Текущий архив: 2004.03.03;
Скачать: CL | DM;
Вниз
Новый вирь? Найти похожие ветки
← →
ИМХО © (2004-01-27 02:57) [0]Приходят на мыло сообщения (где-то по 32 Кб) с темами Error, Test, Problem. Внутри - zip-овский файл, содержащий pif-ы и exe-шники.
← →
mfender © (2004-01-27 05:50) [1]Так не получай его. Года три назад я таких много получал. Говорят, они сами себя рассылают. При помощи Outlook"а. Соответственно - The Bat нужон...
← →
sniknik © (2004-01-27 08:28) [2]мне сегодня пришло 2 письма, тема обоих STATUS, в одном zip архив readme.zip содержаший readme.scr, в другом readme.pif. размер обоих (с разных адресов пришло) 22,5кб, на самом деле содержание сжатый upx - ом файл.
и одно пришло от mail delivery subsistem (отказ) типа я пытался послать hello.pif аналогичного размера но адресат не принимает (я естественно ничего такого не посылал).
drWeb молчит, может ему распаковать файл от upx для определения? (распакованный может как раз 32кб и будет) но то что вирус, явно. (после mail delivery проверил систему, вроде чисто, значит ктото от моего имени послал)
← →
TUser © (2004-01-27 08:29) [3]Поставь себе антивирьный плагин. К Мышу есть касперский, к аутглюку тоже наверняка много чего есть.
← →
sniknik © (2004-01-27 08:46) [4]не думаю что поможет, если drWeb пропускает то и касперский пропустит. (может попозже, базу обновят)
да он и безвреден похоже, незапускать только и все. а вообще давно пора upx занести в число самых злобных вирусов, потому как они за ним прячутся (а практической пользы для нормальных программ от него никакой).
← →
Nikolay M. © (2004-01-27 08:57) [5]Ага, за утро сегодня штук 15 пришло, жду, что за день еще сотни 2 свалится... :( Бывало уже. А что сейчас за дрянь, пока вроде непонятно.
← →
Rouse_ © (2004-01-27 09:44) [6]буквально на днях пытался отправить письмо без вложений на майл ру, пришел отказ мол в письме вирь... Касперским проверил, система вроде чистая...
Отправлял батом...
← →
Anatoly Podgoretsky © (2004-01-27 09:51) [7]ИМХО © (27.01.04 02:57)
Ну какой же он новый :-)
← →
Lola © (2004-01-27 10:02) [8]Мне пришло три отказа в пересылке писем на адреса, которых НЕТ в моей адресной книге. Все письма с вложениями. Только один отказ пришел с нормальной формулировкой:
The original message was received at Tue, 27 Jan 2004 14:22:45 +0800 (IRKT)
from irknp.ru [195.206.58.26] (may be forged)
---- The following addresses had permanent fatal errors -----
<rubyn@glasnet.ru>
(reason: 550 5.7.0 Found virus Worm.SCO.A in the message;)
Судя по часовому поясу, идут они с Востока :)
← →
MikeP (2004-01-27 10:40) [9]http://www.viruslist.com/alert.html?id=144487727
← →
Romkin © (2004-01-27 10:48) [10]С добрым утречком ^)
Мне тут тоже с утра письмо пришло, причем адрес-то нормальный, сабж hi и простым текстом "The message contains Unicode characters and has been sent as a binary attachment." в теле. Что и насторожило :))) doc.zip приложен... а в нем doc.scr. Щаз!!!
Однако, весело
← →
Тимохов © (2004-01-27 10:50) [11]Мне тоже пришло, правда, пока одно...
← →
Ann © (2004-01-27 10:57) [12]
> Мне тут тоже с утра письмо пришло, причем адрес-то нормальный,
> сабж hi и простым текстом "The message contains Unicode
> characters and has been sent as a binary attachment." в
> теле. Что и насторожило :))) doc.zip приложен...
угу.. уже не первый день приходит :) даже отписаться не предлагает! :))
← →
Игорь Шевченко © (2004-01-27 11:00) [13]А это поделки тех, кто спрашивает, как из Delphi письмо с аттачем отправить ;))
← →
Romkin © (2004-01-27 11:01) [14]Ну это уже невежливо :( Почему вместе с вирусом его исходников не прислали?! Антивирус его не определяет, а декомпилять лень. Но интересно, что же он делает-то?
Сейчас напишу письмо с просьбой прислать исходники, может, дойдет?
← →
sniknik © (2004-01-27 11:02) [15]пошла очередная эпидемия. за пол часа 3 письма (с работы решил проверить)
Отправитель: ib_db@i.com.ua
Тема: HI
Дата: Tue, 27 Jan 2004 10:01:37 +0300
Кому: sniknik@rambler.ru
The message contains Unicode characters and has been sent as a binary attachment.
Файл: test.zip (22 кб)
Отправитель: lov@elect.tsk.ru
Тема: Error
Дата: Tue, 27 Jan 2004 10:01:53 +0300
Кому: sniknik@rambler.ru
test
Файл: document.zip (22 кб)
Отправитель: aston1@pisem.net
Тема: Hi
Дата: Tue, 27 Jan 2004 13:43:38 +0600
Кому: sniknik@rambler.ru
test
Файл: readme.zip (22 кб)
вложения везде по содержимому явно одинаковы. (даже скачивать чтобы просмотреть не буду, убью там)
← →
stone © (2004-01-27 11:09) [16]хм, я тоже только что получил, и на работе еще несколько человек...
← →
_none_ © (2004-01-27 11:09) [17]а мне ничего такого не приходит -)
предохраняйтесь, господа
← →
sniknik © (2004-01-27 11:11) [18]> предохраняйтесь, господа
ну насмешил, вот если бы от нас внезапно начали такие письма приходить тогда это было бы в кассу.
← →
Cosinus © (2004-01-27 11:12) [19]mail.ru - чисто
Вообще ничего подобного... Даже в сомнительных.
← →
_none_ © (2004-01-27 11:20) [20]to [sniknik] будьте осторожнее и разборчивее в своих связях :laugh:
← →
sniknik © (2004-01-27 11:20) [21]а ребята быстро работают, (drWeb) утром дома не брало хоть обновления тут же качал, а сейчас уже лечит, посмотрел ссылку > MikeP (27.01.04 10:40) [9], подумал если у них есть... попробовал здесь тоже обновился... и Win32.HLLM.MyDoom.32768 (хотя может это и не тот что дома, этот мне на рабочий ящик свалился, вложение в зипе dok.txt.scr, размер тот же)
← →
sniknik © (2004-01-27 11:24) [22]_none_ © (27.01.04 11:20) [20]
это как? если это мыло на всех сайтах где бываю светится, и даже на диске какогото журнала в fag его нашол. ;о))
наоборот, все правильно, вот как это на рабочий ящик попало?... ктото из клиентов явно "болен" ;).
← →
Lola © (2004-01-27 11:47) [23]
> Cosinus © (27.01.04 11:12) [19]
> mail.ru - чисто
Мне еще три письма пришло с вирусами, все через mail.ru прошли.
← →
Некто (2004-01-27 12:02) [24]Косвенная атака на форум. Очередной "обиженный на всех", после тупо заданного вопроса в форуме, получив пару "комментариев", решил насолить всем зарегистрированным участникам форума. Скачал мэйлы - и рассылает всякую гадость.
P.S. Ко мне тоже сегодня такая "радость" пришла: .bat файл, который на поверку оказался исполняемым файлом Windows.
P.S.S. Вопрос к "почтальону": ты-то сам(а) все фалы подряд открываешь?
← →
Rouse_ © (2004-01-27 12:07) [25]Тоже попал под раздачу ;)
Received: from vanish.yandex.ru ([213.180.200.4]:23254 "EHLO vanish.yandex.ru"
smtp-auth: <none>) by mail.yandex.ru with ESMTP id <S688713AbUA0HKy>;
Tue, 27 Jan 2004 10:10:54 +0300
Received: from 53000647.customer.atnet.ru ([80.82.177.51]:59149 "EHLO
mastak.ru" smtp-auth: <none>) by mail.yandex.ru with ESMTP
id <S806422AbUA0HK1>; Tue, 27 Jan 2004 10:10:27 +0300
From: delphi@mastak.ru
To: rouse79@yandex.ru
Subject: Hello
Date: Tue, 27 Jan 2004 10:10:54 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0010_5750EACE.2326A025"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20040127071037Z806422-7511+38@mail.yandex.ru>
В письме непонятные кракозябры, прилагается body.zip
в коем находится body.cmd - сигнатура MZ - короче все понятно ;)
← →
Axel © (2004-01-27 12:10) [26]TODAY VIRUSes .....
-------------------
I) MYDOOM
ABOUT THE VIRUS
A new virus, MyDoom (also called Novarg by some vendors, Mimail.R by others), is erupting on the Internet right now. Network Associates received 19,500 copies of the virus from over 3,400 email addresses in a single hour Monday afternoon, an extremely high rate. MyDoom seems to have been launched today, around 1:00 PM Pacific Standard Time. The virus presents a well-worded message advising that its attachment was necessary because a technical error prevented normal email transmission, a more clever social-engineering ploy than the
garden variety "Here, open this." Since this new virus carries a
trojan, MyDoom might feel appropriately named to its victims.
DISTINGUISHING CHARACTERISTICS
A MyDoom e-mail spoofs its sender so that it appears to come from one of your friends, contacts, or a credible institutions such as a bank or phone company. The Subject is randomized. So far we"ve seen the variations below:
* hi
* hello
* HELLO
* error
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* status
* test
* Test
* Server Request
MyDoom is so new that the anti-virus vendors have not compiled their list of variations at the time of this writing. There may be other Subjects we haven"t listed. MyDoom"s body is also random. So far we know of these three variations:
* The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent as
a binary attachment.
* Mail transaction failed. Partial message is available.
We believe those credible bodies partly contribute to MyDoom"s
suceess. They certainly sound like legitimate errors and lead one to believe that the attached file could be the message that your e-mail client can"t display. Don"t fall for it!
MyDoom uses random attachments that try to look like documents. It uses the following extensions:
* .exe
* .scr
* .pif
* .cmd
* .bat
* .zip <-- (The zip file contains an executable that looks
like a document; e.g., doc.txt [lots of spaces] .exe)
Although details are still developing, MyDoom starts like most
viruses. If one of your users runs the virus" attachment, it starts by copying itself to his computer and adding registry entries to ensure that it can restart if your user reboots. It also harvests e-mail addresses from a number of different file types and sends itself to others.
According to the latest breaking news, MyDoom also seems to spread through the popular Kazaa P2P, file-sharing application. Other reports indicate MyDoom is engineered to target SCO for a Denial of Service attack.
Finally, MyDoom installs a backdoor by opening a connection on TCP port 3127. This could allow the virus author access to control an infected machine.
This virus has spread so fast that the anti-virus vendors are still researching it. MyDoom"s code is encrypted so it may take awhile for the vendors to assess its true scope. We recommend you intermitently check McAfee"s alert for the latest developments.
← →
Axel © (2004-01-27 12:11) [27]II) DUMARU.Y AND .Z
ABOUT THE VIRUS
Two similar new variants of the Dumaru virus appeared on the
Internet this weekend. The first Dumaru virus popped up last August, but did not spread enough to pose a serious threat. However, Dumaru.Y and .Z seem to have taken hold, probably because the virus payload travels as a compressed e-mail attachment. Such an approach may sneak past perimeter filtering, since most adminstrators allow .zip files to enter. If one of your users opens and runs Dumaru"s zipped executable, the virus steals the victim"s personal information and installs a back door that could allow the virus author full control of your user"s computer.
DISTINGUISHING CHARACTERISTICS
Dumaru Y an Z always look the same. You"ll recognize them easily:
FROM: "Elene" FUCKENSUICIDE@HOTMAIL.COM
SUBJECT: Important information for you. Read it immediately !
BODY:
Hi! (In a large, red font)
Here is my photo, that you asked for yesterday.
ATTACHMENT: Myphoto.zip <-- (This zip file contains another file
called, "Myphoto.jpg [lots of spaces] .exe"
In order to execute the virus, one of your users must first open
Dumaru"s zipped attachment, then run the executable within. If the user runs the executable, Dumaru installs itself in various
locations on the user"s machine and creates registry entries so that it can restart upon reboot. It also finds e-mail addresses on your user"s computer and sends itself to them, using its own SMTP engine.
Next, Dumaru Y and Z contain malicious payloads. Both viruses log your user"s keystrokes and monitor the clipboard. This allows the virus to gather sensitive data which might include passwords, credit card info, or proprietary information about your organization. The virus also monitors connections to egold.com in hopes of capturing user login information for that site. Dumaru e-mails all the data it gathers to the virus author"s address, hardcoded within the virus.
Finally, Dumaru installs a back door on your user"s computer that listens on TCP ports 2283 and 10000. This allows the virus author to issue instructions to your user"s computer, essentially giving the attacker full control of the machine.
According to McAfee, Dumaru.Z differs from Dumaru.Y only in the size of its malicious payload and in that it downloads a spybot from a URL hard-coded within the virus.
← →
VH © (2004-01-27 13:47) [28]Эээх, и я присоединяюсь к вам, посыпались ... ... ... на адрес шефа и постмастера ;-)
Правда, аттачи благополучно отвалились. Думаю, у босса появится скупая мужская слеза благодарности, а то он вечно - "и что ты там сидишь в серверной?"...
← →
circul © (2004-01-27 14:14) [29]Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает о зафиксированом в ночь на 27 января начале крупномасштабной эпидемии почтового червя Novarg, также известного как Mydoom.
В настоящий момент всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернет исчисляется несколькими миллионами экземпляров.
← →
Игорь Шевченко © (2004-01-27 14:27) [30]За раз 13 писем пришло :)) Ужас, что творится
← →
Lola © (2004-01-27 14:36) [31]
> За раз 13 писем пришло
счастливое число :))))
← →
dimm22 (2004-01-27 14:57) [32]Это чё мне уже с утра 152 пришло. Кошмар.
← →
Bel © (2004-01-27 15:45) [33]Странно, а мне ни одного еще не пришло. Вот прочего спама - как обычно, а такого - ни одного.
Эх! Опять эпидемия стороной пройдет. Эдак я ни разу не проверю на прочность свой антивирь SAV CE (или наоборот?). :))
← →
Некто (2004-01-27 15:48) [34]2 Bel
переслать? ;-D
← →
Agent13 © (2004-01-27 15:51) [35]
> Bel © (27.01.04 15:45) [33]
Да уж разделяю... Вот у меня сегодня Нортон с утра как обычно Live Update делал, так хотелось бы проверить, что он там наапдейтил...
← →
Ломброзо © (2004-01-27 15:54) [36]хехех... вот что значит противоэпидемические мероприятия в войсках и на флоте, мыло, хлорка и карболка.
ни одного
← →
ISP © (2004-01-27 15:57) [37]"в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению." © www.kaspersky.ru
Ба-бах!!!! ;))
← →
y-soft © (2004-01-27 16:03) [38]>sniknik © (27.01.04 11:02) [15]
Смешно, но мне пришло аналогичное письмо от shiknik@rambler.ru :)
← →
y-soft © (2004-01-27 16:07) [39]From sniknik@rambler.ru Tue Jan 27 10:47:19 2004
Return-path: <sniknik@rambler.ru>
Received: from [195.34.233.218] (port=1483 helo=rambler.ru)
by mx11.mail.ru with esmtp
id 1AlNvv-000Fcr-00
for y-soft@mail.ru; Tue, 27 Jan 2004 10:46:52 +0300
From: sniknik@rambler.ru
To: y-soft@mail.ru
Subject: Test
Date: Tue, 27 Jan 2004 10:45:30 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0012_9C8506F4.81C55A6E"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <E1AlNvv-000Fcr-00.sniknik-rambler-ru@mx11.mail.ru>
X-Spam: Probable Spam
Кто говорил, что на mail.ru спокойно? Письма отправляются с 10-го раза...
← →
ИМХО © (2004-01-27 16:30) [40]Так вот, кто у нас за усё в ответе! :)
← →
Petr V. Abramov © (2004-01-27 16:35) [41]http://www.cnews.ru/newtop/index.shtml?2004/01/27/154261
← →
Digitman © (2004-01-27 16:52) [42]Малацца Касперский и Ко ! Оперативно отреагировали !
С утра не ловили и не лечили сию гадость, к обеду же - пжалллста !) .. Резинка натянута как положено)
← →
sniknik © (2004-01-27 16:54) [43]y-soft © (27.01.04 16:03) [38]
угу. :(
судя по отказам я с этого ящика 18раз посылал на несуществующие адреса, а уж сколько на существующие подумать страшно. :)
тем не менее (если считать то что руками сам посылал) то единственное письмо отосланое за сегодня было в ответ на
http://delphimaster.net/view/3-1075104970/
последний пост. гдето в 14:30-35
кстати наш рабочий почтовик тоже был заражон, занимался рассылкой, но счас только пустые вложения туда сюда ходят (последнее с вирусом от korima@mail.ru в 27 января 2004 г. 11:47). если весде так оперативно, то скоро должно схлынуть.
← →
sniknik © (2004-01-27 16:57) [44]Digitman © (27.01.04 16:52) [42]
в 11:20 уже точно лечило.
см. > sniknik © (27.01.04 11:20) [21]
← →
Knight © (2004-01-27 18:49) [45]Во... даже новости отреагировали... :)
Люди развлекаются, а тут ни спама, ни вирусов... :)
← →
тихий вовочка (2004-01-27 19:15) [46]И мне пришло!!! Урраа! Знаете, что такое одиночество? Это когда даже спам к вам не приходит.
← →
Knight © (2004-01-27 19:53) [47]А мне и рассылок достаточно... :)
← →
Anatoly Podgoretsky © (2004-01-27 21:06) [48]Это подарочек от Линуксоидов, в вирус заложена DOS атака на сайт SCO
← →
kaif © (2004-01-27 21:30) [49]И мне пришло это г-но.
Причем антивирусник провайдера WebPlus пропустил это письмо (у меня почта с защитой от вируса и спама DrWeb), и Касперский не видит (хотя только что апдейтил Касперского).
← →
SPeller © (2004-01-27 21:33) [50]У меня 5 штук :)
А молодцы, всё-таки наши. Рекордная скорость распространения вируса. И это в 22 кБ уместили. Как обычно, мы впереди планеты всей :-))
← →
SPeller © (2004-01-27 21:35) [51]Удалено модератором
Примечание: Дубль
← →
Игорь Шевченко © (2004-01-27 21:42) [52]SPeller © (27.01.04 21:33)
Ты прикидываешься или как ? Не у всех траффик бесплатный, чтобы всякое дерьмо из инета качать :)
← →
mfender © (2004-01-27 21:44) [53]Самое обидное, что мне пришло от самого же себя (с "ящыка" на "ящык"). И два возврата от почтовиков, что мои сообщения заражены.... Однако.
А чем нам это грозит?
← →
Anatoly Podgoretsky © (2004-01-27 21:48) [54]Нам ни чем, как не грозили и другие
← →
_none_ © (2004-01-27 21:49) [55]у меня все чисто -)
to [Игорь Шевченко: 52] а как же "dispatch mail on the server"?
← →
mfender © (2004-01-27 21:51) [56]Anatoly Podgoretsky © (27.01.04 21:48)
Нам ни чем, как не грозили и другие
Так, если его не получать, понятно, что не вреден. А вот как он распространяется, если я его не получал и не отправлял уж подавно?
← →
Anatoly Podgoretsky © (2004-01-27 21:56) [57]Почему, получаю, проблем нет и другие тоже приходят проблем нет, оказываются в мусорном ящике.
← →
Cr@sh © (2004-01-27 22:07) [58]Гм... а мне еще ниче не пришло ))
на сьюментеке написано, что на ящики содержащии в названии admin, root и др он не рассылается...
Делаем выводы, господа ;)
← →
sniknik © (2004-01-27 23:01) [59]mfender ©
> Самое обидное, что мне пришло от самого же себя (с "ящыка" на "ящык"). И два возврата от почтовиков, что мои сообщения заражены.... Однако.
> А вот как он распространяется, если я его не получал и не отправлял уж подавно?
легко, отправляю я ;о))) а в заголовок мыла от: .... подставлюю твой адрес. как думаеш куда пойдет возврат при проблемах доставки?
примерно так.
а ты сам и твоя машина даже не нужны, посылает сам зараженный почтовый сервер, он же и получает. "закольцованное" на себя сообщении получилось потому что ты сам у себя в адресной книге прописан... ну или откуда он там берет список мыл для рассылки.
(естественно это логический вывод, как там на самом деле ...?)
← →
SergP © (2004-01-27 23:30) [60]
> Nikolay M. © (27.01.04 08:57) [5]
> Ага, за утро сегодня штук 15 пришло, жду, что за день еще
> сотни 2 свалится... :( Бывало уже. А что сейчас за дрянь,
> пока вроде непонятно.
мне вот сегодня тоже свалилось таких штук 10. Вспомнил что где-то вчера здесь читал про это, и поэтому поудалял все нафиг, даже и не смотрел туда.
только сначала мне хотелось узнать кто отправляет эти письма, т.е. сам вирь это делает, или сидит какой-нить придурок за компом и шлет их...
Несмотря на кажущуюся абсурдность второго предположения, мне что-то оно кажется более вероятным. Кроме того ИМХО человек который это делает обитает на этом форуме...
Вывод сделан исходя из того что у меня около десятка ящиков, с которых я одновременно забираю почту батом. Но эта гадость пришла только на один из них и при том в таком количестве... Несмотря на то что это мыло я почти нигде не использую, но оно у меня торчит под ником на этом форуме. А везде в других местах я использую другое мыло...
← →
Симба © (2004-01-28 00:19) [61]Мне тоже пришло такое письмецо. А мой e-mail присутствует только на этом форуме.
← →
ИМХО © (2004-01-28 00:40) [62]Если бы вирьмэйкерам поотрывали бы руки, я сам с большим удовольствием присутствовал бы при этом :(((
← →
SPeller © (2004-01-28 04:46) [63]
> Мне тоже пришло такое письмецо. А мой e-mail присутствует
> только на этом форуме
Вы описание читали? Вирус сканирует винт в поисках html-файлов и ищет в них адреса. Банально кто-то сохранил ветку с вашим участием и заразился. И все местные e-mailэы оказались в распоряжении червя.
← →
SPeller © (2004-01-28 04:49) [64]Кстати, вирус написан не на Дельфи, а на MSVC. И использует WinSocks для своей деятельности. Я вот только не пойму, куда в нём помещена dll. Так при просмотре её на видно.
← →
SPeller © (2004-01-28 06:25) [65]
> Игорь Шевченко © (27.01.04 21:42) [52]
> SPeller © (27.01.04 21:33)
> Ты прикидываешься или как ?
Ну конечно :)
← →
zabralex85@mail.ru (2004-01-28 22:48) [66]Люди у кого есть исходник или бинарник этого майдуума аля новага плиз пошлите мне :)) хочу покопаться в нем....
← →
ИМХО © (2004-01-28 23:13) [67]Фигу тебе :)
← →
SergP © (2004-01-29 07:10) [68]Снова получил кучу мыл с вложениями...
Но что меня больше вего рассмешило, так это еще одно письмо (правда к сабжу отношения не имеющее):
You are suspected of plunder 2100 $ from account Webmoney! It is necessary for you to
contact employee FBI USA who has affairs with representation Webmoney in USA. We have the
decision of a problem and further the decision of a problem in regional court. The complaint
has acted from ID 828245830532. The full information on
http://www.fbi-policy.com/webmoney.htm.
Не знаю что за вирь может сидеть по этой ссылке. Мне уже не хочется ничего пробовать, но я удивляюсь изобретательности спамеров-вирусописателей. Чего они только не придумают чтобы убедить народ в том что им все-таки нужно зайти по прилагаемой ссылке...
← →
Alexander666 © (2004-01-29 09:04) [69]Мне этот червь сегодня приходил. Я дооолго над ни смеялся, с час наверно. А точней над его беспомощностью по сравнению со мной. Потом взял и удалил...
← →
Calm © (2004-01-29 09:08) [70]У нас стоит Касперский и проверяет входящую почту.
Все сабжевые письма исправно помечаются как содержащие вирус.
Их мне за последние 5 дней пришло штук 15.
← →
Bel © (2004-01-29 10:04) [71]2 All
Новости читали? Уже появилась новая модификация этого червя. Новый червь настроен на атаку не SCO, а Microsoft.
http://news.yandex.ru/yandsearch?cl4url=www.ictv.ua/ru/content/publications/Society/dfg_flghkfh.html
← →
PVOzerski © (2004-01-29 10:56) [72]А кто-нибудь объяснит механизм заражения? Я только что у себя эту дрянь нашел на машине и как раз занимаюсь её искоренением (пришлось аж перезапускаться в ДОСе и работать ДОСовским "Касперским" - сейчас делаю контрольную проверку из-под Виндов. Дык вот к чему я: кому руки бить - себе или коллеге, бывшему в лаборатории без меня? Что до меня, я имел, конечно, глупость открыть WinZip"ом аттачмент, посмотрел из него содержимое архива (и только) но, как бы, полагал, что при этом ничто управление этой пакости не передаст... При этом OutLook у меня вообще не используется: только Bat.
← →
SPeller © (2004-01-29 11:00) [73]
> PVOzerski © (29.01.04 10:56) [72]
http://www.viruslist.com/viruslist.html?id=144488783
← →
SPeller © (2004-01-29 11:02) [74]И руки поотшибать коллеге. Если вы просто просматривали содержимое архива, то заражения быть не могло.
← →
blackman © (2004-01-29 11:05) [75]Судя по-всему база адресов Rambler вскрыта ...
Рассылаются вири от имени существующих пользователей кем-то неизвестным
← →
SPeller © (2004-01-29 11:13) [76]
> blackman © (29.01.04 11:05) [75]
Отправить письмо от чужого имени совсем не сложно. А найти адреса - не проблема. Как вы думаете, у вас на ЖД есть файли с адресами email? Думаю, что в каждом ридми как минимум один, да ещё и в сохранённых html-страницах. Вот отсюда и масштабы эпидемии.
← →
PVOzerski © (2004-01-29 11:14) [77]В продолжение моего приключения: кто-нибудь помнит: вообще-то в NT4 taskmon.exe быть должен? Потому как после искоренения червяка означенные Винды при запуске безуспешно ищут данный файл, о чем и рапортуют. Прибить ссылку в реестре или-таки нормальный taskmon искать?
← →
SPeller © (2004-01-29 11:18) [78]У меня в ХР такого нет. А вот у вас.. Вы на размер смотрели? на вируслисте красным выделено - вирус имеет размер 22 кБ. Если всё-таки грохнули родной файл, то попробуйте отковырять его из дистрибутива. Ну а если не получится - то уберите ссылку из реестра.
← →
blackman © (2004-01-29 11:32) [79]>А найти адреса - не проблема. Как вы думаете, у вас на ЖД есть файли с адресами email?
Ну и при чем здесь то, что у меня на диске ? Вируса-то у меня нет и в инете я эти адреса не выкладывал,
а вот то что адресами с Ramblera пользуются во всю это факт.
← →
Lola © (2004-01-29 11:34) [80]Судя по тому, что мне пришли зараженные письма только на адреса, указанные в анкетах на сайтах, то скорее всего, что для распростанения вируса ребята использовали базу для спамеров, или сами просканировали сеть (что менее вероятно). Но это лично мое мнение.
← →
Anatoly Podgoretsky © (2004-01-29 11:36) [81]PVOzerski © (29.01.04 11:14) [77]
Антивирусы постарались. В НТ не знаю, а в 98 сам изничтожаю загрузки это хренотени.
← →
Axel © (2004-01-29 13:18) [82]VIRUS ALERT
AN UPDATE ON: MYDOOM
28 January 2004
ABOUT THE VIRUS
Since our 26 January alert, we"ve learned new important facts about MyDoom, including the fact that a new variant, MyDoom.B, is spreading, and seems to use the original MyDoom.A victims" machines as a launchpad.
MYDOOM.A UPDATES
New facts that should help you recognize and prevent MyDoom.A:
1) In our first alert, we only knew that MyDoom used random filenames with .EXE, .BAT, .SCR, .PIF, .CMD and .ZIP extentions. Since then, McAfee has released a list of filenames that the virus chooses from.
MyDoom"s attachment begins with one of these names (and ends with one of the previously described extensions):
* doc
* document
* message
* readme
* text
* hello
* body
* test
* data
* file
Sometimes MyDoom inserts a second extension, such as .TXT or
.HTM, in between the random filename and extension. In these
cases, there may be many spaces after the first extension in
order to fool you into thinking the file is harmless (e.g.,
document.htm [lots of whitespace] .exe).
2) If MyDoom infects one of your computers, MyDoom"s back door code attempts to open one port within a range of TCP ports (not only 3127, as we first described). The worm starts by attempting to listen on TCP port 3127, but if it fails to open, MyDoom tries the next sequential port. It continues down a range of ports until it either succeeds in opening one, or reaches TCP port 3198. The good news is that MyDoom only listens on these ports rather than attempting to make an outgoing connection. All firewalls must block ports 3127 through 3198 by default, so even if you become infected, MyDoom"s author cannot reach your computer unless you have added a custom service allowing any of the ports within this range.
Anti-virus experts surmise that MyDoom"s author has sent
instructions to the victim machines listening on these ports,
using them as unwitting email relays to launch MyDoom.B. This is why MyDoom.A victims are perceived as stepping stones for the spread of MyDoom.B.
3) Many of our readers have expressed concern because they are
receiving numerous "Undeliverable Message" notifications, or
messages from contacts and partners informing them that a
computer on their network has tried to send a virus. This is
a result of MyDoom spoofing its "From" address. Many anti-virus products can automatically reply to the address found in the "From" field of an infected e-mail, attempting to inform the supposed sender that they are infected with a virus. Because MyDoom spoofs its sender, you might have received such automated responses saying you are infected even when you are not. You can simply ignore such notifications. If you are contacted by a partner directly, you can explain to them that MyDoom lies about its sender, and anti-virus measures may claim an infected email has come from your network even when it has not.
MYDOOM.B DESCRIPTION
On the surface, MyDoom.B looks very much like the original.
According to McAfee, the virus still spoofs the sender"s address, uses the same random Subjects, and the same random attachments.
MyDoom.B does use a few new possibilities for its message body:
* sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received.
* Mail transaction failed. Partial message is available.
* The message contains Unicode characters and has been sent as a
binary attachment.
* The message contains MIME-encoded graphics and has been sent as a
binary attachment.
* The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.
As we write this, unconfirmed threads on vulnerability lists we
monitor indicate you might encounter other subjects and text bodies
in MyDoom.B.
MyDoom.B contains a few new tricks. First, this variant attempts a
Denial of Service (DoS) attack against Microsoft, where MyDoom.A
attacked SCO. Also, MyDoom.B makes numerous changes to your
computer"s HOSTS file. The HOSTS file is a local file that your
computer refers to, before its DNS server, looking for the IP
address associated with a URL. MyDoom.B adds many false entries into this file for anti-virus and security information sites. This effectively prevents your computer from finding those sites so you can"t get new information about the new MyDoom variant.
The solution section from our original alert still contains valid instructions for blocking MyDoom.B"s attachments. However, our previous alert also recommended all WatchGuard firewall owners create a service specifically blocking TCP port 3127 both incoming and outgoing. We have since learned that the viruses can use between 3127-3198 and only listens on one of those ports. Since the backdoor is only listening, you do not have to make a service specifically blocking outgoing connections on these ports. By default, all firewalls must block incoming TCP port 3127-3198 and prevent the virus author from connecting to MyDoom"s backdoor.
← →
Anatoly Podgoretsky © (2004-01-29 13:26) [83]А вот на эти порты идут из Kaaza
Вообще то вирус очень старый, ранее назывался mimail, это просто его усиленная модификация
← →
blackman © (2004-01-29 16:08) [84]>использовали базу для спамеров
Не похоже. И на сканирование тоже.
Если бы базу, то на определенные адреса я бы уже получил :)
А если сканирование, то наоборот не получил бы по некоторым :)
Скорее всего именно база адресов Rambler в их шаловливых ручках, которые давно бы надо оторвать
← →
Странник © (2004-01-29 17:11) [85]похоже нашли, откуда ветер дует:
http://mignews.com.ua/disasters/world/108442.html
Как стало известно, ФБР произвело задержание нескольких сотрудников (программистов и менеджеров) компании SCO, а также осуществило обыск в головном офисе и изъятие одного из серверов и нескольких рабочих станций.
Подробности операции спецслужб особо не разглашаются, однако известно, что операция связана напрямую с судебной тяжбой между компаниями IBM и SCO. По имеющейся информации, все задержания связаны с расследованием, ведущимся ФБР в связи с эпидемией нового интернет-червя.
Предположительно, спецслужбам удалось проанализировать географию и скорость распространения червя, а так же выявить сам источник заражения – как ни парадоксально, саму компанию SCO.
Возможно, таким неожиданным ходом кто-то из сотрудников компании планировал настроить общественное мнение против Linux-сообщества, с которым ведет непримиримую юридическую войну SCO, пытаясь сорвать за лицензии на участки кода Linux/Unix "банк" в десятки миллиардов долларов.
← →
Lola © (2004-01-29 17:29) [86]
> Скорее всего именно база адресов Rambler
:))) А у меня на на рамблере и нет адресов;) Я сужу только по тем двум, которые так называемые "легальные", один эстонский, другой русский, которые я указываю в анкетах. А все остальные, на тех же почтовиках, остались "чистыми".
← →
DCoder © (2004-01-29 18:43) [87]http://www.avp.ru/news.html?id=145360576
В связи с многочисленными случаями заражения сетевым червем "Mydoom" ("Novarg"), "Лаборатория Касперского" разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы.
...
Вы можете загрузить утилиту CLRAV по адресу: ftp://ftp.kaspersky.com/utils/clrav.zip
← →
SPeller © (2004-01-29 20:25) [88]Не ту ссылку скопировал.
http://www.avp.ru/news.html?id=145357396
← →
_none_ © (2004-01-30 03:08) [89]у меня по-прежнему все чисто... может мне кто-нибудь отфорвардит письмишко, а то все болеют, а я как-то не при делах -))
← →
ИМХО © (2004-01-30 03:28) [90]Молись Богу и дальше оставаться не при делах, кремлевский! :)
← →
Думкин © (2004-01-30 07:05) [91]> [89] _none_ © (30.01.04 03:08)
Какие твои годы. Мне только вчера вечером приходить стали, правда я их на дальних подходах не пущаю.
← →
KMD (2004-02-02 12:51) [92]...Заводите адреса "с номерами" типа admin81@...
Посмотрите на мессаги свои с указанием мыла, у вас без цифрового обз. Догонял скоро, и это тоже припушут.
← →
Maxim Vetera © (2004-02-04 20:31) [93]Сразу 3 пришло, жаль :-(. Наверно я мало известен в инете... а сегодня 4-ый порезаный какой весь пришел - и его жаль...
← →
AsmAdmin (2004-02-10 20:35) [94]Люди , пришлите экземплярчик , в архиве под паролем "a"
например , чтобы фильтры по дороге не съели ;)
а то до меня так и не дошло , а хочется , ведь 22 кб , да еще
и со встроенным почтовым клиентом ! Как в старые добрые
asm-овско - DOS-овские времена !
← →
Stranger2 (2004-02-11 18:01) [95]Здесь лежит сам вирус:
http://fido-online.com/x/_-0?Msg?5&785&3887&a18
Сейчас проходили по Интернету ;-) исходники. Но пока не нашел, выложил ли их кто-нибудь...
← →
Marser © (2004-02-11 18:16) [96]
> AsmAdmin (10.02.04 20:35) [94]
> Люди , пришлите экземплярчик , в архиве под паролем "a"
> например , чтобы фильтры по дороге не съели ;)
> а то до меня так и не дошло , а хочется , ведь 22 кб , да
> еще
> и со встроенным почтовым клиентом ! Как в старые добрые
>
> asm-овско - DOS-овские времена !
Какой встроенный клиент? Он, зараза, Аутлук использует.
← →
ИМХО © (2004-02-11 20:10) [97]Кстати, кто-нить в курсях, поток ослабел или как? Я просто прибил те ящики, куда мне валились вирусы.
← →
Anatoly Podgoretsky © (2004-02-11 21:51) [98]Да и потока как такового не было, другое дело SWEN идет не прекращая который месяц, по меньше чем в пик раз в десять, но штук триса каждый день, а этот в пик всего несколько десятков.
Страницы: 1 2 3 вся ветка
Текущий архив: 2004.03.03;
Скачать: CL | DM;
Память: 0.75 MB
Время: 0.017 c
