Armenian Knowledge Base  

Go Back   Armenian Knowledge Base > Technical sections > Software > Software Security
Register

Reply
 
LinkBack Thread Tools
Old 27.01.2004, 16:14   #1
Moderator
 
acid's Avatar
 
Join Date: 09 2001
Location: South Korea, Gumi
Posts: 7,699
Downloads: 102
Uploads: 34
Blog Entries: 16
Reputation: 561 | 6
Default Волна нового вируса

Сегодня пошла волна нового вируса...В сабже обычно присутствует слово Test.
Reply With Quote
Old 27.01.2004, 16:48   #2
В чём сила брат ?
 
unknown's Avatar
 
Join Date: 06 2003
Location: Ignotum per ignotius
Posts: 1,207
Downloads: 5
Uploads: 0
Reputation: 491 | 3
Default

A Kak On Nazivayetca..?
Reply With Quote
Old 27.01.2004, 17:12   #3
Moderator
 
acid's Avatar
 
Join Date: 09 2001
Location: South Korea, Gumi
Posts: 7,699
Downloads: 102
Uploads: 34
Blog Entries: 16
Reputation: 561 | 6
Default

[email protected]

Discovered on: January 26, 2004 </FONT></FONT>[email protected] is a mass-mailing worm that arrives as an attachment with the file extension .bat, .cmd, .exe, .pif, .scr, or .zip. When a computer is infected, the worm will set up a backdoor into the system by opening TCP ports 3127 thru 3198. This can potentially allow an attacker to connect to the computer and use it as a proxy to gain access to its network resources. In addition, the backdoor has the ability to download and execute arbitrary files.
The worm will perform a DoS starting on February 1, 2004. It also has a trigger date to stop spreading on February 12, 2004.



Also Known As: [email protected] [McAfee], WORM_MIMAIL.R [Trend]Type: WormInfection Length: 22,528 bytesSystems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XPSystems Not Affected: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x


When [email protected] is executed it does the following:
  1. Creates the following files:
    • %System%/shimgapi.dll
    • %temp%/Message (This file is full of random letters and is displayed using Notepad.)
    • %System%/taskmon.exe (If a copy of taskmon.exe exists in the %System%, it is overwritten and replaced by this copy of the worm.)

      Notes:
    • taskmon.exe is a legitimate file in Windows 95/98/Me operating systems, stored in the %Windir% folder. (by default, this is C:\Windows or C:\Winnt) Do not delete this file by mistake.
    • %System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
    • %Temp% is a variable. The worm locates the temporary folder and copies itself to that location. By default, this is C:\Windows\TEMP (Windows 95/98/Me), or C:\WINNT\Temp (Windows NT/2000), or C:\Document and Settings\<UserName>\Local Settings\Temp (Windows XP).
  2. Shimgapi.dll acts as a proxy server, opening TCP listening ports in the range of 3127 to 3198. The backdoor also has the ability to download and execute arbitrary files.
  3. Adds the value:

    "(Default)" = "%System%\shimgapi.dll"

    to the registry key:

    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

    so that shimgapi.dll is loaded by EXPLORER.EXE.
  4. Adds the value:

    "TaskMon" = "%System%\taskmon.exe"

    to the registry keys:
    • HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  5. Attempts to perform a Denial of Service attack against www.sco.com by creating 64 threads that send GET requests and use a direct connection to port 80.

    Note: The DoS is active between February 1, 2004 and February 12, 2004.
  6. Creates the following registry keys:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
      Explorer\ComDlg32\Version
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
      Explorer\ComDlg32\Version
  7. Searches for email addresses in files with the following extensions.
    • .htm
    • .sht
    • .php
    • .asp
    • .dbx
    • .tbb
    • .adb
    • .pl
    • .wab
    • .txt
      Note: It ignores addresses which end in .edu.
  8. Attempts to send emails using its own SMTP engine. The worm performs a lookup of the mail server used by the recipient before sending the email. If it is unsuccessful, it will use the local mail server instead.
  9. The email will have the following characteristics:

    From: may be a spoofed from address

    Subject:
    (one of the following)
    • test
    • hi
    • hello
    • Mail Delivery System
    • Mail Transaction Failed
    • Server Report
    • Status
    • Error

      Message:
      (one of the following)
    • Mail transaction failed. Partial message is available.
    • The message contains Unicode characters and has been sent as a binary attachment.
    • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

      Attachment:
      (one of the following)
    • document
    • readme
    • doc
    • text
    • file
    • data
    • test
    • message
    • body

      Notes:
    • The attachment may have two suffixes. If so, the first suffix will be one of the following:
      • .htm
      • .txt
      • .doc
    • The worm will always end with one of the following suffixes:
      • .pif
      • .scr
      • .exe
      • .cmd
      • .bat
      • .zip
    • The icon displayed will look like the following:



      unless the worm has .exe or .scr for an extension, in which case the file will use the following icon:

  10. Copies itself to Kazaa download folder as one of the following files:
    • winamp5
    • icq2004-final
    • activation_crack
    • strip-girl-2.0bdcom_patches
    • rootkitXP
    • office_crack
    • nuke2004

      with a file extension of:
    • .pif
    • .scr
    • .bat
    • .exe
Reply With Quote
Old 27.01.2004, 17:27   #4
Академик
 
greka's Avatar
 
Join Date: 09 2001
Location: inside myself
Posts: 5,369
Downloads: 0
Uploads: 0
Reputation: 18 | 5
Default

все! впредь буду игнорировать нашего сисадмина. Посмотрим, что хуже - сисадмин весом в 90 кг "здесь и сейчас", или какой-то вирус.
Reply With Quote
Old 27.01.2004, 20:11   #5
Грустно...
 
Agregat's Avatar
 
Join Date: 08 2002
Location: Там, где всегда идут дожди
Age: 35
Posts: 21,717
Downloads: 2
Uploads: 0
Reputation: 250 | 7
Default

А я вроде получил и уже стер
Reply With Quote
Old 28.01.2004, 08:06   #6
Академик
 
greka's Avatar
 
Join Date: 09 2001
Location: inside myself
Posts: 5,369
Downloads: 0
Uploads: 0
Reputation: 18 | 5
Default

Вирусные новости. 27 января 2004
******************************************************************

Червь "Novarg" вызывает новую глобальную эпидемию


1. Червь "Novarg" вызывает новую глобальную эпидемию

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового
опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела
вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все
шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя
создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная
команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Профилактика, диагностика и защита

"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18
возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с
бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно
затрудняют пользователям задачу самостоятельного выявления зараженных писем.

В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь
начинает процедуру внедрения на компьютер и дальнейшего распространения.

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента
для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной
программы при каждой последующей загрузке компьютера.

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями
HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь
проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который
может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется
backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную
машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция
организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные
компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

"Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится
реальность. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, - комментирует
Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Уже в ближайшем будущем эта проблема может означать
новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями".

...
Более подробная информация о данной вредоносной программе доступна в
Вирусной Энциклопедии Касперского.
__________________
И повешенные могут качаться в неположенную сторону. /С.Е.Лец/
Reply With Quote
Old 28.01.2004, 16:02   #7
Мия-У
 
Мия's Avatar
 
Join Date: 10 2002
Location: Magyarorszag
Posts: 1,391
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

А как от него избавиться? Кажется один из моих знакомых уже по дурости успел заразиться!
Reply With Quote
Old 28.01.2004, 17:40   #8
холостяк и точка.
 
Medved Kosolapiy's Avatar
 
Join Date: 03 2002
Location: Live?
Age: 34
Posts: 6,942
Downloads: 2
Uploads: 0
Reputation: 515 | 6
Default

у меня с утра уже наплыв! ... около 20 мейлов уже было, при том со всех домайнов от *.AM, *.ru *.com до всяких *.Net ов
Reply With Quote
Old 28.01.2004, 19:01   #9
Грустно...
 
Agregat's Avatar
 
Join Date: 08 2002
Location: Там, где всегда идут дожди
Age: 35
Posts: 21,717
Downloads: 2
Uploads: 0
Reputation: 250 | 7
Default

Сегодня удачный день. Всего 5 писем
Reply With Quote
Old 28.01.2004, 19:21   #10
В чём сила брат ?
 
unknown's Avatar
 
Join Date: 06 2003
Location: Ignotum per ignotius
Posts: 1,207
Downloads: 5
Uploads: 0
Reputation: 491 | 3
Arrow

Quote:
Originally Posted by Medved Kosolapiy
у меня с утра уже наплыв! ... около 20 мейлов уже было, при том со всех домайнов от *.AM, *.ru *.com до всяких *.Net ов
G@-G@....U Mya Uje Segodnya 45!~~~~

--

+ eshe Eto...
Attached Thumbnails
01.jpg  
Reply With Quote
Old 28.01.2004, 19:37   #11
В чём сила брат ?
 
unknown's Avatar
 
Join Date: 06 2003
Location: Ignotum per ignotius
Posts: 1,207
Downloads: 5
Uploads: 0
Reputation: 491 | 3
Post Подробности о черве W32.Novarg.A

Компания Symantec Довольно оперативно провела анализ нового червя, появившегося недавно в сети. Помимо обычного анализа червя были выявлены довольно любопытные подробности. Так, при заражении червём устанвливается компонент shimgapi.dll (ключ HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32), который запускает прокси-сервера на портах 3127-3198, слушающий запрос на установление соединения. Также устанавливаемыый бэкдор позволяет загружать произвольные файллы на заражённую машину и запускать их. В период между 1-12 февраля нынешнего года червь запускает DoS-атаку на лучшего "друга" всех юниксоидов - сайт компании SCO (www.sco.com). Для этого с каждой заражённой машины формируется 64 GET-запроса по протоколу http (порт 80/tcp). Уязвимы для червя ОС: Win9x/ME, NT/XP/2K/2003.
Более подробный анализ доступен на сайте Symantec по этой ссылке.
Последнюю версию антивируса DrWeb 4.30a с обновлениями для лечения этого вируса можно взять здесь
Reply With Quote
Old 28.01.2004, 19:44   #12
Грустно...
 
Agregat's Avatar
 
Join Date: 08 2002
Location: Там, где всегда идут дожди
Age: 35
Posts: 21,717
Downloads: 2
Uploads: 0
Reputation: 250 | 7
Default

Сис - Администрация ГИУА уже заражена вирусами.
Reply With Quote
Old 28.01.2004, 21:54   #13
Moderator
 
acid's Avatar
 
Join Date: 09 2001
Location: South Korea, Gumi
Posts: 7,699
Downloads: 102
Uploads: 34
Blog Entries: 16
Reputation: 561 | 6
Default

Quote:
Originally Posted by Agregat
Сегодня удачный день. Всего 5 писем
Счатливый человек Мне за час столько приходит ...
Reply With Quote
Old 29.01.2004, 05:59   #14
Студент
 
Lyoshkin's Avatar
 
Join Date: 09 2002
Location: Yerevan
Posts: 385
Downloads: 0
Uploads: 0
Reputation: 12 | 3
Default

Symantec выпустил утилиту для удаления этого вируса
скачайте здесь
Reply With Quote
Old 29.01.2004, 06:24   #15
Грустно...
 
Agregat's Avatar
 
Join Date: 08 2002
Location: Там, где всегда идут дожди
Age: 35
Posts: 21,717
Downloads: 2
Uploads: 0
Reputation: 250 | 7
Default

Quote:
Originally Posted by acid
Счатливый человек Мне за час столько приходит ...
Ну так Сур. Меньше регистрируйся на варезных сайтах
Reply With Quote
Sponsored Links
Reply

Thread Tools


На правах рекламы:
реклама

All times are GMT. The time now is 10:34.


Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.