Текущий архив: 2003.10.09;
Скачать: CL | DM;
Вниз
Вот, прислали по почте какого-то зверя... Найти похожие ветки
← →
Vuk © (2003-09-19 13:14) [0]Причем в двух экземплярах. Ни один антивирус не отловил...
Приметы:
Сообщение 1
-----------
От: Microsoft Network Security Division [ltwgvqigblxcluf@yhyxwsc.com]
Дата: 18.09.2003 22:51:49
Для: MS Corporation Consumer [consumer.bprqmtr@yhyxwsc.com]
Тема: Current Microsoft Pack
-----------
Далее идет текст, html вложение, 2 файла .gif и исполняемый модуль INSTALLATION27.exe
Сообщение 2
-----------
От: Mail Delivery System []
Дата: 18.09.2003 22:52:09
Для: [receiver@homedomain.com]
Тема: Bug Report
-----------
Далее идут html вложение и исполняемый модуль ftsg.exe
Исполняемый модуль в обоих случаях один и тот же, размером 106496 байт. В ресурсах содержит html код (используется при формировании сообщений), список каких-то адресов, упакованый утилитой compress и еще какие-то данные в кодировке, кажется, base64 (пока еще не смотрел, что там) и тексты:
Текст 1
System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later
Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don"t need to do anything after installing this item.
Текст 2
Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/
For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/
Thank you for using Microsoft products.
Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.
----------------------------------------------
The names of the actual companies and products mentioned =
herein are the trademarks of their respective owners.
← →
MBo © (2003-09-19 13:26) [1]не I-Worm.Swen ?
← →
Reindeer Moss Eater © (2003-09-19 13:30) [2]Достаточно помнить, что MS никогда и никому не рассылает никакое ПО ни при каких обстоятельствах в аттачах писем.
← →
Игорь Шевченко © (2003-09-19 13:34) [3]
> How to use: You don"t need to do anything after installing
> this item.
Это точно :)))
← →
Igorek © (2003-09-19 13:35) [4]У меня тоже такое. Где утечка емайлов?
← →
Vuk © (2003-09-19 13:43) [5]to MBo:
>не I-Worm.Swen ?
Очень похоже на него, но видимо какая-то модификация.
← →
Max Zyuzin © (2003-09-19 13:44) [6]Мой ящик забомбили уже сегодня подобными письмами... с вчерашнего вечера уже штук 20-ть пришло...
← →
Anatoly Podgoretsky © (2003-09-19 13:57) [7]Fizzer и надо быть дурным, чтобы что то окрывать.
← →
Шишкин Илья © (2003-09-19 14:01) [8]Мне вчера новость от Лабаратории Касперского пришла о эпидемии I-Worm.Swen. Описания совпадают.
← →
Anatoly Podgoretsky © (2003-09-19 14:03) [9]Vuk © (19.09.03 13:14)
Кстати у меня отловил, ради интереса попробовал. У меня McAfee
← →
Vuk © (2003-09-19 14:07) [10]to Anatoly Podgoretsky:
У нас NAV корпоративный. Может еще обновление не добралось...
← →
Nickola2 © (2003-09-19 14:38) [11]на мой комп недавно поймали I-Worm (я в это время был в отпуске), сисадмин ничего не смог сделать и отформатировал жесткий диск на моём компе.
← →
VH © (2003-09-19 14:43) [12]
> Vuk
У меня вчера корпоратив обновлялся.
Все время че-то "лечит", убивает всякие dll у юзеров, а от чего лечит - молчит, или я смотрю не туда.
> Igorek
Адреса без проблем уходят "налево", особенно с mail.ru и mailru.com, смирись...
← →
Ketmar © (2003-09-19 14:45) [13]>Nickola2 © (19.09.03 14:38) [11]
ты после этого сисадмина не отформатировал? а зря.
← →
Reindeer Moss Eater © (2003-09-19 14:46) [14]Антивирусы - для трУсов :)
← →
Nickola2 © (2003-09-19 14:50) [15]Ketmar © (19.09.03 14:45) [13]
Почему же, отформатировал, слегка, теперь ходит на меня обижается
Reindeer Moss Eater © (19.09.03 14:46) [14]
Ню-ню, поймаешь какую-нибудь дрянь на копм, потеряешь ценную информацию, тогда по-другому запоёшь
← →
han_malign © (2003-09-19 14:54) [16]Puppy? :)))
← →
Думкин © (2003-09-19 17:01) [17]У меня где-то в 14-00 по Москве рухнуло. Хотя и писем не получал. По внутренней сети видимо.... блин, экономят на сисадмине - жмоты.
← →
vuk © (2003-09-19 19:27) [18]Приехало обновление на NAV. Того зверя, что у меня обнаружился там обозвали Worm.Automat.AHB
← →
Burmistroff (2003-09-19 19:35) [19]А что делать порядочным людям, которые получают по 30-60 писем в день от mail серверов (mx.ya.com, t0uch.slovenska.sk, ...) типа "Failure notice", возвращаем вам ваше письмо? Каждое письмо ~ 100kb, с вирусом :(
← →
vuk © (2003-09-19 19:37) [20]Антивирус ставить. :o)
← →
Anatoly Podgoretsky © (2003-09-19 21:39) [21]Vuk © (19.09.03 14:07) [10]
Поверишь если скажу, что в локальной сетке, за три года были заражены только два компьютера, контингент женщины.
Антивирус не всегда опознает.
← →
Vuk © (2003-09-19 22:01) [22]to Anatoly Podgoretsky:
>Поверишь если скажу
Поверю. :o) У нас случаи заражения тоже единичны, и причины, в основном, примерно те же. Но по большей части от вирусов до рабочих мест, как в том анекдоте, "только уши доезжают".
P.S. Есди кто подумал, что у нас тут что-то заразилось этим вирусом, то спешу разочаровать. :o)
← →
Lola © (2003-09-19 22:13) [23]
> Anatoly Podgoretsky © (19.09.03 21:39) [21]
Ага, женщины по порносайтам не шастают, глупые игрушки-флешки с троянами не запускают :))))
← →
otido © (2003-09-19 22:18) [24]угу.. они только рекламные письма открывают))) со всякими письмами "супердиета" в которых уже эти аттачи по 63 и выше Кб кишмя кишат)))
← →
vuk © (2003-09-19 22:19) [25]to Lola:
Понимаете, игрушки здесь зачастую ни при чем. У нас, например, с клиентами работают, в основном, женщины. А от клиентов нет-нет да и придет какая-нибудь бяка по почте. Иной раз умудряются все же вложение запустить. :o(
← →
Anatoly Podgoretsky © (2003-09-19 22:40) [26]Ну моим тех двух заражений хватило.
Lola © (19.09.03 22:13) [23]
А женщины у нас тоже не против в игры поиграть, но я все изничтожил :-) Прям на сервере, а то предыдущий админ зоопарк развел.
← →
Ihor Osov'yak © (2003-09-19 22:54) [27]Писем сегодня уже десятка четыре было.. Что-то не помню, чтобы такой шквал когда-либо был..
Кто-то с моих респондентов неразборчив..
← →
Anatoly Podgoretsky © (2003-09-19 23:10) [28]Ну я уже несколько сотен домой получил.
Видимо адрес очень популярен :-(
Но не мешают, сразу сваливаются в помойку, а там сразу удаляются.
← →
Ihor Osov'yak © (2003-09-19 23:25) [29]Да.. Представляю, чтобы на дайлапе было.. Наверное телнетовское детство вспоминать бы пришлось, да и в буку по РОР3 взглянуть ...
← →
Anatoly Podgoretsky © (2003-09-19 23:28) [30]Да просто удалил бы на сервере, а на хорошем канале быстрее скачать, так как и фильмы, легче скачать, чем разбирать нужно ли оно. Клавиша Делете великолепно работает.
← →
Ihor Osov'yak © (2003-09-19 23:33) [31]так я и сейчас тоже на место тягну.. А вот год назад пришлось телнетом ящик га сервере разгребать - кто-то из нечего делать немного в бомбиста играл.. Тогда еще я на дайлепе был.. А все грохнуть нельзя было - ожидал важного письма..
← →
SergP © (2003-09-20 03:43) [32]А я вот позавчера получил нечто, причем типа с адреса admin@hay.kw.ukrtel.net. Там был вложеный zip архив. Я сдуру и открыл его при выключеном AVP-мониторе... Так это "нечто" Установило мне какуюто фигню с GUID 11111111-1111-1111-1111-111111111111, засунуло в c:\windows файл videodriver.exe (фантазия же у кого-то) и прописало его в реестр в автозагрузку.
Каспер потом сказал что эта фигня называется Trojan.Dropper.JS.Mimail.b, однако в файле videodriver.exe он ничего не обнаружил. Так что пришлось вручную чистить реестр и удалять файлы, не обнаруженые AVP.
Страницы: 1 вся ветка
Текущий архив: 2003.10.09;
Скачать: CL | DM;
Память: 0.54 MB
Время: 0.014 c
