Форум Краматорська

  • 29 Березень 2024, 01:30:40
  • Ласкаво Просимо, Гість
Будь ласка увійдіть або зареєструйтесь.

Увійти

Новини:

Автор Тема: Вирус для лохов  (Прочитано 8299 раз)

0 Користувачів і 1 Гість дивляться цю тему.

22 Серпень 2003, 17:13:15
Прочитано 8299 раз
Offline

AntZ


Offline AntZ

  • سلام عليكم
  • *****
  • Ветеран
  • Повідомлень: 39816
  • Країна: 00
  • Карма: +787/-556
  • Дякую
  • Сказав: 0
  • Отримав: 4
  • Urbi et Orbi
    • Чоловіча
    • Перегляд профілю
Немало эпидемий пережил я за время пребывания в Сети, но такой... Последнее время вирусы пробивают защиты, всякие бреши в системах, извращенные технологии и т.п. А тут все просто- присылают тебе по почте гранату с надписью "Дерните за чеку и сосчитайте до 5". И, что интересно, многие далеко неглупые люди дергают!! За три дня мне пришло около 30 писем с вирусякой, причем многие- от вполне солидных людей.. смешно...
Боюсь быть банальным, но: "НЕ ОТКРЫВАЙТЕ НЕЗНАМО ЧТО!!"
Темы писем, котрые мне приходили:
Thank you
My details
Details
Your details
That movies
Approved
Или то же, но с приставкой "Re:" или "Re:Re:" - типа, ответ....
В теле письма: Please see the attached file for details.
Щас....
Будьте здоровы!
*
Кидаючи в воду камінці, дивись на кола, їми створені - інакше таке заняття буде порожньою забавкою

Форум Краматорська

Вирус для лохов
« : 22 Серпень 2003, 17:13:15 »

22 Серпень 2003, 19:47:37
Відповідь #1
Offline

игорь


Offline игорь

  • ***
  • Постоялец
  • Повідомлень: 520
  • Країна: 00
  • Карма: +1/-0
  • Дякую
  • Сказав: 0
  • Отримав: 17
    • Перегляд профілю
У меня почтовик на Яхо - в последнем письме пришел аттачмент - в он-лине Нортон не СМОГ ПРОЧИТАТЬ аттачмент вообще!! - я так и не узнал, что там в аттачменте было, хотя адресс был незнакомый...
8) Тур де Славянск 8)

22 Серпень 2003, 19:56:17
Відповідь #2
Offline

AntZ


Offline AntZ

  • سلام عليكم
  • *****
  • Ветеран
  • Повідомлень: 39816
  • Країна: 00
  • Карма: +787/-556
  • Дякую
  • Сказав: 0
  • Отримав: 4
  • Urbi et Orbi
    • Чоловіча
    • Перегляд профілю
Do not rapair? вирус  утебя там был, не переживай... как раз Нортон это дело ловит на раз...
*
Кидаючи в воду камінці, дивись на кола, їми створені - інакше таке заняття буде порожньою забавкою

23 Серпень 2003, 08:33:00
Відповідь #3
Offline

Warlock


Offline Warlock

  • Постійна зрада, соціальна провина
  • ****
  • Старожил
  • Повідомлень: 1839
  • Карма: +45/-14
  • Дякую
  • Сказав: 10
  • Отримав: 31
  • Суцільна вада, беспринципна тварина
    • Чоловіча
    • Перегляд профілю
    • Купить шины
ЧИТАТЬ ВСЕМ!!! (Was: RPC DCOM exploit)
Водителям бронетанковой техники посвящается. По многочисленным просьбам радиослушателей разъясняю медленно и один раз, тем, кто все понял - ничего не будет.
 
Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка (раз http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , два http://www.securityfocus.com/bid/8234) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.
 
Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.
 
Таким образом, началась настоящая пьянка - эпидемия очередного червя.
 
Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.
 
Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.
 
Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec. http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
 
Кто не спрятался - я не виноват.
 
Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.
Некоторые люди лучше, чем некоторые собаки.

23 Серпень 2003, 11:42:57
Відповідь #4
Offline

игорь


Offline игорь

  • ***
  • Постоялец
  • Повідомлень: 520
  • Країна: 00
  • Карма: +1/-0
  • Дякую
  • Сказав: 0
  • Отримав: 17
    • Перегляд профілю
Цитата: AntZ
Do not rapair? вирус  утебя там был, не переживай... как раз Нортон это дело ловит на раз...

 
Нортон на Яхо ТОЛЬКО сканирует, но не лечит. В основном, адрес приходит левый, но один раз пришел вирус (саморассылка) от моего знакомого аспиранта в моем уни: до значка @ имя РЕАЛЬНОГО профессора, научного того аспиранта, а дальше бред... вирус был на компе того аспиранта...  
Последний аттачмент НОРТОН ВООБЩЕ НЕ ПРОСКАНИРОВАЛ, не смог (типа с адреса admin@yahoo.com)!! Ну я и с ящика и удалил этот бутор... Вот такие пирожки... Кстати, почему так не любят Касперского?
8) Тур де Славянск 8)

23 Серпень 2003, 13:31:09
Відповідь #5
Offline

AndreiS


Offline AndreiS

  • ****
  • Старожил
  • Повідомлень: 1659
  • Карма: +11/-15
  • Дякую
  • Сказав: 0
  • Отримав: 17
    • Перегляд профілю
то тот самый вирус, о котором было сказано выше:
 
I-Worm.Sobig.f
 
 
Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.  
 
Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой TeLock, размер упакованного файла около 70КB, распакованного - около 100КB.  
 
В письмах червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.  
 
 
 
 
Инсталляция  
 
При инсталляции червь копирует себя с именем winppr32.exe в каталог Windows и регистрирует этот файл в ключах автозапуска системного реестра:  
 
 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  TrayX = %WindowsDir%\winppr32.exe /sinc
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  TrayX = %WindowsDir%\winppr32.exe /sinc
 
 
 
Рассылка писем  
 
Червь ищет файлы *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами заражённые письма.  
 
Поле "От:" подделывается (в него вставляется какой-либо ещё электронный адрес, обнаруженный на зараженном компьютере) или содержит адрес admin@internet.com.  
 
Возможны следующие варианты Заголовка писем, Текста и Имени вложения:  
 
Заголовок:  
 
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Текст:  
See the attached file for details
Please see the attached file for details.
Вложение:  
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Червь также создаёт файл winstt32.dat в каталоге Windows и записывает в него обнаруженные адреса электронной почты, по которым ведется рассылка заражённых писем.  
 
 
 
Распространение по сети  
 
Червь перебирает все доступные сетевые ресурсы (другие компьютеры в сети) и копирует себя в них со случайными именами и расширением EXE.  
 
 
 
 
Загрузка дополнительных файлов  
 
Червь посылает UDP-пакеты по определённым IP-адресам на порт 8998 и в ответ ждёт команд "хозяина". Данные команды содержат в себе адреса Web-сайтов, с которых червь затем скачивает файлы и запускает их на выполнение. Таким образом червь в состоянии скачивать и запускать свои более "свежие" версии или устанавливать в систему дополнительные компоненты (троянские программы).  
 
 
 
 
Прочее  
 
Червь полностью работоспособен только в том случае, если текущая дата на зараженном компьютере меньше 10 сентября 2003 года
(с) Лаборатория Касперского.  
Мы тоже его поймали, но элементарно почистили. Спейшиал сенкс нашему сисадмину Энди Завгороднему:)))

23 Серпень 2003, 13:37:04
Відповідь #6
Offline

AndreiS


Offline AndreiS

  • ****
  • Старожил
  • Повідомлень: 1659
  • Карма: +11/-15
  • Дякую
  • Сказав: 0
  • Отримав: 17
    • Перегляд профілю
И еще:
 
"Сетевой червь вводит в заблуждение и компрометирует невиновных.  
 
Глобальная эпидемия сетевого червя "Sobig.f" вызвала многочисленные вопросы пользователей, дезориентированных некоторыми особенностями поведения этой вредоносной программы.  
 
С момента появления "Sobig,f" многие пользователи получили сообщения от автоматических систем проверки, установленных на уровне интернет-провайдеров. В них сообщалось о, якобы, обнаруженных копиях червя, направленных с их компьютеров. Вместе с тем, антивирусные программы пользователей подтверждали отсутствие червя.  
 
"Лаборатория Касперского" сообщает, что "Sobig.f" имеет функцию фальсификации адресов отправителей. В зараженные письма случайным образом вставляются адреса, найденные на инфицированных системах. Таким образом, червь заметает свои следы и затрудняет локализацию источника эпидемии. С другой стороны это действительно вводит пользователей в заблуждение и порождает большое количество вопросов. В этой связи "Лаборатория Касперского" подтверждает: если Антивирус Касперского® с последними обновлениями базы данных не сообщает о присутствии "Sobig.f" на компьютере, то вы имеете дело с фальсификацией адресов. На самом деле ваш компьютер чист. "
 
Утилита для защиты:
http://www.kaspersky.ru/news.html?id=1322983

23 Серпень 2003, 16:50:39
Відповідь #7
Offline

игорь


Offline игорь

  • ***
  • Постоялец
  • Повідомлень: 520
  • Країна: 00
  • Карма: +1/-0
  • Дякую
  • Сказав: 0
  • Отримав: 17
    • Перегляд профілю
ВАРЛОК! МЕРЛИН! ВИРТУАЛКА! АХТУНГ, ням! ВСЕ СЮДА!!!!
Вот получил сейчас "от вас" такое письмо (ЦИТАТА):
 
This message is not flagged. [ Flag Message - Mark as Unread  ]
Date:   Sat, 23 Aug 2003 14:26:29 +0300
From:   "Виртуальный Мир Краматорск" <cd@v-world.dn.ua> | This is not spam | Add to Address Book
Subject:   Report
   
  Attachment         
 
X_plane_6.doc.scr
.scr file                                      Scan with Norton AntiVirus
                                                   Download Without Scan
 
Результат скана:
Scan Results  [Original Message]    
File name:    X_plane_6.doc.scr
File type:    application/x-msdownload
Scan result:    Virus W32.Bugbear.B@mm found. File not cleaned.
Download File  -  
 
Back to Original Message
 
КАК ВАМ ЭТО НРАВИТСЯ? ИЩИТЕ У ВАС ВИРУСЫ!!! В ЛС могу дать пасворд к моему ящику на ЯХО по адресу: studentius2002@yahoo.com
 
:moderator:  :moderator:  ГОНИТЕ ГАДОВ С ВАШИХ ВИНТОВ! :moderator:  :moderator:
8) Тур де Славянск 8)

23 Серпень 2003, 16:57:32
Відповідь #8
Offline

игорь


Offline игорь

  • ***
  • Постоялец
  • Повідомлень: 520
  • Країна: 00
  • Карма: +1/-0
  • Дякую
  • Сказав: 0
  • Отримав: 17
    • Перегляд профілю
Дополнение:
 Виртуальный Мир Краматорск          Report     Sat 08/23     97k
 
Вот такое вес у него, у медведя...
8) Тур де Славянск 8)

23 Серпень 2003, 17:28:16
Відповідь #9
Offline

игорь


Offline игорь

  • ***
  • Постоялец
  • Повідомлень: 520
  • Країна: 00
  • Карма: +1/-0
  • Дякую
  • Сказав: 0
  • Отримав: 17
    • Перегляд профілю
8) Тур де Славянск 8)

23 Серпень 2003, 17:41:02
Відповідь #10
Offline

Warlock


Offline Warlock

  • Постійна зрада, соціальна провина
  • ****
  • Старожил
  • Повідомлень: 1839
  • Карма: +45/-14
  • Дякую
  • Сказав: 10
  • Отримав: 31
  • Суцільна вада, беспринципна тварина
    • Чоловіча
    • Перегляд профілю
    • Купить шины
Да это Поляг ... блин не следит за средствами контрацепции =(
Некоторые люди лучше, чем некоторые собаки.

25 Серпень 2003, 03:18:05
Відповідь #11
Offline

wolf


Offline wolf

  • *****
  • Ветеран
  • Повідомлень: 5725
  • Країна: 00
  • Карма: +273/-179
  • Дякую
  • Сказав: 1
  • Отримав: 49
  • Быть русским стыдно.
    • Чоловіча
    • Перегляд профілю
    • http://obs.in.ua
Слухайте, народ!
 
Я, конечно, дико извиняюсь, и многие из вас будут обзывать меня лохом, но не может ли кто-нибудь из вас объяснить максимально просто: вот что делать? Сегодня я получил хрен знает от кого письмецо, похожее на то, о котором вы говорите. Но просматривать его содержимое попросту невозможно, потому как, просто став на графу получений, видишь, что вся посылочка состоит из одной, уже открытой фразы на английском. Я письмо, естественно, сразу удалил. Так болеет теперь моя машина или нет?  
 
Я еще раз прошу не издеваться, но не все же обучены навыкам работы и общения с компами одинаково! :cry:  :oops:
Обычно, гениальные статьи после первого прочтения автором рождают мысль наподобие: "Это говно никто не должен увидеть..." Абсурд, но именно ЭТО дерьмо и станет шедевром.

25 Серпень 2003, 06:39:56
Відповідь #12
Offline

Warlock


Offline Warlock

  • Постійна зрада, соціальна провина
  • ****
  • Старожил
  • Повідомлень: 1839
  • Карма: +45/-14
  • Дякую
  • Сказав: 10
  • Отримав: 31
  • Суцільна вада, беспринципна тварина
    • Чоловіча
    • Перегляд профілю
    • Купить шины
Если ты не открывал прикрепленный файл, то скорее всего в ЭТОТ раз вирус ты не хватанул.
Некоторые люди лучше, чем некоторые собаки.

25 Серпень 2003, 09:46:23
Відповідь #13
Offline

игорь


Offline игорь

  • ***
  • Постоялец
  • Повідомлень: 520
  • Країна: 00
  • Карма: +1/-0
  • Дякую
  • Сказав: 0
  • Отримав: 17
    • Перегляд профілю
Wolf! На каком сервере у тебя почтовик? Посмотри настройки проверять вирусы. На уважающих себя серверах-почтовиках это не проблема.  
 
Далее. Заведи себе несколько ящиков: один для бизнеса-личного, один для ВСЕГО остального (ну там порнушку получать, анекдоты, светить на конференциях и форумаз, ДЛЯ СПАМА наконец-то). Мой адрес "студентиус2002" как раз из 2 группы..  
Смотри внимательно на позиции:
--от кого пришло письмо (многие вирусы УЖЕ подделывают обратный адресс, взятый из Outlook Микрософта и могут привесить к себе РЕАЛЬНОЕ письмо из базы данного уже зараженного компьютера)
--смотри на аттачмент, а именно на ДВОЙСТВЕННОСТЬ расширения  (doc.scr  -как у меня в примере) и тем более на САМОРАСПАКОВЫВАЮЩИЙСЯ архив RAR с расширением ЕХЕ. С последней категорией будь предельно ОСТОРОЖЕН.
--Если письмо непонятно от кого и сканить аттачмент в ЯЩИКЕ антивирусом ты не можешь, НЕ СОХРАНЯЙ ФАЙЛ НИ В КОЕМ СЛУЧАЕ, удаляй его из папки "Входящие" и из корзины тоже.  
 
На своей локалке заведи антивирусник (Norton Antivirus, Sophos, Dr.Web, Kasperskiy, PC-Cilin...) с такой опцией: СКАНИТЬ ВСЕ ДОКИ, с которыми ты работаешь в данный момент НА ЛЕТУ (точно такое есть у 1, 2 и 4, хотя последние версии антивирусников должны иметь АКТИВИРОВАННУЮ такую опцию - значек антивирала попадает в систрей - рядом с часами) и ОБНОВЛЯЙ базы антивирусной программы хотя бы 2 раза в месяц и ЛАТАЙ Виндус постоянно!
Вроде все.
8) Тур де Славянск 8)

25 Серпень 2003, 12:10:51
Відповідь #14
Offline

AntZ


Offline AntZ

  • سلام عليكم
  • *****
  • Ветеран
  • Повідомлень: 39816
  • Країна: 00
  • Карма: +787/-556
  • Дякую
  • Сказав: 0
  • Отримав: 4
  • Urbi et Orbi
    • Чоловіча
    • Перегляд профілю
обычное правило: НИКОГДА не открывай вложенный файл, который не ждешь.. Даже если все антивирусы мира его пропустили!
На крайняк, отправь запрос писылавшему: это ты чего мне такое прислал?
Я имел ввиду "лохи" не из-за незнания, а из-за пренебрежения знанием.. (см. выше про гранату)
*
Кидаючи в воду камінці, дивись на кола, їми створені - інакше таке заняття буде порожньою забавкою

Форум Краматорська

Вирус для лохов
« Відповідь #14 : 25 Серпень 2003, 12:10:51 »