IPB

Здравствуйте, гость ( Вход | Регистрация )

> ВИРУС!!! Читать всем!!!
FUriCK
12.08.2003 - 18:01
Сообщение #1



Silver Member
Group Icon
Группа: VIP
Сообщений: 314
Регистрация: 20.06.2002
Из: Dnepropetrovsk

Пользователь №: 197




Источник =http://www.livejournal.com/users/olegart/33500.html

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка
( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp ,
два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:
[img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img]

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ .
Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html .

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.


--------------------
P.S. Сорри за опоздание. :*)
User is offlineProfile Card PM
Go to the top of the page
+
10 Страницы V < 1 2 3 4 5 > »   
Reply to this topicStart new topic
Ответов(50 - 74)
The Undertaker
30.01.2004 - 14:40
Сообщение #51



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




а мне ниодного :(

и зачем его ловить? я его уважаю, ибо дурак не смог бы написать такой вирус. если бы знал кто он, всё равно не сказал никому ;)

а вы знаете что какого-то числа в феврале mydoom заразит биос, и вылечить его можно только перепрошивкой :D

Сообщение было отредактировано The Undertaker: 30.01.2004 - 14:43


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
VasAn
30.01.2004 - 18:21
Сообщение #52



Гость










РЕКОРД!!!!
Помоему мой сервак побивает все рекорды....1247394 писем с этой хренью!!!!! :o
Вот уж где повод репу почесать. Хотя никого из клиентов не заразил...обновляйте чаще Антипирус!!!! ;)
Цитата
РЕКОРД!!!!
Go to the top of the page
+
Drean
31.01.2004 - 09:04
Сообщение #53



TSRh TeaM Mirror
Group Icon
Группа: VIP
Сообщений: 317
Регистрация: 13.06.2003
Из: Russia

Пользователь №: 11939




А позавчера ещё и по ящику крутили, каспера казали.... :D :D :P
User is offlineProfile Card PM
Go to the top of the page
+
VasAn
31.01.2004 - 12:18
Сообщение #54



Гость










Эпидемия червя MyDoom продолжается. За считанные дни он заразил десятки тысяч компьютеров. При этом никаких изощренных технологий или дыр в программах он не использует. Вредоносная программа попросту обманывает пользователей, и те сами запускают её.Чтобы заставить пользователей открывать зараженные письма, создатели вирусов обычно используют технологии так называемого "социального инжиниринга". В действительности, за этим сложным термином скрывается обычное мошенничество, используемое для привлечения внимания пользователей.

Классическим примером был вирус ILOVEYOU (Loveletter). В мае 2000 года он распространился по всему миру, выдавая зараженное письмо за любовное послание. Многие помнят последствия той эпидемии. Сотни тысяч, если не миллионов, пользователей открыли это сообщение, даже не задумавшись о сомнительности источника любовного послания (а ведь им мог быть и директор компании, в которой работал адресат, и соседка по лестничной площадке).

Вдобавок, все письма были только на английском языке. Тем не менее, пользователи в сотнях стран по всему миру "купились" на эту простенькую уловку. Достаточно было подумать пару секунд, чтобы избежать случившегося. К сожалению, любопытство одержало верх. И мы знаем, чем всё кончилось.

Теперь такая тактика не всегда оказывается успешной. Многие пользователи уже наслышаны об опасности подобных писем и относятся к ним с подозрением. Пришло время для червей, способных обманывать и тех, кто хорошо знаком с типичными приманками вирусописателей.

Так появился червь Mydoom.A. Почему бы опытному пользователю не открыть сообщение об ошибке с почтового сервера? Простая тема и текст сообщения, содержащие предупреждение о поврежденном электронном письме, спровоцировали устрашающую по своим масштабам эпидемию.

Этот червь сыграл на знаниях системных администраторов и опытных пользователей. Пользователи, которые не покупаются на приманку в виде порнографической фотографии, соглашаются взглянуть на сообщение о поврежденном письме.

Между тем, если зараженное сообщение откроет системный администратор, вирус может получить доступ к гораздо большему количеству файлов. Ведь в отличие от обычного пользователя, администратор, как правило, имеет полные права на собственном компьютере. Последствия катастрофические. Не спасет никакой, даже самый фантастический защитный барьер, если одно из звеньев цепи нарушено. Тем более, если это теоретически "самое сильное звено" - системный администратор.

Как правило, в первую очередь, стремятся закрыть потенциальные технические бреши в ИТ-системе: если возникает ошибка в маршрутизаторе, он просто обновляется при помощи соответствующего пакета. И очень редко обращают внимание на подготовку пользователей всех уровней. Но все чаще причиной инцидентов является именно ошибка человека.

Еще вчера было достаточно простого предупреждения пользователей о необходимости забыть о своем любопытстве при просмотре электронных сообщений. Сегодня ситуация стала гораздо серьезнее: администраторы должны быть так же осторожны с сообщениями об ошибках, как и пользователи - с порнографическими фотографиями. Это вопрос безопасности.
Go to the top of the page
+
Warmonger
31.01.2004 - 12:57
Сообщение #55



JUST KIDDIN'
Group Icon
Группа: Старейшины
Сообщений: 213
Регистрация: 16.06.2002
Из: Mockbа

Пользователь №: 566




VasAn
у нас 280мб зараженных писем


--------------------
i'll be back!
User is offlineProfile Card PM
Go to the top of the page
+
Aragorn
31.01.2004 - 22:33
Сообщение #56


No Avatar
Stranger in a Strange Land
Group Icon
Группа: Старейшины
Сообщений: 834
Регистрация: 6.07.2003
Из: Riga,Latvija

Пользователь №: 12723




Обновилась утилита от Symantec
W32.Novarg.A@mm / W32.Mydoom.B@mm Removal Tool 1.0.5
Updated fixtool to incorporate W32.Mydoom.B@mm

Last-Modified: Fri, 30 Jan 2004 22:54:52 GMT
Content-Length: 152,696 Bytes
http://securityresponse.symantec.com/avcenter/FxMydoom.exe
User is offlineProfile Card PM
Go to the top of the page
+
Lady
1.02.2004 - 00:10
Сообщение #57



МИЛАЯ
Group Icon
Группа: Старейшины
Сообщений: 331
Регистрация: 20.12.2001
Из: Dalekoe Daleko

Пользователь №: 303




The Undertaker
Цитата
а вы знаете что какого-то числа в феврале mydoom заразит биос

03/02/2004--04/03/2004 ( u nas po TV govorili)


--------------------
Бог, не суди... Tы не был женщиной на земле...©
User is offlineProfile Card PM
Go to the top of the page
+
ded moroz
1.02.2004 - 09:43
Сообщение #58


No Avatar
Member
**
Группа: Full member
Сообщений: 49
Регистрация: 23.12.2002
Из: г. Магадан

Пользователь №: 4035




Млин. Это у всех или только у меня. При запуске утилы от Symantec на поиск вируса у меня перегружается експлорер. Чтобы это значило (IMG:style_emoticons/bfz/cranky.gif)

Сообщение было отредактировано ded moroz: 2.02.2004 - 02:57


--------------------
Будете у нас на Колыме.... милости просим
User is offlineProfile Card PM
Go to the top of the page
+
Muhit
2.02.2004 - 09:29
Сообщение #59



Full Member
***
Группа: Full member
Сообщений: 70
Регистрация: 29.05.2003
Из: Almaty, KZ

Пользователь №: 11456




ded moroz Кажись так задумано, шоб его (вирус) убить в памяти.
User is offlineProfile Card PM
Go to the top of the page
+
Sp0rtsteR
7.02.2004 - 09:37
Сообщение #60



gamez moder
Group Icon
Группа: Старейшины
Сообщений: 260
Регистрация: 22.12.2001

Пользователь №: 501




инета небыло, по радио слышал типа новый страшнейший вирус гуляет по сети - мне же ни одного письма не пришло с этим вирусом ни на один из имеющаихся ящиков...
User is offlineProfile Card PM
Go to the top of the page
+
Muhit
7.02.2004 - 09:42
Сообщение #61



Full Member
***
Группа: Full member
Сообщений: 70
Регистрация: 29.05.2003
Из: Almaty, KZ

Пользователь №: 11456




Sp0rtsteR,
если антивирусные базы не обновлял, то в этом нет ничего удивительного. Ты его просто еще не заметил. :)
User is offlineProfile Card PM
Go to the top of the page
+
Prison
10.02.2004 - 04:23
Сообщение #62



Сетевой монах
Group Icon
Группа: Старейшины
Сообщений: 77
Регистрация: 17.03.2002
Из: BELGIQUE, 120 km от Achen

Пользователь №: 412




****I-Worm.Mydoom.a*******

После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов:


При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"
В отличие от одноименного системного файла Windows, файл червя всегда имеет размер 22KB.
Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = "%SysDir%\shimgapi.dll"
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".
Также червь создает файл "Message" во временном каталоге системы (обычно, %windir\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".
Рассылка писем
При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя.
Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt
и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".
Содержание зараженных писем

Адрес отправителя:

[произвольный]
Тема письма выбирается произвольно из списка:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Тело письма выбирается произвольно из списка:
test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.
Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body
Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:
bat
exe
scr
pif
Прочее
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.
В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.


--------------------------------------------------------------------------------
****I-Worm.Mydoom.b******

Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.

Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.

Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.

Часть тела вируса зашифрована.

В распакованном файле имеется текстовая строка:

(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
Инсталляция
После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.
При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "%System%\explorer.exe"
Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"
Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.
Также червь создает файл "Body" во временном каталоге системы (обычно, %windir%\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".
Червь заменяет стандартный файл "hosts" в каталоге Windows на свой собственный, измененный таким образом, чтобы пользователь зараженной машины не мог получить доступ через интернет к следующим доменам:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com



Рассылка писем
Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.
Тело письма выбирается произвольно из списка:

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received

The message contains Unicode characters and
has been sent asa binary attachment.

The message contains MIME-encoded graphics and
has been sent as a binary attachment

Mail transaction failed. Partial message is available.
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
с расширением из списка:
bat
exe
scr
pif

--------------------------------------------------------------------------------


Инфа для не сведущих и лентяев!?
User is offlineProfile Card PM
Go to the top of the page
+
Prison
10.02.2004 - 04:30
Сообщение #63



Сетевой монах
Group Icon
Группа: Старейшины
Сообщений: 77
Регистрация: 17.03.2002
Из: BELGIQUE, 120 km от Achen

Пользователь №: 412




НОВИНКА!!!Worm.Win32.Doomjuice


Вирус-червь. Распространяется по глобальным сетям, используя про размножения компьютеры, зараженные червем I-Worm.Mydoom.a или I-Worm.Mydoom.b. Имеет размер 35KB, упакован UPX. Размер распакованного файла - около 43KB.

Размножение
При запуске червь копирует себя в системный каталог Windows с именем "intrenat.exe" и регистрирует данный файл в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gremlin" = "%system%\intrenat.exe"
Червь извлекает из себя файл с именем "sync-src-1.00.tbz" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги в Documents and Settings.
Данный файл представляет собой архив TAR, содержащий полные исходные тексты I-Worm.Mydoom.a.

Прочее
Червь обладает функцией DoS атаки на сайт www.microsoft.com.


Worm.Win32.Doomjuice

Вирус-червь. Распространяется по глобальным сетям, используя для размножения компьютеры, зараженные червем I-Worm.Mydoom (версий a и B). Имеет размер 35KB, упакован UPX. Размер распакованного файла - около 43KB.

Инсталляция
При запуске червь копирует себя в системный каталог Windows с именем "intrenat.exe" и регистрирует данный файл в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gremlin" = "%system%\intrenat.exe"
Червь извлекает из себя файл с именем "sync-src-1.00.tbz" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги в Documents and Settings.
Данный файл представляет собой архив TAR, содержащий полные исходные тексты I-Worm.Mydoom.a.

Червь создает уникальный идентификатор "sync-Z-mtx_133" для определения своего наличия в памяти.

Размножение
Червь использует для своего размножения компьютеры зараженные червем Mydoom (версии a и B). Он осуществляет обращения к порту TCP 3127, который открыт "бэкдор"-компонентой (shimgapi.dll) Mydoom для приема команд.
Если зараженный компьютер отвечает на запрос, то Doomjuice создает соединение и пересылает туда свою копию. "Бэкдор"-компонента Mydoom принимает данный файл и запускает его на исполнение.

Для выбора атакуемого IP-адреса (A.B.C.D) червь использует следующий алгоритм:

Первые цифры адреса (A) выбираются из списка:

3
4
6
8
9
11
12
13
14
15
16
17
18
19
20
21
22
24
25
26
28
29
30
32
33
34
35
38
40
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
61
62
63
64
65
66
67
68
80
81
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
193
194
195
196
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239

Вторая (B) и третья © цифры генерируются червем произвольно.

После этого червь начинает последовательно перебирать все адреса (D) от 0 до 254.

DoS-атака
Червь определяет системную дату, и если день месяца меньше 12, то DoS-атака на сайт www.microsoft.com производится в "легком" режиме: червь отсылает на 80 порт данного сайта один запрос GET, повторяя его через произвольное время.
Если день месяца больше или равен 12, то запросы начинают отсылаться в бесконечном цикле.

User is offlineProfile Card PM
Go to the top of the page
+
Sp0rtsteR
12.02.2004 - 12:43
Сообщение #64



gamez moder
Group Icon
Группа: Старейшины
Сообщений: 260
Регистрация: 22.12.2001

Пользователь №: 501




Muhit
как зашёл в инет, сразу обновил вэба, дата 01.02.2004. факт в том, что писем подзрительных с аттачами не было вообще.
User is offlineProfile Card PM
Go to the top of the page
+
Muhit
12.02.2004 - 13:47
Сообщение #65



Full Member
***
Группа: Full member
Сообщений: 70
Регистрация: 29.05.2003
Из: Almaty, KZ

Пользователь №: 11456




Цитата
Muhit
как зашёл в инет, сразу обновил вэба, дата 01.02.2004. факт в том, что писем подзрительных с аттачами не было вообще.
Значит друзья и знакомые в нете аккуратные и чистоплотные интернет пользователи. :)

Сам сколько вирус на чужих ящиках видел, а ко мне еще ни одного не упало. Наверное есть повод засомневаться в своем KAV Personal 4.5.0.94 (IMG:style_emoticons/bfz/unsure.gif) Хотя и утилиту от Symantec тоже запускал, пока чисто.
User is offlineProfile Card PM
Go to the top of the page
+
drSAB
14.02.2004 - 02:19
Сообщение #66



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




Muhit
А это еще зависит от того, где у тебя ящик и как он оборудован на входящий поток сканером :P на сервере...

________________________________

Microsoft Mydoom (A, В ) and Doomjuice (A, В ) Worm Removal Tool 3.0

Цитата
After running, the tool displays a message describing the outcome of the detection and removal process. The tool can be safely deleted after it has run. Also, the tool creates a log file named doomcln.log in the %WINDIR%debug folder.


=>http://download.microsoft.com/download/f/a/7/fa7ff57d-edba-4836-bb03-499bc72aa5ba/DoomCln-KB836528-v3-ENU.exe

Author:Microsoft Corp.
Date:2004-02-12
License:Freeware
Size:110 Kb
Requires:Win All
User is offlineProfile Card PM
Go to the top of the page
+
VasAn
14.02.2004 - 06:18
Сообщение #67



Гость










А письма с этой дрянью все идут и идут!!! (IMG:style_emoticons/bfz/w00t.gif)
Go to the top of the page
+
Prison
17.02.2004 - 04:40
Сообщение #68



Сетевой монах
Group Icon
Группа: Старейшины
Сообщений: 77
Регистрация: 17.03.2002
Из: BELGIQUE, 120 km от Achen

Пользователь №: 412




А вот и я столкнулся с этой проблой в Бельгии, все статьи о том, что вирус не поражает БИОС, так в нем якобы нет свободного места, так это полная туфта, он не поражает Бису , если проставлен мин на перезапись Биса.

Мой кент зацепил заразу, и мы начали раскидывать Бису и , что увидели , то , что общяя память изменена аж на 153кб, в женераль параметрах записанны совершенно другие смоки.,

Тема закончилась прямым перепрошиванием БИСА, а по другому нас загнал в угол злой Вирус!
User is offlineProfile Card PM
Go to the top of the page
+
Yurist
18.02.2004 - 15:34
Сообщение #69


No Avatar
ЛатЫш-КибальчЫш
Group Icon
Группа: Старейшины
Сообщений: 242
Регистрация: 23.11.2002
Из: DGT TeaM

Пользователь №: 2985




Это ещё цветочки; Вот что сегодня Каспер поведал:

Цитата
Компьютерный андерграунд накидывается на исходные коды Windows

Найдена новая брешь: формат BMP более небезопасен

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама предупреждает об обнаружении в браузере Internet Explorer (версии 5.0, 5.5 и 6.0) и Outlook Express 5.0 серьезной бреши в системе безопасности, которая позволяет злоумышленникам запускать на уязвимом компьютере вредоносные коды, используя файлы формата BMP.

Брешь была обнаружена неизвестным лицом под псевдонимом "GTA" и опубликована на ряде специализированных веб-сайтов. В комментариях к примеру атаки на компьютер через эту уязвимость автор, в частности, признает, что получил данные в результате исследования исходных кодов Windows .
"Это заявление подтверждает наши самые пессимистичные опасения, что компьютерный андерграунд вцепится в "исходники" в поисках новых методов атак. Скорость, с которой произошло это первое "открытие" заставляет серьезно задуматься о ближайшем будущем интернета, которое может пестрить подобными "сюрпризами" каждый день", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

Наиболее тревожный момент в этой ситуации заключается в отсутствии специального обновления для Internet Explorer и Outlook Express, которое могло бы защитить от атак через брешь. Определенный комфорт могут испытывать только пользователи Windows XP с установленным Service Pack 1: тесты показали, что только такая конфигурация операционной системы обладает иммунитетом.

Вместе с тем, обнаруженная брешь представляет реальную опасность для пользователей интернета. Она демонстрирует возможность создания BMP-файлов, при просмотре которых на компьютер незаметно загружается вредоносная программа. Причем, заражение может состояться как при чтении письма в Outlook Express, так и просмотре веб-страниц в интернете. "На данный момент мы не обнаружили вредоносных программ, атакующих компьютеры таким экзотическим способом. Несмотря на это вероятность их появления очень велика", - добавил Евгений Касперский.

Для защиты от вредоносных программ, нацеленных на описанную брешь "Лаборатория Касперского" разработала специальное обновление Антивируса Касперского. Оно позволяет анализировать содержимое BMP-файлов и выявлять потенциально опасные объекты при попытке их проникновения на компьютер через интернет или электронную почту.


"Повсеместно" включаем резалки картинок ;)
Или юзаем Оперу или Мазилу.
User is offlineProfile Card PM
Go to the top of the page
+
drSAB
25.02.2004 - 01:33
Сообщение #70



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




цветочки продолжаются:
ХОБОТ предупреждает!

Новый червячок: Worm.Win32.Bizex.
Берегите свою ICQ


"Лаборатория Касперского" сообщает об обнаружении нового сетевого червя — Worm.Win32.Bizex, распространяющегося через ICQ, используя уязвимости самой ICQ, а также MS Internet Explorer.

Пользователю ICQ приходит сообщение с приглашением посетить страницу на сайте "jokeworld" и дополнением ":)) LOL". В процессе демонстрации находящегося по этому адресу мультфильма из популярного сериала Joecartoon на компьютер пользователя через уязвимость в ICQ проникает вирус, изменяющий конфигурацию ICQ таким образом, чтобы разослать вышеприведенное сообщение всем контактам из контакт-листа программы.

"Лаборатория Касперского" рекомендует в случае получения ссылки на веб-сайт "jokeworld" немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт.

Для защиты пользователей "Антивируса Касперского" выпущено срочное обновление антивирусных баз

Источник: VirusList >http://www.viruslist.com/eng/index.html
Цитата
Virus Alert 

Worm.Win32.Bizex   [ 02/24/2004 13:33, GMT +03:00, Moscow ]
Danger: moderate risk
Kaspersky Labs has detected Worm.Win32.Bizex which spreads via ICQ, using a vulnerability in ICQ and Internet Explorer.
User is offlineProfile Card PM
Go to the top of the page
+
The Undertaker
25.02.2004 - 01:54
Сообщение #71



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




пользователям оперы и клонов ICQ бояться нечего, да и к тому же сайт этот уже сдох :D видимо кул хакари его замочили.


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
alko21
25.02.2004 - 22:06
Сообщение #72


No Avatar
Novice
*
Группа: Пoльзователь
Сообщений: 5
Регистрация: 23.02.2004

Пользователь №: 36180




Найти лечилку червя WORM. WIN32 и заплатку для Windows XP можно найти в журнале "Upgrade Special" за декабрь 2003г.
User is offlineProfile Card PM
Go to the top of the page
+
Galed
26.02.2004 - 07:20
Сообщение #73



Full Member
***
Группа: Full member
Сообщений: 137
Регистрация: 29.10.2002
Из: Россия

Пользователь №: 1959




Worm.Win32.Bizex


Вирус-червь, распространяющийся через интернет при помощи интернет-пейджера ICQ.

Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов.

[img]http://www.kav.ru/imagesr/news/bizex.gif[/img]

Размножение

При обращении к ссылке из присланного сообщения

http://www.jokeworld.xxx/xxx.html :))LOL (где xxx - замененные нами символы)
происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe".

Для платформы Windows 2000 и Windows XP:
"C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinUpdate.exe"

Для платформы Windows 98:
"c:\windows\Start Menu\Programs\Startup\WinUpdate.exe"

Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe".

Главный компонент

Является PE-файлом размером около 84KB (86528 байт), упакован PECompact.

После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"sysmon" = "%system%\sysmon\sysmon.exe"

Червь обладает функцией кражи конфиденциальной информации различных банковских служб:

Acceso a Banca por Internet
Accueil Bred.fr > Espace Bred.fr
American Express UK - Personal Finance
Banamex.com
baNK
Banque
Banque en ligne
Barclaycard Merchant Services
Collegamento a Scrigno
Commercial Electronic Office Sign On
Credit Lyonnais interacti
CyberMUT
E*TRADE Log On
e-gold Account Access
Home Page Banca Intesa
LloydsTSB online - Welcome
Merchant Administration
Page d'accueil
Secure User Area
SUNCORP METWAY
Tous les produits et services
VeriSign Partner Manager
VeriSign Personal Trust Service
Wells Fargo - Small Business Home Page
А также данных, передаваемых по HTTPS и аккаунтов различных почтовых служб (Yahoo,etc).

Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info".

Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows:

java32.dll
javaext.dll
icq_socket.dll (библиотека для отправки сообщений через ICQ)
ICQ2003Decrypt.dll (библиотека для ICQ)

Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт.

Прочее

При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя.


--------------------
На работе всегда выкладывайтесь на 100%! 12% в понедельник, 23% во вторник, 40% в среду, 20% в четверг и 5% в пятницу!
User is offlineProfile Card PM
Go to the top of the page
+
good
27.02.2004 - 21:15
Сообщение #74



Full Member
***
Группа: Full member
Сообщений: 145
Регистрация: 13.03.2003

Пользователь №: 8119




А я из-за этого гада винду переустанавливал... С этих пор буду регулярно качать обновления своего нортана !!!!!


--------------------
Заводы - рабочим! Землю - крестьянам! Warner Brothers - мне!!!
User is offlineProfile Card PM
Go to the top of the page
+
good
27.02.2004 - 21:19
Сообщение #75



Full Member
***
Группа: Full member
Сообщений: 145
Регистрация: 13.03.2003

Пользователь №: 8119




А я из-за этого гада винду переустанавливал (IMG:style_emoticons/bfz/angry.gif) ... С этих пор буду регулярно качать обновления своего нортана :D !!!!!


--------------------
Заводы - рабочим! Землю - крестьянам! Warner Brothers - мне!!!
User is offlineProfile Card PM
Go to the top of the page
+
Реклама

10 Страницы V < 1 2 3 4 5 > » 
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0 -

 



- Текстовая версия Сейчас: 29.03.2024 - 00:10
]]> ]]>
]]> Яндекс.Метрика ]]>