Новый вирь?

← →
ИМХО (2004-01-27 02:57) [0]

Приходят на мыло сообщения (где-то по 32 Кб) с темами Error, Test, Problem. Внутри - zip-овский файл, содержащий pif-ы и exe-шники.

← →
mfender (2004-01-27 05:50) [1]

Так не получай его. Года три назад я таких много получал. Говорят, они сами себя рассылают. При помощи Outlook"а. Соответственно - The Bat нужон...

← →
sniknik (2004-01-27 08:28) [2]

мне сегодня пришло 2 письма, тема обоих STATUS, в одном zip архив readme.zip содержаший readme.scr, в другом readme.pif. размер обоих (с разных адресов пришло) 22,5кб, на самом деле содержание сжатый upx - ом файл.
и одно пришло от mail delivery subsistem (отказ) типа я пытался послать hello.pif аналогичного размера но адресат не принимает (я естественно ничего такого не посылал).
drWeb молчит, может ему распаковать файл от upx для определения? (распакованный может как раз 32кб и будет) но то что вирус, явно. (после mail delivery проверил систему, вроде чисто, значит ктото от моего имени послал)

← →
TUser (2004-01-27 08:29) [3]

Поставь себе антивирьный плагин. К Мышу есть касперский, к аутглюку тоже наверняка много чего есть.

← →
sniknik (2004-01-27 08:46) [4]

не думаю что поможет, если drWeb пропускает то и касперский пропустит. (может попозже, базу обновят)
да он и безвреден похоже, незапускать только и все. а вообще давно пора upx занести в число самых злобных вирусов, потому как они за ним прячутся (а практической пользы для нормальных программ от него никакой).

← →
Nikolay M. (2004-01-27 08:57) [5]

Ага, за утро сегодня штук 15 пришло, жду, что за день еще сотни 2 свалится... :( Бывало уже. А что сейчас за дрянь, пока вроде непонятно.

← →
Rouse_ (2004-01-27 09:44) [6]

буквально на днях пытался отправить письмо без вложений на майл ру, пришел отказ мол в письме вирь... Касперским проверил, система вроде чистая...
Отправлял батом...

← →
Anatoly Podgoretsky (2004-01-27 09:51) [7]

ИМХО © (27.01.04 02:57)
Ну какой же он новый :-)

← →
Lola (2004-01-27 10:02) [8]

Мне пришло три отказа в пересылке писем на адреса, которых НЕТ в моей адресной книге. Все письма с вложениями. Только один отказ пришел с нормальной формулировкой:
The original message was received at Tue, 27 Jan 2004 14:22:45 +0800 (IRKT)
from irknp.ru [195.206.58.26] (may be forged)

---- The following addresses had permanent fatal errors -----
<rubyn@glasnet.ru>
(reason: 550 5.7.0 Found virus Worm.SCO.A in the message;)

Судя по часовому поясу, идут они с Востока :)

← →
MikeP (2004-01-27 10:40) [9]

http://www.viruslist.com/alert.html?id=144487727

← →
Romkin (2004-01-27 10:48) [10]

С добрым утречком ^)
Мне тут тоже с утра письмо пришло, причем адрес-то нормальный, сабж hi и простым текстом "The message contains Unicode characters and has been sent as a binary attachment." в теле. Что и насторожило :))) doc.zip приложен... а в нем doc.scr. Щаз!!!
Однако, весело

← →
Тимохов (2004-01-27 10:50) [11]

Мне тоже пришло, правда, пока одно...

← →
Ann (2004-01-27 10:57) [12]

> Мне тут тоже с утра письмо пришло, причем адрес-то нормальный,
> сабж hi и простым текстом "The message contains Unicode
> characters and has been sent as a binary attachment." в
> теле. Что и насторожило :))) doc.zip приложен...

угу.. уже не первый день приходит :) даже отписаться не предлагает! :))

← →
Игорь Шевченко (2004-01-27 11:00) [13]

А это поделки тех, кто спрашивает, как из Delphi письмо с аттачем отправить ;))

← →
Romkin (2004-01-27 11:01) [14]

Ну это уже невежливо :( Почему вместе с вирусом его исходников не прислали?! Антивирус его не определяет, а декомпилять лень. Но интересно, что же он делает-то?
Сейчас напишу письмо с просьбой прислать исходники, может, дойдет?

← →
sniknik (2004-01-27 11:02) [15]

пошла очередная эпидемия. за пол часа 3 письма (с работы решил проверить)

Отправитель: ib_db@i.com.ua
Тема: HI
Дата: Tue, 27 Jan 2004 10:01:37 +0300
Кому: sniknik@rambler.ru

The message contains Unicode characters and has been sent as a binary attachment.

Файл: test.zip (22 кб)

Отправитель: lov@elect.tsk.ru
Тема: Error
Дата: Tue, 27 Jan 2004 10:01:53 +0300
Кому: sniknik@rambler.ru

test

Файл: document.zip (22 кб)

Отправитель: aston1@pisem.net
Тема: Hi
Дата: Tue, 27 Jan 2004 13:43:38 +0600
Кому: sniknik@rambler.ru

test

Файл: readme.zip (22 кб)

вложения везде по содержимому явно одинаковы. (даже скачивать чтобы просмотреть не буду, убью там)

← →
stone (2004-01-27 11:09) [16]

хм, я тоже только что получил, и на работе еще несколько человек...

← →
_none_ (2004-01-27 11:09) [17]

а мне ничего такого не приходит -)

предохраняйтесь, господа

← →
sniknik (2004-01-27 11:11) [18]

> предохраняйтесь, господа
ну насмешил, вот если бы от нас внезапно начали такие письма приходить тогда это было бы в кассу.

← →
Cosinus (2004-01-27 11:12) [19]

mail.ru - чисто
Вообще ничего подобного... Даже в сомнительных.

← →
_none_ (2004-01-27 11:20) [20]

to [sniknik] будьте осторожнее и разборчивее в своих связях :laugh:

← →
sniknik (2004-01-27 11:20) [21]

а ребята быстро работают, (drWeb) утром дома не брало хоть обновления тут же качал, а сейчас уже лечит, посмотрел ссылку > MikeP (27.01.04 10:40) [9], подумал если у них есть... попробовал здесь тоже обновился... и Win32.HLLM.MyDoom.32768 (хотя может это и не тот что дома, этот мне на рабочий ящик свалился, вложение в зипе dok.txt.scr, размер тот же)

← →
sniknik (2004-01-27 11:24) [22]

_none_ © (27.01.04 11:20) [20]
это как? если это мыло на всех сайтах где бываю светится, и даже на диске какогото журнала в fag его нашол. ;о))
наоборот, все правильно, вот как это на рабочий ящик попало?... ктото из клиентов явно "болен" ;).

← →
Lola (2004-01-27 11:47) [23]

> Cosinus © (27.01.04 11:12) [19]
> mail.ru - чисто

Мне еще три письма пришло с вирусами, все через mail.ru прошли.

← →
Некто (2004-01-27 12:02) [24]

Косвенная атака на форум. Очередной "обиженный на всех", после тупо заданного вопроса в форуме, получив пару "комментариев", решил насолить всем зарегистрированным участникам форума. Скачал мэйлы - и рассылает всякую гадость.

P.S. Ко мне тоже сегодня такая "радость" пришла: .bat файл, который на поверку оказался исполняемым файлом Windows.

P.S.S. Вопрос к "почтальону": ты-то сам(а) все фалы подряд открываешь?

← →
Rouse_ (2004-01-27 12:07) [25]

Тоже попал под раздачу ;)

Received: from vanish.yandex.ru ([213.180.200.4]:23254 "EHLO vanish.yandex.ru"
smtp-auth: <none>) by mail.yandex.ru with ESMTP id <S688713AbUA0HKy>;
Tue, 27 Jan 2004 10:10:54 +0300
Received: from 53000647.customer.atnet.ru ([80.82.177.51]:59149 "EHLO
mastak.ru" smtp-auth: <none>) by mail.yandex.ru with ESMTP
id <S806422AbUA0HK1>; Tue, 27 Jan 2004 10:10:27 +0300
From: delphi@mastak.ru
To: rouse79@yandex.ru
Subject: Hello
Date: Tue, 27 Jan 2004 10:10:54 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0010_5750EACE.2326A025"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20040127071037Z806422-7511+38@mail.yandex.ru>

В письме непонятные кракозябры, прилагается body.zip
в коем находится body.cmd - сигнатура MZ - короче все понятно ;)

← →
Axel (2004-01-27 12:10) [26]

TODAY VIRUSes .....
-------------------

I) MYDOOM
ABOUT THE VIRUS

A new virus, MyDoom (also called Novarg by some vendors, Mimail.R by others), is erupting on the Internet right now. Network Associates received 19,500 copies of the virus from over 3,400 email addresses in a single hour Monday afternoon, an extremely high rate. MyDoom seems to have been launched today, around 1:00 PM Pacific Standard Time. The virus presents a well-worded message advising that its attachment was necessary because a technical error prevented normal email transmission, a more clever social-engineering ploy than the
garden variety "Here, open this." Since this new virus carries a
trojan, MyDoom might feel appropriately named to its victims.

DISTINGUISHING CHARACTERISTICS

A MyDoom e-mail spoofs its sender so that it appears to come from one of your friends, contacts, or a credible institutions such as a bank or phone company. The Subject is randomized. So far we"ve seen the variations below:

* hi
* hello
* HELLO
* error
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* status
* test
* Test
* Server Request

MyDoom is so new that the anti-virus vendors have not compiled their list of variations at the time of this writing. There may be other Subjects we haven"t listed. MyDoom"s body is also random. So far we know of these three variations:

* The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

* The message contains Unicode characters and has been sent as
a binary attachment.

* Mail transaction failed. Partial message is available.

We believe those credible bodies partly contribute to MyDoom"s
suceess. They certainly sound like legitimate errors and lead one to believe that the attached file could be the message that your e-mail client can"t display. Don"t fall for it!

MyDoom uses random attachments that try to look like documents. It uses the following extensions:

* .exe
* .scr
* .pif
* .cmd
* .bat
* .zip <-- (The zip file contains an executable that looks
like a document; e.g., doc.txt [lots of spaces] .exe)

Although details are still developing, MyDoom starts like most
viruses. If one of your users runs the virus" attachment, it starts by copying itself to his computer and adding registry entries to ensure that it can restart if your user reboots. It also harvests e-mail addresses from a number of different file types and sends itself to others.

According to the latest breaking news, MyDoom also seems to spread through the popular Kazaa P2P, file-sharing application. Other reports indicate MyDoom is engineered to target SCO for a Denial of Service attack.

Finally, MyDoom installs a backdoor by opening a connection on TCP port 3127. This could allow the virus author access to control an infected machine.

This virus has spread so fast that the anti-virus vendors are still researching it. MyDoom"s code is encrypted so it may take awhile for the vendors to assess its true scope. We recommend you intermitently check McAfee"s alert for the latest developments.

← →
Axel (2004-01-27 12:11) [27]

II) DUMARU.Y AND .Z

ABOUT THE VIRUS

Two similar new variants of the Dumaru virus appeared on the
Internet this weekend. The first Dumaru virus popped up last August, but did not spread enough to pose a serious threat. However, Dumaru.Y and .Z seem to have taken hold, probably because the virus payload travels as a compressed e-mail attachment. Such an approach may sneak past perimeter filtering, since most adminstrators allow .zip files to enter. If one of your users opens and runs Dumaru"s zipped executable, the virus steals the victim"s personal information and installs a back door that could allow the virus author full control of your user"s computer.

DISTINGUISHING CHARACTERISTICS

Dumaru Y an Z always look the same. You"ll recognize them easily:

FROM: "Elene" FUCKENSUICIDE@HOTMAIL.COM

SUBJECT: Important information for you. Read it immediately !

BODY:

Hi! (In a large, red font)

Here is my photo, that you asked for yesterday.

ATTACHMENT: Myphoto.zip <-- (This zip file contains another file
called, "Myphoto.jpg [lots of spaces] .exe"

In order to execute the virus, one of your users must first open
Dumaru"s zipped attachment, then run the executable within. If the user runs the executable, Dumaru installs itself in various
locations on the user"s machine and creates registry entries so that it can restart upon reboot. It also finds e-mail addresses on your user"s computer and sends itself to them, using its own SMTP engine.

Next, Dumaru Y and Z contain malicious payloads. Both viruses log your user"s keystrokes and monitor the clipboard. This allows the virus to gather sensitive data which might include passwords, credit card info, or proprietary information about your organization. The virus also monitors connections to egold.com in hopes of capturing user login information for that site. Dumaru e-mails all the data it gathers to the virus author"s address, hardcoded within the virus.

Finally, Dumaru installs a back door on your user"s computer that listens on TCP ports 2283 and 10000. This allows the virus author to issue instructions to your user"s computer, essentially giving the attacker full control of the machine.

According to McAfee, Dumaru.Z differs from Dumaru.Y only in the size of its malicious payload and in that it downloads a spybot from a URL hard-coded within the virus.

← →
VH (2004-01-27 13:47) [28]

Эээх, и я присоединяюсь к вам, посыпались ... ... ... на адрес шефа и постмастера ;-)
Правда, аттачи благополучно отвалились. Думаю, у босса появится скупая мужская слеза благодарности, а то он вечно - "и что ты там сидишь в серверной?"...

← →
circul (2004-01-27 14:14) [29]

Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает о зафиксированом в ночь на 27 января начале крупномасштабной эпидемии почтового червя Novarg, также известного как Mydoom.

В настоящий момент всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернет исчисляется несколькими миллионами экземпляров.

← →
Игорь Шевченко (2004-01-27 14:27) [30]

За раз 13 писем пришло :)) Ужас, что творится

← →
Lola (2004-01-27 14:36) [31]

> За раз 13 писем пришло

счастливое число :))))

← →
dimm22 (2004-01-27 14:57) [32]

Это чё мне уже с утра 152 пришло. Кошмар.

← →
Bel (2004-01-27 15:45) [33]

Странно, а мне ни одного еще не пришло. Вот прочего спама - как обычно, а такого - ни одного.
Эх! Опять эпидемия стороной пройдет. Эдак я ни разу не проверю на прочность свой антивирь SAV CE (или наоборот?). :))

← →
Некто (2004-01-27 15:48) [34]

2 Bel
переслать? ;-D

← →
Agent13 (2004-01-27 15:51) [35]

> Bel © (27.01.04 15:45) [33]

Да уж разделяю... Вот у меня сегодня Нортон с утра как обычно Live Update делал, так хотелось бы проверить, что он там наапдейтил...

← →
Ломброзо (2004-01-27 15:54) [36]

хехех... вот что значит противоэпидемические мероприятия в войсках и на флоте, мыло, хлорка и карболка.

ни одного

← →
ISP (2004-01-27 15:57) [37]

"в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению." © www.kaspersky.ru

Ба-бах!!!! ;))

← →
y-soft (2004-01-27 16:03) [38]

← →
y-soft (2004-01-27 16:07) [39]

From sniknik@rambler.ru Tue Jan 27 10:47:19 2004
Return-path: <sniknik@rambler.ru>
Received: from [195.34.233.218] (port=1483 helo=rambler.ru)
by mx11.mail.ru with esmtp
id 1AlNvv-000Fcr-00
for y-soft@mail.ru; Tue, 27 Jan 2004 10:46:52 +0300
From: sniknik@rambler.ru
To: y-soft@mail.ru
Subject: Test
Date: Tue, 27 Jan 2004 10:45:30 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0012_9C8506F4.81C55A6E"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <E1AlNvv-000Fcr-00.sniknik-rambler-ru@mx11.mail.ru>
X-Spam: Probable Spam

Кто говорил, что на mail.ru спокойно? Письма отправляются с 10-го раза...

← →
ИМХО (2004-01-27 16:30) [40]

Так вот, кто у нас за усё в ответе! :)

Новый вирь? Найти похожие ветки