Také jsem si ve svých Windowsech kliknul na tento dobře maskovaný virus, který se tváří jako obrázek. V tomto článku najdete odkazy, které by Vám měly pomoci s jeho odstraněním.

Pokud jste si tento virus chytli, nejspíš by Vás zajímalo co tento virus způsobuje. Tak především zpomaluje internet, v mém případě neustálým uploadem dat - bohužel jsem nezjistil o jaká data šlo. Rozešle se lidem ve Vašem contact listu a také - až se u Vás virus zabydlí a zjistí potřebné informace - bude Vám posílat své aktualizace na e-mail (s tím že je to bezpečnostní záplata). Dále zpomaluje počítač, shazuje antiviry/firewally a u některých zabraňuje instalaci. To byl také můj případ, měl jsem totiž své widle absolutně nechráněné a zatím jsem se na svůj instinkt při klikání na nebezpečné soubory mohl spolehnout (od přímého útoku mně zase chrání provider a neveřejná IP adresa).

Nějakou dobu jsem se tedy pral s instalací NODa a posléze Kasperskyho antiviru - ani v jednom případě úspěšně. Nakonec jsem díky mému spolužákovi (Kesy) narazil na tuto stránku: [odkaz]. V době psaní článku je ještě post o tomto viru (Bouřlivá noc za asistence viru Win32/Stration!) na prvním místě, je teď totiž dost rozšířený. Určitě se na tuto stránku podívejte a post si přečtěte.

Ptáte se proč je tento virus tak účinný ? No zkrátka nějaký tvůrce virů si všiml velice zajímavé vlastnosti Apache a to jest přiřazení prakticky jakémukoliv souboru jakékoliv extension. Dá se to využít např. tak, že dáte php souborům koncovku HTML a uživatel v domění, že je na HTML stránce tak ani nepozná, že se nachází na php skriptu. Někdo si tedy nastavil, aby jeho soubory .jpg byly ve skutečnosti windowsáckými spustitelnými soubory .exe ... a velký problém je na světě.

Odstranění viru

Tento virus má již několik verzí, a tak možná budete mít s odstraněním větší problémy než já (odchytil jsem si jednu z prvních verzí). Já postupoval podle topicu na tomto fóru [odkaz].

Pak jsem ještě NODem, který už se mi v této fázi podařilo nainstalovat projel disk s následujícím výsledkem:

C:WINDOWSsystem32confbrw.dll - a variant of Win32/Stration worm - deleted (po restartu)
C:Documents and Settings100110011001001Local SettingsTemp2C9.tmp - Win32/Stration.HG worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034308.exe - Win32/Stration worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034309.dll - Win32/Stration worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034310.exe - Win32/Stration worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034311.dll - Win32/Stration worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034312.dll - Win32/Stration worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034313.dll - Win32/Stration worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034317.exe - Win32/Stration.HH worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034374.dll - Win32/Stration.HF worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034376.dll - Win32/Stration.HG worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034377.exe - Win32/Stration.HH worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034379.dll - Win32/Stration.HF worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034384.exe - Win32/Stration.HP worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034385.exe - Win32/Stration.KC worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034386.dll - Win32/Stration.HF worm - deleted
C:System Volume Information_restore{5983F095-73B6-402E-8B43-71544F290E80}RP129A0034387.exe - Win32/Stration.HF worm - deleted

Pokud Vám tento topic nepomůže, určitě sledujte jiné vlákna na tomto fóru nebo si založte vlastní. Na první pohled se tam pohybují lidé, kteří se v tomto oboru opravdu vyznají. Nápomocná Vám jistě bude i hlavní stránka, pod kterou fórum patří. Odkaz jsem už zmiňoval výše.

7 komentářů

Neváhejte napsat k článku komentář

Nevyplňujte:

  1. 1
    Touny

    Mimochodem neví někdo co způsobuje nefunkčnost orig. ICQ klienta ? Jsem uvažoval jestli to nemá nějakou souvislost s timhle virem, jako jeslti to ICQčkaři schválně neodstřelili aby dali čas antivirovým společnostím.

  2. 2
    Touny

    Tak jsem se ho pořád plně nezbavil, dneska přišla aktualizace virové databáze a byl nalezen Stration:

    c:windowssystem32brwstat.dll

  3. 3
    bs

    já na žádný tyhle sračky neklikal ;o) i když mi jich přišlo asi 10 od různých lidí. btw od tebe mi asi nepřišlo nic. no co ... radši projedu disk nodem a zjistim, jestli u mě něco bydlí. Ty budeš muset asi reinstalnout no :)

  4. 4
    bs

    jestli je ten tvůj mail tohle:Mail server report.Our firewall determined the e-mails containing worm copies are being sent from your computer.Nowadays it happens from many computers, because this is a new virus type (Network Worms).Using the new bug in the Windows, these viruses infect the computer unnoticeably.After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mailaddressesPlease install updates for worm elimination and your computer restoring.Best regards,Customers support servicetak na to se*, to mi přišlo taky a nod nic nedetekoval

  5. 5
    Touny

    Nevim přesně jeslti ten mail vypadal takhle, navic co jsem tak četl tak má víc podob ... přišel ti k tomu i exe soubor ? Tak si ho spust kdyz to nic neni n :D

    BTW možná ten vir narazil na tvůj email právě přeze mně, protože, si myslim že mezi těma datama co se ode mně odesílaly byl i seznam emailů.

    Jo sorr, že jsem ti zničil řádkování ;) moje chyba, ale to s*aní je zase tvoje ;o)

  6. 6
    Touny

    Proč bych musel reinstalovat ? To jsem si sice taky myslel ale teď když už jsem pod ochránýmí křídly NODa, tak je to už jen otázka času, navíc už jsem skoro čistej, ale pořád ještě občas NOD zachytává nějaký pokusy o spuštění nějakých nekalých věcí.

  7. 7
    Touny

    Tak už nejsem pod ochranými křídly NODa :-), my pořád chodila taková divná aktualizace do něj, která neměla verzi databáze, tak jsem ji několikrát odmítnul s tim že to je možná nějakej podvrch toho viru ... no nakonec jsem neodolal a při příštím rebootu NOD v háji :-) .