Волна нового вируса - W32.Novarg.A@mm

[acid]

Сегодня пошла волна нового вируса...В сабже обычно присутствует слово Test.

[unknown]

A Kak On Nazivayetca..?

[acid]

W32.Novarg.A@mm

Discovered on: January 26, 2004 </FONT></FONT>W32.Novarg.A@mm is a mass-mailing worm that arrives as an attachment with the file extension .bat, .cmd, .exe, .pif, .scr, or .zip. When a computer is infected, the worm will set up a backdoor into the system by opening TCP ports 3127 thru 3198. This can potentially allow an attacker to connect to the computer and use it as a proxy to gain access to its network resources. In addition, the backdoor has the ability to download and execute arbitrary files.
The worm will perform a DoS starting on February 1, 2004. It also has a trigger date to stop spreading on February 12, 2004.



Also Known As: W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]Type: WormInfection Length: 22,528 bytesSystems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XPSystems Not Affected: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x


When W32.Novarg.A@mm is executed it does the following:

1. Creates the following files:
   • %System%/shimgapi.dll
   • %temp%/Message (This file is full of random letters and is displayed using Notepad.)
   • %System%/taskmon.exe (If a copy of taskmon.exe exists in the %System%, it is overwritten and replaced by this copy of the worm.)
     
     Notes:
   • taskmon.exe is a legitimate file in Windows 95/98/Me operating systems, stored in the %Windir% folder. (by default, this is C:\Windows or C:\Winnt) Do not delete this file by mistake.
   • %System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
   • %Temp% is a variable. The worm locates the temporary folder and copies itself to that location. By default, this is C:\Windows\TEMP (Windows 95/98/Me), or C:\WINNT\Temp (Windows NT/2000), or C:\Document and Settings\<UserName>\Local Settings\Temp (Windows XP).
2. Shimgapi.dll acts as a proxy server, opening TCP listening ports in the range of 3127 to 3198. The backdoor also has the ability to download and execute arbitrary files.
3. Adds the value:
   
   "(Default)" = "%System%\shimgapi.dll"
   
   to the registry key:
   
   HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   
   so that shimgapi.dll is loaded by EXPLORER.EXE.
4. Adds the value:
   
   "TaskMon" = "%System%\taskmon.exe"
   
   to the registry keys:
   • HKEY_CURRENT_USER\Software\Microsft\Windows\Curren tVersion\Run
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
5. Attempts to perform a Denial of Service attack against www.sco.com by creating 64 threads that send GET requests and use a direct connection to port 80.
   
   Note: The DoS is active between February 1, 2004 and February 12, 2004.
6. Creates the following registry keys:
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
     Explorer\ComDlg32\Version
   • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
     Explorer\ComDlg32\Version
7. Searches for email addresses in files with the following extensions.
   • .htm
   • .sht
   • .php
   • .asp
   • .dbx
   • .tbb
   • .adb
   • .pl
   • .wab
   • .txt
     Note: It ignores addresses which end in .edu.
8. Attempts to send emails using its own SMTP engine. The worm performs a lookup of the mail server used by the recipient before sending the email. If it is unsuccessful, it will use the local mail server instead.
9. The email will have the following characteristics:
   
   From: may be a spoofed from address
   
   Subject:
   (one of the following)
   • test
   • hi
   • hello
   • Mail Delivery System
   • Mail Transaction Failed
   • Server Report
   • Status
   • Error
     
     Message:
     (one of the following)
   • Mail transaction failed. Partial message is available.
   • The message contains Unicode characters and has been sent as a binary attachment.
   • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
     
     Attachment:
     (one of the following)
   • document
   • readme
   • doc
   • text
   • file
   • data
   • test
   • message
   • body
     
     Notes:
   • The attachment may have two suffixes. If so, the first suffix will be one of the following:
     • .htm
     • .txt
     • .doc
   • The worm will always end with one of the following suffixes:
     • .pif
     • .scr
     • .exe
     • .cmd
     • .bat
     • .zip
   • The icon displayed will look like the following:
     
     
     
     unless the worm has .exe or .scr for an extension, in which case the file will use the following icon:
     
     
10. Copies itself to Kazaa download folder as one of the following files:
    • winamp5
    • icq2004-final
    • activation_crack
    • strip-girl-2.0bdcom_patches
    • rootkitXP
    • office_crack
    • nuke2004
      
      with a file extension of:
    • .pif
    • .scr
    • .bat
    • .exe

[greka]

все! впредь буду игнорировать нашего сисадмина. Посмотрим, что хуже - сисадмин весом в 90 кг "здесь и сейчас", или какой-то вирус.

[Agregat]

А я вроде получил и уже стер

[greka]

Вирусные новости. 27 января 2004
************************************************** ****************

Червь "Novarg" вызывает новую глобальную эпидемию


1. Червь "Novarg" вызывает новую глобальную эпидемию

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового
опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела
вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все
шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя
создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная
команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Профилактика, диагностика и защита

"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18
возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с
бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно
затрудняют пользователям задачу самостоятельного выявления зараженных писем.

В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь
начинает процедуру внедрения на компьютер и дальнейшего распространения.

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента
для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной
программы при каждой последующей загрузке компьютера.

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями
HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь
проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который
может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется
backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную
машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция
организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные
компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

"Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится
реальность. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, - комментирует
Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Уже в ближайшем будущем эта проблема может означать
новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями".

...
Более подробная информация о данной вредоносной программе доступна в
Вирусной Энциклопедии Касперского.

[Мия]

А как от него избавиться? Кажется один из моих знакомых уже по дурости успел заразиться!

[Medved Kosolapiy]

у меня с утра уже наплыв! ... около 20 мейлов уже было, при том со всех домайнов от *.AM, *.ru *.com до всяких *.Net ов

[Agregat]

Сегодня удачный день. Всего 5 писем

[unknown]

Quote:

Originally Posted by Medved Kosolapiy

у меня с утра уже наплыв! ... около 20 мейлов уже было, при том со всех домайнов от *.AM, *.ru *.com до всяких *.Net ов

G@-G@....U Mya Uje Segodnya 45!~~~~

--

+ eshe Eto...

[unknown]

Компания Symantec Довольно оперативно провела анализ нового червя, появившегося недавно в сети. Помимо обычного анализа червя были выявлены довольно любопытные подробности. Так, при заражении червём устанвливается компонент shimgapi.dll (ключ HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32), который запускает прокси-сервера на портах 3127-3198, слушающий запрос на установление соединения. Также устанавливаемыый бэкдор позволяет загружать произвольные файллы на заражённую машину и запускать их. В период между 1-12 февраля нынешнего года червь запускает DoS-атаку на лучшего "друга" всех юниксоидов - сайт компании SCO (www.sco.com). Для этого с каждой заражённой машины формируется 64 GET-запроса по протоколу http (порт 80/tcp). Уязвимы для червя ОС: Win9x/ME, NT/XP/2K/2003.
Более подробный анализ доступен на сайте Symantec по этой ссылке.
Последнюю версию антивируса DrWeb 4.30a с обновлениями для лечения этого вируса можно взять здесь

[Agregat]

Сис - Администрация ГИУА уже заражена вирусами.

[acid]

Quote:

Originally Posted by Agregat

Сегодня удачный день. Всего 5 писем

Счатливый человек Мне за час столько приходит ...

[Lyoshkin]

Symantec выпустил утилиту для удаления этого вируса
скачайте здесь

[Agregat]

Quote:

Originally Posted by acid

Счатливый человек Мне за час столько приходит ...

Ну так Сур. Меньше регистрируйся на варезных сайтах