Ашизеть, Барыга! Как-же я раньше-то не догадался, а? Шучу. Просто настоящий одмин знает наизусть все пути по которым лежат вирусы чаще всего появляющиеся в его сети. И тупо запрещает эти пути доменными политиками.

Слава, если ты это знаешь, не значит что это знают все! Зыгал, не проще! Я лучше все будет делать вручную, так больше буду знать. Я вообще такой тип решаю задачи самыми сложными путями, чтобы они стали легкими...

Мда... Бритва Оккама - мощное оружие...

Или лыжи мои не едут, или я... Объясните, как "ламеру" ( ) - что, неужто прям ВСЕ-ВСЕ вирусы пишут свой авторан в реестр, тупо ожидая когда любой желающий поюзает регедит и поубивает их нафиг?

Барыга, то, что ты объяснил - ты уж не обижайся, но для челов, не знающих, что такое "startupreg", твой метод - это "многабукаф". Не все же способны запросто ковыряться в реестре. А наш форум не является узкоспециализированным, и только для юзверов уровнем не ниже сисадма. Здесь и ламеры (не в обиду им будь сказано) бывают. Я, кстати, таких экспериментов с реестром и опытному юзеру не посоветую, а уж ламерам - тем паче. ИМХО, для последних как раз достаточно инфы, к примеру, о том, что тот или иной вирь делает в системе. А как его лечить - это задача всяких там Касперов, Вебов, Нодов и т.п.

"Лаборатория Касперского" обнаружила червя, заражающего аудиофайлы.


Вирус Worm.Win32.GetCodec.a конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Маркер активируется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу. На этой страничке пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь одобряет установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник получает контроль над атакованным ПК. Причeм файл, находящийся на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом как доверенный. Стоит отметить, что до этого случая формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом.
Источник:http://soft.compulenta.ru/363189/

По словам вирусных аналитиков "Лаборатории Касперского", особенностью данного червя является заражение чистых аудиофайлов. Аналитики отмечают, что вирус подобного рода повышает вероятность успешной атаки, поскольку пользователи обычно с большим доверием относятся к собственным медиафайлам и не связывают их с опасностью заражения.

"Лаборатория Касперского" сообщила, что сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы компании.

Вот даже как. И до этого добрались... Часом, не работа ли это товарищей из всяких там органов по борьбе с аудиопиратством...хе-хе...

Странно, что с маскировкой у виря явно проблема. Запускаешь музык - а вместе с ним браузер вырисовывается. Тут и неопытный юзер может сообразить, что вирь подхватил. Да еще и грузит ресурс, да еще и предлагает якобы кодек скачать.

Хотя нет, где-то даже грамотно... Если не ожидаешь чего-то подобного, вполне можно отреагировать как на попытку плейера скачать апгрэйд...

Недавно столкнулся на одном компе с такой ситуацией:

Грузится XP, запускаются службы, резидентные модули. Юзер подключается к интернету. Коннект установлен. Неожиданно Windows XP выдает сообщение:

Система завершает работу. Сохраните
данные и выйдите из системы. Все
несохраненные изменения будут
потеряны. Отключение системы вызвано
NT AUTHORITY\SYSTEM

Неожиданно завершен процесс
...system32/lsass.exe
Система будет перезапущена

Для тех, кто столкнулся, но не понимает, в чем трабл, следующая информация:

lsass.exe - Это системное приложение Windows, официальное имя - LSA Shell. Обеспечивает защищенное хранение секретных данных, таких, как закрытые ключи, для предотвращения несанкционированного доступа служб, процессов или пользователей. Служба в том числе хранит пароли WWW, FTP, NNTP, POP3 серверов для Internet Explorer и Outlook Express.

Причиной ошибки в большинстве случаев является вирусная атака. Вирус Worm.Win32.Sasser.a распространяется через интернет, используя уязвимость службы lsass. При запуске регистрирует себя в реестре.
  Вирус сканирует IP-адреса, разыскивая компьютеры, уязвимые как раз в области протоколов Microsoft Security Bulletin MS04-011, имеющих непосредственное отношение к службе LSA Shell.
  Вирус обнаруживают и лечат Касперский, Symantec Antivirus. NOD32, Panda не рекомендуется, т.к. существует вероятность, что вирус способен маскироваться именно от последних. Хотя эти пакеты также способны обнаружить и вылечить данный вирус. Лечение возможно также с помошью утилиты Free removal tool. Распространяется бесплатно. Или утилиты от Symantec: FxSasser
  После лечения необходимо установить патч для Windows. Скачать патч можно по ссылке: Microsoft Security Bulletin Patch.