| Внимание! Новая уязвимость Windows [Edited] |
aUruM
Темный Джедай
Откуда: Корускант
Сообщений: 216 | Написано: 29.01.2004 18:42 | Инфо Правка |
Нейтрон
ВНИМАНИЕ! При обнаружении в почтовом ящике письма с темой вида "Hi!", "Test" или какой-либо подобной (или бессмысленной тарабарщины, и при этом в теле письма сообщается, что содержатся символы Unicode), содержащего вложенный файл с расширением ZIP, рекомендуется немедленно удалить письмо, не открывая вложение, а также проверить компьютер на наличие вируса, предварительно скачав новый антивирусник. Скорее всего, письмо заражено вирусом "W32.Novarg.A@mm".
Другие характерные симптомы: почтовый ящик заполняется сообщениями от различных почтовых демонов, сообщающих о вирусе, содержащимся в данном письме.
Будьте осторожны!
P.S. Похоже, эпидемия только началась, судя по тому, что на "Лаборатории Касперского" ничего на этот счет не сказано…
Внимание! Опасная уязвимость Windows NT/2000/XP
[ Это сообщение изменено 19.04.2004 18:38. Нейтрон ]
|
Нейтрон
Администратор
Откуда: Glasgow, UK | Написано: 29.01.2004 18:47 | Инфо Правка |
http://securityresponse.symant…[email protected]
http://forum.ixbt.com/topic.cgi?id=15:44539
Добавление от 29.01.2004 18:52:
http://www.kaspersky.ru/findin…&x=12&y=13
|
Dark Driver
Старый хрыч
Откуда: Bolshie Burjany
Сообщений: 269 | Написано: 29.01.2004 18:58 | Инфо Правка |
aUruM
Похоже, эпидемия только началась, судя по тому, что на "Лаборатории Касперского" ничего на этот счет не сказано…
Сказано, сказано. А в сегодняшнем daily.zip уже лекарство от второй версии это гада: "Novarg.b" !
|
aUruM
Темный Джедай
Откуда: Корускант
Сообщений: 217 | Написано: 29.01.2004 19:37 | Инфо Правка |
Dark Driver
Сорри, я искал через поиск, и он нифига не нашел. Ну, тормоз я…  Просто у вируса два названия (также "Mydoom"), что и ввело меня в заблуждение.
|
Dark Driver
Старый хрыч
Откуда: Bolshie Burjany
Сообщений: 272 | Написано: 29.01.2004 19:44 | Инфо Правка |
aUruM
Больше всего меня настораживает маленькое замечание на viruslist: "Часть кода вируса зашифрована". Т.е. никто еще и не знает толком чего он может натворить… 
|
vadlar
Колдун
Откуда: откуда и Stasy
Сообщений: 91 | Написано: 29.01.2004 20:22 | Инфо Правка |
Dark Driver
Примочка от дряни уже есть. Во всяком случае семь троянских писем мой сервер уже "запаковал" и подписал "RECIPIENT!!! VIRUS!!! found in message to you!" Набор "функций" - почти стандартен: рассылка копий по всем адресам, обнаруженным в компе, скачка и пересылка информации о ОС, владельце и т.д. В качестве возможного дополнения - постоянный запуск дефрагментации диска (проверки диска).
|
Jammie Glen
Защитник
Откуда: Other legend
Сообщений: 378 | Написано: 29.01.2004 20:33 | Инфо Правка |
stinger197.exe - так зовется одна из примочек, если верить моему провайдеру.
Что характерно. При неудачной установке DSL у меня со вчера вылетел телефон. Так что я со своего компа никаких вирусов рассылать не могу уже второй день. Физически. Тем не менее 2 сообщения о вирусе от почтовых провайдеров пришло сегодня - видно обратные адреса тоже из адресной книги берет.
|
| Ariadna | Написано: 29.01.2004 20:38 | Правка |
Этот вирус, что-ли?
Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о молниеносном распространении по сети Интернет новой вирусной угрозы - почтового червя массовой рассылки Win32.HLLM.MyDoom.32768 (по классификации других антивирусных вендоров - Mydoom, Shimg, Novarg). В первые же часы своего существования во всемирной сети этот червь сумел заразить десятки тысяч компьютеров на всех континентах.
Программный модуль червя имеет длину 22 528 байт, упакован компрессионной утилитой UPX и может быть при рассылке по почте упакован в ZIP-архив. Почтовое сообщение, с которым рассылается червь, может иметь следующие темы:
Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test
При этом содержание почтового сообщения может быть либо произвольным мусором, либо состоять из следующих фраз:
The message contains Unicode characters and
has been sent as a binary attachment.
The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment.
Приложение, содержащее непосредственно программный модуль червя, может иметь одно из расширений, свойственных исполняемым файлам (.scr, .bat, .exe, .pif), а также может быть представлено в виде ZIP-архива.
Червь, будучи запущенным неосторожным пользователем, копирует себя в системную директорию Windows под именем taskmon.exe, после чего создает соответствующую ссылку в секции автозапуска системного реестра для обеспечения собственного запуска при каждом старте Windows-сессии. Одновременно червь создает во временной директории текстовый файл, состоящий из случайного набора мусора, который открывает с помощью программы Notepad.exe. Таким образом у пользователя создается иллюзия, что он действительно открыл испорченный текстовый файл.
В это же время червь начинает свою массовую рассылку по адресам, найденным в пораженной системе. При этом он использует свой механизм реализации SMTP-протокола, подбирая возможные имена почтовых серверов для передачи инфицированных писем в соответствующие домены. Если попытка подбора relay-сервера оказывается неудачной, червь отсылает свои копии через SMTP-сервер, являющийся основным для инфицированной системы. Рассылка осуществляется червем одновременно в несколько потоков, что объясняет ее массовый характер.
Другой способ, используемый червем - это распространение по файлообменной сети KaZaA. С этой целью червь копирует себя в директории, используемые для передачи файлов по этой сети.
Помимо способности массово рассылать свои копии, червь несет в себе гораздо более опасную функцию - он открывает доступ третьим лицам к пораженному компьютеру, позволяя злоумышленникам дополнительно загружать и запускать на нем другие программы. Червь открывает порты с 3127 по 3198 и ждет поступления на них команд от удаленного пользователя. Предполагается, что 1 февраля со всех компьютеров, которые будут к тому времени заражены и будут иметь доступ в интернет, будет осуществлена DoS-атака на сайт группы SCO, известной своими судебными исками по поводу авторских прав на операционную систему UNIX.
Скорость распространения нового червя такова, что специалисты оценивают эту эпидемию гораздо серьезнее, чем даже эпидемию червя Reteras в августе 2003 года.
Пользователям антивирусных программ семейства Dr.Web рекомендуется немедленно обновить свои вирусные базы для защиты собственных компьютеров и предотвращения распространения червя по сети интернет.
|
Евгений
Уважаемый автор
Откуда: Замок Всех Древних
Сообщений: 406 | Написано: 29.01.2004 20:42 | Инфо Правка |
До сих пор не могу понять, почему этот вирус вызвал более сильную эпидемию, чем даже памятный WormBlast. Неужели тех, кто запускает неизвестные exe-шные файлы, присылаемые по почте, все еще так много? 
И еще… плюю через левое плечо и стучу по дереву за те три дня, что свирепствует вирус, ну хоть бы одно письмо на ящик пришло!  Ничего! Воть ведь свезло, так свезло! © 
|
vadlar
Колдун
Откуда: откуда и Stasy
Сообщений: 93 | Написано: 29.01.2004 20:45 | Инфо Правка |
Евгений
а мне доставляют. В оболочке и серверным предупреждением. Хорошая штука платный хостинг
|
| Ariadna | Написано: 29.01.2004 20:56 | Правка |
Евгений
Я тоже так думала… А сегодня выяснилось, что муж мне по ошибке три дня назад зарубил почту (вернее мой e-mail удалил из настроек). Вот почта и не ходила .
|
Astr
Вампир
Откуда: Из этой Вселенной
Сообщений: 198 | Написано: 29.01.2004 21:30 | Инфо Правка |
Пока пришло 25 экземпляров. Что-то будет дальше?
|
Dark Driver
Старый хрыч
Откуда: Bolshie Burjany
Сообщений: 273 | Написано: 29.01.2004 21:42 | Инфо Правка |
vadlar
Семь? Везет же людям…
Я сам обнаружил эту атаку только утром 28-го, а так как у меня почтарь очень старенький, (начальство жмется что-то новое купить ) то по мне эти новые примочки ставить некуда просто… Так что просто отрубил 25-й порт от инета, прочистил ящики, (боже ты мой! что там было!) пролечил заразившихся юзеров (хвала аллаху, только двое тупых нашлось!).
Завтра почитаем новые данные данные, поглядим…
Ariadna
Он самый. Версия A. Эти сведения известны, но про версию B и про зашифрованную часть вируса пока - тишина…
|
злющая Грызиана
острый язычок
Откуда: оттуда
Сообщений: 485 | Написано: 29.01.2004 22:23 | Инфо Правка |
Я в антивирусках не очень шарю, у меня стоит "огненная стена" и "Доктор веб" как вы думаете мне лечилку качать?
|
Pitbull
Колдун
Откуда: SPb | Написано: 29.01.2004 23:16 | Инфо Правка |
Самый страшный вирус - это любопытный юзер. Остальное следствие…
|
| 3!f Gr3ml!nu$ | Написано: 29.01.2004 23:40 | Правка |
Евгений
Lol… Деревьев всегда много! :ha:
|
aUruM
Темный Джедай
Откуда: Корускант
Сообщений: 218 | Написано: 29.01.2004 23:56 | Инфо Правка |
Pitbull
Самый страшный вирус - это любопытный юзер. Остальное следствие…
Согласен, хотя это правило действует далеко не всегда.
Евгений
…за те три дня, что свирепствует вирус, ну хоть бы одно письмо на ящик пришло! Ничего! Воть ведь свезло, так свезло! ©
Может, тебе прислать? А то мне с hp.int.ru дофига этой гадости пересылается, для тебя тоже найдется .
злющая Грызиана
Я в антивирусках не очень шарю, у меня стоит "огненная стена" и "Доктор веб" как вы думаете мне лечилку качать?
Лечилка не то чтобы необходима, достаточно универсальных утилит "ПрямыеРуки.exe" и "Осторожность.com". Хотя, я на всяк случай скачаю, пожалуй.
Astr
Пока пришло 25 экземпляров. Что-то будет дальше?
Счастливый человек! Мне пришло их уже несколько десятков, плюс еще сообщения от почтовых демонов… мдя…
|
Drakosha
Огнедышащий Хохотунчик
Откуда: Все мы там будем
Сообщений: 392 | Написано: 30.01.2004 00:20 | Инфо Правка |
aUruM
Мда, читаю тебя и понимаю, что это одной мне так повезло. Я о компьтерной эпидемии узнаю с форума ГП… или по радио с утра тоже про неё было…
Спасибо, что предупредил.
|
Dashuta
саламандра
Откуда: Sleepy Hollow | Написано: 30.01.2004 00:27 | Инфо Правка |
Drakosha
ну, я вчера или позавчера в чате слышала, а потом тут и в новостях..
ни одного письма нету это радует пока хотя вот завтра брат приедет и он наверное найдет уже где-то этот вирус…
|
Нейтрон
Администратор
Откуда: Glasgow, UK | Написано: 30.01.2004 00:30 | Инфо Правка |
Pitbull
Самый страшный вирус - это любопытный юзер.
Если юзер не ламер, то ничего страшного. А если юзер не любопытен, то он навсегда останется ламером.
|
aUruM
Темный Джедай
Откуда: Корускант
Сообщений: 219 | Написано: 30.01.2004 00:34 | Инфо Правка |
Нейтрон
А если юзер не любопытен, то он навсегда останется ламером.
Как говорил Дамблдор, "любопытство не порок, но его нужно держать в узде".
|
Беленгиаре
игрок
Откуда: из Пустоты
Сообщений: 234 | Написано: 30.01.2004 01:34 | Инфо Правка |
Интересно, а дату саморассылки эта прога из компа берет?
У меня потому что там выставлено далекое прошлое… 
|
Евгений
Уважаемый автор
Откуда: Замок Всех Древних
Сообщений: 407 | Написано: 30.01.2004 02:50 | Инфо Правка |
aUruM
Если мне нужно будет, я тебя попрошу мне парочку вирусов заслать 
И вообще надо меньше свой е-мэйл засвечивать в сети на всяких рассылках и тому прочее
|
aUruM
Темный Джедай
Откуда: Корускант
Сообщений: 221 | Написано: 30.01.2004 17:31 | Инфо Правка |
Евгений
И вообще надо меньше свой е-мэйл засвечивать в сети на всяких рассылках и тому прочее.
Я не указываю свой и-мейл нигде без необходимости (т.е. если я регистрируюсь на форуме). Просто мне вся эта гадость форвардится с адресов @hp.int.ru. Yahoo!, правда, определяет это как мусор и сообщает о вирусе. Но все равно надоедает…
Думаю, однако, что эпидемия скоро должна пойти на спад. Вряд ли такое безобразие продлится больше недели.
Добавление от 30.01.2004 17:37:
Беленгиаре
Интересно, а дату саморассылки эта прога из компа берет?
У меня потому что там выставлено далекое прошлое…
Наверное, из компа. Судя по тому, что в "моих" письмах выставлено 30 январе 2004 года.
|
Alexis
Миротворец
Откуда: Кишинев
Сообщений: 182 | Написано: 30.01.2004 23:21 | Инфо Правка |
если кто хочет посмотреть на вирус ВНИМАНИЕ
заходим в Kazaa и вводим winamp5
файл с размером 22 кб и есть вирус
|
Персинваль
hp.int.ru
Откуда: С.-Петербург
Сообщений: 31 | Написано: 31.01.2004 12:38 | Инфо Правка |
Astr
Евгений
Если кому нибудь еще это нужно - могу завалить этим хламом - за 3 дня 1449 писем
Кстати, этот вирус еще и подставляет обратные адреса:
Например: From: или TO: - и так всюду… Славу богу, у меня на CommuniGate стоит спам фильтр!
…
P.S. Кстати, а на чём он написан?
|
Wolfer
Le conseiller militaire
Откуда: Le service confident
Сообщений: 685 | Написано: 31.01.2004 13:12 | Инфо Правка |
Drakosha
Ну и правильно - "Неусыпная бдительность!" 
Я и простое письмо, безо-всяких атчей с неизвестного адреса открываю с огромным подозрением - а уж что-бы запустить вложение… Ну это просто смешно.
|
aUruM
Темный Джедай
Откуда: Корускант
Сообщений: 222 | Написано: 31.01.2004 16:46 | Инфо Правка |
Персинваль
Кстати, а на чём он написан?
Ну, вирусы, особенно такие компактные, обычно творятся на ассемблере. Но тут еще, говорят, какой-то хитрый алгоритм запрятывания в zip-файл и распаковки.
|
Daemon
Резидент
Откуда: Linux
Сообщений: 103 | Написано: 01.02.2004 01:06 | Инфо Правка |
Персинваль
Кстати, а на чём он написан?
С/С++ и Ассемблер. Вспомним Бластер, того написали на lcc.
Славу богу, у меня на CommuniGate стоит спам фильтр!
Моя Мазила меня тоже бережёт, в особенности, когда её научить.
|
HolyLich
Master necromancer
Откуда: Sepulchral vault
Сообщений: 22 | Написано: 01.02.2004 04:32 | Инфо Правка |
Народ! Пришлите мне эту радость на мыло —- все говорят, а я ничего не видел…
|
  |
