וירוס לא מוכר
-
קבלתי את זה מיהודי אחד עבד בשבילי יופי לוירוס שעושה 3 קיצורי דרך
0_1515158245832_אנטי וירוס לקיצורי דרך - להעתיק קובץ זה לאונקי-לא בתוך תיקיה- ולהפעילו משם .zip
אבל אחרי הניקוי היה צריך לעשות חיפוש עם תוכנת EVERYTHING בכל האונקי ולהגדיר שיחפש סיומת lnk. כמו בתמונה ולמחוק אותם
-
עכשיו הסתכלתי שוב בLOG של הוירוס
ומופיע שנוקה הרבה בתיקיה WinddowsUpdateCheck
מה שמוזר זה שלא מופיע בתיקיות אבל בחיפוש מופיע וזה עם פעמיים D
מישהו יודע מה זה?
ואולי מישהו יודע לפענח את זה
https://www.virustotal.com/he/file/8498900e57a490404e7ec4d8159bee29aed5852ae88bd484141780eaadb727bb/analysis/1515258887/ -
@makomrar
אם ניקית את זה עם eset מעודכן אז הכל נמחק ואתה יכול להיות רגוע. -
@makomrar אמר בוירוס לא מוכר:
ואולי מישהו יודע לפענח את זה
https://www.virustotal.com/he/file/8498900e57a490404e7ec4d8159bee29aed5852ae88bd484141780eaadb727bb/analysis/1515258887/לא יאומן. זה מראה שגם האיסט זה לא בגלל עודף כישורים אלא בגלל דיווחים ספציפיים מלקוחות ישראלים שדוקא לא נלמדו בעיון מספיק לדעתי.
@makomrar אמר בוירוס לא מוכר:
הנה הפרטים שמופיעים בESET
http://www.virusradar.com/en/LNK_Agent.ES/map
זה וירוס חדש לפי מה שאני מבין ומסתובב בעיקר בישראל תתקנו אותי אם אני תועהלדעתי הוא ישראלי ונותר גם פה אולי למטרה נורא ספציפית כמו ריגול מסחרי, אחרת אין הבנה לתפוצה הכ"כ מדוייקת שלו באופן לא אופייני כלל.
ראו פה https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/WORM_RETADUP.AThis information stealing malware was one of the IoCs found in recent attacks targeting hospitals in Israel. This malware is also notable for its stealth. It terminates itself after detecting anti-virus products, script file names, analysis, forensics, and debugging tools, as well as sandboxes and virtual machines.
כלומר הוא יועד לתקיפת בתי חולים בארץ. אני מאמין שהם פשוט אלה שניזקו (כי אחרי שמפעיל הוירוס גילה שהוא במקום הנכון הוא ביצע אי אלו דברים שהקפיצו את הנורות ומכאן הדיוח התקשורתי ושל האנטיוירוסים) ולאו דוקא שהצליחו למקד את בכזו רזולוציה.
אני לומד מכאן כמה האנטיורוסים חלשים נגד התקפה ממוקדת וכמה אין תחליף להתנהגות אנוש נכונה. -
@נטפריס איך ניתן לבדוק אם הוירוס הזה מזוהה בתוכנות שברשותי? (דפנדר ומלוורבייטס)
-
https://www.fosshub.com/UsbFix.html
מהנסיון שלי -
@yonig20 אמר בוירוס לא מוכר:
@נטפריס איך ניתן לבדוק אם הוירוס הזה מזוהה בתוכנות שברשותי? (דפנדר ומלוורבייטס)
מנסיון אישי (סריקה יזומה של הכלי החינמי שקולה למגן הקבוע) וגם לפי המופיע בוירוס-טוטל הוא לא.
-
@yyy @סופר
רק להבין שאנחנו מדברים כאן על שני וירוסים שונים, ולא על אלו שמסתירים את הקבצים בDOK ומוסיפים קיצורי דרך במקומם.
הפתרונות נוסו ונבדקו פעמים רבות, וניתן לבדוק שוב ושוב כל עוד הוירוס נשמר לבדיקה.
לפי מה שקראתי בקישור לעיל שהביא @נטפריס, למשתמשי נטפרי (ואולי אף לכאלו שלא) כרגע לא מדובר בסכנה של דליפת מידע משום סוג, מעבר להוספת קיצורי דרך שאינם רצויים, ותהליך פעיל. -
@נטפריס השאלה אם הסריקה היזומה שקולה גם להגנת הEXPLOIT שלהם שאמורה לזהות איומים בזמן-אפס גם כשהם לא מופיעים ברשימת החתימות,אלא על פי פעילותם ברגע האמת.
ייתכן שבסריקה הם לא מזוהים כל זמן שהם לא פועלים.
מעניין עם וירוס טוטל מחשב גם את זה.
בכל אופן תודה רבה על התשובה.
שלחתי למלוורבייטס מייל עם הקישורים שהבאת לעיל, שיוסיפו לתוכנה. -
@yyy הוירוס ש@נטפריס מדבר עליו [יוצר 3 קיצורי דרך בכל תיקיה] לא טופל ע"י USBFIX.
אצלך כן? [פשוט חבל על 150 ש"ח לרכישת אווסט (לא בדקתי כמה זה עולה אצל הצידקים פה שמוכרים ב15% הנחה)] -
@yyy אמר בוירוס לא מוכר:
https://www.fosshub.com/UsbFix.html
מהנסיון שליתבדוק את זה עם וירוס טוטאל ותיהיה מופתע מהתוצאות...
-
@שלום-על-ישראל
הוירוס של ה 3 קיצורי דרך נמחק ע''י eset הגירסאות האחרונות שלהם -
@r88 אמר בוירוס לא מוכר:
תבדוק את זה עם וירוס טוטאל ותיהיה מופתע מהתוצאות...
-
@zeevgros לזה בדיוק התכוונתי רק שכתבתי בטעות אווסט במקום איסט... תודה בכל אופן.
-
האם זה קשור ללקוחות נטפרי שהתקינו את התוכנה?
מה שהתגלה לי הוא שכשאני מפעיל את המחשב מחדש (בד"כ אני משאיר אותו במצב שינה) עולה שני חלוניות של WIDDOWS UPDATER שאומר שווינדוס ניסה להתעדכן בהפעלה ונכשל, בבדיקה בניהול המחשב מופיע שתוכנת הWIFREESERVICE הכשילה את העדכון, לפי מה שנראה התיקיה הראשונה שנוצרת הקיצורי דרך, היא ב-C:\WinddowsUpdater צריך לבטל הסתרת קבצי מערכת וכן לבטל הסתרת פריטים מוסתרים ואז מופיע התיקיה ב-C .
-
@zeevgros האם זה לא חוזר אח"כ?
-
@mozes לפי פשוטו נראה שהוויפרי חסמה חיבור לאינטרנט ולכן נחסם העידכון. תתחבר בהדלקה לשרת של נטפרי והעידכון ירד.
הוירוס נצפה גם במחשבים שלא קשורים כלל לנט פרי וממילא ח"ו וויפרי היא לא הגורמת. -
@mozes
האם כך נראית ההודעה?
או כך?
אם כן ההודעה היא בעקבות הוירוס.
וזה אומר שהוירוס כבר אינו קיים, אבל הרישום שלו בהפעלת המחשב קיים.
יעזור לבטל את זה השימוש בקבצים שהועלו בתחילת האשכול.@mozes אמר בוירוס לא מוכר:
בבדיקה בניהול המחשב מופיע שתוכנת הWIFREESERVICE הכשילה את העדכון
צילום מסך מהודעה זו יעזור. שום קשר לא אמור להיות בין השניים (אם ההודעה היא התמונה הנוכחית אין לזה שום קשר לעדכונים).
-
מחיקת וירוס שיוצר קיצורי דרך בכל תיקיה
יש לפתוח את מנהל המשימות ולסיים את פעילות היישום WinddowsUpdater (ברשימת תהליכים).
לאחר הפסקת פעולת הוירוס ניתן להגדיר שהסייר יציג קבצי מערכת מוסתרים (לפנ"כ הוירוס משנה את ההגדרה חזרה תוך רגעים).
הווירוס מסתתר בתקייה מוסתרת בתוך כונן C תחת השם WinddowsUpdater ומתוכה הוא מופעל יש למחוק את התיקייה הנ"ל.
ההדבקה נעשית באמצעות קבצי הווירוס שמופעים בכל הכוננים ובכל התקן נגוע בתיקייה מוסתרת תחת השם WinddowsUpdaterCheck פשוט למחוק כל תיקייה כזו מכל ההתקנים.
(אנטי וירוס מייקרוסופט אינו מזהה את הקבצים הנ"ל כווירוס).
המחשב נקי!!!!להשלמת הנקיון ניתן למחוק את הרישום שמפעיל את הוירוס בעליית המחשב (גם אם לא מוחקים לא קורה כלום כי הקובץ כבר לא נמצא).
למי שמתמצא בקבצי הרג'יסטרי ניתן למחוק את הרישום מהכתובת דלהלן:
HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run
ולמחוק את המפתחות
WinddowsUpdate
WinddowsUpdaterמי שאינו מתמצא הרישום ניתן להשתמש בתוכנת ה Cקלינר בכלי רישום ולבחור בקטגוריה הפעלה באתחול לאחר הסריקה יופיעו שני ערכי הרישום הנ"ל וניתן לאשר למוחקם
בהצלחה!!!
-
@professional
תודה רבה!!!!!!!!!!!!!!!
אכן זה קשור לווינדוס אופדייטר
יש לציין שבמנהל הישומים (עכ"פ אצלי) זה רשום בשם אחר משהו כמו AUTO... V.... 3