[lameXpert]

Idézet

Futásakor a féreg leállítja az alábbi felsorolásból kiválasztva a rendszeren futó aktív antivírus, tûzfal és más védelmi programokat, illetve azokat a folyamatokat, melyek egy régebbi Bagle vagy Netsky fertõzés maradványai lehetnek.

AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, Au.exe, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVprotect9x.exe, AVPUPD.EXE, avserve2.exe, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CCAPP.exe, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, D3dupdate.exe, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, ETSPYHUNTER-1.2.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, iSafe.exe, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE, KERIO-PF-213-EN-WIN.EXE, KERIO-WRL-421-EN-WIN.EXE, KERIO-WRP-421-EN-WIN.EXE, KILLPROCESSSETUP161.EXE, LDPRO.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LSETUP.EXE, LUALL.EXE, LUCOMSERVER.EXE, LUINIT.EXE, MCAGENT.EXE, MCUPDATE.EXE, MFW2EN.EXE, MFWENG3.02D30.EXE, MGUI.EXE, MINILOG.EXE, MOOLIVE.EXE, MRFLUX.EXE, MSCONFIG.EXE, MSINFO32.EXE, MSSMMC32.EXE, MU0311AD.EXE, NAV80TRY.EXE, NAVAPW32.EXE, NAVDX.EXE, NAVSTUB.EXE, NAVW32.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NETARMOR.EXE, NETINFO.EXE, NETMON.EXE, NETSCANPRO.EXE, NETSTAT.EXE N, NISSERV.EXE, NISUM.EXE, NMAIN.EXE, NORTON_INTERNET_SECU_3.0_407.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NSCHED32.EXE, NTVDM.EXE, NUPGRADE.EXE, NVARCH16.EXE, NWINST4.EXE, NWTOOL16.EXE, OSTRONET.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE, PADMIN.EXE, PANIXK.EXE, PAVPROXY.EXE, PCC2002S902.EXE, PCC2K_76_1436.EXE, PCCIOMON.EXE, PCDSETUP.EXE, PCFWALLICON.EXE, PCIP10117_0.EXE, PDSETUP.EXE, PERISCOPE.EXE, PERSFW.EXE, PF2.EXE, PFWADMIN.EXE, PINGSCAN.EXE, PLATIN.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PPINUPDT.EXE, PPTBC.EXE, PPVSTOP.EXE, PROCEXPLORERV1.0.EXE, PROPORT.EXE, PROTECTX.EXE, PSPF.EXE, PURGE.EXE, PVIEW95.EXE, QCONSOLE.EXE, QSERVER.EXE, RAV8WIN32ENG.EXE, RESCUE.EXE, RESCUE32.EXE, RRGUARD.EXE, RSHELL.EXE, RTVSCN95.EXE, RULAUNCH.EXE, SAFEWEB.EXE, SBSERV.EXE, SD.EXE, SETUP_FLOWPROTECTOR_US.EXE, SETUPVAMEEVAL.EXE, SFC.EXE, SGSSFW32.EXE, SHELLSPYINSTALL.EXE, SHN.EXE, SMC.EXE, SOFI.EXE, SPF.EXE, SPHINX.EXE, SPYXX.EXE, SS3EDIT.EXE, ST2.EXE, SUPFTRL.EXE, SUPPORTER5.EXE, SYMPROXYSVC.EXE, SYSEDIT.EXE, TASKMON.EXE, TAUMON.EXE, TAUSCAN.EXE, TC.EXE, TCA.EXE, TCM.EXE, TDS2-98.EXE, TDS2-NT.EXE, TDS-3.EXE, TFAK5.EXE, TGBOB.EXE, TITANIN.EXE, TITANINXP.EXE, TRACERT.EXE, TRJSCAN.EXE, TRJSETUP.EXE, TROJANTRAP3.EXE, UNDOBOOT.EXE, UPDATE.EXE, VBCMSERV.EXE, VBCONS.EXE, VBUST.EXE, VBWIN9X.EXE, VBWINNTW.EXE, VCSETUP.EXE, vetmsg.exe, VetTray.exe, VFSETUP.EXE, VIRUSMDPERSONALFIREWALL.EXE, VNLAN300.EXE, VNPC3000.EXE, VPC42.EXE, VPFW30S.EXE, VPTRAY.EXE, VSCENU6.02D30.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSISETUP.EXE, VSMAIN.EXE, VSMON.EXE, VSSTAT.EXE, VSWIN9XE.EXE, VSWINNTSE.EXE, VSWINPERSE.EXE, W32DSM89.EXE, W9X.EXE, WATCHDOG.EXE, WEBSCANX.EXE, WGFE95.EXE, WHOSWATCHINGME.EXE, WINRECON.EXE, WNT.EXE, WRADMIN.EXE, WRCTRL.EXE, WSBGATE.EXE, WYVERNWORKSFIREWALL.EXE, XPF202EN.EXE, ZAPRO.EXE, ZAPSETUP3001.EXE, ZATUTOR.EXE, ZAUINST.EXE, zlclient.exe, ZONALM2601.EXE és ZONEALARM.EXE.

A biztonsági folyamatok leállításával teljesen védtelenné teheti a fertõzött gépet más malware támadásokkal szemben.

[lameXpert]

Idézet

Behavior
Adware.Istbar is an adware component, which does one or more of the following:

    * Installs an Internet Explorer toolbar
    * Acts as a Home page and search hijacker
    * Pops up advertisements, often pornographic in nature



Symptoms

    * The existence of the file: C:\Program Files\ISTsvc\ISTsvc.exe.

    * The files are detected as Adware.Istbar.



Transmission
Various distribution channels exist. For example, Adware.Istbar can be downloaded and installed from affiliate sites, typically pornographic in nature.

technical details
File names: ISTsvc.exe

When Adware.Istbar is installed, it does the following:

1. Creates the folder, C:\Program Files\ISTsvc, and copies itself to this folder as ISTsvc.exe.

2. Adds the values:

      "IST Service" = "C:\Program Files\ISTsvc\ISTsvc.exe"
      "[5 random ASCII characters]"  = "[path to adware]"

      to the registry key:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      so that the Adware runs when you start Windows.

3. Creates the registry key:

      HKEY_LOCAL_MACHINE\Software\ISTsvc

4. May install a toolbar for Internet Explorer, act as the Home page, and search hijacker, or display pornographic pop-ups.

5. Allows third-party adware and spyware installations to run on the computer.



removal instructions

Note: Removing this adware component from the system will likely cause the program that installed it to not function as intended. The uninstaller generally identifies the programs that will not work after uninstallation.

Removal using the Adware.Istbar Removal Tool
Symantec Security Response has developed a removal tool for Adware.Istbar. Use this removal tool first, as it is the easiest way to remove this threat.

The tool can be found here:
http://securityrespo...er/FxIstbar.exe

The current version of the tool is version 1.0.7. It will have a digital signature timestamp of 23 November 2004 04:45:25 AM PST

Note:

    * The date and time displayed will be adjusted to your time zone, if your computer is not set to the Pacific time zone.
    * The removal tool may terminate Internet Explorer and Windows Explorer. It is recommended that users save their work and log out of these programs before running the removal tool.
    * The removal tool will reset the Internet start page to a blank page. The start page can be modified by clicking on Tools > Internet Options in Internet Explorer.
    * The removal tool will not delete some harmless Temporary Internet files, which Adware.Istbar created, in C:\Documents and Setings\Administrator\Local Settings\Temporary Internet Files.
      These can be manually deleted using the following steps:
      1. Start Internet Explorer.
      2. Click Tools > Internet Options.
      3. In the Temporary Internet Files section, then click the Delete Files button.
      4. Check Delete all offline content, and then click OK.




Manual Removal Instructions

1. Update the virus definitions.
2. Restart in Safe mode.
3. Run a full system scan and delete all the files detected as Adware.Istbar.
4. Delete the value that was added to the registry.

For specific details on each of these steps, read the following instructions.

1. Updating the virus definitions
Symantec Security Response fully tests all the virus definitions for quality assurance before they are posted to our servers. There are two ways to obtain the most recent virus definitions:

    * Running LiveUpdate, which is the easiest way to obtain virus definitions: These virus definitions are posted to the LiveUpdate servers once each week (usually on Wednesdays), unless there is a major virus outbreak. To determine whether definitions for this threat are available by LiveUpdate, refer to the Virus Definitions (LiveUpdate).
    * Downloading the definitions using the Intelligent Updater: The Intelligent Updater virus definitions are posted on U.S. business days (Monday through Friday). You should download the definitions from the Symantec Security Response Web site and manually install them. To determine whether definitions for this threat are available by the Intelligent Updater, refer to the Virus Definitions (Intelligent Updater).

      The Intelligent Updater virus definitions are available: Read "How to update virus definition files using the Intelligent Updater" for detailed instructions.



2. Restarting the computer in Safe mode
Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the computer in Safe mode or VGA mode. For instructions, read the document, "How to start the computer in Safe Mode."


3. Scanning for and deleting the infected files

1. Start Norton AntiVirus and make sure that it is configured to scan all the files. For more information, read the document, "How to configure Norton AntiVirus to scan all files."
2. Run a full system scan.
3. If any files are detected as infected with Adware.Istbar, click Delete.



4. Deleting the value from the registry
Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.

1. Click Start > Run.
2. Type regedit > OK.

3. Navigate to the key:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. In the right pane, delete the value:

      "IST Service" = "C:\Program Files\ISTsvc\ISTsvc.exe"
      "[5 random ASCII characters]"  = "[path to adware]"

5. Navigate to and delete the key:

      HKEY_LOCAL_MACHINE\Software\ISTsvc

6. Exit the Registry Editor.

[lameXpert]

2005-01-25

Dialer
+ Coulomb Ltd.Content Access Plugin (14554) + WebDialer + Connect MFC Application (5)
Hijacker
+ ATLEvents.ATLEvents + CoolWWWSearch.BadZoneMap + Astalavista + Windowssearch + CoolWWWSearch.Feat2Installer.ADS
Malware
+ AbetterInternet + CallingHome.biz + Look2Me.Topconverting + Huntbar (2) + ISearchTech.YSB + ISearchTech.ISTrecover
Spyware
+ FindSpy.A + NicTechNetworks.Zestyfind + Wind Updates + Xuron55.Installdollars
Trojan
+ Chin + Dluca-M + Padodo-P + Small-PB + Network Essentials.Hopper + Network Essentials.SmartpopOops + Network Essentials.SmartPops + AdDestroyer + Virtual Bouncer + DownloadWare.SED + MZS.Spoolserver32

[Lali-213]

Idézet: lameXpert - Dátum: 2005. jan. 31., hétfõ - 10:17

2005-01-25

Dialer
+ Coulomb Ltd.Content Access Plugin (14554) + WebDialer + Connect MFC Application (5)

Ezektõl mentsen meg az ég! Meg a biztonsági rendszerem.

[lameXpert]

Idézet

Problems with download servers.
We apologize to customers and partners for the problems caused by our download servers over the past few days.

A recent virus outbreak and an exceptionally large antivirus database update created an unprecedented load on our servers. This meant the servers were inaccessible for long periods.

We have now completely restructured our update procedure. This means that the cumulative update released on 28.01.05, which contributed to the server problems,was the last update of such a large size.

We are also reviewing our download server system to ensure that our servers will function effectively at times of peak demand.

[lameXpert]

Idézet

DyFuCA

Delete the following directories:

Dialers

Delete the following files:

ActAlert.exe
update.exe
nem219.dll
wsem301.dll
COMEDY.EXE
VIEW-M~1.EXE
wsem218.dll

Delete the following Cookies:

DyFuCA does not create any cookies

Delete the following registry keys:

{CEA206E8-8057-4A04-ACE9-FF0D69A92297}
{d8e25c53-9508-4f5c-9249-d98d438891d5}
{00000010-6f7d-442c-93e3-4a4827c2e4c8}
{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}
{f7f808f0-6f7d-442c-93e3-4a4827c2e4c8}
{EEE4A2E5-9F56-432F-A6ED-F6F625B551E0}
{AA4939C3-DECA-4A48-A454-97CD587C0EF5}
{1c01d150-91a4-4de0-9bf8-a35d1bdf1001}
{00211813-6223-4c6a-be8d-4d2676cd1361}
{40B1D454-9CA4-43CC-86AA-CB175EAC52FB}
{0BE10B0D-B4DB-4693-9B1F-9AEAD54D17DC}
{58634367-d62b-4c2c-86be-5aac45cdb671}
{CEA206E8-8057-4A04-ACE9-FF0D69A92297}
{d8e25c53-9508-4f5c-9249-d98d438891d5}
{00000010-6f7d-442c-93e3-4a4827c2e4c8}
{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}
{f7f808f0-6f7d-442c-93e3-4a4827c2e4c8}
{EEE4A2E5-9F56-432F-A6ED-F6F625B551E0}
{AA4939C3-DECA-4A48-A454-97CD587C0EF5}
{1c01d150-91a4-4de0-9bf8-a35d1bdf1001}
{00211813-6223-4c6a-be8d-4d2676cd1361}
{40B1D454-9CA4-43CC-86AA-CB175EAC52FB}
{0BE10B0D-B4DB-4693-9B1F-9AEAD54D17DC}
{58634367-d62b-4c2c-86be-5aac45cdb671}
DyFuCA_BH.BHObj
DyFuCA_BH.BHObj.1
DyFuCA_BH.SinkObj
DyFuCA_BH.SinkObj.1
SafeSurfingHelper.IEBHO
SafeSurfingHelper.IEBHO.1
DyFuCA_BH.BHObj
DyFuCA_BH.BHObj.1
DyFuCA_BH.SinkObj
DyFuCA_BH.SinkObj.1
SafeSurfingHelper.IEBHO
SafeSurfingHelper.IEBHO.1
Avenue Media
Avenue Media
FCI
FCI
Update
SafeSurfing
Avenue Media
Avenue Media
DyFuCA
{00000010-6F7D-442C-93E3-4A4827C2E4C8}
{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}
{f7f808f0-6f7d-442c-93e3-4a4827c2e4c8}
Avenue Media

Delete the following registry values:

SafeSurfingUpdate

[lameXpert]

Idézet

MS04-011 csupán a gyengébbek kedvéért nem az új EU autórendszám mintapéldánya, hanem egy 2004. április óta ismert Windows hiba, melyre az elsõ javítást (javító foltot) április 13-án adták ki, és ennek javított verziója május. 04 – én jelent meg. Ez a hiba az alapja a W32/Netsky.B, majd a Sasser (és sok másik) nevû számítógépes kórokozók megírásának, elterjedésének.

Az un. LSASS adatelárasztásos sebezhetõség lehetõvé tette, hogy távoli támadók bármilyen kiváltságot megszerezzenek a fertõzött gépeken, esetleg átvegyék azok irányítását. Minderrõl több információ a Microsoft Biztonság közlemény MS04-011
<http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx>

(Microsoft Security Bulletin MS04-011
Security Update for Microsoft Windows (835732)
Issued: April 13, 2004
Updated: May 4, 2004
Version: 1.3)

Ha a fenti MS hivatkozást meglátom, mint egy új vírus alap támadáspontját, akkor elõször a szakállam tépem, majd a hajam, késõbb visszamegyek az intenzív osztályra, mert ott van oxigénmaszk.   

E nélkül nem tudom elviselni azt a felelõtlenséget, tudatlanságot, érdektelenséget (tömören hülyeséget), hogy léteznek még a hálózaton olyanok, akik az ismert hibát többszöri figyelmeztetés, leírás után nem javították ki gépükön veszélyeztetve ezzel az egész Internet Társadalmat. Ebben az esetben a vírusírót dícsérete mellett „alkotása megsemmisítésére kötelezném”, a fertõzött gépek tulajdonosainál hagynám a fertõzés teljes kibontakozását, hagynám, hogy fertõzzék tovább a hasonlóan felelõtlen emberek gépeit, majd legalább két évre teljes mértékben kitiltanám õket a Hálózatról, megtiltanám hatóságilag a hozzáférés minden formáját.

Ma délután 16:47:40 +0200 [BST] kaptam a Sophos Plc. – tõl a hírt, miszerint a Hálózaton észleltek egy férget, mely olyan számítógépeket keres saját maga által véletlenszerûen generált IP címeken, melyekre az MS04-011 hiba miatti javítófoltot nem installálták, és fertõzi meg azokat. A kórokozó a Sophos Víruslaboratóriumtól a W32/Cycle-A nevet kapta.

A W32/Cycle-A fertõzéskor a Windows System mappába SVCHOST.EXE néven másolja be magát, majd az állandó futását biztosító elsõdleges lépésként a registrybe az alábbi bejegyzéseket teszi:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOST_SERVICE\
HKLM\SYSTEM\CurrentControlSet\Services\Host Service\

A második, fontos „biztonsági” lépés a futás érdekében:

ImagePath = C:\<Windows System\SVCHOST.EXE

Ezzel duplán biztosítja futását minden rendszer újraindításkor.

A W32/Cycle-A létrehoz, és futtat egy TFTP szervert, az UDP 69 porton át, miután kinyitotta azt. Ha egy célba vett gépnél szintén „foltozatlan hibát” talál, akkor mindent megtesz annak érdekében, hogy CIKLON.EXE néven feltöltse magát a gépre, és ott is létrehozzon egy, az elõzõhöz hasonló TFTP szerver kapcsolatot, mely segítségével folytathatja a fertõzését.

Az újólag fertõzött gépen állandó futása érdekében szintén kettõs biztosítékot hoz létre a registryben.

Elõször:

Generic Host Service = C:\<Windows System>\SVCHOST.EXE

Majd másik biztonsági „ágként” a futása érdekében:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

A W32/Cycle-A „társulva” a W32/Blaster és W32/Sasser férgek folyamataival egy egy szolgáltatás – tagadást (DoS) támadást indítani május 18-án az alábbi lapok ellen:

www.irna.com
www.bbc.com
www.isna.com
www.bbcnews.com

W32/Cycle-A ezen túl szöveg állományokat (C:\<Windows>\CYCLONE.TXT) „csepegtet” a fertõzött gépekre. A szöveg egy üzenetet tartalmaz a jelenlegi iráni politikai, és társadalmi helyzetrõl. (talán ez magyarázza, hogy a DoS támadás célpontjai naprakész hírcsatornák lapjai).

Aki még nem helyezte fel, nem installálta az MS04-011hiba javítófoltját, annak jó fertõzést, és adatmentést. Ha lehet ezt a javító foltal kezdje, mert többre nem lesz ideje.

[lameXpert]

Spybot Search and Destroy Detection Update 2005-2-16

[Lali-213]

Idézet: lameXpert - Dátum: 2005. febr. 17., csütörtök - 6:15

Spybot Search and Destroy Detection Update 2005-2-16

Hasznos.

[Niceday]

.

Csatolt fájl:

•  Capture_2.gif (0byte)
  Letöltések:: 0

[Coppermine]

van vkinek vmi tapasztalata az MS AntiSpyware-ral kapcsolatban?
Nemrég tettem fel, igaz béta erõsen, de szerintem egész jó, annak ellenére hogy ez is egy bazinagy M$ reklámkampány...

-C0pp3rM!n3-

[Niceday]

Idézet: Coppermine - Dátum: 2005. febr. 17., csütörtök - 17:28

van vkinek vmi tapasztalata az MS AntiSpyware-ral kapcsolatban?
Nemrég tettem fel, igaz béta erõsen, de szerintem egész jó, annak ellenére hogy ez is egy bazinagy M$ reklámkampány...

-C0pp3rM!n3-

[lameXpert]

[lameXpert]

Idézet

Firefox 1.0.1 *Test* Release is out.

Firefox 1.0.1 = Firefox 1.0 plus a large number of security patches.

Khmm...

Szerkesztette: lameXpert 2005. 02. 25. 10:58 -kor

[Brown]

Sziasztok, egy ismerõsömnek olyan problémája van a gépével, hogy az explorer kezdõlapját állandóan felülírja valami auto:blank címre. Próbálkoztam már pár progival, trojan remover stb., de nem volt hatásos. Tud valaki hatásos programot, vagy módszert javasolni, amivel meg lehetne oldani az ügyet? Esetleg Regcleaner, vagy a Microsoft új antispyware progija? Elõre is köszi.

üdv.: Brown

[lameXpert]

Kiemelt: Internet-kezdõlap megváltozása (Oldal 1 2 3 ...6 ) (pl.: searchx.cc)

[Brown]

Köszönöm.

[lameXpert]

Idézet

Komoly biztonsági hibára bukkantak az F-Secure antivírus termékeiben, számoltunk be az esetrõl a hónap közepén. Minderre ráadásul alig pár nappal azután derült fény, hogy hasonlóról volt kénytelen számot adni a Symantec - ez utóbbinak harminc program(csomag)ja bizonyult sérülékenynek. Mindkét cég a lehetõ leggyorsabban kiadta a megfelelõ patch-eket, így felhasználóik nem maradtak védelem nélkül.

A minap a Trend Micro víruskeresõ alkalmazása is betagozódott ebbe a sorba - legalább 29 IT-biztonsági termék érintett, olvasható a vállalat és az ISS webhelyén. A cégek közlése szerint egy támadó, a megfelelõ ismeretek birtokában olyan programot hozhat létre, mely képes kiaknázni a biztonsági rést, és ezáltal az antivírus szoftverek nemhogy nem fogják meg a behatoló alkalmazást, hanem még le is futtatják azt. „Sikeres támadás esetén a sérülékenység által jogosulatlan hozzáférést is lehet szerezni a Trend Micro Antivirus Library-ra alapuló termékek által védett hálózatokhoz és számítógépekhez.” - áll az ISS figyelmeztetésében.

[lameXpert]

Rogue/Suspect Anti-Spyware Products & Web Sites

[lameXpert]

LSP-FIX - Winsock 2 repair utility
==================================

This program attempts to correct Internet connection problems resulting from buggy or improperly-removed Layered Service Provider (LSP) software. When you start LSP-Fix, it will read the list of LSP modules from the Windows registry and verify that each module is present. If a module is missing, it is placed on the "Remove" list for removal. Advanced users can override suggested removals in the "Advanced" area. When "Finish" is pressed, the undesired entries are removed, and the remaining entries in the registry are renumbered to make them consecutive. The total module counts are then updated. Finally, the program will display a summary of the changes that were made.

FOR THE CHANGES TO TAKE EFFECT, IT MAY BE NECESSARY TO RESTART YOUR COMPUTER. After restarting, connect to the Internet normally and try accessing a Web domain such as http://www.google.com to check that your connection is working properly. If you still cannot access Web sites, see the "Recovering From Disaster" section below for other possible fixes.

Since some errors result from misnumbered LSP entries rather than missing modules, the "Remove" list may be empty. Don't worry if this is the case; the misnumbered entries will be corrected when you press "Finish".

Please do not check the "I know what I'm doing" box unless you really know what you're doing. This option is for advanced users only and is not necessary to repair your system.

Notes
-----
No changes will be made until you press the 'Finish' button. To exit without making any changes, simply close the program instead of pressing Finish.

It makes no difference which order the module entries appear in. LSP-Fix will retain the entries in the order that they appear in the Registry. (In other words, shuffling them around on the Keep/Remove lists has no effect.)

LSP-Fix is not a malware removal utility and does not target specific products. LSP-Fix does not delete any files.


Recovering From Disaster
------------------------
I make the assumption that your system actually does use Winsock 2 (all Win98 and higher do). If you are running Windows 95 and are not sure if Winsock 2 has been installed on your system, it should be re-installed. The file is available from the Microsoft Web site or (probably) windowsupdate.microsoft.com .

If the Winsock2 Registry keys are missing entirely (LSP-Fix returns an error) or damaged beyond repair, it will be necessary to restore them. A brief walkthrough of this procedure is available at http://cexx.org/winsock.htm .

Some LSP products may overwrite system files such as 'wsock32.dll'. If this has occurred, or you still cannot access Web sites, it may be necessary to re-install Winsock 2 (or Windows) to restore the original files.