IPB

Здравствуйте, гость ( Вход | Регистрация )

> ВИРУС!!! Читать всем!!!
FUriCK
12.08.2003 - 18:01
Сообщение #1



Silver Member
Group Icon
Группа: VIP
Сообщений: 314
Регистрация: 20.06.2002
Из: Dnepropetrovsk

Пользователь №: 197




Источник =http://www.livejournal.com/users/olegart/33500.html

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка
( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp ,
два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:
[img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img]

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ .
Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html .

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.


--------------------
P.S. Сорри за опоздание. :*)
User is offlineProfile Card PM
Go to the top of the page
+
10 Страницы V < 1 2 3 4 > »   
Reply to this topicStart new topic
Ответов(25 - 49)
Billard
20.08.2003 - 22:58
Сообщение #26


No Avatar
Silver Member
Group Icon
Группа: VIP
Сообщений: 484
Регистрация: 9.12.2002
Из: Киев, Украина

Пользователь №: 3474




Полезных вирусов не бывает! >>http://www.kaspersky.ru/news.html?id=1321905


--------------------
Биллиард ИНФО => http://billiard-info.com
User is offlineProfile Card PM
Go to the top of the page
+
Billard
23.08.2003 - 21:44
Сообщение #27


No Avatar
Silver Member
Group Icon
Группа: VIP
Сообщений: 484
Регистрация: 9.12.2002
Из: Киев, Украина

Пользователь №: 3474




Утилита для защиты от "Sobig.f" и "Welchia" >>ftp://ftp.kaspersky.com/utils/clrav.com


--------------------
Биллиард ИНФО => http://billiard-info.com
User is offlineProfile Card PM
Go to the top of the page
+
Aragorn
31.08.2003 - 22:05
Сообщение #28


No Avatar
Stranger in a Strange Land
Group Icon
Группа: Старейшины
Сообщений: 834
Регистрация: 6.07.2003
Из: Riga,Latvija

Пользователь №: 12723




Один из авторов вируса Blaster арестован

Федеральное бюро расследований США арестовало в пятницу восемнадцатилетнего хакера, подозреваемого в распространении компьютерного вируса, известного под названиями Blaster (известный также как LovSan, MSBlast), сообщает телекомпания CNN.

Джеффри Ли Парсон в настоящее время находится тюрьме штата Миннесота. Позже ФБР планирует провести пресс-конференцию, на которой сообщит о результатах расследования по этому делу.

Ранее сообщалось, что автора Blaster удалось выследить с помощью свидетеля, который видел, как подозреваемый тестировал одну из модификаций червя. Напомним, что вслед за появлением в Сети оригинальной версии Blaster, появились несколько его модификаций с рядом косметических изменений.

По данным антивирусных компаний, вирус Blaster уже заразил более 500 тыс. компьютеров в разных странах мира.
User is offlineProfile Card PM
Go to the top of the page
+
Billard
1.09.2003 - 02:02
Сообщение #29


No Avatar
Silver Member
Group Icon
Группа: VIP
Сообщений: 484
Регистрация: 9.12.2002
Из: Киев, Украина

Пользователь №: 3474




За вирусом SOBIG стоит организованная преступность?
Питер Симпсон, менеджер лаборатории ThreatLab компании Clearswift, опасается, что антивирусные компании и СМИ уделяют слишком много внимания беспрецедентным масштабам распространения варианта вируса Sobig.F, оставляя почти без внимания реальную опасность. По мнению Симпсона, Sobig.F продолжает серию вторжений в цифровой мир организованной преступности, которая осваивает онлайн.
"Sobig побил все рекорды по количественным показателям, но это еще не все, — говорит он. — Мы наблюдаем шестой из серии управляемых экспериментов. Это не тот случай, когда какие-то любители пишут вирусы в своей спальне, — это действительно очень изощренный пример организованных преступных действий".
Симпсон убежден, что худшее еще впереди. Цель проникновения Sobig в компьютер, по его мнению, состоит не в том, чтобы вызвать разрушение или просто добиться широкого и быстрого распространения вируса, а в том, чтобы получить контроль над машиной, загрузив "троянца" и получив для преступных целей доступ к такой информации, как детали банковских счетов. Подобная тактика позволяет также недобросовестным маркетерам маскировать источник спама, злоупотребляя компьютерами и идентификаторами жертв.
Симпсон полагает, что последний фактор — один из главных мотивов организованных преступных группировок, которые сочетают спам и вирусы для взаимного усиления эффективности того и другого. Спамеры, все больше испытывающие затруднения от повышения бдительности и фильтрации, вынуждены искать более совершенные способы распространения своих сообщений. "Главное в этом деле — понять мотивы создателя вируса, — говорит Симпсон. — Они далеки от простого желания написать вирус, который быстро распространяется и побивает рекорды, и явно криминальны".
Источник: zdnet.ru


--------------------
Биллиард ИНФО => http://billiard-info.com
User is offlineProfile Card PM
Go to the top of the page
+
Sp0rtsteR
11.09.2003 - 16:09
Сообщение #30



gamez moder
Group Icon
Группа: Старейшины
Сообщений: 260
Регистрация: 22.12.2001

Пользователь №: 501




В августе этого года многие компьютеры под управлением операционными системами Windows XP / 2000 были поражены червём msblast (LoveSun), в результате действий которого многие системы самопроизвольно перезагружались. Это вызывало не только неудобство, но и могло стать причиной потери всей несохранённой работы. После того, как, всё же, соответствующее обновление удавалось установить, пользователи вытирали пот со лба и облегчённо вздыхали. Опасность миновала, думали многие. Ага! Если бы всё было бы так просто! В списках уязвимостей вчера, 10-ого сентября, опять всплыл тот же самый DCOM. Согласно бюллетеню MS03-039, новая уязвимость получила название: Buffer Overrun In RPCSS Service (824146). Уязвимость сразу же получила статус критической.

Более подробная информация на сайте компании MicroSoft:
http://www.microsoft.com/security/security...ns/ms03-039.asp => http://www.microsoft.com/security/security...ns/ms03-039.asp=>http://www.microsoft.com/security/security_bulletins/ms03-039.asp - для конечных пользователей.
http://www.microsoft.com/technet/treeview/...in/MS03-039.asp => http://www.microsoft.com/technet/treeview/...in/MS03-039.asp=>http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp - для администраторов, содержит ряд технической информации.

Уязвим весь ряд систем на основе технологии NT: Windows NT® 4.0, Windows 2000, Windows XP, Windows Server™ 2003. Неуязвимы только Windows ME, Windows 98 и Windows 95.

Пока что сам эксплоит ещё, вроде бы, не вышел, однако, это может произойти с минуты на минуту. Не трудно догадаться, что вслед за ним обязательно последует и релиз очередного червя какого-нибудь "гения". Советуем скачать обновление немедленно, чтобы защититься от неблагоприятных последствий.

Added by st4Lk3r:

Windows NT Workstation 4.0

Windows NT Server 4.0

Windows NT Server 4.0, Terminal Server Edition

Windows 2000

Windows XP

Windows XP 64 bit Edition

Windows XP 64 bit Edition Version 2003

Windows Server 2003

Windows Server 2003 64 bit Edition

by smerch
mazafaka.ru
User is offlineProfile Card PM
Go to the top of the page
+
The Undertaker
11.09.2003 - 16:48
Сообщение #31



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




а где патч?


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
The Undertaker
11.09.2003 - 23:13
Сообщение #32



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




патчи:

Цитата

Windows NT Workstation (requires SP6a installed):

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=en

Windows NT Server 4.0 (requires SP6a installed):

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=en

Windows NT Server 4.0, Terminal Server Edition (requires SP6
installed):

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en

Windows 2000 (requires SP2, SP3, or SP4 installed):

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=en

Windows XP:

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=en

Windows XP 64 bit Edition:

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65&displaylang=en

Windows XP 64 bit Edition Version 2003:

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en

Windows Server 2003:

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=en

Windows Server 2003 64 bit Edition:

http://www.microsoft.com/downloads/details...&displaylang=en => http://www.microsoft.com/downloads/details...&displaylang=en=>http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en


ps: перейдя по ссылке не забываем в диалоге выбрать на каком языке у вас винда :)


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
Mihass
29.09.2003 - 11:01
Сообщение #33



Full Member
Group Icon
Группа: VIP
Сообщений: 222
Регистрация: 17.03.2002
Из: Moscow

Пользователь №: 344




Видимо, очередной клон вируса msblast.... При подключении к интернет выскакивает ошибка svchost.exe :( DrWeb молчит. Обработал систему утилитками fixblast, FixSbigF, FixWelch, FxDumaru, FixSwen - глухо. Вручную посмотрел наличие msblast.exe - нет такой. Ошибка же осталась. ZoneAlarm выставил на 'все на ask', чтобы отследить гадкое приложение - нет же - сразу ошибка! Что скажете, отцы? :D


--------------------
"...За сим прощаюсь с Вами, любезная Екатерина Матвеевна, - обстоятельства не позволяют писать более. Обещаю возобновить письмо снова, как только это станет возможным."
User is offlineProfile Card PM
Go to the top of the page
+
TRAFIK
8.10.2003 - 15:40
Сообщение #34


No Avatar
Full Member
***
Группа: Full member
Сообщений: 139
Регистрация: 12.01.2003

Пользователь №: 4837




Цитата(Mihass @ 29.09.2003 - 11:01)
Видимо, очередной клон вируса msblast.... При подключении к интернет выскакивает ошибка svchost.exe :( DrWeb молчит. Обработал систему утилитками fixblast, FixSbigF, FixWelch, FxDumaru, FixSwen - глухо. Вручную посмотрел наличие msblast.exe - нет такой. Ошибка же осталась. ZoneAlarm выставил на 'все на ask', чтобы отследить гадкое приложение - нет же - сразу ошибка! Что скажете, отцы? :D

Такая же фигня! Начала вылазить эта ошибка. Через несколько дней она мне надоела, переустановил w2k в чистую, поставил дрова только на модем вылез в инет, минут 10 посидел и опять она выскочила. Сижу щас на win98, все в порядке.


--------------------
_--=Когда "чайник" начинает "свистеть" он становиться хакером=--_
User is offlineProfile Card PM
Go to the top of the page
+
drSAB
8.10.2003 - 16:52
Сообщение #35



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




Mihass
TRAFIK

вот есть следующая информация:
Цитата
* .... переустановка системы не всегда помогает вылечить этот вирус, поэтому качайте патч. Симптомы заболевания: переодическая непроизвольная (или при подключении к интернету) перезагрузка компьютера. В WinXP внутренняя система защиты выдаёт предупреждение о перезагрузке
* в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run посмотреть запись "windows auto update"="msblast.exe" (или что-то похожее - Shell.exe, Shel1.exe и т.п.), после чего найти и стереть файл ...

и немного информации о путях заражения:
Цитата
Для того чтобы заразиться новой болезнью, вам просто надо быть в интернете - вирус сам вас найдет. Происходит это так. Червь проверяет 135-й порт машин, висящих в инете. Если преград для внедрения в систему жертвы нет (Windows подходящий, заплатки не стоят), то червь начинает атаку. На порт 135 червь посылает запрос для предоставления полного доступа к атакуемому. Если все "хорошо", то на компьютере-жертве открывается порт 4444 для ожидания последующих команд. Одновременно червяк слушает порт 69 UDP на первоначально зараженном компьютере. Как только от новой жертвы к нему поступает TFTP-запрос, червь загружает на компьютер жертвы файл носителя MSBLAST.EXE размером 6175 байт. Файл записывается в системную папку Windows и запускается.
В системном реестре появляется следующая строка для запуска червя после перезагрузки системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe В коде червя была обнаружен следующий текст: "Billy Gates why do you make this possible? Stop making money and fix your software!" (Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!). и I just want to say LOVE YOU SAN!! Bill (Просто хочу сказать - любите свои системные сети).

Именно благодаря фразе "LOVE YOU SAN" червь получил одно из своих названий "lovsan". Некоторые отечественные СМИ букву "a" заменили на "u", видимо подумав, что название происхо-дит от слова "sun".

Для простого юзера главная опасность нового червя заключается в том, что он генерирует огромный объем избыточного трафика, переполняющего каналы передачи данных интернета. Побочным явлением нового вируса являются еще и постоянные перезагрузки компьютера с появляющейся ошибкой вида:
"This system is shutting down"
Перезагрузка компьютеров в планы злоумышленников, повидимому, не входила. Вирус не должен был никак себя проявлять до часа Х, а именно до 16 августа. На этот день намечена крупномасштабная DDoS атака всех копий червя на сайт windowsupdate.com, содержащий обновления Windows. Пакеты данных с зараженных компьютеров, бомбардируя сайт, сделают его недоступным. Но секрет раскрыт раньше времени. Похоже, теракт не удался. Массированная атака с помощью компьютеров-жертв - вот цель, которую преследовали и создатели предыдущего вируса Autorooter.

"Предупрежден - значит вооружен!" - так то оно так, да вот только предупреждены, как всегда, далеко не все. Позвонив свои знакомым, вы наверняка узнаете, что их компьютер постоянно перезагружается и в чем проблема - для них не ясно. Поэтому говорить о победе еще рано.

Итак: если ваш компьютер постоянно перезагружается; если в папке windows\system32 появился файл msblast.exe; если в реестре появилась вышеописанная надпись - вы тоже на крючке у нового червя. Но избавится от него очень просто - либо всю эту гадость и удалить самостоятельно, либо запустить специально выпущенную специалистами компании Symantec утилиту W32.Blaster.Worm Removal Tool, удаляющую из системы самого червя и устраняющую все последствия его жизнедеятельности. Никаких настроек - запустил и готово.
После удаления неплохо было бы поставить заплатку на Windows с сайта windowsupdate.com (пока он еще не умер :)) и с помощью межсетевого экрана заблокировать порты 135, 69 и 4444 (если, конечно, они не используются другими приложениями). И вам, как говориться, серый волк совсем не страшен.

=>http://www.xxp-design.ru/index.asp?mode=234&typ=lek

Я специально привел эту цитату - поставьте монитор, файервол (или что нить другое для контроля портов)...

Как вариант - воспользоваться программой, делающей снимок системных файлов , через два-три снимка это проявиться

• КАVinspector - из комплекта антивируса Касперского;
• или даже стандартная MSinfo - в режиме контроля системных файлов =>C:\Program Files\Common Files\Microsoft Shared\MSINFO\MSINFO32.EXE
см. Меню/Сервис/Проверка системных файлов
User is offlineProfile Card PM
Go to the top of the page
+
Sanek
12.10.2003 - 23:16
Сообщение #36



Истинный помощник
Group Icon
Группа: Модераторы
Сообщений: 940
Регистрация: 13.01.2002

Пользователь №: 457




у KpNemo висит сообщение о новой модификации бласта
да и на Imho.ws уже есть свидетельства о новом бластере

прошлая заплатка грят не помогает, выскакивает подобное же бластерному окошко о ошибке и о прекращении работы через n секунд,
только теперь уже речь не о RPC ошибке а о какой-то другой
портов тоже чегой-то многовато затрагивает
- говорят про 135,137,139, 445, 593, 4444, 69 и 138
также, по слухам, исправлена ошибка бласта с этой самой постоянной перезагрузкой компа
(эта перезагрузка ведь и демаскировала его и помешала внезапно атаковать
сайты Майкрософта) - теперь комп перегружается и высвечивает памятное окошко только один раз - в момент самого заражения, а далее сидит тихо, рассылает себя, жрет трафик и, вероятно, готовится кого-то атаковать...

хорошо бы это было бы просто слухами... :\


--------------------
В ЭТОМ МИРЕ ТОГО, ЧТО ХОТЕЛОСЬ БЫ НАМ - НЕТ!
User is offlineProfile Card PM
Go to the top of the page
+
The Undertaker
12.10.2003 - 23:44
Сообщение #37



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




вообще все эти порты относятся к rpc..


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
Mihass
8.01.2004 - 11:35
Сообщение #38



Full Member
Group Icon
Группа: VIP
Сообщений: 222
Регистрация: 17.03.2002
Из: Moscow

Пользователь №: 344




Ну вот, опять гады начали слать вирус по почте.

Текст:

"MS Customer

this is the latest version of security update, the "January 2004, Cumulative Patch" update which fixes all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three newly discovered vulnerabilities. Install now to help maintain the security of your computer from these vulnerabilities, the most serious of which could allow an malicious user to run code on your computer. Questo programma consente al vostro PC of all previously released patches."


в аттаче файл Q237899.exe (Препарировать его не стал - от греха...)


--------------------
"...За сим прощаюсь с Вами, любезная Екатерина Матвеевна, - обстоятельства не позволяют писать более. Обещаю возобновить письмо снова, как только это станет возможным."
User is offlineProfile Card PM
Go to the top of the page
+
drSAB
9.01.2004 - 03:17
Сообщение #39



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




Microsoft Blaster Worm Removal Tool

Author: Microsoft
Requires: Win XP/2K

=>http://download.microsoft.com/download/d/c/3/dc37439a-172b-4f20-beac-bab52cdd38bc/Windows-KB833330-ENU.exe

Last-Modified: 29 Dec 2003 19:22:42 GMT
Content-Length: 323,896

____________________

Symantec W32.Mydoom@mm Removal Tool
выделен и перенесен в отдельную тему на W&R
User is offlineProfile Card PM
Go to the top of the page
+
Warmonger
12.01.2004 - 15:26
Сообщение #40



JUST KIDDIN'
Group Icon
Группа: Старейшины
Сообщений: 213
Регистрация: 16.06.2002
Из: Mockbа

Пользователь №: 566




Вирусописатели снова маскируются под письма от Microsoft

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой троянской программы "Xombe", разосланной по интернету с использованием спам-методов. На данный момент антивирусной лабораторией зафиксированы случаи заражения этой вредоносной программой компьютеров в различных странах мира, что свидетельствует о крупном масштабе произведенной рассылки.

"Xombe" представляет собой утилиту несанкционированного удаленного управления. "Троянец" устанавливает специальную программу, которая выполняет на зараженном компьютере получаемые извне команды.

"Xombe" состоит из двух функциональных частей. Первая, загрузчик, представляет собой файл размером всего 4Кб. При запуске он соединяется через интернет с одним из удаленных серверов и незаметно загружает на компьютер вторую, главную часть "троянца". Последняя после установки постоянно находится в памяти и обращается в интернет на удаленный сайт, откуда загружает файлы, содержащие команды для троянца. При получении этих команд "Xombe" выполняет их на компьютере.
В частности, "троянец" имеет возможность устанавливать и выполнять несанкционированные приложения, в том числе шпионского характера. "Лабораторией Касперского" был обнаружен дополнительный модуль, проводящий с зараженных компьютеров распределенную DoS-атаку на сервер интернет-форумов.

В данном случае загрузчик "Xombe" был разослан по электронной почте с фальсифицированного адреса "windowsupdate@microsoft.com" под заголовком "Windows XP Service Pack 1 (Express) - Critical Update." В письме пользователям предлагается установить прилагаемое обновление для операционной системы Windows XP, которое якобы обеспечивает более высокий уровень надежности, безопасности и совместимости. Имя вложенного файла-носителя "троянца" - WINXP_SP1.EXE.

Данный случай еще раз свидетельствует о тенденции сращивания различных направлений компьютерного андерграунда: вирусописателей и спамеров. При рассылке "Xombe", несомненно, были использованы спам-технологии для обеспечения более широкого распространения "троянца".

Процедуры защиты от "Xombe" уже добавлены в базу данных Антивируса Касперского®.


--------------------
i'll be back!
User is offlineProfile Card PM
Go to the top of the page
+
SuperProf
20.01.2004 - 18:44
Сообщение #41



АЛХИМИК
Group Icon
Группа: Администраторы
Сообщений: 3805
Регистрация: 26.06.2002
Из: MSK.RU

Пользователь №: 510




Всем срочно провести профилактические мероприятия

По данным Symantec

Latest Threats
01-19-04 VBS.Zsyang.B@mm
01-18-04 W32.Beagle.A@mm

Цитата
Эхо Москвы
20 Января 2004 12:03:24
Эпидемия нового опасного вируса "Бигль" поразила сеть Интернет. Специалисты бьют тревогу: на данный момент уже зафиксировано более 70 тысяч случаев заражения компьютеров в 87 странах мира.

Схема действий почтового червя довольно проста и стандартна. Он представляет собой файл размером в 15 килобайт и прикрепляется к электронному письму произвольного отправителя. В теме сообщения практически всегда одна и та же надпись – "Hi" - то есть привет, а в содержании - надпись "тест". После запуска прикрепленного файла червь копирует себя в системный каталог Windows. Затем он сканирует файловую систему пораженного компьютера и рассылает сам себя по всем найденным адресам электронной почты. "Срок действия" нового червя заканчивается 28 января. Но, тем не менее, специалисты антивирусных компаний, помня об эпидемии прошлого года, когда по истечении "срока годности" почтовые ящики пользователей атаковал еще более изощренный червь, чем его предшественник, рекомендуют: во-первых, своевременно обновлять антивирусную программу; во-вторых, ни в коем случае не открывать приложения в письмах, которых вы не ожидали.
По словам специалистов, новый вирус создан по образцу червя "Собиг", эпидемия которого прошла в прошлом году - его признали одной из самых вредоносных программ 2003 года.


--------------------
Я серьезен, как тролль в женской бане
IPB Image
User is offlineProfile Card PM
Go to the top of the page
+
rost
28.01.2004 - 00:06
Сообщение #42



Member
Group Icon
Группа: VIP
Сообщений: 48
Регистрация: 19.01.2002
Из: там много снега...

Пользователь №: 911




"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Профилактика, диагностика и защита

"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.

[img]http://www.kaspersky.ru/imagesr/news/novarg-1.gif[/img]

В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.

[img]http://www.kaspersky.ru/imagesr/news/novarg.gif[/img]

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

Источник: Kaspersky Lab
User is offlineProfile Card PM
Go to the top of the page
+
IgorekM
28.01.2004 - 02:56
Сообщение #43


No Avatar
Основатель
Group Icon
Группа: VIP
Сообщений: 634
Регистрация: 16.12.2001
Из: Баку

Пользователь №: 2




Ага. Я ещё вчера прочёл эту инфу, когда со вчерашнего утра мне начали приходить письма с аттачами. Со вчерашнего дня мне пришло таких писем около 200, только на один почтовый ящик.


--------------------
На ПМ и письма НЕ ОТВЕЧАЮ, так как на форуме не бываю.
User is offlineProfile Card PM
Go to the top of the page
+
SergeyKa
28.01.2004 - 11:16
Сообщение #44



The NetWork Assistant
Group Icon
Группа: Старейшины
Сообщений: 342
Регистрация: 18.02.2003

Пользователь №: 6704




Вчерашний maillog был похож на поле битвы.
Я даже на обед некогда было сходить. :(

Давно небыло таких проблем. Хорошо, что отправка писем разрешена только с одного компьютера, а на нем касперский.

Кстати ДокторВэбер-FreeBSD спокойно пропускал письма.... cranky.gif
User is offlineProfile Card PM
Go to the top of the page
+
travolta
28.01.2004 - 16:57
Сообщение #45



Гость










Было такое: w2k serv перегружался с упомянутой табличкой раз 10 - не мог понять в чем дело. К и-нету вообще не был подрублен... перестало также резко, как и началось. (правда переставлял винду, так и не поняв, что случилось)
пс. благодаря DCOM потерял хорошую работу :)
Go to the top of the page
+
drSAB
29.01.2004 - 01:21
Сообщение #46



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




Рекомендации с ХОБОТА:

Цитата
Измученные мегабайтами спама, валящегося в почтовые ящики в результате активности Mydoom (он же Shimgapi, он же Novarg, он же W32/Mydoom.A@mm) пользователи либо уже сумели найти средства для обеспечения собственной защиты, либо пока еще ищут. Скорее, именно последней категории и будут полезны рекомендации F-Secure.

Сказано о "червяке много", поэтому лирическую часть опустим и перейдем сразу к делу. Во-первых, утилита F-Secure, позволяющая вычистить систему от червя, доступна для скачивания по адресам:
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.zip или
http://www.f-secure.com/tools/f-mydoom.zip

Незапакованная версия:
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.exe
http://www.f-secure.com/tools/f-mydoom.exe

Во-вторых, руководство по удалению:
ftp://ftp.f-secure.com/anti-virus/tools/f-mydoom.txt
http://www.f-secure.com/tools/f-mydoom.txt

Системные администраторы, использующие F-Secure Policy Manager могут распространить утилиту по рабочим станциям в виде JAR-архива, скачав его с адресов
http://www.f-secure.com/tools/f-mydoom.jar
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.jar

Если по каким-то причинам невозможно удалить вирус автоматически, руководство по ручной чистке системы:

Удалить ключи реестра и перезагрузить машину:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run//TaskMon]

[HKCR/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}//InprocServer32]
Удалить из системного каталога файл
%SysDir%taskmon.exe
а также backdoor:
%SysDir%shimgapi.dll


зы: только учтите, что обычно в виндир есть дистрибутивный taskmon.exe

Цитата
Virus Information Service (>http://www3.ca.com/) выпустила небольшую утилиту, для удаления с компьютера Интернет-вируса Win32.Mydoom.A
Напомню, что вирус распространяется либо по почте, либо через файловые обменные сети. Чаще всего письма приходят с заголовками "Error", "hello", "HELLO", "hi", "Hi", "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" и содержат вложения, которые нельзя запускать ни в коем случае. В файловых обменниках вирус скрывается за названиями "office_crack", "rootkitXP", "strip-girl-2.0bdcom_patches", "activation_crack", "icq2004-final", "winamp5".
Будьте внимательные!

=>http://www3.ca.com/Files/VirusInformationAndPrevention/clnshimg.zip
333 Кб, Freeware, Windows All
User is offlineProfile Card PM
Go to the top of the page
+
Aragorn
29.01.2004 - 01:38
Сообщение #47


No Avatar
Stranger in a Strange Land
Group Icon
Группа: Старейшины
Сообщений: 834
Регистрация: 6.07.2003
Из: Riga,Latvija

Пользователь №: 12723




К сообщению drSAB могу только добавить ссылку на еще одну утилитку:
W32.Novarg.A@mm Removal Tool 1.0.3 от Symantec
http://securityresponse.symantec.com/avcenter/FxNovarg.exe

Цитата
This tool will Terminate the W32.Novarg.A@mm viral processes; Terminate the viral thread running under Explorer.exe; Delete the W32.Novarg.A@mm files; and Delete the registry values added by the worm.
User is offlineProfile Card PM
Go to the top of the page
+
VasAn
29.01.2004 - 08:09
Сообщение #48



Гость










blink.gif Кстати!! В данное время зафиксирован всплеск активности червячка I-Worm.Novang и I-Worm.Mydoom.a
blushing.gif Moй сервак сейчас атакуется.
Go to the top of the page
+
rost
29.01.2004 - 10:18
Сообщение #49



Member
Group Icon
Группа: VIP
Сообщений: 48
Регистрация: 19.01.2002
Из: там много снега...

Пользователь №: 911




Лекарство от Касперского.

Цитата
В связи с многочисленными случаями заражения сетевым червем "Novarg" ("Mydoom"), "Лаборатория Касперского" разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы.

Утилита CLRAV производит поиск и нейтрализацию червя в оперативной памяти и жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows.

Помимо "Novarg" ("Mydoom") данная утилита эффективно борется с другими вредоносными программами, в том числе "Klez", "Lentin", "Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV будет особенно полезен пользователям других антивирусных программ, которые могут некорректно обнаруживать и удалять "Novarg".

При запуске данной утилиты "Лаборатория Касперского" рекомендует закрыть все активные приложения. По окончании ее работы необходимо перезагрузить компьютер и запустить антивирусный сканер для полномасштабной проверки компьютера.


_ftp://ftp.kaspersky.com/utils/clrav.zip
User is offlineProfile Card PM
Go to the top of the page
+
Yurist
30.01.2004 - 14:34
Сообщение #50


No Avatar
ЛатЫш-КибальчЫш
Group Icon
Группа: Старейшины
Сообщений: 242
Регистрация: 23.11.2002
Из: DGT TeaM

Пользователь №: 2985




Цитата
Корпорация Microsoft удвоила награду за поимку автора червя MyDoom, подняв сумму до 500 тысяч долларов США. Теперь любой, кто предоставит достоверные сведения о вирусописателе, получит $250 тысяч от компании SCO и $250 тысяч от софтверного гиганта.

Вредоносная программа MyDoom (другое название Novarg), напомним, была выпущена в Сеть четыре дня назад, в понедельник. С тех пор вирус успел проникнуть на сотни тысяч компьютеров по всему миру, спровоцировав при этом резкое увеличение объемов почтового трафика. В частности, по данным антивирусных компаний, код Novarg содержится в каждом двенадцатом электронном сообщении. Это абсолютный рекорд.

Кроме того, червь имеет встроенные функции организации DoS-атак на сайты SCO и Microsoft, которые должны начаться 1 и 3 февраля соответственно. Интересно отметить, что из-за наличия процедур отсылки фальшивых запросов на серверы SCO вредоносная программа получила неофициальное название SCObig - по аналогии с червем Sobig, третировавшем интернет в августе прошлого года. Кстати, именно Sobig до последнего времени считался чемпионом по скорости распространения. Его код содержался в каждом семнадцатом письме.

Между тем, ущерб, нанесенный MyDoom, по оценкам аналитиков, составит около 250 миллионов долларов США. Для сравнения, вышеназванный червь Sobig обошелся пользователям Сети в 50 миллионов долларов. Впрочем, вполне вероятно, цифры будут намного больше. Дело в том, что модификация вируса MyDoom.B не получила столь широкого распространения как оригинальная версия. Так что не исключено, что в скором времени появится третий вариант вредоносной программы


Источник => http://www.computerra.ru/news/2004/1/30/44799/

Мне сегодня пришло 19 ЕГО содержащих посланий w00t.gif - такого количества писем я ещё никогда не получал (даже когда был молодым и красивым :D )...

Это я к тому - Обновляйте базы !!!... и навсяк, пройдитесь вышеупомянутыми тулами.

ЗЫ: Да..., и ищите того вредюку, каторый енту гадость породил. Поимеете возможность денежку немного заработать :) Воощем оглядывайтесь почаще, когда по парку утром бегаете.... :)
User is offlineProfile Card PM
Go to the top of the page
+
Реклама

10 Страницы V < 1 2 3 4 > » 
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0 -

 



- Текстовая версия Сейчас: 19.10.2019 - 09:10
]]> ]]>
]]> Яндекс.Метрика ]]>