Отправляет email-рассылки с помощью сервиса Sendsay

Лечение пикантных болезней компьютера.

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Раскрутка сайта для начинающих" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Август 2006  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Автор
Alex

Статистика

1 подписчиков
0 за неделю
  Все выпуски  

Лечение пикантных болезней компьютера.


Анти-spyware.

Доброй ночи.

   Сегодня буду опять наводить тоску, потому что пришли ко мне два вируса, я как-то просил вас присылать мне вирусы для изучения, если помните, конечно. Так вот вирус определялся как w32/dtray.a вирус как оказалось пакостный, размножался как кролик в расшаренные папки и посылал всякую фигню на доступные принтеры. При изучении его на предмет где и что он сохраняет, обнаружилось, что вирус тупо прописывается в ветку HKLM\Software\Microsoft\Windows\CurrentVersion\Run под именем Rundl32.exe так что при последующем запуске системы в памяти компьютера будет висеть процесс Rundl32.exe. Судя по найденным внутри вируса названиям файлов, в папки с доступом он копирует себя под очень интересными названиями, вот некоторые из них: supertetris.exe, tetki.exe, otkrytka.exe, siski.exe и так далее, всего порядка 20 названий. В общем, для лечения вируса достаточно убить ключ автозапуска, и файл Rundl32.exe из папки Windows, после чего стоит проверить, не осталось ли «мин» в расшаренных папках, названия файлов довольно броские. Такой вот был первый вирус, второй пока не изучал потому, как времени не хватает.
   Теперь немного отойдем от тел вирусов и немного поговорим о старой уже теме, о путях какими пользуются вирусы для своего функционирования, а точнее о некоторых портах. Мне уже неоднократно задавали вопросы о портах, что и зачем должно быть открыто, а что закрыто, сегодня я немного расскажу о потенциально опасных портах, в последствии может быть, на сайте выложу текст с полным списком стандартных портов и служб которые привязаны к этим портам.
   Итак, приступим. Первый потенциально опасный порт, это
   21 – на нем работает служба FTP, существуют Трояны, которые подменяют эту службу, а точнее происходит разделение, то есть вы можете пользоваться этой службой точно также как и до заражения, но кроме вас этой же службой будет пользоваться и хакер подославший вам вирус.
   23 порт- на нем крутиться служба telnet (удаленная регистрация пользователя), существуют вирусы которые устанавливают в систему эмулятор терминала, что позволяет выполнять терминальные команды от имени пользователя компьютера-жертвы.
   25 и 110 порт – это SMTP и POP3, то есть стандартно этими портами пользуются службы SMTP и POP3, однако этим же портом очень любят пользоваться различные вирусы, от keyloger’ов до почтовых червей.
   Порты 31, 456, 3129 – не используются какими то стандартными службами windows, но эти порты очень любят различные вирусы, предоставляющие удаленное администрирование компьютера-жертвы.
   Порты 79, 5321 – на 79 порту сидит стандартная служба finger, под этот порт существует также утилита, предоставляющая возможность удаленного администрирования.
   Порт 80 – стандартная tcp-служба HTTP, под этот порт существуют вирусы, которые позволяют нарушить системные файлы и установки, путем предоставления хакеру возможности выполнения удаленно команд.
   Порт 113 – служба Auth, кроме этого облюбован Irc-червями, рассылающими себя через mirc.
   Порт 119 – служба nntp, плюс к этому есть вирусы, которые открывали брешь в систему по этому порту, в частности у меня есть вирус happy99, который, маскируясь под красивый фейерверк, тем не менее, сливал хакерам все системные пароли, плюс работал как кейлогер, плюс держал «дыру» в системе открытой (такой вот был «симпатичный» вирус).
   Порт 666- символичный порт (число зверя) не используется (насколько я знаю) ни одной из стандартных служб Windows, но зато активно может использоваться скрытыми ftp-серверами, ни чем не отличимые от обычных, единственно использующие для своих целей порт 666.
   Порт 21544- стандартных служб на этом порту нет, зато мне попадался троянчик, который открывал этот порт при каждом подключении к Интернету, причем (как потом выяснилось) этот гад пытался перехватывать мои пароли. Вирус регистрировал в системе новый сервис Windll.exe.
На сегодня, пожалуй, что хватит, а однообразно как-то будет, перейдем к вопросам прошлого выпуска и ответам на них.

Вопросы прошлого выпуска.

Вопрос №1 задает Ирина:
Здравствуйте!
Сегодня на одном форуме прочла жалобу, что появился новый вирус, который убивает соединение DSL и скорость падает до 5кб. Может такое быть? Вы что-нибудь об этом слышали? Или может, просто модем умер?

Отвечает Олег:
Это не вирус, я тоже с этим сталкивался, это глюк (ТУПОЙ) модема его освободить от всех проводов и выключив с кнопки и из сети дать ему остыть.

От автора рассылки: Эта проблема и на обычных модемах была, только какой фирмы я не помню, их тоже заворачивали в фольгу и совали в холодильник, после чего модем начинал нормально работать, там была проблема с перегревом чипа :)

Вопрос№2 задает :
Подскажите можно ли из Norton Antivir вытащить антивирусные базы в файлах, а то полный архив на сервере 12 Мб занимает. Чтоб после переустановки винды вставить или на другой комп перенести. Как в NOD32.

Отвечает Алексей:
Давно не пользовал этот антивирус, поэтому точно не помню. Могу подсказать, где искать. Папка Program Files\Common Files, там смотрим папку типа Norton Antivirus. Папка Documents and Settings\[имя пользователя]\Local Settings\Application Data\Norton Antivirus
Папка Documents and Settings\[имя пользователя]\Application Data\Norton Antivirus
А также те же папки, но вместо [имя пользователя] - All Users и Default User.

Вопросов в этом выпуске нет, вернее есть просьба оценить антивирус PC-cillin 2006, но пока я его не нашел, может скачаю его в скором времени если немного весит. Если кто-то пользуется этим антивирусом, буду очень рад услышать ваше мнение об этом продукте.

Буду рад вам помочь, все вопросы, которые могли появиться у вас или советы по рассылке посылайте на этот e-mail antispyware@bk.ru, по возможности отвечу на все вопросы и пожелания.

Если в Ваших письмах нет прямого запрета на публикацию письма, то я буду считать это за разрешение.
Сайт автора рассылки: http://www.antispyware.5km.org/
В избранное