Tematråd: Virus & Maskar

Avdelningen för spel och annan vardaglig mjukvara.
Post Reply
User avatar
Niklas Berggren
Hedersbit
Posts: 3524
Joined: 2002-03-08 17:53:04
Location: Göteborg (Skövde)
Contact:

Tematråd: Virus & Maskar

Post by Niklas Berggren »

Inledning
Under den senaste tiden har windowsanvändare haft problem men virus och maskar, och ännu mer problem med att bli av med dem. Det senaste i skrivande stund är masken "sasser".
Den här tråden har 2 syften:

1.) Forumiter ska kunna tipsa om olika aktuella virus/maskar/trojaner, såsom namn, orsakad skada, ev. användbara firewall-regler, hur man blir av med viruset/masken etc.

2.) Minska antalet trådar som handlar om samma sak. När blaster (och varianter) drog igenom så skapades det i onödan en mängd trådar av panikslagna människor. Den här tråden är en samlingspunkt för att undvika detta.

Regler för tråden
I den här tråden ska inget diskuteras, detta skötes i separata trådar, och alla är välkommna med sina tips!
Spyware ska inte diskuteras i den här tråden, såvida det inte även är ett virus eller en mask.

Innan du postar
Ska du posta info om en ny mask/virus så posta lite matnyttig information, inlägg såsom "Masken XXYZ är lös, den är farlig" duger inte. Ta reda på åtminstonne litegrann om masken/viruset i fråga och posta sedan allt du vet om problemet.
Om du har något att tillägga/rätta till någon annans mask/virusbeskrivning så var noga med att påpeka detta, en moderator kommer sedan kopiera ditt inlägg till det ursprungliga inlägget som handlar om masken/viruset och radera ditt inlägg.

Om du ska posta något så försök få med följande info: Är det en mask, ett virus eller en trojan , använder masken sig av några speciella portar? Vad orsakas för skada?

Generella tips
Använd alltid en firewall! Att koppla upp en win-burk direkt mot Internet är att be om det...
Uppdatera ditt WinOS och virusdefinitioner till ditt antivirus ofta!

Övrigt
Vill du ha något tillagt i det här inlägget, vill klaga på något eller om något är oklart så skicka mig ett PM.
Last edited by Niklas Berggren on 2004-05-01 21:42:56, edited 2 times in total.
"How about the government sticks to courts, police, defense and corruption and leave compassion to the people who have it?" - Penn Jillette.
User avatar
Niklas Berggren
Hedersbit
Posts: 3524
Joined: 2002-03-08 17:53:04
Location: Göteborg (Skövde)
Contact:

Post by Niklas Berggren »

W32/Sasser.worm (sasser)
Typ: Mask

Använda portar: tcp/445 (microsoft-ds) - Används för smittande. tcp/5554 (FTP-server) - Öppnas av masken. tcp/9996 - ett shell, används för att ansluta till FTP på en infekterad maskin.

Felbeskrivning: Masken orsakar liknande felmeddelande som blaster. Läs meddelandet! Sasser rör inte RPC som blaster gjorde, utan använder en annan tjänst som orsakar snarlikt felmeddelande.
Masken orsakar ingen större skada, utan drar en hel del systemresurser och försöker sprida sigsjälvt.

Länkar:
http://securityresponse.symantec.com/av ... .worm.html
http://us.mcafee.com/virusInfo/default. ... s_k=125007
http://www.f-secure.com/v-descs/sasser.shtml

http://www.f-secure.se/virus/virusinfo.asp?Namn=Sasser (tack teep)

http://www.microsoft.com/technet/securi ... 4-011.mspx - Patch

Borttagning:
--Saxat direkt från symantecs hemsida--
Press Ctrl+Alt+Delete once.
Click Task Manager.
Click the Processes tab.
Double-click the Image Name column header to alphabetically sort the processes.
Scroll through the list and look for the following processes:
* avserve.exe
* any process with a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).
If you find any such process, click it, and then click End Process.
Exit the Task Manager.

Disable System Restore (Windows Me/XP).
Update the virus definitions.
Run a full system scan and delete all the files detected as W32.Sasser.Worm.
Reverse the change made to the registry.
--Slutsaxat--

Övrigt: Varianter är att förvänta sig.
"How about the government sticks to courts, police, defense and corruption and leave compassion to the people who have it?" - Penn Jillette.
User avatar
borz
Posts: 2893
Joined: 2002-10-18 21:17:26
Location: Hässleholm
Contact:

Post by borz »

Jag har inga virus eller buggar att komma med. Jag vill istället tipsa om en antivirustjänst som finns på följande adress:

http://housecall.trendmicro.com/houseca ... t_corp.asp

Tjänsten heter House Call och tillhandahålls av Trend Micro Enterprise. Denna tjänst kontrollerar innehållet av valfri enhet och är kapabel att antingen rensa eller ta bort infekterade filer. Det absolut bästa med denna tjänst är att det är helt gratis.

En annan fördel är att virus, maskar o dyl inte kan påverka denna tjänst då den inte finns på datorn och därmed inte kan påverkas. En annan fördel är att tjänsten hålls uppdaterad.

___________________________________________________

En nackdel med denna tjänst är att den samlar information och skickar den till Trend Micro. Så här säger Trend Micro:
The scan results include the timestamp, client country code, scan engine version, pattern version, infected file count, infected virus name, actions taken on the infected files, and the results of these actions (Success/Fail). This information is collected and used for statistical purposes in Trend Micro Virus Map. You can access the Virus Map page to see the antivirus statistics around the world.
DDS for life!
User avatar
elvenman
Hedersbit
Posts: 12572
Joined: 2002-03-17 21:42:06
Location: Mora
Contact:

Post by elvenman »

http://nok.idg.se/ArticlePages/200405/18/20040518192411_NOK/20040518192411_NOK.dbp.asp wrote:Bobax-masken förvandlar datorn till en spam-zombie
(2004-05-19 08:53) Antivirusföretaget Sophos varnar för en ny mask som kan förvandla en smittad dator till ett verktyg för spammare. W32/Bobax-A-masken utnyttjar samma säkerhetslucka i LSASS som Sasser-masken gör men den nya masken verkar ha ett syfte då den kan utnyttjas av obehöriga för att skicka spammeddelanden.

Av Patric Backlund


Den under måndagen upptäckta masken Bobax, eller W32.Bobax.A, utnyttjar samma säkerhetslucka som Sasser-masken det vill säga LSASS-sårbarheten, som beskrivs i Microsoft Security Bulletin MS04-011. Enligt antivirusföretaget Sophos kan Bobax-masken göra att en smittad dator kan utnyttjas för att skicka spammeddelanden eller för att utföra överbelastningsattacker.

Precis som med Sasser-masken är det bara Windows 2000 och Windows XP som kan bli smittade genom sårbarheten i LSASS. Sophos tror att spridningen av Bobax kommer att vara mycket begränsad då många redan har installerat Microsofts säkerhetsuppdatering.

Du kan läsa mer om W32.Bobax.A på Symantecs eller Sophos webbplatser.

Mer information om Microsofts säkerhetsuppdatering MS04-011 hittar du på Microsofts webbplats.
Fråga smart "Den som spar han har, men inte roligt"
Praxidike: Q9550/8GB/5180GB/DVD±RW/GTX760/24"TFT
Io: P-M 1,73/2GB/1000GB/DVD±RW/15"TFT
U32U: E-450 1,65/8GB/64GB SSD/HD6320/13,3"TFT
Kale: E6550/4GB/640GB/46"LED
User avatar
elvenman
Hedersbit
Posts: 12572
Joined: 2002-03-17 21:42:06
Location: Mora
Contact:

Post by elvenman »

Ett nytt virus som anväder sig av samma säkerhetslucka som sasser (LSASS) har dykt upp.
http://www.f-secure.se/virus/virusinfo.asp?Namn=Korgo wrote:Korgo (Padobot) är en nätverksmask som är skriven av gruppen Russina Hangup Team. Den sprids via Internet genom säkerhetshålet i Microsoft Windows LSASS. En beskrivning om säkerhetshålet finns hos Microsoft Security Bulletin MS04-011
Microsoft Security Bulletin MS04-011
Korgoinfo hos f-secure

Har du inte patchat upp sasser hålet än GÖR DET!
Fråga smart "Den som spar han har, men inte roligt"
Praxidike: Q9550/8GB/5180GB/DVD±RW/GTX760/24"TFT
Io: P-M 1,73/2GB/1000GB/DVD±RW/15"TFT
U32U: E-450 1,65/8GB/64GB SSD/HD6320/13,3"TFT
Kale: E6550/4GB/640GB/46"LED
User avatar
elvenman
Hedersbit
Posts: 12572
Joined: 2002-03-17 21:42:06
Location: Mora
Contact:

Post by elvenman »

http://www.f-secure.se/virus/virusinfo.asp?Namn=Lovgate.AH wrote:Namn: Lovgate.AH
Alias: W32/Lovgate.af@MM, I-Worm.Lovgate.ah


Summering

Masken Lovgate.AH hittades i Juli 2004. Masken sprider sig i e-postmeddelanden, lokala nätverk och peer-to-peer nätverk. Masken droppar också en bakdörr till det infekterade systemet.

Lovgate.AH byter namn på alla .EXE filer den hittar till .~EX och droppar sig själv som en .EXE fil till samma katalog med samma namn.

Lovgate.AH är snarlik Lovgate.AC. För mer information, se

http://www.f-secure.se/virus/virusinfo. ... Detailed=1
Fråga smart "Den som spar han har, men inte roligt"
Praxidike: Q9550/8GB/5180GB/DVD±RW/GTX760/24"TFT
Io: P-M 1,73/2GB/1000GB/DVD±RW/15"TFT
U32U: E-450 1,65/8GB/64GB SSD/HD6320/13,3"TFT
Kale: E6550/4GB/640GB/46"LED
User avatar
Maane
Posts: 254
Joined: 2003-05-26 22:19:51

Post by Maane »

http://www.bitdefender.com/html/free_tools.php hittar man borttagnings verktyg för den mesta pc-ohyran som härjar på nätet. Enkelt och gratis!!! ;D
Räkost på tub - nu med 30% extra ost!!!
User avatar
linc
Administratör
Posts: 7602
Joined: 2002-02-13 22:22:11
Location: Skåneland
Contact:

Post by linc »

Maane: windowsohyran menar du. ;)
hej.
User avatar
Maane
Posts: 254
Joined: 2003-05-26 22:19:51

Post by Maane »

linc wrote:Maane: windowsohyran menar du. ;)
Hmm...!
Ja det kanske är ett bättre utryck ;D

Tillägg:
Microsoft lanserar ju snart SP2 för svenska XP-användare.
Det lär inte vara så dumt. Finns ett filmklipp från nått MS-jippo
att ladda hem på MS hemsida, där en kille berättar vad som ändras när
man installerar SP2. I mångt och mycket handlar det om att de flesta
säkerhetsfunktioner som faktiskt finns i Win XP är påslagna per default.
Mindre frågor om användaren vill använda de skydd som finns.
Tex har de ordnat så att datorn ALLTID söker efter uppdateringar,
ALLTID laddar hem dem och ALLTID installerar dem.
Detta togs upp i samband med att de pratar om tex Sasser.
Det är klart att om folk inte ens uppdaterar efter hand som MS upptäcker
och rättar till sina misstag, så kan ju virus och maskar härja fritt.
Jag länkar till filmen om nån är sugen.
http://web01.microsoft.se/partner/techn ... xp_sp2.zip
Räkost på tub - nu med 30% extra ost!!!
Post Reply