Alert!

**Mugi** · 27-01-05, 08:28

Mozda nije nista strasno, a mozda i jeste.

Useri mi dobijaju mail-ove tipa 3D[email protected], prvi takav mail su dobili od telekoma, i on se sad siri kroz moju mrezu.

Subject: You are made active

Body: Before use read help

Attachment: siupd02.cpl

Koji to moze biti virus i kako ga unistiti? Help!!!

**NAGUAL** · 27-01-05, 09:22

*.cpl je file iz/za Control Panela. E sad koji je virus, drugo je pitanje jer ih ima kastig. Pretpostavljajuci da je neki novi recimo tipa W32.Beagle@mm!cpl, ako ti ga AV nije detektova i obrisa iz attachment-a trk na AV update da bi antivirus definicija bila refreshovana i updateovana.
Tek znacemo ako si zarazen :wink:

**Mugi** · 27-01-05, 09:33

Ima li neki removal tool za to, posto sam scenirao par radnih stanica koje su dobile/poslale taj mail i ciste su.

:?:

**NAGUAL** · 27-01-05, 10:02

Ne znamo koji je (ako je) virus u pitanju. Mene je samo extenzija sumnjiva, jer ima gomila virusa sa takvom ekstenzijom. Znaci pojacane mjere bezbjednosti:
Win update
AV update + scan
Adaware tools update + scan
Firewall
Brisanje maila ako si siguran da nije tebi namijenjen a jesi.

**Ravell** · 27-01-05, 10:16

W32/Duni.worm (razliciti AV programi ga razlicito nazivaju)

Aliasi: UNIDAD.A, W32/Duni.worm.b, I-Worm.Kitro.c, in32/Kitro.C@mm, W32/Duni-A, Win32.Kitro.B worm

Ovaj destruktivni mass-mailing worm dolazi forward-ovan kao izvrsni fajl sa .cpl ekstenzijom (Control Panel Applet). Kada se pokrene, sam sebe kopira u root hard diska ili particije koja sadrzi windows folder. Ime fajla su obicno naizmjenicne brojke sa .cpl ekstenzijom (npr. 131724.cpl ili 65956.cpl). Worm brise odredjene fajlove koje koristi AV program.

Ukoliko je Kazaa peer-to-peer software instaliran na masini, ovaj worm kreira razlitie kopije samog sebe u shared folder i definisan je registri kljucem: HKEY_CURRENT_USER\Software\Kazaa\Transfer\DlDir0.

Ovaj worm koristi dosta razlicitih imena, zasnovanih na software-u, igrama, filmovima i porno naslovima - sa .cpl ekstenzijom.

Neki od tih fajlova imaju i dvostruku ekstenziju (.mp3.cpl ili .Zip.cpl) kao sto je npr:
Crack_Delphi5and6.Zip{spaces}.cpl
{spaces} je prazan prostor cija je funkcija da obmane korisnika.

W32/Duni.worm takodje u sebi sadrzi potrebne instrukcije putem kojih sam moze da salje mailove koristeci MSN Messenger i Outlook.

Simptomi

- Prisustvo fajlova koji imaju brojke za ime fajla sa .cpl ekstenzijom.
- Prisustvo mnogobrojnih neobicnih fajlova unutar Kazaa shared folder-a.
- napomenica: pretrazi na racunaru sve fajlove *.cpl

Metoda infekcije

Buduci da se ovaj worm prvenstveno nalazi na Kazaa mrezi i to pod imenima fajlova koji zvuce primamljivo za korisnike, korisnici koji nisu zarazeni ovaj virus mogu da download-uju na svoju masinu i da ga pokrenu sa neke druge zarazene masine i tako prenesu virus na svoju masinu. Ostaje jos i varijanta putem maila.

Mnogi antivirusi bi trebali da uklone ovoga worm-a, ali ukoliko se on vraca, to moze biti znak da se nalazi u backup-u sistema, pa je potrebno:

- iskljuciti sistem restore,
- restartovati racunar,
- skenirati AV programom (za svaki slucaj),
- ukljuciti system restore.

Nadam se da ne treba da napominjem: update, update, update!

Ukoliko ti ovo zvuci kao tvoj problem, mozemo da potrazimo i automatski removal tool. A mozes pokusati i online skeniranje na ovoj adresi: http://www.pandasoftware.com/home/default.asp.

**NAGUAL** · 27-01-05, 10:22

Evo druga kafa

Daj log hijackthis-a da pretresemo, mozda ga tamo otkrijemo?

**Chegevara** · 27-01-05, 10:30

pa sta ako su ciste

dok jednom ne pokrenu to cudo slucajno pa ce biti frke

lijepo ti upakoj te posljike, vidi IP adrese (sigurno je cg.yu domen) pa proslijedi sve to na [email protected]

nadam se da ces imati srece da ti barem odgovore ili cak i reaguju povodom toga.

inace primjecujem OGROOOOOOOMNU kolicinu spama zadnjih 10ak dana

**Mugi** · 27-01-05, 10:46

Online sceniranje mi ne pomaze, to sam ti objasnio u nekim od proslih topica.

Dobro bi bilo ako bi mogao da nadjes neki removal tool, jer nije tako lako poceti skeniranje na 70 radnih stanica, svaka se update-ju po 3 puta na dan, ali ja ne mogu da startujem skeniranje sada jer ljudi rade, a skeniranje ce znatno da uspori rad, a to je mnogo mnogo lose.

Znaci, removal tool ili sam gotov

@Nagual

Daj linkove za programe koje ti koristis za skeniranje protiv spyware, adware-a itd... da poskidam to sve odjednom

**Hari Krisna** · 27-01-05, 12:39

Mugi, Che ti dobro kaze. Provjeri IP masine sa koje stizu jer tvoji useri su vjerovatno samo primaoci i kompjuteri mogu biti cisti.

**Mugi** · 27-01-05, 16:50

Useri su poceli i sami sebi da salju emailove takve, a da to ne znaju. Sve mi je to sumnjivo a niko da mi da tool removal

**NAGUAL** · 27-01-05, 19:15

Sto se tiche adaware-a

Spybot S&D
http://www.safer-networking.org/en/download/index.html
Hijackthis
http://www.spychecker.com/download/d...ijackthis.html
Adaware
http://www.lavasoftusa.com/support/download/

AV je Kaspersky

Firewall je Zone Alarm pro.

Sve ovo bi trebalo da je dovoljno, uz redovan update, da nemas nekih vecih problema sa virusima.

**Ravell** · 28-01-05, 17:33

Ako vec nisi uspio da se snadjes, pokusaj sa ovim: http://www.sophos.com/support/disinfection/worms.html#2.

Vidjeces, imas jedan fajl da skines (nesto vise od 6mb), a imas i instrukcije kako da pripremis taj fajl za sredjivanje zarazenih racunara. Inace, taj tool se koristi za uklanjanje wormova generalno.

Pokusaj, ja nisam testirao. Ne moze nista lose da se desi.

Thread: Alert!

Thread Tools

Display

Alert!

Thread Information

Users Browsing this Thread

Bookmarks

Bookmarks

Posting Permissions