Re: novy virus !!! ElKern

From: pp21 (pp21@mail.cz)
Date: 26. 10. 2001, 22:58 CEST

Previous message: Dr. Willy: "Re: Overeni domeny (????)"
In reply to: pp21: "novy virus !!! ElKern"
Next in thread: Marek Mikus: "Re: novy virus !!! ElKern"
Reply: Marek Mikus: "Re: novy virus !!! ElKern"
Reply: Miro Vesely: "Re: novy virus !!! ElKern"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] [ attachment ]

Tak se doplnim.

Vim, ze tohle sem zrovna moc nepatri, ale snad mi to u admina projde ;) a
mozna i budoucim postizenym pomuze.

Dneska jsem e-mailem obdrzel v nekolika exemplarich novy vir, ktery se,
alesppon v OE, aktivuje pouhym zobrazenim!!!
Ano, ZOBRAZENIM, netreba klikat na prilohu, dokonale svinstvo.

Volal jsem i do Girsoftu, kolem 19:00 vydali aktualizaci, ktera ho
detekuje, ale zatim neleci.

Jedna se o balicek viru a cerva najednou (I-Worm/Klez a W32/ElKern).

Kdo neveri, ze se fakt muze spsutit pouhym zobrazenim at se ozve, zaslu mu
soukrome tu cast, kde je videt, jak to funguje. Nemam odvahu to tu
vystavovat, je to moooc nachylny na zneuziti, ale stejne uz je to venku.

Tohle M$ dokonale po****l!

Jak se branit?
Me prisel 7x a vzdy to bylo z adresy (neco)@online.sh.cn a
(neco)@21cn.com, oboji bylo ve "from", takze filtr na tyhle domeny.
Subject je ruznej.
Pochopitelne nejjistejsi je pouzivat mailer, kterej umoznuje zakazat
zobrazeni HTML emailu, coz ovsem OE neumi.

Jak se ho zbavit?
Podle toho, co rikali u Girsoftu, ten vir prvni hodinu nevykonava zadnou
(destruktivni?) cinnost.
Tohle je muj postup, OE 5.5, w2k:
Vypnout, nabootovat z diskety, smazat c:\winnt\system32\wqk.dll a
krn132.exe, oba maji atributy RHS.
Pozor, je to KRN1 (jedna), nikoliv KRNL. Ty soubory si udelal ten virus,
nikomu chybet nebudou.
Krnl132.exe se spousti pres sluzby, wqk.dll nevim kde, nenasel jsem to,
byla v pameti i v nouzovem rezimu.
Spustit PC nouzovem rezimu, najit soubory vytvorene v tu dobu, co se
spustil, jsou to zpravidla d*.exe, *.html.exe, *.txt.exe, *.doc.exe,
*.txt.exe. Umistene jsou vzdy v korenovem adresari sdilene polozky, a v
korenovem adresari pripojene sitove jednotky.
Kouknout ktere sluzby se spousteji a pripadne je zakazat, me tam pribyla
sluzba "krn123" a "KernelSvc", ktera mela adresu
"\\PETR\netdata\Aac.htm.exe" (moje PC je Petr, netdata je muj sdileny
adresar).
Nabotovat normalne, projet to aktualizovanym AVG (aktualizace 292 -
10/26/2001 ho detekuje), vymazat (naradit cistejma ;)) vsechny napadeny
soubory. Ja jich mel 48 :(.

A pak uz jenom doufat, ze to bylo vsechno. A taky cekat, az nekdo udela
neco, co to proveri dokonale. Ty urychleny aktualizaci AVG moc neverim,
ale stejne mi pomohla.


Mel jsem prijmne patecni odpoledne, ted uz vlastne noc :(((

Doufam, ze v pondeli uz bude na svete nejakej cleaner ;)

-pp21-

Previous message: Dr. Willy: "Re: Overeni domeny (????)"
In reply to: pp21: "novy virus !!! ElKern"
Next in thread: Marek Mikus: "Re: novy virus !!! ElKern"
Reply: Marek Mikus: "Re: novy virus !!! ElKern"
Reply: Miro Vesely: "Re: novy virus !!! ElKern"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] [ attachment ]

This archive was generated by hypermail 2.1.2 : 26. 10. 2001, 23:02 CEST