ВИФ2 NE : Ветка : Люди! Будте бдительными. :-)

От	ID
К	All
Дата	28.01.2004 17:56:10
Рубрики	Прочее; Современность; Администрации;

Люди! Будте бдительными. :-)

Приветствую Вас!

Сегодня мне пришло несколько писем с адресов участников форума (например с адреса уважаемого Е.Путилова), содержащих в себе вирус. Одновременно минимум одному участнику форума пришло письмо с моего адреса, содержащее аналогичную дрянь.
Соответственно - смотри заголовок данного постинга :-)

С уважением, ID

От	Дмитрий Шумаков
К	ID (28.01.2004 17:56:10)
Дата	29.01.2004 11:55:17

Почти "Холодные финансовые войны". А может уже и не почти (+)

Подробности о черве W32.Novarg.A ака Win32.Mydoom.A (CA(Vet),Norman) worm
Компания Symantec провела анализ нового червя. Помимо обычного анализа червя были выявлены довольно любопытные подробности. Так, при заражении червём устанвливается компонент shimgapi.dll (ключ HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32), который запускает прокси-сервера на портах 3127-3198, слушающий запрос на установление соединения. Также устанавливаемыый бэкдор позволяет загружать произвольные файллы на заражённую машину и запускать их. В период между 1-12 февраля нынешнего года червь запускает DoS-атаку на лучшего "друга" всех юниксоидов - сайт компании SCO (www.sco.com). Для этого с каждой заражённой машины формируется 64 GET-запроса по протоколу http (порт 80/tcp). Уязвимы для червя ОС: Win9x/ME, NT/XP/2K/2003.

Одной из мотиваций "русского следа", усмотренного Symantec при анализе кода, возможно/вероятно было то, что все желающие могут удалить у себя с компа трояновскую dll, а exe-шник оставить, если есть желание сделать "приятное" компании SCO, приснопамятную по судебным процессам с Unix и IBM...

Продожение банкета:
"Лаборатория Касперского", сообщает об обнаружении новой версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".
На данный момент уже поступили сообщения о случаях заражения этой
вредоносной программой. "Лаборатория Касперского" допускает, что для распространения "Mydoom.B" были использованы компьютеры, зараженные предыдущей версией червя (на данный момент их число достигает 600 000 единиц). Возможно, они получили централизованную команду начать рассылку "Mydoom.B". По этой причине не исключено, что в ближайшие часы начнется новая вирусная эпидемия, по масштабам многократно превосходящая "Mydoom.A".

От	Саня
К	ID (28.01.2004 17:56:10)
Дата	28.01.2004 22:36:19

Novarg убить просто

На Симантеке уже всё лежит.

С уважением
С

От	Roman (SMF)
К	Саня (28.01.2004 22:36:19)
Дата	29.01.2004 10:02:03

Касперский в первый день эпидемии все выложил (-)

От	ameross
К	ID (28.01.2004 17:56:10)
Дата	28.01.2004 21:43:21

Re: Люди! Будте...

Я получил от vif2ne@opensea.ru и ещё по крайней мере один также с ВИФоским адресом.

От	Евгений Путилов
К	ID (28.01.2004 17:56:10)
Дата	28.01.2004 20:08:24

Точно так

Доброго здравия!

>Сегодня мне пришло несколько писем с адресов участников форума (например с адреса уважаемого Е.Путилова), содержащих в себе вирус. Одновременно минимум одному участнику форума пришло письмо с моего адреса, содержащее аналогичную дрянь.
>Соответственно - смотри заголовок данного постинга :-)

Получил письмо с этой дрянью от знакомого и имел неосторожность открыть. Все адреса, которые есть у меня в ящике получили аналоги уже от меня, хотя сам я никому не писал.

С уважением, Евгений Путилов. e_putilov@mail.ru

От	Вадим Воскобойников
К	ID (28.01.2004 17:56:10)
Дата	28.01.2004 18:31:02

Re: Люди! Будте...

Уважаемые ALL,
>Приветствую Вас!

>Сегодня мне пришло несколько писем с адресов участников форума (например с адреса уважаемого Е.Путилова), содержащих в себе вирус. Одновременно минимум одному участнику форума пришло письмо с моего адреса, содержащее аналогичную дрянь.
>Соответственно - смотри заголовок данного постинга :-)
Я тоже получил 27 писем с вирусом сегодня. Часть точно с форума.

>С уважением, ID
С Уважением, Вадим

От	JGL
К	ID (28.01.2004 17:56:10)
Дата	28.01.2004 18:22:43

"Novarg" ("Mydoom")?(-)

От	Бульдог
К	ID (28.01.2004 17:56:10)
Дата	28.01.2004 18:12:13

Эта, вирь в поле from адрес из адресной книги подставляет,

>Приветствую Вас!

>Сегодня мне пришло несколько писем с адресов участников форума (например с адреса уважаемого Е.Путилова), так что содержащих в себе вирус. Одновременно

не факт, что письма были от них. Характерные приметы - наличие в каталоге Windows TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троян) но именно в Windows (кстати не проверяли пока что будет, если ось поставлена в другой каталог :D)
Бесплатная утилита для чистки ftp://ftp.kaspersky.com/utils/clrav.zip

От	Mike
К	Бульдог (28.01.2004 18:12:13)
Дата	28.01.2004 21:50:51

Re: Эта, вирь...

>не факт, что письма были от них. Характерные приметы - наличие в каталоге Windows TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троян) но именно в Windows (кстати не проверяли пока что будет, если ось поставлена в другой каталог :D)

поставится куда надо, не боись :)

С уважением, Mike.

От	MAG
К	ID (28.01.2004 17:56:10)
Дата	28.01.2004 18:01:28

дык второй день эпидемия, предохраняемся (-)