Самопроизвольная остановка служб

Давненько я не гонял вирусов. Вот, довелось исследовать интересный случай. Вводная: 8 компьютеров с Windows XP SP3 в одноранговой сети, на всех установлен NOD32. В один прекрасный момент на всех компьютерах самопроизвольно перестали запускаться (или стали останавливаться?) службы Сервер, Рабочая станция, Брандмауэр Windows.

Начал копаться. Тип запуска у всех, естественно, Авто. Вручную все службы прекрасно запускаются, то есть причина не в поврежденных файлах. Прогнал на одном компьютере проверенный OSAM — чисто. Второй — чисто. А службы продолжают останавливаться. Что за невидимка?

А вот третий компьютер во время проверки повёл себя подозрительно — браузер периодически отказывался открывать страницы, пропадал доступ к удаленному рабочему столу. В конце концов нашелся подозрительный процесс и соответствующий файл C:\WINDOWS\usb_mgr.exe. NOD32 на него не реагировал, но на специализированных форумах файл однозначно классифицировался как вредный. Вылечить удалось на удивление легко, это не руткит: останавливал процесс, удалял этот файл и C:\WINDOWS\SYSTEM32\Ms07.exe, чистил автозагрузку в реестре.

Он-лайн проверка на сайте Касперского подтвердила, что файлы вредные, причем в базу включены только вчера (а заражение было почти три недели назад!). NOD32 действительно его не ловит. Вот отчет с virustotal.com: usb_mgr.exe, Ms07.exe.

А теперь секрет фокуса: почему вирус не был найден на первом же компьютере? Во-первых, где-то я прочитал, что этот вирус использует уязвимость в службе сервера MS08-067, что и приводит к остановке службы при сетевой атаке чистого компьютера. А во-вторых, на всех компьютерах было отключено автоматическое обновление, поэтому соответствующие исправления, которые вышли уже давно, не были установлены.

23.07.2009  Метки: ,   Рубрики: Программы

Один комментарий

  1. Алексей - 30.07.2009

    люди помогите чайнику установить антивирус касперского вроде и ставится и в меню пуск — все программы есть а не запускается и в контекстном меню он прозрачный я и ключи скачал а куда их ставить не знаю и в помощи нет сведений для установки. в общем полный абзац. к тому же подхватил какую то гадость — сектор 17 уже и винду переустанавливал а он с диска д обратно на диск с перебегает. доктор веб его вроде и видит и лечит да его всё больше и больше, а этот вирус вроде как только каспер видит. в общем кому не тяжело отправте мне на почту petrovaleks2@rambler.ru описание установки. спасибо.

Написать комментарий