Alarm! Новый особо опасный вирус в интернете: brastk.exe

 

U235

старожил
★★★★★
Пишу, т.к. сам буквально на днях на него нарвался и чуть не доигрался до полной установки системы

Вирус спокойно проходит через антивирусную защиту, и очень эффективно блокирует работу антивируса и сети. По крайней мере, мой Касперский 2009 со свежими обновлениями он завалил играючи. Автора этой пакости я даже за уважал за такую эффективность, хотя, блин, за бессонную ночь заодно прибить его нафиг готов и руки пообрывать.

Вирус проявляется, как я уже выше написал, сильными тормозами при загрузке. Машина может по 10-15 минут висеть после входа в систему, показывая часть рабочего стола. Не запускаются или сильно тормозят антивирусы и некоторые сетевые службы типа DHCP или Диспетчера сетевых подключений. При попытке пинга выдается сообщение "Невозможно инициализировать Windows Socket. Код ошибки 0". Если сеть еще есть, от Firefox может выдавать ошибку и отключаться, а IE просто долго тормозит при загрузке страниц. Так же наблюдаются общие тормоза системы, сообщения о системных ошибках типа "память не может быть...", а так же жалобы службы безопасности Windows на вирусную активность.

Если наблюдаются эти симптомы, то прежде всего заходим в msconfig и смотрим, нет ли там в автозагрузке файла brastk.exe Если есть, то вы попали :( . Удалять файл из автозагрузки безполезно: он снова там появится при следущей загрузке. Надо в защищенном режиме удалить brastk.exe из system и system32, кроме этого удалить файл с зашифрованным телом вируса в system или system32 - karna.dat и файл драйвера beep.sys в system32/drivers, где этот вирус прописывается. После этого снимаем brastk с автозагрузки и удаляем упоминания о нем и о karna.dat из реестра. Более подробная информация о вирусе здесь:


braviax.exe, brastk.exe - Форум фан-клуба Лаборатории Касперского

Фан-клуб Лаборатории Касперского - независимый проект, объединяющий пользователей Антивируса Касперского.

// forum.kasperskyclub.ru
 



Для чистки реестра перед удалением файлов вируса очень удобно пользоваться програмкой OSAMA отсюда:

http://forum.online-solutions.ru/viewtopic.php?t=136
Autorun Manager

После всех этих процедур загрузившись в нормальном режиме придется воспользоваться утилиткой WinsockXPFix.exe, если сеть уже блокирована, чтобы восстановить затертую вирусом ветвь реестра, из-за которой и блокируется работа сети.
В человеке всё должно быть прекрасно: погоны, кокарда, исподнее. Иначе это не человек, а млекопитающее  3.0.33.0.3
+
-
edit
 

Mishka

модератор
★★★
Блин, сколько раз надо повторять — не надо работать по администратором! :( И не сядет он тогда.
 3.0.33.0.3
+
-
edit
 

AGRESSOR

литератор
★★★★★
А почему - бессонная ночь, если его так легко в безопасном режиме удалить?
 

U235

старожил
★★★★★
На самом деле я несколько дней на это потратил, пока не разобрался. Поначалу я на сбой системы грешил и почти все время убил на лечение и переустановку системы, пока не выяснил, что дело в новом вирусе.

А что под админом работать не стоит, в теории оно конечно понятно, но на практике, пока не нарвешься, ну очень лениво переключаться между пользователями, чтобы програмку какую установить. Да и на Касперский с регулярными обновлениями надеялся. Сейчас, конечно, буду думать в этом направлении
В человеке всё должно быть прекрасно: погоны, кокарда, исподнее. Иначе это не человек, а млекопитающее  3.0.33.0.3
+
-
edit
 

Mishka

модератор
★★★
Наш ловит с 9 октября — http://www.ca.com/securityadvisor/pest/pest.aspx?id=453141857 — у меня наш стоит, т.к. бесплатно.
 3.0.33.0.3

Mishka

модератор
★★★
U235> А что под админом работать не стоит, в теории оно конечно понятно, но на практике, пока не нарвешься, ну очень лениво переключаться между пользователями, чтобы програмку какую установить. Да и на Касперский с регулярными обновлениями надеялся. Сейчас, конечно, буду думать в этом направлении

runas спасает отца русской демократии почти всегда. :)
 3.0.33.0.3
+
-
edit
 

Balancer

администратор
★★★★★
Какие ужасы творятся в мире альтернативных ОС... :)
 

GOGI

координатор
★★★★
не тролль Рома.
вот именно потому что у тебя альтернативная ос, нет этих проблем.
начни в линуксе домохозяйки под рутом сидеть и все подряд запускать, будут те же самые проблемы.
1  

Balancer

администратор
★★★★★
GOGI> начни в линуксе домохозяйки под рутом сидеть и все подряд запускать, будут те же самые проблемы.

Не начнут. Просто не смогут :) Масса прикладных (и даже ряд системных) программ под рутом просто не запускаются, ругаясь на небезопасность этого занятия. Под Linux сегодня работа из под рута на десктопе искуственно затруднена.

А под Windows - обратная ситуация. Затруднена работа под юзером. Отсюда и проблемы :)

Более того, даже инсталляцию по дефолту взять. Под Linux в любом нормальном дистрибутиве тебе по умолчанию предложат обычного малопривелегированного пользователя, а под Windows по дефолту регстрится админ. И простого юзера надо заводить вручную и отдельно.

Но, более того, эта проблема - не единственная. Не раз уже спорили, например, о системном регулярном обновлении всего софта, что под Windows просто как явление отсутствует. Нет там понятия централизованного системного репозитория. Поэтому масса народа сидит на устаревших и нередко небезопасных версиях софта. Ткнулся ты на сайт, а там флешка стоит, которая через дырочку в 9-м флеше в систему что-то протащит.

Вот вышел 10-й флеш. Многие ли из вас обновились уже на него? Маловероятно. А у меня - на всех машинах он уже стоит без моего прямого участия. Опера, вот, до 9.62 тоже сама уже обновлена, мне только перезапустить её надо, а то третий день не перезапускаю :)

А под винду как сядешь... vlc - старый, gom-плеер предлагает обновиться, ТВ-тюнер предлагает обновиться... А предлагает - это, значит, он тебе страничку сайта откроет. А дальше - качай, сохраняй, запускай, жми много раз Next, а то, гляди, ещё и машину перезапускай. Часто просто ломает, даже если в программе нотификация о новых версиях предусмотрена.
 

HolyBoy

аксакал

GOGI> начни в линуксе домохозяйки под рутом сидеть и все подряд запускать, будут те же самые проблемы.

А если автомобилисты начнут заливать в свою машину любое топливо, то двигатель сломается, а если пить сырую воду, то шансы заболеть увеличиваются, а если…

Это я к тому, что если человек не разбирается в вопросе, то можно таких дров наломать. Некоторые программы, кстати, под рутом не запускаются. :) Но это те, где создатели озаботились подобными вещами.
 

Balancer

администратор
★★★★★
GOGI> не тролль Рома.

Это не троллинг, это пропаганда здорового образа жизни :)
 
+
-
edit
 

HolyBoy

аксакал

Balancer> Но, более того, эта проблема - не единственная. Не раз уже спорили, например, о системном регулярном обновлении всего софта, что под Windows просто как явление отсутствует.

Единственное «но» — это компроментация репозитория, как у РХ недавно.

PS И снова в одно время написали. :)
 
+
-
edit
 

Balancer

администратор
★★★★★
HolyBoy> Единственное «но» — это компроментация репозитория, как у РХ недавно.

Так и WindowsUpdate скомпромитировать можно :) Не говоря уже про автообновления тех же Firefox'ов или iTunes'ов.

Наоборот, один крупный репозиторий скомпромитировать сложнее, чем десятки маленьких и частных :)
 

ED

аксакал
★★★☆
☠☠
Balancer> А под винду как сядешь... vlc - старый, gom-плеер предлагает обновиться, ТВ-тюнер предлагает обновиться... А предлагает - это, значит, он тебе страничку сайта откроет...

А вот что дальше у некоторых бывает:
Девочка-секретарша отправляет почту, а у неё выскакивает окошко
- Вышла новая версия IE (ну или WMP - не суть), не хотите ли мол обновиться. Бесплатно!
- НУ естественно, хочу - думает девочка и тыкает кнопку.
-В процессе установки Мелкософт хочет проверить вашу регистрацию, вы согласны?
Девочка тыкает кнопку даже не читая.
-А Винда то ваша тыренная, посему предлагаем её активировать в течении 22 дней. Иначе кирдык.

В итоге никакого обновления. Но девочке уже не до него, появилась забота покруче.

Далеко не единичный случай.
 6.06.0

Balancer

администратор
★★★★★
ED> Далеко не единичный случай.

Да. Далеко не единичный и довольно распространённый случай :)

Но, полагаю, не стоит сильно разделять операционную систему, её производителя и его маркетинговые решения :)
 
CZ D.Vinitski #01.11.2008 14:23
+
-
edit
 

D.Vinitski

филин-стратег
★★
Я - Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру.
Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
Заранее благодарен за понимание и сотрудничество.
 
 
CZ D.Vinitski #01.11.2008 14:27
+
-
edit
 

D.Vinitski

филин-стратег
★★
Полно патчей, делающих Билли хорошо :)
 
RU Balancer #01.11.2008 14:29  @D.Vinitski#01.11.2008 14:23
+
-
edit
 

Balancer

администратор
★★★★★
>Я - Албанский вирус

Блин, надо поднять старую ICQ-хистори конца 1990-х и найти первую формулировку. Для истории, так сказать. «Албанский» тогда ещё ничего не значило :) Там упоминался только разработчик-ламер. Ну и всё сообщение влезало в 450 символов по памятными причинам :)
 
CZ D.Vinitski #01.11.2008 14:31
+
-
edit
 

D.Vinitski

филин-стратег
★★
В 1995-м поймали с дискеты вирус, который играл музыку и рекомендовал связаться по телефону в Москве.
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru