ВИРУС!!! Читать всем!!! |
Здравствуйте, гость ( Вход | Регистрация )
ВИРУС!!! Читать всем!!! |
FUriCK |
12.08.2003 - 18:01
Сообщение
#1
|
Silver Member Группа: VIP Сообщений: 314 Регистрация: 20.06.2002 Из: Dnepropetrovsk Пользователь №: 197 |
Источник =http://www.livejournal.com/users/olegart/33500.html
Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка ( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу. Выглядеть атака будет, например, вот так: [img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img] Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ . Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется. Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их. Таким образом, началась настоящая пьянка - эпидемия очередного червя. Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших. Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все. Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html . Кто не спрятался - я не виноват. Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя. |
-------------------- P.S. Сорри за опоздание. :*)
|
|
The Undertaker |
30.01.2004 - 14:40
Сообщение
#51
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
а мне ниодного :(
и зачем его ловить? я его уважаю, ибо дурак не смог бы написать такой вирус. если бы знал кто он, всё равно не сказал никому ;) а вы знаете что какого-то числа в феврале mydoom заразит биос, и вылечить его можно только перепрошивкой :D Сообщение было отредактировано The Undertaker: 30.01.2004 - 14:43 |
-------------------- \o/
|
|
VasAn |
30.01.2004 - 18:21
Сообщение
#52
|
Гость |
РЕКОРД!!!!
Помоему мой сервак побивает все рекорды....1247394 писем с этой хренью!!!!! :o Вот уж где повод репу почесать. Хотя никого из клиентов не заразил...обновляйте чаще Антипирус!!!! ;) Цитата РЕКОРД!!!! |
Drean |
31.01.2004 - 09:04
Сообщение
#53
|
TSRh TeaM Mirror Группа: VIP Сообщений: 317 Регистрация: 13.06.2003 Из: Russia Пользователь №: 11939 |
А позавчера ещё и по ящику крутили, каспера казали.... :D :D :P
|
VasAn |
31.01.2004 - 12:18
Сообщение
#54
|
Гость |
Эпидемия червя MyDoom продолжается. За считанные дни он заразил десятки тысяч компьютеров. При этом никаких изощренных технологий или дыр в программах он не использует. Вредоносная программа попросту обманывает пользователей, и те сами запускают её.Чтобы заставить пользователей открывать зараженные письма, создатели вирусов обычно используют технологии так называемого "социального инжиниринга". В действительности, за этим сложным термином скрывается обычное мошенничество, используемое для привлечения внимания пользователей.
Классическим примером был вирус ILOVEYOU (Loveletter). В мае 2000 года он распространился по всему миру, выдавая зараженное письмо за любовное послание. Многие помнят последствия той эпидемии. Сотни тысяч, если не миллионов, пользователей открыли это сообщение, даже не задумавшись о сомнительности источника любовного послания (а ведь им мог быть и директор компании, в которой работал адресат, и соседка по лестничной площадке). Вдобавок, все письма были только на английском языке. Тем не менее, пользователи в сотнях стран по всему миру "купились" на эту простенькую уловку. Достаточно было подумать пару секунд, чтобы избежать случившегося. К сожалению, любопытство одержало верх. И мы знаем, чем всё кончилось. Теперь такая тактика не всегда оказывается успешной. Многие пользователи уже наслышаны об опасности подобных писем и относятся к ним с подозрением. Пришло время для червей, способных обманывать и тех, кто хорошо знаком с типичными приманками вирусописателей. Так появился червь Mydoom.A. Почему бы опытному пользователю не открыть сообщение об ошибке с почтового сервера? Простая тема и текст сообщения, содержащие предупреждение о поврежденном электронном письме, спровоцировали устрашающую по своим масштабам эпидемию. Этот червь сыграл на знаниях системных администраторов и опытных пользователей. Пользователи, которые не покупаются на приманку в виде порнографической фотографии, соглашаются взглянуть на сообщение о поврежденном письме. Между тем, если зараженное сообщение откроет системный администратор, вирус может получить доступ к гораздо большему количеству файлов. Ведь в отличие от обычного пользователя, администратор, как правило, имеет полные права на собственном компьютере. Последствия катастрофические. Не спасет никакой, даже самый фантастический защитный барьер, если одно из звеньев цепи нарушено. Тем более, если это теоретически "самое сильное звено" - системный администратор. Как правило, в первую очередь, стремятся закрыть потенциальные технические бреши в ИТ-системе: если возникает ошибка в маршрутизаторе, он просто обновляется при помощи соответствующего пакета. И очень редко обращают внимание на подготовку пользователей всех уровней. Но все чаще причиной инцидентов является именно ошибка человека. Еще вчера было достаточно простого предупреждения пользователей о необходимости забыть о своем любопытстве при просмотре электронных сообщений. Сегодня ситуация стала гораздо серьезнее: администраторы должны быть так же осторожны с сообщениями об ошибках, как и пользователи - с порнографическими фотографиями. Это вопрос безопасности. |
Warmonger |
31.01.2004 - 12:57
Сообщение
#55
|
JUST KIDDIN' Группа: Старейшины Сообщений: 213 Регистрация: 16.06.2002 Из: Mockbа Пользователь №: 566 |
VasAn
у нас 280мб зараженных писем |
-------------------- i'll be back!
|
|
Aragorn |
31.01.2004 - 22:33
Сообщение
#56
|
Stranger in a Strange Land Группа: Старейшины Сообщений: 834 Регистрация: 6.07.2003 Из: Riga,Latvija Пользователь №: 12723 |
Обновилась утилита от Symantec
W32.Novarg.A@mm / W32.Mydoom.B@mm Removal Tool 1.0.5 Updated fixtool to incorporate W32.Mydoom.B@mm Last-Modified: Fri, 30 Jan 2004 22:54:52 GMT Content-Length: 152,696 Bytes http://securityresponse.symantec.com/avcenter/FxMydoom.exe |
Lady |
1.02.2004 - 00:10
Сообщение
#57
|
МИЛАЯ Группа: Старейшины Сообщений: 331 Регистрация: 20.12.2001 Из: Dalekoe Daleko Пользователь №: 303 |
The Undertaker
Цитата а вы знаете что какого-то числа в феврале mydoom заразит биос 03/02/2004--04/03/2004 ( u nas po TV govorili) |
-------------------- Бог, не суди... Tы не был женщиной на земле...©
|
|
ded moroz |
1.02.2004 - 09:43
Сообщение
#58
|
Member Группа: Full member Сообщений: 49 Регистрация: 23.12.2002 Из: г. Магадан Пользователь №: 4035 |
Млин. Это у всех или только у меня. При запуске утилы от Symantec на поиск вируса у меня перегружается експлорер. Чтобы это значило (IMG:style_emoticons/bfz/cranky.gif)
Сообщение было отредактировано ded moroz: 2.02.2004 - 02:57 |
-------------------- Будете у нас на Колыме.... милости просим
|
|
Muhit |
2.02.2004 - 09:29
Сообщение
#59
|
Full Member Группа: Full member Сообщений: 70 Регистрация: 29.05.2003 Из: Almaty, KZ Пользователь №: 11456 |
ded moroz Кажись так задумано, шоб его (вирус) убить в памяти.
|
Sp0rtsteR |
7.02.2004 - 09:37
Сообщение
#60
|
gamez moder Группа: Старейшины Сообщений: 260 Регистрация: 22.12.2001 Пользователь №: 501 |
инета небыло, по радио слышал типа новый страшнейший вирус гуляет по сети - мне же ни одного письма не пришло с этим вирусом ни на один из имеющаихся ящиков...
|
Muhit |
7.02.2004 - 09:42
Сообщение
#61
|
Full Member Группа: Full member Сообщений: 70 Регистрация: 29.05.2003 Из: Almaty, KZ Пользователь №: 11456 |
Sp0rtsteR,
если антивирусные базы не обновлял, то в этом нет ничего удивительного. Ты его просто еще не заметил. :) |
Prison |
10.02.2004 - 04:23
Сообщение
#62
|
Сетевой монах Группа: Старейшины Сообщений: 77 Регистрация: 17.03.2002 Из: BELGIQUE, 120 km от Achen Пользователь №: 412 |
****I-Worm.Mydoom.a*******
После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов: При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "TaskMon" = "%System%\taskmon.exe" В отличие от одноименного системного файла Windows, файл червя всегда имеет размер 22KB. Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре: [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] "(Default)" = "%SysDir%\shimgapi.dll" Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe". Также червь создает файл "Message" во временном каталоге системы (обычно, %windir\temp). Данный файл содержит произвольный набор символов. Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO". Рассылка писем При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя. Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения: asp dbx tbb htm sht php adb pl wab txt и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu". Содержание зараженных писем Адрес отправителя: [произвольный] Тема письма выбирается произвольно из списка: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Тело письма выбирается произвольно из списка: test The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. Mail transaction failed. Partial message is available. Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_": document readme doc text file data test message body Вложения могут иметь одно из расширений: pif scr exe cmd bat Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения. Размножение через P2P Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами: winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 с расширением из списка: bat exe scr pif Прочее "Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы. В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта. -------------------------------------------------------------------------------- ****I-Worm.Mydoom.b****** Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB. Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com. Часть тела вируса зашифрована. В распакованном файле имеется текстовая строка: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry) Инсталляция После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов. При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer" = "%System%\explorer.exe" Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре: [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] "Apartment" = "%SysDir%\ctfmon.dll" Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe. Также червь создает файл "Body" во временном каталоге системы (обычно, %windir%\temp). Данный файл содержит произвольный набор символов. Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0". Червь заменяет стандартный файл "hosts" в каталоге Windows на свой собственный, измененный таким образом, чтобы пользователь зараженной машины не мог получить доступ через интернет к следующим доменам: ad.doubleclick.net ad.fastclick.net ads.fastclick.net ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net banner.fastclick.net banners.fastclick.net ca.com click.atdmt.com clicks.atdmt.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net fastclick.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com media.fastclick.net msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.fastclick.net www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.ru www3.ca.com Рассылка писем Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями. Тело письма выбирается произвольно из списка: The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received The message contains Unicode characters and has been sent asa binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment Mail transaction failed. Partial message is available. Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения. Размножение через P2P Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами: NessusScan_pro attackXP-1.26 winamp5 MS04-01_hotfix zapSetup_40_148 BlackIce_Firewall_Enterpriseactivation_crack xsharez_scanner icq2004-final с расширением из списка: bat exe scr pif -------------------------------------------------------------------------------- Инфа для не сведущих и лентяев!? |
Prison |
10.02.2004 - 04:30
Сообщение
#63
|
Сетевой монах Группа: Старейшины Сообщений: 77 Регистрация: 17.03.2002 Из: BELGIQUE, 120 km от Achen Пользователь №: 412 |
НОВИНКА!!!Worm.Win32.Doomjuice
Вирус-червь. Распространяется по глобальным сетям, используя про размножения компьютеры, зараженные червем I-Worm.Mydoom.a или I-Worm.Mydoom.b. Имеет размер 35KB, упакован UPX. Размер распакованного файла - около 43KB. Размножение При запуске червь копирует себя в системный каталог Windows с именем "intrenat.exe" и регистрирует данный файл в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gremlin" = "%system%\intrenat.exe" Червь извлекает из себя файл с именем "sync-src-1.00.tbz" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги в Documents and Settings. Данный файл представляет собой архив TAR, содержащий полные исходные тексты I-Worm.Mydoom.a. Прочее Червь обладает функцией DoS атаки на сайт www.microsoft.com. Worm.Win32.Doomjuice Вирус-червь. Распространяется по глобальным сетям, используя для размножения компьютеры, зараженные червем I-Worm.Mydoom (версий a и B). Имеет размер 35KB, упакован UPX. Размер распакованного файла - около 43KB. Инсталляция При запуске червь копирует себя в системный каталог Windows с именем "intrenat.exe" и регистрирует данный файл в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gremlin" = "%system%\intrenat.exe" Червь извлекает из себя файл с именем "sync-src-1.00.tbz" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги в Documents and Settings. Данный файл представляет собой архив TAR, содержащий полные исходные тексты I-Worm.Mydoom.a. Червь создает уникальный идентификатор "sync-Z-mtx_133" для определения своего наличия в памяти. Размножение Червь использует для своего размножения компьютеры зараженные червем Mydoom (версии a и B). Он осуществляет обращения к порту TCP 3127, который открыт "бэкдор"-компонентой (shimgapi.dll) Mydoom для приема команд. Если зараженный компьютер отвечает на запрос, то Doomjuice создает соединение и пересылает туда свою копию. "Бэкдор"-компонента Mydoom принимает данный файл и запускает его на исполнение. Для выбора атакуемого IP-адреса (A.B.C.D) червь использует следующий алгоритм: Первые цифры адреса (A) выбираются из списка: 3 4 6 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 61 62 63 64 65 66 67 68 80 81 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 193 194 195 196 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 Вторая (B) и третья © цифры генерируются червем произвольно. После этого червь начинает последовательно перебирать все адреса (D) от 0 до 254. DoS-атака Червь определяет системную дату, и если день месяца меньше 12, то DoS-атака на сайт www.microsoft.com производится в "легком" режиме: червь отсылает на 80 порт данного сайта один запрос GET, повторяя его через произвольное время. Если день месяца больше или равен 12, то запросы начинают отсылаться в бесконечном цикле. |
Sp0rtsteR |
12.02.2004 - 12:43
Сообщение
#64
|
gamez moder Группа: Старейшины Сообщений: 260 Регистрация: 22.12.2001 Пользователь №: 501 |
Muhit
как зашёл в инет, сразу обновил вэба, дата 01.02.2004. факт в том, что писем подзрительных с аттачами не было вообще. |
Muhit |
12.02.2004 - 13:47
Сообщение
#65
|
Full Member Группа: Full member Сообщений: 70 Регистрация: 29.05.2003 Из: Almaty, KZ Пользователь №: 11456 |
Цитата Muhit Значит друзья и знакомые в нете аккуратные и чистоплотные интернет пользователи. :)как зашёл в инет, сразу обновил вэба, дата 01.02.2004. факт в том, что писем подзрительных с аттачами не было вообще. Сам сколько вирус на чужих ящиках видел, а ко мне еще ни одного не упало. Наверное есть повод засомневаться в своем KAV Personal 4.5.0.94 (IMG:style_emoticons/bfz/unsure.gif) Хотя и утилиту от Symantec тоже запускал, пока чисто. |
drSAB |
14.02.2004 - 02:19
Сообщение
#66
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
Muhit
А это еще зависит от того, где у тебя ящик и как он оборудован на входящий поток сканером :P на сервере... ________________________________ Microsoft Mydoom (A, В ) and Doomjuice (A, В ) Worm Removal Tool 3.0 Цитата After running, the tool displays a message describing the outcome of the detection and removal process. The tool can be safely deleted after it has run. Also, the tool creates a log file named doomcln.log in the %WINDIR%debug folder. =>http://download.microsoft.com/download/f/a/7/fa7ff57d-edba-4836-bb03-499bc72aa5ba/DoomCln-KB836528-v3-ENU.exe Author:Microsoft Corp. Date:2004-02-12 License:Freeware Size:110 Kb Requires:Win All |
VasAn |
14.02.2004 - 06:18
Сообщение
#67
|
Гость |
А письма с этой дрянью все идут и идут!!! (IMG:style_emoticons/bfz/w00t.gif)
|
Prison |
17.02.2004 - 04:40
Сообщение
#68
|
Сетевой монах Группа: Старейшины Сообщений: 77 Регистрация: 17.03.2002 Из: BELGIQUE, 120 km от Achen Пользователь №: 412 |
А вот и я столкнулся с этой проблой в Бельгии, все статьи о том, что вирус не поражает БИОС, так в нем якобы нет свободного места, так это полная туфта, он не поражает Бису , если проставлен мин на перезапись Биса.
Мой кент зацепил заразу, и мы начали раскидывать Бису и , что увидели , то , что общяя память изменена аж на 153кб, в женераль параметрах записанны совершенно другие смоки., Тема закончилась прямым перепрошиванием БИСА, а по другому нас загнал в угол злой Вирус! |
Yurist |
18.02.2004 - 15:34
Сообщение
#69
|
ЛатЫш-КибальчЫш Группа: Старейшины Сообщений: 242 Регистрация: 23.11.2002 Из: DGT TeaM Пользователь №: 2985 |
Это ещё цветочки; Вот что сегодня Каспер поведал:
Цитата Компьютерный андерграунд накидывается на исходные коды Windows Найдена новая брешь: формат BMP более небезопасен "Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама предупреждает об обнаружении в браузере Internet Explorer (версии 5.0, 5.5 и 6.0) и Outlook Express 5.0 серьезной бреши в системе безопасности, которая позволяет злоумышленникам запускать на уязвимом компьютере вредоносные коды, используя файлы формата BMP. Брешь была обнаружена неизвестным лицом под псевдонимом "GTA" и опубликована на ряде специализированных веб-сайтов. В комментариях к примеру атаки на компьютер через эту уязвимость автор, в частности, признает, что получил данные в результате исследования исходных кодов Windows . "Это заявление подтверждает наши самые пессимистичные опасения, что компьютерный андерграунд вцепится в "исходники" в поисках новых методов атак. Скорость, с которой произошло это первое "открытие" заставляет серьезно задуматься о ближайшем будущем интернета, которое может пестрить подобными "сюрпризами" каждый день", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского". Наиболее тревожный момент в этой ситуации заключается в отсутствии специального обновления для Internet Explorer и Outlook Express, которое могло бы защитить от атак через брешь. Определенный комфорт могут испытывать только пользователи Windows XP с установленным Service Pack 1: тесты показали, что только такая конфигурация операционной системы обладает иммунитетом. Вместе с тем, обнаруженная брешь представляет реальную опасность для пользователей интернета. Она демонстрирует возможность создания BMP-файлов, при просмотре которых на компьютер незаметно загружается вредоносная программа. Причем, заражение может состояться как при чтении письма в Outlook Express, так и просмотре веб-страниц в интернете. "На данный момент мы не обнаружили вредоносных программ, атакующих компьютеры таким экзотическим способом. Несмотря на это вероятность их появления очень велика", - добавил Евгений Касперский. Для защиты от вредоносных программ, нацеленных на описанную брешь "Лаборатория Касперского" разработала специальное обновление Антивируса Касперского. Оно позволяет анализировать содержимое BMP-файлов и выявлять потенциально опасные объекты при попытке их проникновения на компьютер через интернет или электронную почту. "Повсеместно" включаем резалки картинок ;) Или юзаем Оперу или Мазилу. |
drSAB |
25.02.2004 - 01:33
Сообщение
#70
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
цветочки продолжаются:
ХОБОТ предупреждает! Новый червячок: Worm.Win32.Bizex. Берегите свою ICQ "Лаборатория Касперского" сообщает об обнаружении нового сетевого червя — Worm.Win32.Bizex, распространяющегося через ICQ, используя уязвимости самой ICQ, а также MS Internet Explorer. Пользователю ICQ приходит сообщение с приглашением посетить страницу на сайте "jokeworld" и дополнением ":)) LOL". В процессе демонстрации находящегося по этому адресу мультфильма из популярного сериала Joecartoon на компьютер пользователя через уязвимость в ICQ проникает вирус, изменяющий конфигурацию ICQ таким образом, чтобы разослать вышеприведенное сообщение всем контактам из контакт-листа программы. "Лаборатория Касперского" рекомендует в случае получения ссылки на веб-сайт "jokeworld" немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт. Для защиты пользователей "Антивируса Касперского" выпущено срочное обновление антивирусных баз Источник: VirusList >http://www.viruslist.com/eng/index.html Цитата Virus Alert Worm.Win32.Bizex [ 02/24/2004 13:33, GMT +03:00, Moscow ] Danger: moderate risk Kaspersky Labs has detected Worm.Win32.Bizex which spreads via ICQ, using a vulnerability in ICQ and Internet Explorer. |
The Undertaker |
25.02.2004 - 01:54
Сообщение
#71
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
пользователям оперы и клонов ICQ бояться нечего, да и к тому же сайт этот уже сдох :D видимо кул хакари его замочили.
|
-------------------- \o/
|
|
alko21 |
25.02.2004 - 22:06
Сообщение
#72
|
Novice Группа: Пoльзователь Сообщений: 5 Регистрация: 23.02.2004 Пользователь №: 36180 |
Найти лечилку червя WORM. WIN32 и заплатку для Windows XP можно найти в журнале "Upgrade Special" за декабрь 2003г.
|
Galed |
26.02.2004 - 07:20
Сообщение
#73
|
Full Member Группа: Full member Сообщений: 137 Регистрация: 29.10.2002 Из: Россия Пользователь №: 1959 |
Worm.Win32.Bizex Вирус-червь, распространяющийся через интернет при помощи интернет-пейджера ICQ. Червь рассылает пользователям ICQ сообщения с URL указывающими на файл, содержащий процедуры автоматической загрузки и исполнения на компьютере пользователя вредоносных компонентов. [img]http://www.kav.ru/imagesr/news/bizex.gif[/img] Размножение При обращении к ссылке из присланного сообщения http://www.jokeworld.xxx/xxx.html :))LOL (где xxx - замененные нами символы) происходит использование CHM-уязвимости, в результате чего специально сконструированный CHM-файл автоматически исполняется на компьютере пользователя. Данный архив содержит в себе файл "iefucker.html" представляющий собой скриптовый TrojanDropper, который извлекает из себя в различные системные каталоги файл "WinUpdate.exe". Для платформы Windows 2000 и Windows XP: "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WinUpdate.exe" Для платформы Windows 98: "c:\windows\Start Menu\Programs\Startup\WinUpdate.exe" Данный файл является троянской программой класса TrojanDownloader, которая загружает с удаленного сайта основной компонент червя и записывает его в системный временный каталог под именем "aptgetupd.exe". Главный компонент Является PE-файлом размером около 84KB (86528 байт), упакован PECompact. После запуска червь копирует себя в подкаталог SYSMON в системном каталоге Windows под именем "sysmon.exe" и регистрирует данный файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "sysmon" = "%system%\sysmon\sysmon.exe" Червь обладает функцией кражи конфиденциальной информации различных банковских служб: Acceso a Banca por Internet Accueil Bred.fr > Espace Bred.fr American Express UK - Personal Finance Banamex.com baNK Banque Banque en ligne Barclaycard Merchant Services Collegamento a Scrigno Commercial Electronic Office Sign On Credit Lyonnais interacti CyberMUT E*TRADE Log On e-gold Account Access Home Page Banca Intesa LloydsTSB online - Welcome Merchant Administration Page d'accueil Secure User Area SUNCORP METWAY Tous les produits et services VeriSign Partner Manager VeriSign Personal Trust Service Wells Fargo - Small Business Home Page А также данных, передаваемых по HTTPS и аккаунтов различных почтовых служб (Yahoo,etc). Вся украденная информация хранится в файлах "~pass.log", "~key.log", "~post.log" и пересылается по FTP на удаленный сервер "www.ustrading.info". Червь извлекает из себя несколько системных библиотек и устанавливает их в системный каталог Windows: java32.dll javaext.dll icq_socket.dll (библиотека для отправки сообщений через ICQ) ICQ2003Decrypt.dll (библиотека для ICQ) Червь получает доступ к списку контактов ICQ, отключает запущенный ICQ-клиент, осуществляет самостоятельное подключение к серверу под данными пользователя зараженной машины и рассылает по всем найденным контактам ссылку на свой сайт. Прочее При открытии ссылки, помимо использования CHM-эксплойта, происходит попытка загрузки и исполнения Java-архива, содержащего различные TrojanDownloader (детектируются как Trojan.Java.Classloader и TrojanDownloader.Java.OpenConnection), которые также пытаются загрузить на компьютер компоненты червя. |
-------------------- На работе всегда выкладывайтесь на 100%! 12% в понедельник, 23% во вторник, 40% в среду, 20% в четверг и 5% в пятницу!
|
|
good |
27.02.2004 - 21:15
Сообщение
#74
|
Full Member Группа: Full member Сообщений: 145 Регистрация: 13.03.2003 Пользователь №: 8119 |
А я из-за этого гада винду переустанавливал... С этих пор буду регулярно качать обновления своего нортана !!!!!
|
-------------------- Заводы - рабочим! Землю - крестьянам! Warner Brothers - мне!!!
|
|
good |
27.02.2004 - 21:19
Сообщение
#75
|
Full Member Группа: Full member Сообщений: 145 Регистрация: 13.03.2003 Пользователь №: 8119 |
А я из-за этого гада винду переустанавливал (IMG:style_emoticons/bfz/angry.gif) ... С этих пор буду регулярно качать обновления своего нортана :D !!!!!
|
-------------------- Заводы - рабочим! Землю - крестьянам! Warner Brothers - мне!!!
|
|
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 29.03.2024 - 14:25 |
|