Новый вирь?

← →
ИМХО © (2004-01-27 16:30) [40]

Так вот, кто у нас за усё в ответе! :)

← →
Petr V. Abramov © (2004-01-27 16:35) [41]

http://www.cnews.ru/newtop/index.shtml?2004/01/27/154261

← →
Digitman © (2004-01-27 16:52) [42]

Малацца Касперский и Ко ! Оперативно отреагировали !
С утра не ловили и не лечили сию гадость, к обеду же - пжалллста !) .. Резинка натянута как положено)

← →
sniknik © (2004-01-27 16:54) [43]

y-soft © (27.01.04 16:03) [38]
угу. :(
судя по отказам я с этого ящика 18раз посылал на несуществующие адреса, а уж сколько на существующие подумать страшно. :)
тем не менее (если считать то что руками сам посылал) то единственное письмо отосланое за сегодня было в ответ на
http://delphimaster.net/view/3-1075104970/
последний пост. гдето в 14:30-35

кстати наш рабочий почтовик тоже был заражон, занимался рассылкой, но счас только пустые вложения туда сюда ходят (последнее с вирусом от korima@mail.ru в 27 января 2004 г. 11:47). если весде так оперативно, то скоро должно схлынуть.

← →
sniknik © (2004-01-27 16:57) [44]

Digitman © (27.01.04 16:52) [42]
в 11:20 уже точно лечило.
см. > sniknik © (27.01.04 11:20) [21]

← →
Knight © (2004-01-27 18:49) [45]

Во... даже новости отреагировали... :)

Люди развлекаются, а тут ни спама, ни вирусов... :)

← →
тихий вовочка (2004-01-27 19:15) [46]

И мне пришло!!! Урраа! Знаете, что такое одиночество? Это когда даже спам к вам не приходит.

← →
Knight © (2004-01-27 19:53) [47]

А мне и рассылок достаточно... :)

← →
Anatoly Podgoretsky © (2004-01-27 21:06) [48]

Это подарочек от Линуксоидов, в вирус заложена DOS атака на сайт SCO

← →
kaif © (2004-01-27 21:30) [49]

И мне пришло это г-но.
Причем антивирусник провайдера WebPlus пропустил это письмо (у меня почта с защитой от вируса и спама DrWeb), и Касперский не видит (хотя только что апдейтил Касперского).

← →
SPeller © (2004-01-27 21:33) [50]

У меня 5 штук :)

А молодцы, всё-таки наши. Рекордная скорость распространения вируса. И это в 22 кБ уместили. Как обычно, мы впереди планеты всей :-))

← →
SPeller © (2004-01-27 21:35) [51]

Удалено модератором
Примечание: Дубль

← →
Игорь Шевченко © (2004-01-27 21:42) [52]

SPeller © (27.01.04 21:33)

Ты прикидываешься или как ? Не у всех траффик бесплатный, чтобы всякое дерьмо из инета качать :)

← →
mfender © (2004-01-27 21:44) [53]

Самое обидное, что мне пришло от самого же себя (с "ящыка" на "ящык"). И два возврата от почтовиков, что мои сообщения заражены.... Однако.
А чем нам это грозит?

← →
Anatoly Podgoretsky © (2004-01-27 21:48) [54]

Нам ни чем, как не грозили и другие

← →
_none_ © (2004-01-27 21:49) [55]

у меня все чисто -)

to [Игорь Шевченко: 52] а как же "dispatch mail on the server"?

← →
mfender © (2004-01-27 21:51) [56]

Anatoly Podgoretsky © (27.01.04 21:48)
Нам ни чем, как не грозили и другие

Так, если его не получать, понятно, что не вреден. А вот как он распространяется, если я его не получал и не отправлял уж подавно?

← →
Anatoly Podgoretsky © (2004-01-27 21:56) [57]

Почему, получаю, проблем нет и другие тоже приходят проблем нет, оказываются в мусорном ящике.

← →
Cr@sh © (2004-01-27 22:07) [58]

Гм... а мне еще ниче не пришло ))
на сьюментеке написано, что на ящики содержащии в названии admin, root и др он не рассылается...
Делаем выводы, господа ;)

← →
sniknik © (2004-01-27 23:01) [59]

mfender ©
> Самое обидное, что мне пришло от самого же себя (с "ящыка" на "ящык"). И два возврата от почтовиков, что мои сообщения заражены.... Однако.
> А вот как он распространяется, если я его не получал и не отправлял уж подавно?
легко, отправляю я ;о))) а в заголовок мыла от: .... подставлюю твой адрес. как думаеш куда пойдет возврат при проблемах доставки?
примерно так.
а ты сам и твоя машина даже не нужны, посылает сам зараженный почтовый сервер, он же и получает. "закольцованное" на себя сообщении получилось потому что ты сам у себя в адресной книге прописан... ну или откуда он там берет список мыл для рассылки.
(естественно это логический вывод, как там на самом деле ...?)

← →
SergP © (2004-01-27 23:30) [60]

> Nikolay M. © (27.01.04 08:57) [5]
> Ага, за утро сегодня штук 15 пришло, жду, что за день еще
> сотни 2 свалится... :( Бывало уже. А что сейчас за дрянь,
> пока вроде непонятно.

мне вот сегодня тоже свалилось таких штук 10. Вспомнил что где-то вчера здесь читал про это, и поэтому поудалял все нафиг, даже и не смотрел туда.
только сначала мне хотелось узнать кто отправляет эти письма, т.е. сам вирь это делает, или сидит какой-нить придурок за компом и шлет их...
Несмотря на кажущуюся абсурдность второго предположения, мне что-то оно кажется более вероятным. Кроме того ИМХО человек который это делает обитает на этом форуме...
Вывод сделан исходя из того что у меня около десятка ящиков, с которых я одновременно забираю почту батом. Но эта гадость пришла только на один из них и при том в таком количестве... Несмотря на то что это мыло я почти нигде не использую, но оно у меня торчит под ником на этом форуме. А везде в других местах я использую другое мыло...

← →
Симба © (2004-01-28 00:19) [61]

Мне тоже пришло такое письмецо. А мой e-mail присутствует только на этом форуме.

← →
ИМХО © (2004-01-28 00:40) [62]

Если бы вирьмэйкерам поотрывали бы руки, я сам с большим удовольствием присутствовал бы при этом :(((

← →
SPeller © (2004-01-28 04:46) [63]

> Мне тоже пришло такое письмецо. А мой e-mail присутствует
> только на этом форуме

Вы описание читали? Вирус сканирует винт в поисках html-файлов и ищет в них адреса. Банально кто-то сохранил ветку с вашим участием и заразился. И все местные e-mailэы оказались в распоряжении червя.

← →
SPeller © (2004-01-28 04:49) [64]

Кстати, вирус написан не на Дельфи, а на MSVC. И использует WinSocks для своей деятельности. Я вот только не пойму, куда в нём помещена dll. Так при просмотре её на видно.

← →
SPeller © (2004-01-28 06:25) [65]

> Игорь Шевченко © (27.01.04 21:42) [52]
> SPeller © (27.01.04 21:33)
> Ты прикидываешься или как ?

Ну конечно :)

← →
zabralex85@mail.ru (2004-01-28 22:48) [66]

Люди у кого есть исходник или бинарник этого майдуума аля новага плиз пошлите мне :)) хочу покопаться в нем....

← →
ИМХО © (2004-01-28 23:13) [67]

Фигу тебе :)

← →
SergP © (2004-01-29 07:10) [68]

Снова получил кучу мыл с вложениями...

Но что меня больше вего рассмешило, так это еще одно письмо (правда к сабжу отношения не имеющее):

You are suspected of plunder 2100 $ from account Webmoney! It is necessary for you to
contact employee FBI USA who has affairs with representation Webmoney in USA. We have the
decision of a problem and further the decision of a problem in regional court. The complaint
has acted from ID 828245830532. The full information on
http://www.fbi-policy.com/webmoney.htm.

Не знаю что за вирь может сидеть по этой ссылке. Мне уже не хочется ничего пробовать, но я удивляюсь изобретательности спамеров-вирусописателей. Чего они только не придумают чтобы убедить народ в том что им все-таки нужно зайти по прилагаемой ссылке...

Мне этот червь сегодня приходил. Я дооолго над ни смеялся, с час наверно. А точней над его беспомощностью по сравнению со мной. Потом взял и удалил...

У нас стоит Касперский и проверяет входящую почту.
Все сабжевые письма исправно помечаются как содержащие вирус.
Их мне за последние 5 дней пришло штук 15.

2 All
Новости читали? Уже появилась новая модификация этого червя. Новый червь настроен на атаку не SCO, а Microsoft.
http://news.yandex.ru/yandsearch?cl4url=www.ictv.ua/ru/content/publications/Society/dfg_flghkfh.html

А кто-нибудь объяснит механизм заражения? Я только что у себя эту дрянь нашел на машине и как раз занимаюсь её искоренением (пришлось аж перезапускаться в ДОСе и работать ДОСовским "Касперским" - сейчас делаю контрольную проверку из-под Виндов. Дык вот к чему я: кому руки бить - себе или коллеге, бывшему в лаборатории без меня? Что до меня, я имел, конечно, глупость открыть WinZip"ом аттачмент, посмотрел из него содержимое архива (и только) но, как бы, полагал, что при этом ничто управление этой пакости не передаст... При этом OutLook у меня вообще не используется: только Bat.

И руки поотшибать коллеге. Если вы просто просматривали содержимое архива, то заражения быть не могло.

Судя по-всему база адресов Rambler вскрыта ...
Рассылаются вири от имени существующих пользователей кем-то неизвестным

> blackman © (29.01.04 11:05) [75]

Отправить письмо от чужого имени совсем не сложно. А найти адреса - не проблема. Как вы думаете, у вас на ЖД есть файли с адресами email? Думаю, что в каждом ридми как минимум один, да ещё и в сохранённых html-страницах. Вот отсюда и масштабы эпидемии.

В продолжение моего приключения: кто-нибудь помнит: вообще-то в NT4 taskmon.exe быть должен? Потому как после искоренения червяка означенные Винды при запуске безуспешно ищут данный файл, о чем и рапортуют. Прибить ссылку в реестре или-таки нормальный taskmon искать?

У меня в ХР такого нет. А вот у вас.. Вы на размер смотрели? на вируслисте красным выделено - вирус имеет размер 22 кБ. Если всё-таки грохнули родной файл, то попробуйте отковырять его из дистрибутива. Ну а если не получится - то уберите ссылку из реестра.

>А найти адреса - не проблема. Как вы думаете, у вас на ЖД есть файли с адресами email?
Ну и при чем здесь то, что у меня на диске ? Вируса-то у меня нет и в инете я эти адреса не выкладывал,
а вот то что адресами с Ramblera пользуются во всю это факт.

Судя по тому, что мне пришли зараженные письма только на адреса, указанные в анкетах на сайтах, то скорее всего, что для распростанения вируса ребята использовали базу для спамеров, или сами просканировали сеть (что менее вероятно). Но это лично мое мнение.

Новый вирь? Найти похожие ветки