Борьба с вирусом W32.Downadup.B

Два дня не работал. Потому что некогда было. Давно уже нужно доделать большой и даже денежный проект, но все никак не возьмусь — то одно, то другое. А тут собрался с мыслями, настроился и пообещал себе, что прямо с утра примусь за него, но не тут то было. Еще не доходя до своего рабочего места, узнаю, что сетка в офисе стоит колом. Компьютеры видны по сети только непродолжительное время после перезагрузки. Затем служба «Обозреватель компьютеров» (в нативной версии — «Computer Browser») останавливается и сеть становится недоступна. При этом SAV забрасывает пользователей сообщениями об обнаружении вируса «W32.Downadup.B«. Ничего подобного не произошло бы, если бы на все компьютеры регулярно устанавливались обновления безопасности. Но у нас же пока гром не грянет…

Лечение

Лечится все просто, как выяснилось. Порядок действий такой:
1. Отключить восстановление системы (Win+Pause — закладка «Восстановление системы» — поставить птицу)
2. Отключить ПК от сети. Если для этого под стол лезть не надо, то просто шнур выдернуть, а если все закопано и замуровано, то Пуск — Панель управления — Сетевые подключения — правый клик на имени подключения, которое обычно называется «Подключение по локальной сети» — Отключить.
3. Устанавливаем заплатку от МС за номером 958644. Предварительно её нужно скачать. Заплатки в общем доступе на странице http://www.microsoft.com/rus/technet/security/bulletin/ms08-067.mspx и проверки подлинности Windows не требуется. Выпускается целая куча версий одной и той же заплатки для каждой разновидности винды: 2000/XP/2003, RUS/ENG, 32/64 да еще и для разных уже установленных сервиспаков. То, что предназначено для последнего сервиспака, включает поддержку предыдущих. После установки требуется перезагрузка ПК, я этим пренебрегал и перезагружал после выполнения сканирования на вирусы.
4. Запускаем Anti-Downadup-graphics.exe или его консольный вариант Anti-Downadup-console.exe. Первый берется здесь
http://www.bitdefender.com/site/Downloads/downloadFile/1583/FreeRemovalTool, второй — где-то рядом. На некоторых машинах графический вариант не запускался, а консольный без проблем. При скачивании Dr.Weber ругался, что внутни вирус MULDROP.Trojan. Пришлось проигнорировать. Не все машины оказались зараженными. Там, где вирус был найден, Anti-Downadup-graphics.exe сообщал о нем как о Win32.Worm.Downladup.Gen
5. Перезагружаем машину.

Профилактика

1. Надо вовремя устанавливать хотябы критические обновления безопасности.
2. Вирус восновном распространяется через флэшки, если на компьютере включен автозапуск сменных носителей. Отключить.
3. Если на флэшке создать каталог autorun.inf, то это предотвратит её повторное заражение.
4. Разрешить смертную казнь за создание и умышленное распространение вирусов.

8 комментариев: Борьба с вирусом W32.Downadup.B

  • Mad говорит:

    На сайте МС нет заплатки 958644 для Windows 2000 Server, но та что предназначена для Windows 2000 SP4 подходит и для сервера

  • Mad говорит:

    По прошествии времени обнаружилось, что на всех серверах в планировщике заданий присутствует куча джобов с именами вида AtXX. Часть из них в состоянии «Работает». Так что после лечения нужно еще и здесь все поудалять.

  • Tanya говорит:

    В папке c:\windows\temp поселились файлы вида DWH1A1.tmp и ничем оттуда не удаляются. Антивирусники определяют их как W32.Downadup!Autoru

  • Leo говорит:

    Сетуп не смог выполнить обновление файлов по причине того, что заплатки английские, а виды русские. Что за хрень? Я никогда не обновлялся — единственный раз решил, и то не дали.

    • Mad говорит:

      Leo, Дак скачайте русские заплатки, что за проблема. И, кстати, для рабочей станции и для сервера они тоже разные. Если БГ не дает их скачать вам, скажите, здесь выложу. Но, думаю, что разумнее скачивать из первоисточника. Мало ли кто и что у себя на блоге выложит под видом заплаток :)

  • Катюха говорит:

    У меня на всех 5 серверах данная заплатка давно уже установлена, но это не стало гарантией от заражения. Запустила ехе-шник из п.4 рекомендаций «Лечение», посмотрим, что будет.

  • Mad говорит:

    Катюха, проверьте еще в планировщиках заданий (Шедулерах) на всех серверах (да и на WS не помешает) наличие неизвестно откуда появившихся заданий с именами вида AtX, где Х — число от одного и до… я видел и 50.

  • NPS говорит:

    Утилита HOST_REESTR — убирает всякие глюки после вирусов, начинает работать сеть и т.п., рекомендую…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *