13 ответов в этой теме

[Guest346]

В расшаренных на запись каталогах на машинах сети постоянно появляется siggen.43
Пытался понять откуда оно туда пишется - пока бесполезно, никакой активности в журналах не наблюдается, компы (не все) проверялись и в безопасном режиме и с еррд - всё вроде чисто.
Расскажите что это за гадость такая, где селится, каков жизненный цикл, в описаниях я её не нашёл. Спасибо!

[v.martyanov]

В расшаренных на запись каталогах на машинах сети постоянно появляется siggen.43
Пытался понять откуда оно туда пишется - пока бесполезно, никакой активности в журналах не наблюдается, компы (не все) проверялись и в безопасном режиме и с еррд - всё вроде чисто.
Расскажите что это за гадость такая, где селится, каков жизненный цикл, в описаниях я её не нашёл. Спасибо!

По сети лезет. Закрывайте шары.

[Guest346]

В расшаренных на запись каталогах на машинах сети постоянно появляется siggen.43
Пытался понять откуда оно туда пишется - пока бесполезно, никакой активности в журналах не наблюдается, компы (не все) проверялись и в безопасном режиме и с еррд - всё вроде чисто.
Расскажите что это за гадость такая, где селится, каков жизненный цикл, в описаниях я её не нашёл. Спасибо!

По сети лезет. Закрывайте шары.

Шары на запись нужны обязательно. Лечить нужно.

[v.martyanov]

В расшаренных на запись каталогах на машинах сети постоянно появляется siggen.43
Пытался понять откуда оно туда пишется - пока бесполезно, никакой активности в журналах не наблюдается, компы (не все) проверялись и в безопасном режиме и с еррд - всё вроде чисто.
Расскажите что это за гадость такая, где селится, каков жизненный цикл, в описаниях я её не нашёл. Спасибо!

По сети лезет. Закрывайте шары.

Шары на запись нужны обязательно. Лечить нужно.

Ну и как шара будет отличать, кто на нее пишет - вирус или легальный пользователь?

[Guest346]

 

Ну и как шара будет отличать, кто на нее пишет - вирус или легальный пользователь?

Пользователь в неё будет писать после того как я вылечу то место откуда вир пишет в шару а я его найти не могу потому что описания его нету.

[v.martyanov]

 

Ну и как шара будет отличать, кто на нее пишет - вирус или легальный пользователь?

Пользователь в неё будет писать после того как я вылечу то место откуда вир пишет в шару а я его найти не могу потому что описания его нету.

Поможет только до следующего червя.

[Guest346]

 

Поможет только до следующего червя.

Я согласен на это.

[Borka]

 

Ну и как шара будет отличать, кто на нее пишет - вирус или легальный пользователь?

Пользователь в неё будет писать после того как я вылечу то место откуда вир пишет в шару а я его найти не могу потому что описания его нету.

Смотрите описание родственника - Конфикера.

[Guest346]

 

Смотрите описание родственника - Конфикера.

Также подбирает пароли к администратору? В системе живет в файлах исполняемых по формату? В какой момент начинается распространение? Вот допустим включается компьютер который заражён - он сразу начинает заражать доступные шары? С какой периодичностью в течение сеанса работы компьютера? Конфикер например легко можно отловить по тому что он пытается заразить постоянно, этот никак не удаётся в продолжение сессии поймать. Я слышал что некоторые из  siggen могут заражать файлы автокада - это справедливо для 43го?

[Borka]

 

Смотрите описание родственника - Конфикера.

Также подбирает пароли к администратору? В системе живет в файлах исполняемых по формату? В какой момент начинается распространение? Вот допустим включается компьютер который заражён - он сразу начинает заражать доступные шары? С какой периодичностью в течение сеанса работы компьютера?

Точное описание этого вируса могут дать только вирусные аналитики.

Конфикер например легко можно отловить по тому что он пытается заразить постоянно

Да как сказать... Если бы было так легко, давно бы уже его победили бы.

Я слышал что некоторые из  siggen могут заражать файлы автокада - это справедливо для 43го?

Это вряд ли. Siggen - это троян, а не файловый вирус.

[Guest346]

 

Да как сказать... Если бы было так легко, давно бы уже его победили бы.

У меня нет проблем с конфикером, он не пишет себя в шары, и если дыра закрыта а пароль админа неподбираемый он обычно идет лесом. А этот зафлуживает до невозможности шары. Несколько часов уже несколько дней пытался по устанавливаемым сеансам или открытым файлам отловить заражённые машины - никакого результата, не заражаются шары, а вот как только включили - начинается... но в этот момент я не могу следить за сетью...

Логгер что ли искать...

[big_brother_1612]

Наверное у меня тоже такая зараза!В расшаренных папках появляется файл khw (именно так без расширения!),а потом выходит autorun.inf и какой-то *.exe-файл.Пробема в том, что расшарен еще и диск винта,в результате через какое-то время на него невозможно зайти из explorer-a (в смысле через обычное окно простым кликом),только через меню "папки" или Total Comander, и так пока не удалишь эти файлы.Так это я к чему Nod этот khw не считает за вирь,хочу Cureit попробовать,может кто еще какой иструмент подскажет?.

[mrbelyash]

может кто еще какой иструмент подскажет?.

Заплатки на ось

http://vms.drweb.com/search/?q=Win32.HLLW.Shadow.based


http://news.drweb.com/show/?i=204&c=5

Сообщение было изменено mrbelyash: 10 Март 2010 - 06:02

[ezzo]

какой-то *.exe-файл.

проверьте файл на VirusTotal и результат сюда плиз