציא את התכולה לתיקיה מסוימת) למשהו כמו

123.exe

ולהריץ סקריפט ניקוי :

קוד:

begin
DeleteService('UNPR', true);
RebootWindows(true);
end

.
כל הזכויות שמורות ל- http://virusinfo.info
-ניתוח טרוין Zaycev Oleg
תרגום ועריכה- drongo

מחפש עזרה מקצועית בזיהוי וניקוי מווירוסים, תוכנות ריגול, rootkits ,ואחרים? אנו נוכל לעזור לך . תקרא

ניתוח מפורט

אז אם אתם מוציאם אצלכם basesrv32.dll

אתם בבעיה קשה. מצד אחד אסור לכם למחוק אותו ( אם תמחקו – הוינדאוס שלכם לא תעלה – 100 אחוז )
מצד שני צריך למחוק אותו - כי הוא גונב סיסמאות שלכם ...

חברות האנטיוירוס (הטובות מבינהן יודעות על כך מאמצע דצמבר 2007 ) אולם עדיין לא מצאו תרופה- כי הניקוי הוא די מסובך. טוב שלא הוסיפו מחיקה רגילה- אחרת המערכת לא הייתה עולה בכלל.

למרות הכול נמצאה התרופה בעזרת סקריפט ב-

AVZ.

נא לפנות לכללים:http://virusinfo.info/showthread.php?t=9184 , בנושא החדש אשר תפתחו בפורום בבקשה להדגיש


–Need special script for

basesrv32.dll

מחפש עזרה מקצועית בזיהוי וניקוי מווירוסים, תוכנות ריגול, rootkits ,ואחרים? אנו נוכל לעזור לך . תקרא

מומחי אבטחה מזהירים: וירוס חדש גונב סיסמאות כניסה לחשבונות בנק


[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.themarker.com/ibo/images/it/it_rashit/bomb.gif]

ברגע ש- Mebroot מוחבא ומותקן הוא מוריד מהאינטרנט תוכנות זדוניות נוספות | צלם: TheMarker


הוירוס, שזכה לכינוי Mebroot, משתמש בפרצת אבטחה ב-Internet Explorer ויודע להחביא עצמו בתוך מערכת ההפעלה ולהתחמק מהאנטי וירוס

13.01.08 | 10:44 סוכנויות הידיעות
Security

מומחי אבטחה מזהירים מפני וירוס Rootkit חדש אשר גונב סיסמאות כניסה ופרטים מזהים מאתרי חשבונות בנק. בחודש שעבר נפגעו מהוירוס כ-5,000 בעלי חשבונות בנק, מרביתם באירופה, כך לפי רשת BBC. הוירוס משתמש בפרצת אבטחה בדפדפן Internet Explorer, ומומחים בענף המחשוב אמרו ל-BBC כי הוירוס הינו מסוכן במיוחד מכיוון שהוא יודע להחביא עצמו היטב בתוך מערכת ההפעלה, כך שתוכנות אנטי וירוס לא ידעו למצוא אותו.

ברגע שהוירוס, אשר זכה לכינוי Mebroot, מוחבא ומותקן, הוא מוריד מהאינטרנט תוכנות זדוניות נוספות, ביניהן תוכנות שמטרתן לגנוב פרטים מזהים כדי לחדור לחשבונות בנק.

מחשבים אשר בהם מותקנת תוכנת Windows XP, , Windows Vista, Windows Server 2003 ו-Windows 2000, ולא התקינו את התוספות ועדכוני האבטחה העדכניים ביותר, עלולים להיות חשופים לוירוס.

עם זאת, חברת האבטחה העצמאית GMER, פיתחה תוכנה המסוגלת לאתר ולמחוק את Mebroot.

http://it.themarker.com/tmit/article/2474

dropbox