Comments | schegloff: Снаряд против брони, или Новая волна троянов

schegloff

Снаряд против брони, или Новая волна троянов

Jan 11, 2012 08:35

За последний месяц в моем окружении два компьютера попали под атаку и были фактически выведены из строя троянскими программами, работавшими предположительно по вот этой технологии:

1) Эксплойт, предназначенный для использования против недавно раскрытой уязвимости в Java, и который был доступен ранее только за деньги и только в криминальном кибер- ( Read more... )

Comments 50

asocio January 11 2012, 03:19:18 UTC

С этим "svchost" я ещё года три назад сталкивался. Обычно помогала переустановка. Но на мощных компьютерах, я так понимаю, тормоза перестают быть заметными и да - ботнет.

schegloff January 11 2012, 03:54:04 UTC

Тормоза везде заметны - тупые боты хапают 100% процессорной мощности, независимо от ее величины :)

fstrange January 11 2012, 07:14:15 UTC

bitcoin вирус

Монету генерят, вот и загрузка проца на 100%

schegloff January 11 2012, 08:40:09 UTC

Дождались краха империи доллара. Теперь все будут печатать валюту на собственных компах... но не для себя :)

analytic_perm January 11 2012, 03:52:16 UTC

Прочитал источник.
С линуксом как раз всё оки, автору не удалось там нормально запустить процесс, насколько я понял.

oude_rus January 11 2012, 06:06:12 UTC

мне прекрасно помог откат назад.

schegloff January 11 2012, 09:14:04 UTC

Спасибо за идею. Один винт у меня еще под рукой, поэкспериментирую.

ex_tritopor January 11 2012, 06:16:08 UTC

Что такое "последние версии Linux"?

cantor_omicron January 11 2012, 06:17:48 UTC

А если жаву снести?

schegloff January 11 2012, 09:16:04 UTC

Если снести перед заражением, то поможет :)

После уже бесполезно - системные файлы подменены, svchost работает как на ядро Windows, так и на троян, и можно хоть все приложения поудалять, ботнет будет работать.

v_phi January 11 2012, 21:20:46 UTC

если я на домашнем компе вижу в диспетчере задач виндус на вкладке Процессы 10 экземпляров svchost, принадлежащих пользователю LOCAL SERVICE (3 экземпляра), SYSTEM (5 экземпляров), NETWORK SERVICE (2 экземпляра), это нормально или признак заражения трояном, невидимым для аваста?

rednyrg721 January 11 2012, 22:30:20 UTC

Обычно да (это всякие системные службы), но можно скачать более мощную утиль Process Explorer, и посмотреть на каждый экземпляр отдельно (там будет расписано в свойствах, какие службы/services каждый из svchost обеспечивает).

technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Thread 5