W32.Gaobot.BV

hejka

dzis taka przygoda mi sie zdarzyla.

instaluje siostrze czysty xp pro. na to nav 2004. o tego gg - po 2 minutach zaczyna wywalac bledy. nav sie wylacza (po restarcie sie juz nie wlacza). dochodzi do tego stary symptom 'system will shut down in 60 sec'. wlaze na mks sciagam laty ms robie scan. znajduje wirusa w pliczku cvmonitor.exe - ale nie moze sobie z nim poradzc. system wylacza sie juz bez ostrzezenia. nie poradzilem sobie z tym - ale co znalazlem na necie:

W32.Gaobot.BV

MCID 2910

Discovered 4/30/2004

Origin Unknown

Last Update 4/30/2004 6:11:23 PM

Types Back Door,DDoS,Worm

Features Extensible,Memory Resident,Persistent

Risk 2/5 (Low) Severity 9.2

Impact 9.7 Contagion Potential 8.6 Wild Low

Last Change Initial analysis.

Aliases

- -------

WORM_SDBOT.BV

jakies nowe pieronstwo - i kto poradzi jak to usunac ? chyba czeka mnie stawianie systemu od nowa ? i czemu na mks opis jest taki:

Gaobot jest robakiem sieciowym, którego działanie polega na rozprzestrzenianiu się w sieciach lokalnych oraz poprzez IRCa.

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoje kopie w plikach: Svchosl.exe, Winhlpp32.exe oraz modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows.

Aktywny trojan nasłuchuje na losowo wybranym porcie na komendy od swojego autora pozwalające na przejęcie kontroli nad komputerem ofiary poprzez sieć.

Podobnie robak łączy się z kanałem IRCa, na którym nasłuchuje na komendy od swojego autora.

Na koniec robak tworzy swoje kopie na udostępnionych zasobach sieciowych w sieci lokalnej.

?

czy BV to znaczy ze to nowa wersja ? i czy mozliwe ze robak jest lapany 'z wewnatrz' sieci kablowej (lacze jest z kablowki) ?

w kazdym razie damn it tylko czasu potracilem a komp daleki jest od dzialajacego

no jesli wymusil Ci restart to zlapales z zewnatrz. w kablowce chyba dają publiczne IP.

Pierwsze co nalezy zrobic po zainstalowaniu systemu to postawic firewalla odcinajacego wszystkie porty oprocz 80 i sciagniecie wszystkich poprawek MS. A ostatnio produkują jedną dziennie.
Dopiero po tym wolno podłączać kompa do sieci.

Co do załącznika... ktos musi to uruchomić...

lekarstwo na to:
http://securityresponse.symantec.com/avcenter/FxGaobot.exe

tu więcej info:
http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html

speedy - ale w spisie nie ma gaobota.bv ? poza tym jego pozniej chyba zrobili/wykryli niz ten fix ?

maxym - oj tak madrym po szkodzie ;]

samemu teraz sciagam 30 mb poprawek dla mojego 2003 - niekiepsko sie wystrachalem przez to

edit: a jaki fw polecacie ?

zdaje się że to fix jest na wszystkie gabooty, najwyżej nie zadziała, nie masz nic do stracenia.
jak ostatnio sassera złapałem i jeszcze jakieś 4 inne to teraz też już regularnie updaty do windowsa robie

ja sobie recznie radze z cala seria blastero-podobnych.
Sprawdz po dacie w katalogu windows i windows/system ostatnie pliki exe i log (ew. te rodzaje plikow ktore napisali na stronie mks czy innych). Dziwadla wielkosci ~15KB to wlasnie te syfy.
Sprawdz potem w rejestrze czy sa gdzies wpisane te nazwy plikow i w razie czego je wywal, to samo w msconfig. Potem recznie zamknij wszystkie niezidentyfikowane procesy i wywal syfy exe i log.
Potem zainstaluj np. zone alarma i po klopocie.
No i oczywiscie laty krytyczne z M$!

btw. w przeciagu ostatnich paru tygodni zlapalem chyba 15 razy wira, za kazdym razem w ciagu kilku sekund po wylaczeniu firewalla

khdriver napisał:

btw. w przeciagu ostatnich paru tygodni zlapalem chyba 15 razy wira, za kazdym razem w ciagu kilku sekund po wylaczeniu firewalla

zawsze sie zastanawialem jak to mozliwe? nigdy nie uzywalem fw i nie mialem wira

Richie napisał:

zawsze sie zastanawialem jak to mozliwe? nigdy nie uzywalem fw i nie mialem wira

ja tez - ale od wczoraj calkiem zmienilem podejscie. dzis format i od nowa stawiam system - nie mialem pod reka fw zadnego wiec wyszedlem z zalozenia iz przy odpietym necie zainstaluje win na to antywira i po podpieciu do netu szybciutko zrobie windiws update. NIE ZDAZYLEM. po podpieciu wtyczki od netu minelo moze 30 sekund - nav wywalil komunikat ze jest wirus (zaraz drugi) i nie moze sobie z nimi poradzic. zanim sie obejrzalem poszedl restart :O:O:O:O:O

wyczytalem ponadto ze ten gaobot to w sumie wirus 'lanowy' - wiec jeszcze raz powtarzam pytanie - czy to mozliwe ze lapie go z wewnatrz kablowki ?

ps: ponawiam pytanie - jakie firewalle sa najlepsze ? (topic moze i jest ale kto wie czy aktualny )

Outpost firewall, to co lapiesz to Blaster po RPC, wystarczy latka i juz bez zadnych FW i antywirow laczysz sie do netu i sciagasz latki spokojnie ostatnio robilem reinstall wiec mialem to samo

ale reset poszedl bez ostrzezenia ?

ps: czyli majac do wyboru symanteca 2003, sygate pro 5.5, boson 4.5 i outposta 2.1 instalowac ten ostatni ?

nigdy w zyciu Symanteca wyzszego niz 2001, Outpost the best, chociaz nie uzywam taka panuje opinia wszedzie gdzie czytam na forach

ja pomimo używania FW i AV Symanteca złapałem Welchię, Skybota, Geobota i jeszcze coś tam. Dziś format C , na to spy sweeper, łatki MS i zobaczymy

Ja uzywam poptray i nic nie zlapalem.
.
.
i NOD32
.
.
i Kerio Personal Firewall tez

a ja ostatnio po tej zawierusze wirusowej postanowilem zmienic dr weba ktory nie ma juz tak czestych uaktualnien jak kiedys (na przyklad sassera jak juz wszyscy mieli i jego ataki przebrzmialy, to dopiero wtedy sie pojawil , z duzym opoznieniem, dodatkowo pod inna nazwa)
i po wielu probach (NAV strasznie zasobozerny nie wiedziec czemu u mnie, panda z kolei co chwile a to zgubila preferencje a to nie mogla wykonac update, a jak chcialem odinstalowac to sie nie dalo i recznie trza bylo rejestr czyscic, mcafee - a fe! , mksvir - nie dorwalem dzialajacej kopii programu , wiec nei sprawdzilem, jeszcze jakies inne programy byly ale juz nie p[amietam)
no i stanelo na kasperskym - super czytelny interfejs, malo zasobow zabiera, aktualizacje jak sie patrzy, wszystko mi w nim pasi dodatkowo raz wykryl mi jakiegos nowego wirusa, a w tym samym dniu instalowalem kilka antywirow po kolei i zadnen nie zalapal
a co do firewalla to wrocilem do ZA tego najprostszego z jednej przyczyny - kerio i outpost sa super moim zdaniem ale jak nierzadko nie ma mnie w domu a ania siedzi w necie i nagle wyskoczy jakies okienko to musi miec jak najmniej klikania i dlatego wrocilem do prosciutkiego ZA, moze mniej elastyczny, ale dziala i o to chodzi

A ja nie mam żadnego antyvira itp i komp mi chodzi szybciej. Mało tego. Nie miałem nigdy na kompie wirusa.

No i jak to jest?