ВИРУС!!! Читать всем!!! |
Здравствуйте, гость ( Вход | Регистрация )
ВИРУС!!! Читать всем!!! |
FUriCK |
12.08.2003 - 18:01
Сообщение
#1
|
Silver Member Группа: VIP Сообщений: 314 Регистрация: 20.06.2002 Из: Dnepropetrovsk Пользователь №: 197 |
Источник =http://www.livejournal.com/users/olegart/33500.html
Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка ( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу. Выглядеть атака будет, например, вот так: [img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img] Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ . Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется. Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их. Таким образом, началась настоящая пьянка - эпидемия очередного червя. Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших. Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все. Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html . Кто не спрятался - я не виноват. Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя. |
-------------------- P.S. Сорри за опоздание. :*)
|
|
Billard |
20.08.2003 - 22:58
Сообщение
#26
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
Полезных вирусов не бывает! >>http://www.kaspersky.ru/news.html?id=1321905
|
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
Billard |
23.08.2003 - 21:44
Сообщение
#27
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
Утилита для защиты от "Sobig.f" и "Welchia" >>ftp://ftp.kaspersky.com/utils/clrav.com
|
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
Aragorn |
31.08.2003 - 22:05
Сообщение
#28
|
Stranger in a Strange Land Группа: Старейшины Сообщений: 834 Регистрация: 6.07.2003 Из: Riga,Latvija Пользователь №: 12723 |
Один из авторов вируса Blaster арестован
Федеральное бюро расследований США арестовало в пятницу восемнадцатилетнего хакера, подозреваемого в распространении компьютерного вируса, известного под названиями Blaster (известный также как LovSan, MSBlast), сообщает телекомпания CNN. Джеффри Ли Парсон в настоящее время находится тюрьме штата Миннесота. Позже ФБР планирует провести пресс-конференцию, на которой сообщит о результатах расследования по этому делу. Ранее сообщалось, что автора Blaster удалось выследить с помощью свидетеля, который видел, как подозреваемый тестировал одну из модификаций червя. Напомним, что вслед за появлением в Сети оригинальной версии Blaster, появились несколько его модификаций с рядом косметических изменений. По данным антивирусных компаний, вирус Blaster уже заразил более 500 тыс. компьютеров в разных странах мира. |
Billard |
1.09.2003 - 02:02
Сообщение
#29
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
За вирусом SOBIG стоит организованная преступность?
Питер Симпсон, менеджер лаборатории ThreatLab компании Clearswift, опасается, что антивирусные компании и СМИ уделяют слишком много внимания беспрецедентным масштабам распространения варианта вируса Sobig.F, оставляя почти без внимания реальную опасность. По мнению Симпсона, Sobig.F продолжает серию вторжений в цифровой мир организованной преступности, которая осваивает онлайн. "Sobig побил все рекорды по количественным показателям, но это еще не все, — говорит он. — Мы наблюдаем шестой из серии управляемых экспериментов. Это не тот случай, когда какие-то любители пишут вирусы в своей спальне, — это действительно очень изощренный пример организованных преступных действий". Симпсон убежден, что худшее еще впереди. Цель проникновения Sobig в компьютер, по его мнению, состоит не в том, чтобы вызвать разрушение или просто добиться широкого и быстрого распространения вируса, а в том, чтобы получить контроль над машиной, загрузив "троянца" и получив для преступных целей доступ к такой информации, как детали банковских счетов. Подобная тактика позволяет также недобросовестным маркетерам маскировать источник спама, злоупотребляя компьютерами и идентификаторами жертв. Симпсон полагает, что последний фактор — один из главных мотивов организованных преступных группировок, которые сочетают спам и вирусы для взаимного усиления эффективности того и другого. Спамеры, все больше испытывающие затруднения от повышения бдительности и фильтрации, вынуждены искать более совершенные способы распространения своих сообщений. "Главное в этом деле — понять мотивы создателя вируса, — говорит Симпсон. — Они далеки от простого желания написать вирус, который быстро распространяется и побивает рекорды, и явно криминальны". Источник: zdnet.ru |
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
Sp0rtsteR |
11.09.2003 - 16:09
Сообщение
#30
|
gamez moder Группа: Старейшины Сообщений: 260 Регистрация: 22.12.2001 Пользователь №: 501 |
В августе этого года многие компьютеры под управлением операционными системами Windows XP / 2000 были поражены червём msblast (LoveSun), в результате действий которого многие системы самопроизвольно перезагружались. Это вызывало не только неудобство, но и могло стать причиной потери всей несохранённой работы. После того, как, всё же, соответствующее обновление удавалось установить, пользователи вытирали пот со лба и облегчённо вздыхали. Опасность миновала, думали многие. Ага! Если бы всё было бы так просто! В списках уязвимостей вчера, 10-ого сентября, опять всплыл тот же самый DCOM. Согласно бюллетеню MS03-039, новая уязвимость получила название: Buffer Overrun In RPCSS Service (824146). Уязвимость сразу же получила статус критической.
Более подробная информация на сайте компании MicroSoft: http://www.microsoft.com/security/security...ns/ms03-039.asp => http://www.microsoft.com/security/security...ns/ms03-039.asp=>http://www.microsoft.com/security/security_bulletins/ms03-039.asp - для конечных пользователей. http://www.microsoft.com/technet/treeview/...in/MS03-039.asp => http://www.microsoft.com/technet/treeview/...in/MS03-039.asp=>http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp - для администраторов, содержит ряд технической информации. Уязвим весь ряд систем на основе технологии NT: Windows NT® 4.0, Windows 2000, Windows XP, Windows Server™ 2003. Неуязвимы только Windows ME, Windows 98 и Windows 95. Пока что сам эксплоит ещё, вроде бы, не вышел, однако, это может произойти с минуты на минуту. Не трудно догадаться, что вслед за ним обязательно последует и релиз очередного червя какого-нибудь "гения". Советуем скачать обновление немедленно, чтобы защититься от неблагоприятных последствий. Added by st4Lk3r: Windows NT Workstation 4.0 Windows NT Server 4.0 Windows NT Server 4.0, Terminal Server Edition Windows 2000 Windows XP Windows XP 64 bit Edition Windows XP 64 bit Edition Version 2003 Windows Server 2003 Windows Server 2003 64 bit Edition by smerch mazafaka.ru |
The Undertaker |
11.09.2003 - 16:48
Сообщение
#31
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
а где патч?
|
-------------------- \o/
|
|
The Undertaker |
11.09.2003 - 23:13
Сообщение
#32
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
патчи:
Цитата Windows NT Workstation (requires SP6a installed): http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=en Windows NT Server 4.0 (requires SP6a installed): http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=en Windows NT Server 4.0, Terminal Server Edition (requires SP6 installed): http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en Windows 2000 (requires SP2, SP3, or SP4 installed): http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=en Windows XP: http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=en Windows XP 64 bit Edition: http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65&displaylang=en Windows XP 64 bit Edition Version 2003: http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en Windows Server 2003: http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=en Windows Server 2003 64 bit Edition: http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en ps: перейдя по ссылке не забываем в диалоге выбрать на каком языке у вас винда :) |
-------------------- \o/
|
|
Mihass |
29.09.2003 - 11:01
Сообщение
#33
|
Full Member Группа: VIP Сообщений: 222 Регистрация: 17.03.2002 Из: Moscow Пользователь №: 344 |
Видимо, очередной клон вируса msblast.... При подключении к интернет выскакивает ошибка svchost.exe :( DrWeb молчит. Обработал систему утилитками fixblast, FixSbigF, FixWelch, FxDumaru, FixSwen - глухо. Вручную посмотрел наличие msblast.exe - нет такой. Ошибка же осталась. ZoneAlarm выставил на 'все на ask', чтобы отследить гадкое приложение - нет же - сразу ошибка! Что скажете, отцы? :D
|
-------------------- "...За сим прощаюсь с Вами, любезная Екатерина Матвеевна, - обстоятельства не позволяют писать более. Обещаю возобновить письмо снова, как только это станет возможным."
|
|
TRAFIK |
8.10.2003 - 15:40
Сообщение
#34
|
Full Member Группа: Full member Сообщений: 139 Регистрация: 12.01.2003 Пользователь №: 4837 |
Цитата(Mihass @ 29.09.2003 - 11:01) Видимо, очередной клон вируса msblast.... При подключении к интернет выскакивает ошибка svchost.exe :( DrWeb молчит. Обработал систему утилитками fixblast, FixSbigF, FixWelch, FxDumaru, FixSwen - глухо. Вручную посмотрел наличие msblast.exe - нет такой. Ошибка же осталась. ZoneAlarm выставил на 'все на ask', чтобы отследить гадкое приложение - нет же - сразу ошибка! Что скажете, отцы? :D Такая же фигня! Начала вылазить эта ошибка. Через несколько дней она мне надоела, переустановил w2k в чистую, поставил дрова только на модем вылез в инет, минут 10 посидел и опять она выскочила. Сижу щас на win98, все в порядке. |
-------------------- _--=Когда "чайник" начинает "свистеть" он становиться хакером=--_
|
|
drSAB |
8.10.2003 - 16:52
Сообщение
#35
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
Mihass
TRAFIK вот есть следующая информация: Цитата * .... переустановка системы не всегда помогает вылечить этот вирус, поэтому качайте патч. Симптомы заболевания: переодическая непроизвольная (или при подключении к интернету) перезагрузка компьютера. В WinXP внутренняя система защиты выдаёт предупреждение о перезагрузке * в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run посмотреть запись "windows auto update"="msblast.exe" (или что-то похожее - Shell.exe, Shel1.exe и т.п.), после чего найти и стереть файл ... и немного информации о путях заражения: Цитата Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается. В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети). Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun". Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида: "This system is shutting down" Перезагрузка компьютеров в планы злоумышленников, повидимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter. "Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить о победе еще рано. Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя. Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. Никаких настроек - запустил и готово. После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер :)) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями). И вам, как говориться, серый волк совсем не страшен. =>http://www.xxp-design.ru/index.asp?mode=234&typ=lek Я специально привел эту цитату - поставьте монитор, файервол (или что нить другое для контроля портов)... Как вариант - воспользоваться программой, делающей снимок системных файлов , через два-три снимка это проявиться • КАVinspector - из комплекта антивируса Касперского; • или даже стандартная MSinfo - в режиме контроля системных файлов =>C:\Program Files\Common Files\Microsoft Shared\MSINFO\MSINFO32.EXE см. Меню/Сервис/Проверка системных файлов |
Sanek |
12.10.2003 - 23:16
Сообщение
#36
|
Истинный помощник Группа: Модераторы Сообщений: 940 Регистрация: 13.01.2002 Пользователь №: 457 |
у KpNemo висит сообщение о новой модификации бласта
да и на Imho.ws уже есть свидетельства о новом бластере прошлая заплатка грят не помогает, выскакивает подобное же бластерному окошко о ошибке и о прекращении работы через n секунд, только теперь уже речь не о RPC ошибке а о какой-то другой портов тоже чегой-то многовато затрагивает - говорят про 135,137,139, 445, 593, 4444, 69 и 138 также, по слухам, исправлена ошибка бласта с этой самой постоянной перезагрузкой компа (эта перезагрузка ведь и демаскировала его и помешала внезапно атаковать сайты Майкрософта) - теперь комп перегружается и высвечивает памятное окошко только один раз - в момент самого заражения, а далее сидит тихо, рассылает себя, жрет трафик и, вероятно, готовится кого-то атаковать... хорошо бы это было бы просто слухами... :\ |
-------------------- В ЭТОМ МИРЕ ТОГО, ЧТО ХОТЕЛОСЬ БЫ НАМ - НЕТ!
|
|
The Undertaker |
12.10.2003 - 23:44
Сообщение
#37
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
вообще все эти порты относятся к rpc..
|
-------------------- \o/
|
|
Mihass |
8.01.2004 - 11:35
Сообщение
#38
|
Full Member Группа: VIP Сообщений: 222 Регистрация: 17.03.2002 Из: Moscow Пользователь №: 344 |
Ну вот, опять гады начали слать вирус по почте.
Текст: "MS Customer this is the latest version of security update, the "January 2004, Cumulative Patch" update which fixes all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three newly discovered vulnerabilities. Install now to help maintain the security of your computer from these vulnerabilities, the most serious of which could allow an malicious user to run code on your computer. Questo programma consente al vostro PC of all previously released patches." в аттаче файл Q237899.exe (Препарировать его не стал - от греха...) |
-------------------- "...За сим прощаюсь с Вами, любезная Екатерина Матвеевна, - обстоятельства не позволяют писать более. Обещаю возобновить письмо снова, как только это станет возможным."
|
|
drSAB |
9.01.2004 - 03:17
Сообщение
#39
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
Microsoft Blaster Worm Removal Tool
Author: Microsoft Requires: Win XP/2K =>http://download.microsoft.com/download/d/c/3/dc37439a-172b-4f20-beac-bab52cdd38bc/Windows-KB833330-ENU.exe Last-Modified: 29 Dec 2003 19:22:42 GMT Content-Length: 323,896 ____________________ Symantec W32.Mydoom@mm Removal Tool выделен и перенесен в отдельную тему на W&R |
Warmonger |
12.01.2004 - 15:26
Сообщение
#40
|
JUST KIDDIN' Группа: Старейшины Сообщений: 213 Регистрация: 16.06.2002 Из: Mockbа Пользователь №: 566 |
Вирусописатели снова маскируются под письма от Microsoft
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой троянской программы "Xombe", разосланной по интернету с использованием спам-методов. На данный момент антивирусной лабораторией зафиксированы случаи заражения этой вредоносной программой компьютеров в различных странах мира, что свидетельствует о крупном масштабе произведенной рассылки. "Xombe" представляет собой утилиту несанкционированного удаленного управления. "Троянец" устанавливает специальную программу, которая выполняет на зараженном компьютере получаемые извне команды. "Xombe" состоит из двух функциональных частей. Первая, загрузчик, представляет собой файл размером всего 4Кб. При запуске он соединяется через интернет с одним из удаленных серверов и незаметно загружает на компьютер вторую, главную часть "троянца". Последняя после установки постоянно находится в памяти и обращается в интернет на удаленный сайт, откуда загружает файлы, содержащие команды для троянца. При получении этих команд "Xombe" выполняет их на компьютере. В частности, "троянец" имеет возможность устанавливать и выполнять несанкционированные приложения, в том числе шпионского характера. "Лабораторией Касперского" был обнаружен дополнительный модуль, проводящий с зараженных компьютеров распределенную DoS-атаку на сервер интернет-форумов. В данном случае загрузчик "Xombe" был разослан по электронной почте с фальсифицированного адреса "windowsupdate@microsoft.com" под заголовком "Windows XP Service Pack 1 (Express) - Critical Update." В письме пользователям предлагается установить прилагаемое обновление для операционной системы Windows XP, которое якобы обеспечивает более высокий уровень надежности, безопасности и совместимости. Имя вложенного файла-носителя "троянца" - WINXP_SP1.EXE. Данный случай еще раз свидетельствует о тенденции сращивания различных направлений компьютерного андерграунда: вирусописателей и спамеров. При рассылке "Xombe", несомненно, были использованы спам-технологии для обеспечения более широкого распространения "троянца". Процедуры защиты от "Xombe" уже добавлены в базу данных Антивируса Касперского®. |
-------------------- i'll be back!
|
|
SuperProf |
20.01.2004 - 18:44
Сообщение
#41
|
АЛХИМИК Группа: Администраторы Сообщений: 3812 Регистрация: 26.06.2002 Из: MSK.RU Пользователь №: 510 |
Всем срочно провести профилактические мероприятия
По данным Symantec Latest Threats 01-19-04 VBS.Zsyang.B@mm 01-18-04 W32.Beagle.A@mm Цитата Эхо Москвы 20 Января 2004 12:03:24 Эпидемия нового опасного вируса "Бигль" поразила сеть Интернет. Специалисты бьют тревогу: на данный момент уже зафиксировано более 70 тысяч случаев заражения компьютеров в 87 странах мира. Схема действий почтового червя довольно проста и стандартна. Он представляет собой файл размером в 15 килобайт и прикрепляется к электронному письму произвольного отправителя. В теме сообщения практически всегда одна и та же надпись – "Hi" - то есть привет, а в содержании - надпись "тест". После запуска прикрепленного файла червь копирует себя в системный каталог Windows. Затем он сканирует файловую систему пораженного компьютера и рассылает сам себя по всем найденным адресам электронной почты. "Срок действия" нового червя заканчивается 28 января. Но, тем не менее, специалисты антивирусных компаний, помня об эпидемии прошлого года, когда по истечении "срока годности" почтовые ящики пользователей атаковал еще более изощренный червь, чем его предшественник, рекомендуют: во-первых, своевременно обновлять антивирусную программу; во-вторых, ни в коем случае не открывать приложения в письмах, которых вы не ожидали. По словам специалистов, новый вирус создан по образцу червя "Собиг", эпидемия которого прошла в прошлом году - его признали одной из самых вредоносных программ 2003 года. |
-------------------- Я серьезен, как тролль в женской бане
|
|
rost |
28.01.2004 - 00:06
Сообщение
#42
|
Member Группа: VIP Сообщений: 48 Регистрация: 19.01.2002 Из: там много снега... Пользователь №: 911 |
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.
Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F. Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России. Профилактика, диагностика и защита "Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA. Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем. [img]http://www.kaspersky.ru/imagesr/news/novarg-1.gif[/img] В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif). Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения. Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов. [img]http://www.kaspersky.ru/imagesr/news/novarg.gif[/img] Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами. "Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению. Источник: Kaspersky Lab |
IgorekM |
28.01.2004 - 02:56
Сообщение
#43
|
Основатель Группа: VIP Сообщений: 634 Регистрация: 16.12.2001 Из: Баку Пользователь №: 2 |
Ага. Я ещё вчера прочёл эту инфу, когда со вчерашнего утра мне начали приходить письма с аттачами. Со вчерашнего дня мне пришло таких писем около 200, только на один почтовый ящик.
|
-------------------- На ПМ и письма НЕ ОТВЕЧАЮ, так как на форуме не бываю.
|
|
SergeyKa |
28.01.2004 - 11:16
Сообщение
#44
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Вчерашний maillog был похож на поле битвы.
Я даже на обед некогда было сходить. :( Давно небыло таких проблем. Хорошо, что отправка писем разрешена только с одного компьютера, а на нем касперский. Кстати ДокторВэбер-FreeBSD спокойно пропускал письма.... (IMG:style_emoticons/bfz/cranky.gif) |
travolta |
28.01.2004 - 16:57
Сообщение
#45
|
Гость |
Было такое: w2k serv перегружался с упомянутой табличкой раз 10 - не мог понять в чем дело. К и-нету вообще не был подрублен... перестало также резко, как и началось. (правда переставлял винду, так и не поняв, что случилось)
пс. благодаря DCOM потерял хорошую работу :) |
drSAB |
29.01.2004 - 01:21
Сообщение
#46
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
Рекомендации с ХОБОТА:
Цитата Измученные мегабайтами спама, валящегося в почтовые ящики в результате активности Mydoom (он же Shimgapi, он же Novarg, он же W32/Mydoom.A@mm) пользователи либо уже сумели найти средства для обеспечения собственной защиты, либо пока еще ищут. Скорее, именно последней категории и будут полезны рекомендации F-Secure. Сказано о "червяке много", поэтому лирическую часть опустим и перейдем сразу к делу. Во-первых, утилита F-Secure, позволяющая вычистить систему от червя, доступна для скачивания по адресам: ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.zip или http://www.f-secure.com/tools/f-mydoom.zip Незапакованная версия: ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.exe http://www.f-secure.com/tools/f-mydoom.exe Во-вторых, руководство по удалению: ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.txt http://www.f-secure.com/tools/f-mydoom.txt Системные администраторы, использующие F-Secure Policy Manager могут распространить утилиту по рабочим станциям в виде JAR-архива, скачав его с адресов http://www.f-secure.com/tools/f-mydoom.jar ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.jar Если по каким-то причинам невозможно удалить вирус автоматически, руководство по ручной чистке системы: Удалить ключи реестра и перезагрузить машину: [HKLM/Software/Microsoft/Windows/CurrentVersion/Run//TaskMon] [HKCR/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}//InprocServer32] Удалить из системного каталога файл %SysDir%taskmon.exe а также backdoor: %SysDir%shimgapi.dll зы: только учтите, что обычно в виндир есть дистрибутивный taskmon.exe Цитата Virus Information Service (>http://www3.ca.com/) выпустила небольшую утилиту, для удаления с компьютера Интернет-вируса Win32.Mydoom.A Напомню, что вирус распространяется либо по почте, либо через файловые обменные сети. Чаще всего письма приходят с заголовками "Error", "hello", "HELLO", "hi", "Hi", "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" и содержат вложения, которые нельзя запускать ни в коем случае. В файловых обменниках вирус скрывается за названиями "office_crack", "rootkitXP", "strip-girl-2.0bdcom_patches", "activation_crack", "icq2004-final", "winamp5". Будьте внимательные! =>http://www3.ca.com/Files/VirusInformationAndPrevention/clnshimg.zip 333 Кб, Freeware, Windows All |
Aragorn |
29.01.2004 - 01:38
Сообщение
#47
|
Stranger in a Strange Land Группа: Старейшины Сообщений: 834 Регистрация: 6.07.2003 Из: Riga,Latvija Пользователь №: 12723 |
К сообщению drSAB могу только добавить ссылку на еще одну утилитку:
W32.Novarg.A@mm Removal Tool 1.0.3 от Symantec http://securityresponse.symantec.com/avcenter/FxNovarg.exe Цитата This tool will Terminate the W32.Novarg.A@mm viral processes; Terminate the viral thread running under Explorer.exe; Delete the W32.Novarg.A@mm files; and Delete the registry values added by the worm. |
VasAn |
29.01.2004 - 08:09
Сообщение
#48
|
Гость |
(IMG:style_emoticons/bfz/blink.gif) Кстати!! В данное время зафиксирован всплеск активности червячка I-Worm.Novang и I-Worm.Mydoom.a
(IMG:style_emoticons/bfz/blushing.gif) Moй сервак сейчас атакуется. |
rost |
29.01.2004 - 10:18
Сообщение
#49
|
Member Группа: VIP Сообщений: 48 Регистрация: 19.01.2002 Из: там много снега... Пользователь №: 911 |
Лекарство от Касперского.
Цитата В связи с многочисленными случаями заражения сетевым червем "Novarg" ("Mydoom"), "Лаборатория Касперского" разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы. Утилита CLRAV производит поиск и нейтрализацию червя в оперативной памяти и жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows. Помимо "Novarg" ("Mydoom") данная утилита эффективно борется с другими вредоносными программами, в том числе "Klez", "Lentin", "Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV будет особенно полезен пользователям других антивирусных программ, которые могут некорректно обнаруживать и удалять "Novarg". При запуске данной утилиты "Лаборатория Касперского" рекомендует закрыть все активные приложения. По окончании ее работы необходимо перезагрузить компьютер и запустить антивирусный сканер для полномасштабной проверки компьютера. _ftp://ftp.kaspersky.com/utils/clrav.zip |
Yurist |
30.01.2004 - 14:34
Сообщение
#50
|
ЛатЫш-КибальчЫш Группа: Старейшины Сообщений: 242 Регистрация: 23.11.2002 Из: DGT TeaM Пользователь №: 2985 |
Цитата Корпорация Microsoft удвоила награду за поимку автора червя MyDoom, подняв сумму до 500 тысяч долларов США. Теперь любой, кто предоставит достоверные сведения о вирусописателе, получит $250 тысяч от компании SCO и $250 тысяч от софтверного гиганта. Вредоносная программа MyDoom (другое название Novarg), напомним, была выпущена в Сеть четыре дня назад, в понедельник. С тех пор вирус успел проникнуть на сотни тысяч компьютеров по всему миру, спровоцировав при этом резкое увеличение объемов почтового трафика. В частности, по данным антивирусных компаний, код Novarg содержится в каждом двенадцатом электронном сообщении. Это абсолютный рекорд. Кроме того, червь имеет встроенные функции организации DoS-атак на сайты SCO и Microsoft, которые должны начаться 1 и 3 февраля соответственно. Интересно отметить, что из-за наличия процедур отсылки фальшивых запросов на серверы SCO вредоносная программа получила неофициальное название SCObig - по аналогии с червем Sobig, третировавшем интернет в августе прошлого года. Кстати, именно Sobig до последнего времени считался чемпионом по скорости распространения. Его код содержался в каждом семнадцатом письме. Между тем, ущерб, нанесенный MyDoom, по оценкам аналитиков, составит около 250 миллионов долларов США. Для сравнения, вышеназванный червь Sobig обошелся пользователям Сети в 50 миллионов долларов. Впрочем, вполне вероятно, цифры будут намного больше. Дело в том, что модификация вируса MyDoom.B не получила столь широкого распространения как оригинальная версия. Так что не исключено, что в скором времени появится третий вариант вредоносной программы Источник => http://www.computerra.ru/news/2004/1/30/44799/ Мне сегодня пришло 19 ЕГО содержащих посланий (IMG:style_emoticons/bfz/w00t.gif) - такого количества писем я ещё никогда не получал (даже когда был молодым и красивым :D )... Это я к тому - Обновляйте базы !!!... и навсяк, пройдитесь вышеупомянутыми тулами. ЗЫ: Да..., и ищите того вредюку, каторый енту гадость породил. Поимеете возможность денежку немного заработать :) Воощем оглядывайтесь почаще, когда по парку утром бегаете.... :) |
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 19.04.2024 - 22:57 |
|