Компания «Доктор Веб» — российский разработчик средств информационной безопасности – сообщает о появлении в Интернете опасного троянца, уничтожающего все файлы и папки на зараженном компьютере. Первые случаи инфицирования Trojan.KillFiles.904 зафиксированы в начале июня 2009 года.

Проникая в компьютер жертвы, Trojan.KillFiles.904 перебирает локальные и съемные диски в порядке от Z до A. В найденном диске троянец начинает удалять папки и файлы, перебирая их названия по алфавиту. Если удалить файл не удается, к примеру, по причине его использования, троянец делает его скрытым. Особая опасность заключается в том, что действия Trojan.KillFiles.904 касаются всех файлов и папок, находящихся на жестком диске компьютера жертвы, за исключением системных. Таким образом, пользователь может потерять все данные на дисках, при этом его операционная система продолжит свою работу.

Уникальным для современных вредоносных программ свойством данного троянца является нанесение максимального урона пользователю. В отличие от получивших в последнее время широкое распространение программ-вымогателей, Trojan.KillFiles.904 не просит о каких-либо финансовых вложениях и не пытается что-либо украсть – он просто уничтожает всю информацию, хранящуюся в зараженной системе.

Можно предположить, что данный троянец, появившийся в начале июня 2009 года, продолжает традицию вируса Win32.HLLW.Kati, также известного как Penetrator, который повреждает файлы форматов Microsoft Word и Excel, а также фотографии и мультимедийные файлы. За тем исключением, что Trojan.KillFiles.904 представляет еще большую угрозу.

В связи с опасностью инфицирования Trojan.KillFiles.904, компания «Доктор Веб» рекомендует использовать исключительно лицензионное антивирусное ПО с последними обновлениями.
источник

Эпично проебал гет 100.

А ведь хотел поиздеваться над тем кто это сделает.

Итак настал момент создания нового холивара.
Идея такая:

Есть два 3 фронта:
1. Считают что вода из вехней бутылке перельётся в нижнюю
2. Счтиают что вода не сможет перелдиться
3. Считают что вот так невозможно слеить бутылки

Чью сторону выберишь ты? Обоснуй ёба…

Microsoft выпустила бюллетень безопасности для уязвимости «нулевого дня» в DirectShow. Уязвимость существует из-за ошибки в QuickTime Movie Parser Filter (quartz.dll) при обработке QuickTime файлов.

Уязвимые системы
Уязвимость существует в Microsoft DirectX 7.0, 8.1, 9.0, 9.0a, 9.0b и 9.0c на платформах Microsoft Windows 2000, XP и 2003.
Windows Vista, Windows Server 2008 и более поздние версии Windows не подвержены этой уязвимости, так как на этих системах отсутствует уязвимый компонент.

На уязвимости не влияет наличие Apple QuickTime на системе.

Возможные векторы атаки
Злоумышленник может с помощью Web сайта заставить браузер пользователя использовать плагин для просмотра специально сформированных QuickTime файлов, и таким образом, получить возможность эксплуатации уязвимости в библиотеке quartz.dll.
Внимание, атака может быть произведена с помощью любого браузера, не только Internet explorer.

Также, злоумышленник может обманом заставить пользователя проиграть специально сформированный файл в Windows Media Player и воспользоваться уязвимостью.

Варианты защиты
Microsoft рекомендует следующие временные решения:

1. Отключить обработку QuickTime файлов в quartz.dll. Для этого необходимо удалить ключ:

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

Эта самое лучшее временное решение, т.к. оно позволяет полностью отключить обработку QuickTime файлов в DirectShow и не затрагивает другой функционал компонента.

2. Установить Kill-bit для Windows Media Player ActiveX компонента.

Это решение позволит защититься от вектора атаки, используемого злоумышленниками в настоящее время. Для этого, установите Kill-bit для следующего ключа:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
«Compatibility Flags»=dword:00000400

Преимущество этого варианта заключается в том, что вы сможете использовать Windows Media Player для просмотра QuickTime файлов через DirectShow. Недостаток – этот вариант защищает вас только от эксплуатации уязвимости через Internet Explorer. Другие векторы атаки, включая атаки через другие браузеры все еще возможны.

3. Отключить библиотеку quartz.dll

Для этого следует выполнить команду:

Regsvr32.exe –u %WINDIR%\system32\quartz.dll

Этот вариант может существенно повлиять на работу других приложений на системе.

Внешко.

Локалко.

При каждом включении компьютера автоматически запускается диагностическая программа самотестирования при включении питания POST (Power-On-Self-Test), которая «записана» в ПЗУ BIOS.
POST выполняет проверку всех важнейщих компонентов компьютера: контролирует работоспособность процессора, CMOS, поддерживающих чипов материнской платы, а также проводит быстрый тест оперативной памяти. Информация о том, как прошла диагностика компьютера, выдается на динамик компьютера в виде специального звукового сигнала.
Если компьютер работает нормально, то есть диагностическая программа POST успешно завершилась, вы услышите один короткий звуковой сигнал, после чего начнется загрузка операционной системы компьютера.
При обнаружении неработоспособного компонента компьютера диагностическая программа POST выдает специальный звуковой сигнал (последовательность коротких и длинных гудков), характеризующий обнаруженную ошибку, а компьютер прекращает свою работу.
Если компьютер выдал последовательность коротких и длинных гудков и прекратил работу, нужно подсчитать число гудков для последующего их анализа. Можно выключить компьютер, выждать около 30 секунд и снова его включить. Подсчитав гудки, найдите вашу комбинацию звуковых сигналов в таблице, соответствующей BIOS вашего компьютера. В таблицах, которые приведены на этой странице, вы найдете расшифровку звуковых сигналов. Таким образом, даже без специальных средств диагностики можно локализовать неисправность персонального компьютера.

ВНИМАНИЕ:
Поскольку содержимое ПЗУ BIOS фирмы IBM было защищено авторским правом (то есть его нельзя было копировать другим фирмам), большинство других фирм-производителей компьютеров было вынуждено использовать ПЗУ BIOS независимых фирм. BIOS этих независимых фирм были практически полностью совместимы с IBM BIOS, однако кодировка звуковых сигналов диагностической программы POST у каждой независимой фирмы-производителя BIOS своя, не совпадающая с кодировкой звуковых сигналов IBM BIOS.

ВНИМАНИЕ:
Не воспринимайте эту информацию, как абсолютно достоверную. Кодировка звуковых сигналов может меняться по мере выхода новых версий BIOS. Кроме этого, надо учитывать, что звуковые сигналы облегчают проведение предварительной локализации неисправного компонента, указывая правильное направление для дальнейшей диагностики неисправности компьютера.