Новая зверюшка

[G1ta0]

В этом месяце меня отключали за "ДОС атаку" :) - виновен был, наверно, BitComet.

у меня биткомет на настройках по-дефолту стоит уже второй месяц, проблем не было.

 

[LKr]

2 LKr просьба озвучить популярных уродов и порты.

Что или кто понимается под уродами? :lol:

Порты разные, как и зверушки.
Названий не знаю, ибо их много разных, да и очень редко клиенты запоминают, как звали пойманного вируса/трояна.

Характерное в наше время:
1. Бомбежка кучей мелких пакетов (от 1000 шт. в минуту) какого либо сервиса. Вроде троян, перед бомбежкой получает команду с некоего irc сервера. Типичный dDoS. В первом приближении выглядит как 100Kb in/1Gb out за час. Клиент отключается до излечения.
2. Троян или adware/spyware, рассылающий инфу о компе/хозяине. Более безобиден. Соотношение где-то 5Mb in/50Mb out в час. Не отключаем, ибо 100% уверенности в том, что это именно троян достичь сложно. Таких клиентов где-то по 10-15 в час наблюдается.
3. Троян/вирус, рассылающий во все стороны спам. Ну тут все ясно...

 

[aleks]

Рекомендую порекомендовать клиентам http://www.free-av.com/ IMHO лучше Cure.IT

 

[Anonymous]

2 LKr просьба озвучить популярных уродов и порты.

Что или кто понимается под уродами? :lol: Порты разные, как и зверушки. Названий не знаю, ибо их много разных, да и очень редко клиенты запоминают, как звали пойманного вируса/трояна.

Приходят странные письма от:
1. vix(собака)gtn.ru
2. vishenka(собака)gtn.ru
3. west(собака)gtn.ru

(в среднем по 1-2 письма за 3 дня)

 

[gram]

никогда больше не пиши емейлы на форумах в таком виде, на крайний заменяй @ на (собака)

 

[Glorius]

Достаточно прочесать имена пользователей чтобы срезать все доступные емейлы. А шарится по тысячам страниц на этом форуме никто не будет - долго, да и софт нужен умный - полноценный поисковик.

 

[SerЕga]

да не долго ето от ширины канала только заисит, а умная прога она и большую часть других вариантов написания мыла поймет

 

[DronMBi]

Товаристчу с ip-адресом 10.3.3.12 настоятельно рекомендуется лечиться от троянов Acidoor и Jittar

01:43:52.573919 10.3.3.12.1309 > host-32-17.qwerty.ru.26943: . ack 68023061 win 17520 (DF)
01:43:52.615354 10.3.3.12.4432 > AClermont-Ferrand-256-1-26-112.w90-0.abo.wanadoo.fr.8940: . ack 3800 win 16546 <nop,nop,sack sack 1 {3817:3834} > (DF)

Хаб не резиновый, инет тормозит!

 

[jeefo]

Не уверен что проблема, но как поставил Firewall, каждый день наблюдаю как кто-то пытается соединиться через UDP...

Это нормально, или нет?

Добавлено спустя 2 часа 9 минут 52 секунды:

Теперь еще 10.6.11.15 и 10.6.11.17 по нетбиосу долбятся ((

 

[SerЕga]

В принципе, это нормально. Хотя возможно, что по UDP долбиться вирь. Но ты ни с этим не с NETBOIS ничего сделать не можешь, только если найти владельцев ИП и убедить, что б прекратили

 

[jeefo]

Внимание! Ваш компьютер был атакован. Тип атаки DDoS (отказ в обслуживании). Доступ к вашему компьютеру временно блокирован.

Было пару раз за день... Поставил OutPost (Снес KAH), dDos не выдает но попыток очень уж много :? (10.6.11.*)

 

[REM]

VBS.Pusia или Email-Worm.VBS.Agent.j
Вирус является исполняемым файлом, размер около 91 кб, иконка в виде сердца. Файл является самораспаковывающимся RAR архивом, который содержит скрипт для автозапуска одного из извлеченных файлов. Внутри архива содержится 5 скриптов на Basic + файл "Я люблю тебя Пусичка.txt". Скрипты примитивны, но тем не менее они зашифрованы и разбавлены кучей переводов строки. Шифровка скриптов идентична - текстовая константа с зашифрованными данными + дешифратор (xor с ключем в цикле) + команда запуска расшифрованного скрипта. Скрипт 05.vbs из состава вируса очень опасен - он осуществляет поиск файлов в цикле и при совпадении расширения файла с одним из заданных в теле скрипта (там целый список, 23 штуки - doc, xls, ppt, txt, avc, jpg, zip, rar, 7zip, mp3, avi, htm, wmv, wma, exe, iso ..) то скрипт по сути затирает файл - файл при этом станется на диске, но в результате будет иметь нулевую длинну.
Вирус рассылает себя по электронной почте, за эту операцию отвечает скрипт 4.vbs. В теле скрипта имеется 43 адреса для поля "From" письма, основная масса с сервера mail.ru, выбор адреса идет случайным образом. Выбрав адрес, зловред создает файл pusia.pkv в корне диска C, после чего ищет в системных папках папку Application Data\MRA\Avatars (принадлежащую mail.ru Agent), сканирование этой папки создается список получателей вируса (на служебный адрес mail.ru стоит фильтр). Далее ведется рассылка при помощи объекта CDO.Message через сервер smtp.mail.ru. В заголовке писька указывается "Открытка от mail.ru", в тексте сообщается, что пришла открытка и дается ссылка для ее загрузки, ведущая на pusia_card.scr - тот самый SFX архив с вирусом.


Уже 5 человек потеряли данные, обновляйте пожалуйста базы антивирусов и предохраняйтесь, делайте резервные копии, данные практически не поднять.

 

[REM]

VBS.Pusia или Email-Worm.VBS.Agent.j Вирус является исполняемым файлом, размер около 91 кб, иконка в виде сердца. Файл является самораспаковывающимся RAR архивом, который содержит скрипт для автозапуска одного из извлеченных файлов. Внутри архива содержится 5 скриптов на Basic + файл "Я люблю тебя Пусичка.txt". Скрипты примитивны, но тем не менее они зашифрованы и разбавлены кучей переводов строки. Шифровка скриптов идентична - текстовая константа с зашифрованными данными + дешифратор (xor с ключем в цикле) + команда запуска расшифрованного скрипта. Скрипт 05.vbs из состава вируса очень опасен - он осуществляет поиск файлов в цикле и при совпадении расширения файла с одним из заданных в теле скрипта (там целый список, 23 штуки - doc, xls, ppt, txt, avc, jpg, zip, rar, 7zip, mp3, avi, htm, wmv, wma, exe, iso ..) то скрипт по сути затирает файл - файл при этом станется на диске, но в результате будет иметь нулевую длинну. Вирус рассылает себя по электронной почте, за эту операцию отвечает скрипт 4.vbs. В теле скрипта имеется 43 адреса для поля "From" письма, основная масса с сервера mail.ru, выбор адреса идет случайным образом. Выбрав адрес, зловред создает файл pusia.pkv в корне диска C, после чего ищет в системных папках папку Application Data\MRA\Avatars (принадлежащую mail.ru Agent), сканирование этой папки создается список получателей вируса (на служебный адрес mail.ru стоит фильтр). Далее ведется рассылка при помощи объекта CDO.Message через сервер smtp.mail.ru. В заголовке письма указывается "Открытка от mail.ru", в тексте сообщается, что пришла открытка и дается ссылка для ее загрузки, ведущая на pusia_card.scr - тот самый SFX архив с вирусом. Уже 5 человек потеряли данные, обновляйте пожалуйста базы антивирусов и предохраняйтесь, делайте резервные копии, данные практически не поднять.

 

[ALEXIX]

Storm Worm добрался до университетов Вирус Storm Worm научился отвечать DoS-атакой по протоколу ICMP на любой компьютер, который пытается просканировать зараженную сеть и удалить вирус. Первыми пострадавшими стали на прошлой неделе западные университеты и колледжи. Они сейчас готовятся к началу учебного года и серьезно опасаются того, что с увеличением числа пользователей вирус будет распространяться еще активнее, сообщает The Register. Исследовательский образовательный центр REN-ISAC выпустил предупреждение, в котором рассказывается о новых методах работы вируса. Впрочем, там нет конкретной информации о том, какие учебные заведения уже подверглись атакам. Представители центра в основном говорят об опасности в будущем времени. Тем не менее, переоценить силу Storm Worm сложно. Если с января по май этого года компания SecureWorks обнаружила сеть из всего около 3000 зараженных компьютеров, то в июне-июле число компьютеров-зомби увеличилось до 1,7 миллиона. Ежедневно к ним присоединяется еще в среднем по 100 тысяч. С каждого зараженного компьютера расходятся электронные письма с новым вариантом червя – таким, который пока не знают антивирусные программы. В качестве приманки используется какое-нибудь информационное сообщение, например, о сильной непогоде в Европе (это и дало название вирусу). При этом Storm Worm является не вирусом как таковым, а инструментом для организации ботнетов. Хотя программа распространяется автоматически, управляться она может и вручную. Как уже сообщала "Вебпланета", эта возможность даже привела к столкновению двух группировок киберпреступников. Троян Srizbi, разработанный в России, при заражении компьютера, стал удалять своего "конкурента" - троян Storm Worm. В отместку за это Storm Worm устраивал DoS-атаки на сайт с обновлениями Srizbi. Стоит также отметить, что сообщения о новых возможностях Storm Worm из западных университетов совпали с новой волной DDOS-атак в Рунете. Правда, владельцы российских ресурсов склонны видеть причиной не распространение вредоносных кодов типа Storm Worm, а какие-то конспирологические, целенаправленные заказы.

\
очень инетересная концовка

 

[ALEXIX]

Интернет-мошенники придумывают все новые и новые способы обмана. Не так давно в Сети появился новый способ выманивания денег из доверчивых пользователей. Новый вредоносный код проявляется себя при первой перезагрузке системы, и, включив компьютер, пользователь видит предупреждающее сообщение якобы от Microsoft. В этом сообщении указывается, что на компьютере обнаружены нелицензионные программы, поэтому он был заблокирован. Далее пользователю предлагается ввести лицензионный ключ с коробки Windows или получить новый. Мошенники в данном случае рассчитывают на то, что очень не у многих установлена лицензионная ОС, и пользователь захочет получить новый ключ. Впрочем, даже если ввести настоящий лицензионный ключ, окно с предупреждением никуда не исчезает. Если же выбрать получение нового ключа, то выводятся подробные инструкции о том, как можно его узнать, используя… Яндекс-деньги, Webmoney, платный SMS или терминалы моментальной оплаты. В зависимости от модификации вируса пользователю предлагается заплатить 100, 300 или 500 рублей, после чего он якобы сразу же получит ключ для разблокирования ПК. Стоит ли говорить о том, что Microsoft не принимает деньги за оплату программного обеспечения через SMS или систему Яндекс-деньги? Одним словом, увидев такое сообщение, не стоит паниковать и отдавать деньги мошенникам. Перевод денег на указанные кошельки и номера мобильных ничего не даст – вам все равно придется удалять вирус из системы. Но лучше, конечно же, его туда не пускать, поэтому не забывайте использовать антивирусы с самыми свежими базами.

 

[LKr]

Скриншоты поганца: http://www.webpark.ru/comments.php?id=29408

 

[Ilya007]

очень интресная идея,просто гениальная)

 

[Mrak]

Служба вирусного мониторинга компании «Доктор Веб» сообщила о серьезной вирусной эпидемии, затронувшей подписчиков популярной социальной сети "ВКонтакте.Ру". Причиной эпидемии стал опасный сетевой червь, определяемый антивирусом Dr.Web как Win32.HLLW.AntiDurov. Червь рассылает с инфицированных машин другим пользователям сети "ВКонтакте.Ру" ссылку на картинку в формате jpeg, ведущую на ресурс злоумышленника в сети Интернет (http://******.misecure.com/deti.jpg). Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым червем. Будучи запущенным на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Таким образом, пользователь видит то, что ожидал увидеть, не подозревая, что стал жертвой злоумышленника. А между тем на его компьютере происходят весьма неприятные события. Скопировав себя в папку C:\Documents and Settings\*UserDir*\Application Data\Vkontakte\ под именем svc.exe, червь устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к "Вконтакте.Ру" в cookies, используемых броузером. Если пароль находится, то червь получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку. Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена): Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом! Одновременно с этим начнется удаление с диска C: всех файлов. Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных - документы, фотографии, электронные письма и многое другое. Поэтому самое лучшее действие при появление такого сообщения - немедленное выключение питания компьютера, что позволит, по крайней мере, сохранить если не все данные, то хотя бы их часть, говорят в компании.

http://info.drweb.com/show/3359?lng=ru

 

[Mrak]

Проверьте аську на наличие: Со вчерашнего вечера почти во всех аськах появился троянчег или как его еще назвать под номером 12111 (имя ICQ System) который добавляет к паролю пару символов или его ворует В гугле только пишут что появился у всех - и действия разные... Перестрахуйтесь, он есть у 99% пользователей (появился сам) и находится в оффлайн-контактах... Снесите его и смените пароль посмотри в группе general

 

[Gpuxa]

ого.. так и есть, сам появился...