четверг, 24 июля 2008 г.

Завелся интересный вирус в компах

На одном из компов завелся интересный вирус. Он лазает по ftp зарегистрированным в фаре, и во все .html добавляет в конец яваскрипт, очевидно через дыру в каких-то браузерах заражающий их. Он очень активно и часто лазает по линуксовому (так что винт гудит и его слышно из другой комнаты), так что логи от его посещений вырастают до 200-300 метров из-за чего на рутовом разделе линукса кончается свободное место, отказывается стартовать прокси, и во время моего отъезда в другой город родные остались без инета. Сурово так пострадать от вируса..


Все файлы с именами cureit (и расширением exe) он убивает на всех носителях.


Если открыть браузер и зайти на сайт drweb – окно браузера закрывается. Кажется он перехватывает ВСЕ сетевые пакеты, так что при попытке вывести в терминале putty слово cureit (вбив в командную строку “echo cureit”) терминал зависает.


Он кривовато написан - при качании по ftp с другого компа в квартире скорость падает до 300кбайт-сек (с 8 мбайт-сек). Лечу убитием левых процессов в Task Manager – скорость мгновенно вырастает.


Представляю как это может пугать не-ИТишников – “компом владеет матрица”!..


Пришлось пустить vnc-server на линуксе, зайти в него vncviewer’ом, скачать cureit, переименовать в другое имя, и потом им уже лечить (загрузившись с виндового livecd).,


PS
: Постоянным антивирусом не пользуюсь, чтобы избежать глюков и тормозов. Разбираться лень..

Комментариев нет: