Я знаю - это Win32/Conficker.X.
Червь.
Метод заражения:
использует уязвимость ОС MS08-067 {этой уязвимости подвержены Windows 2000 SP4; Windows XP (SP2, SP3, Pro x64, Pro x64 SP 2); Windows Server 2003 (включая SP1 и SP2); Windows Server 2003 (включая x64, x64 SP2, SP1 for Itanium-based Systems, SP2 for Itanium-based Systems); Windows Vista (включая SP1, x64, x64 SP 1); Windows Server 2008 (32- и 64-разрядные, и для Itanium); самое интересное: Windows 7 Pre-Beta - проще говоря, все актуальные ОС от Microsoft}. Заражение происходит через сеть, используя уязвимость, или путем запуска зараженного файла на целевой системе.
Действия при заражении: создает свою копию в системной директории System32 (например, C:\Windows\System32) со случайным именем файла. Внедряет свой код в системный процесс ОС services.exe. Создает новый сервис (смотреть в Службах), в строке "Исполняемый файл" которого прописано, например, C:\Windows\System32\svchost.exe -k netsvcs.
У меня этот сервис назывался что-то наподобие NOD boot или ESET boot. В общем, отличить этот процесс легко - при попытке изменить его свойства будет выдаваться сообщение об ошибке про невозможность выполнения этого действия. Создает запись в реестре HKLM\SYSTEM\CurrentControlSet\Services\<случайное_имя>\Parameters\ServiceDll = C:\Windows\System32\<случайное_имя>
Действия вируса:
может загружать с определенных сайтов и запускать на выполнение вредоносный код; запускает на зараженной машине HTTP-сервер. Пытается определить IP зараженной системы, подключаясь к таким сайтам:
{www.getmyip.org}
{getmyip.co.uk}
{checkip.dyndns.org}
Как он появился у меня:
через интернет/сеть. После загрузки машины червь "пролазит" в систему, через некот. время антивирус находит и удаляет эту бяку, но он опять рано или поздно появляется снова.
Как я удалил эту гадость:
1) обновить базы антивира до актуального состояния;
2) поставить и настроить "хороший" firewall;
3) скачать заплатку для устранения уязвимости MS08-067 для своей ОС со странички
You must be registered for see links
4) вынуть сетевой кабель и не подключать его до окончания действий;
5) просканировать антивирусом папки Documents and Settings, Program Files, Windows (или как там называется системная папка). Если найдет червя - пусть удаляет. Удалит только червя, а код для его скачивания останется в ОС, поэтому, если подключить сетевой кабель, то он снова "пролезет", причем обходит firewall, поэтому делать этого нельзя.
6) если не требуется доступ к Сетям MS (так называемые "шары" в подсети) - удалить в свойствах "Подключения по локальной сети" клиента для сетей Microsoft, Службу доступа к файлам и принтерам сетей Microsoft. Попросит перезагрузку - не перезагружаться.
7) Поставить скачанную заплатку.
8)
Можно подчистить реестр. Для этого посмотреть в службах название службы, установленной вирусом (у меня это NOD boot или ESET boot), в редакторе реестра удалить эту службу (т.к. из панели Администирование изменить сойства этой службы будет невозможно).
Найти и "прибить" записи:
HKLM\SYSTEM\CurrentControlSet\Services\<случайное_имя>\Parameters\ServiceDll = C:\Windows\System32\<случайное_имя>
(аккуратно - здесь нужно угадывать, подозрительных записей может быть много, но не обязательно они имеют отношение к вирусу, поэтому, если не уверены или не знаете, то лучше не трогать)
9) Перезагрузиться. Firewall должен быть включен.
10) Вставить сетевой кабель на место.
11) После проделанных мной описанных действий больше я об этом черве сообщений не видел.
При Rus Windows ее несложно найти. Появляется только в том случае, если вирус был запущен на целевой системе.