![]() |
![]() | #3 |
Moderator Join Date: 09 2001 Location: South Korea, Gumi
Posts: 7,699
Blog Entries: 16 Downloads: 102 Uploads: 34
Reputation: 561 | 6 | ![]() [email protected] Discovered on: January 26, 2004 </FONT></FONT>[email protected] is a mass-mailing worm that arrives as an attachment with the file extension .bat, .cmd, .exe, .pif, .scr, or .zip. When a computer is infected, the worm will set up a backdoor into the system by opening TCP ports 3127 thru 3198. This can potentially allow an attacker to connect to the computer and use it as a proxy to gain access to its network resources. In addition, the backdoor has the ability to download and execute arbitrary files. The worm will perform a DoS starting on February 1, 2004. It also has a trigger date to stop spreading on February 12, 2004. Also Known As: W32/[email protected] [McAfee], WORM_MIMAIL.R [Trend]Type: WormInfection Length: 22,528 bytesSystems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XPSystems Not Affected: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x When [email protected] is executed it does the following:
|
![]() |
![]() | #6 |
Академик Join Date: 09 2001 Location: inside myself
Posts: 5,369
Downloads: 0 Uploads: 0
Reputation: 18 | 5 | ![]()
Вирусные новости. 27 января 2004 ****************************************************************** Червь "Novarg" вызывает новую глобальную эпидемию 1. Червь "Novarg" вызывает новую глобальную эпидемию "Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г. Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F. Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России. Профилактика, диагностика и защита "Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA. Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем. В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif). Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения. Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов. Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами. "Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению. "Опасность сращивания вирусных и спам-технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальность. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями". ... Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.
__________________ И повешенные могут качаться в неположенную сторону. /С.Е.Лец/ |
![]() |
![]() | #8 |
холостяк и точка. Join Date: 03 2002 Location: Live? Age: 38
Posts: 6,940
Downloads: 2 Uploads: 0
Reputation: 515 | 6 | ![]()
у меня с утра уже наплыв! ... около 20 мейлов уже было, при том со всех домайнов от *.AM, *.ru *.com до всяких *.Net ов
|
![]() |
![]() | #10 | |
В чём сила брат ? Join Date: 06 2003 Location: Ignotum per ignotius
Posts: 1,207
Downloads: 5 Uploads: 0
Reputation: 491 | 4 | ![]() Quote:
![]() -- + eshe Eto... | |
![]() |
![]() | #11 |
В чём сила брат ? Join Date: 06 2003 Location: Ignotum per ignotius
Posts: 1,207
Downloads: 5 Uploads: 0
Reputation: 491 | 4 | ![]()
Компания Symantec Довольно оперативно провела анализ нового червя, появившегося недавно в сети. Помимо обычного анализа червя были выявлены довольно любопытные подробности. Так, при заражении червём устанвливается компонент shimgapi.dll (ключ HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32), который запускает прокси-сервера на портах 3127-3198, слушающий запрос на установление соединения. Также устанавливаемыый бэкдор позволяет загружать произвольные файллы на заражённую машину и запускать их. В период между 1-12 февраля нынешнего года червь запускает DoS-атаку на лучшего "друга" всех юниксоидов - сайт компании SCO (www.sco.com). Для этого с каждой заражённой машины формируется 64 GET-запроса по протоколу http (порт 80/tcp). Уязвимы для червя ОС: Win9x/ME, NT/XP/2K/2003. Более подробный анализ доступен на сайте Symantec по этой ссылке. Последнюю версию антивируса DrWeb 4.30a с обновлениями для лечения этого вируса можно взять здесь |
![]() |
![]() | #14 |
Студент Join Date: 09 2002 Location: Yerevan
Posts: 385
Downloads: 0 Uploads: 0
Reputation: 12 | 4 | ![]()
Symantec выпустил утилиту для удаления этого вируса скачайте здесь |
![]() |
![]() | #15 | |
Грустно... Join Date: 08 2002 Location: Там, где всегда идут дожди Age: 38
Posts: 21,717
Downloads: 2 Uploads: 0
Reputation: 250 | 8 | ![]() Quote:
![]() | |
![]() |
Sponsored Links |