Tak se doplnim. Vim, ze tohle sem zrovna moc nepatri, ale snad mi to u admina projde ;) a mozna i budoucim postizenym pomuze. Dneska jsem e-mailem obdrzel v nekolika exemplarich novy vir, ktery se, alesppon v OE, aktivuje pouhym zobrazenim!!! Ano, ZOBRAZENIM, netreba klikat na prilohu, dokonale svinstvo. Volal jsem i do Girsoftu, kolem 19:00 vydali aktualizaci, ktera ho detekuje, ale zatim neleci. Jedna se o balicek viru a cerva najednou (I-Worm/Klez a W32/ElKern). Kdo neveri, ze se fakt muze spsutit pouhym zobrazenim at se ozve, zaslu mu soukrome tu cast, kde je videt, jak to funguje. Nemam odvahu to tu vystavovat, je to moooc nachylny na zneuziti, ale stejne uz je to venku. Tohle M$ dokonale po****l! Jak se branit? Me prisel 7x a vzdy to bylo z adresy (neco)@online.sh.cn a (neco)@21cn.com, oboji bylo ve "from", takze filtr na tyhle domeny. Subject je ruznej. Pochopitelne nejjistejsi je pouzivat mailer, kterej umoznuje zakazat zobrazeni HTML emailu, coz ovsem OE neumi. Jak se ho zbavit? Podle toho, co rikali u Girsoftu, ten vir prvni hodinu nevykonava zadnou (destruktivni?) cinnost. Tohle je muj postup, OE 5.5, w2k: Vypnout, nabootovat z diskety, smazat c:\winnt\system32\wqk.dll a krn132.exe, oba maji atributy RHS. Pozor, je to KRN1 (jedna), nikoliv KRNL. Ty soubory si udelal ten virus, nikomu chybet nebudou. Krnl132.exe se spousti pres sluzby, wqk.dll nevim kde, nenasel jsem to, byla v pameti i v nouzovem rezimu. Spustit PC nouzovem rezimu, najit soubory vytvorene v tu dobu, co se spustil, jsou to zpravidla d*.exe, *.html.exe, *.txt.exe, *.doc.exe, *.txt.exe. Umistene jsou vzdy v korenovem adresari sdilene polozky, a v korenovem adresari pripojene sitove jednotky. Kouknout ktere sluzby se spousteji a pripadne je zakazat, me tam pribyla sluzba "krn123" a "KernelSvc", ktera mela adresu "\\PETR\netdata\Aac.htm.exe" (moje PC je Petr, netdata je muj sdileny adresar). Nabotovat normalne, projet to aktualizovanym AVG (aktualizace 292 - 10/26/2001 ho detekuje), vymazat (naradit cistejma ;)) vsechny napadeny soubory. Ja jich mel 48 :(. A pak uz jenom doufat, ze to bylo vsechno. A taky cekat, az nekdo udela neco, co to proveri dokonale. Ty urychleny aktualizaci AVG moc neverim, ale stejne mi pomohla. Mel jsem prijmne patecni odpoledne, ted uz vlastne noc :((( Doufam, ze v pondeli uz bude na svete nejakej cleaner ;) -pp21-
This archive was generated by hypermail 2.1.2 : 26. 10. 2001, 23:02 CEST