Новая зверюшка

[REM]

Специалисты компании Symantec обнаружили нового червя W32.Netsup.A@mm , распространяемого по электронной почте и поражающего компьютеры, на которых используется ОС Windows. Адреса для рассылки берутся из адресной книги поражённого компьютера. Тема сообщения обычно произвольна, а вот содержимое письма - постоянно. В нём говорится, что из-за ошибки оно не может быть доставлено, в связи с чем получателю предлагается запустить приложение message.eml.pif (размером 22016 байт).

В случае если пользователь выполняет это действие, червь копирует себя в системный каталог Windows под видом файла msnmsgs.exe и изменяет реестр, добавляя записи для автоматического самозапуска. Кроме того, червь Netsup пытается проникнуть в файлообменные сети, для чего помещает собственные копии в общедоступные папки под видом крэков и интерфейсных тем.

Специалисты компании оценивают опасность этого червя как среднюю, указывая, что все необходимые обновления антивирусных программ для защиты компьютеров уже были выпущены ранее.

Источник: http://www.symantec.com/avcenter/venc/d ... [[email protected]][email protected][/email]

 

[Mrak]

Новый опасный вирус отключает "Касперского"
--------------------------------------------------------------
В Сети появился новый опасный вирус. Вредоносная программа Plexus.a распространяется по локальным сетям и через интернет в виде вложений в зараженные электронные письма, файлообменные сети, а также через уязвимости в службах LSASS и RPC DCOM Microsoft Windows. На настоящий момент антивирусные компании получили большое число сообщений о случаях заражения этим червем.

На основании анализа текста вируса "Лаборатория Касперского" пришла к выводу, что источником его создания стали исходные коды печально известного червя Mydoom.

Чтобы сбить пользователей Сети с толку и увеличить число компьютеров-жертв, автор Plexer.a написал пять различных вариантов опасных писем. Они отличаются по формальным признакам: заголовку, текстовому содержанию и названию приложенного к сообщению файла. Неизменным остается его размер: упакованный в формате FSG файл занимает 16208 байт, распакованный - 57856.

После запуска червь копирует себя в системный каталог Windows с именем upu.exe и регистрирует данный файл в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Для определения своего присутствия в системе червь также создает уникальный идентификатор Expletus. Затем он сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты.

Помимо процедуры самораспространения, Plexer.a располагает еще двумя деструктивными функциями, представляющими значительную угрозу для инфицированного компьютера. Во-первых, червь пытается разрушить антивирусную защиту машин, защищенных «Антивирусом Касперского». Для этого он нарушает работу механизма автоматической загрузки обновлений антивирусных баз. Это производится путем подмены содержимого соответствующего файла в системной директории Windows. Не меньшую опасность для зараженного компьютера представляет троянская составляющая Plexer.a. C ее помощью вирус открывает на прослушивание порт 1250, предоставляя возможность проводить загрузку файлов на машину-жертву с их последующим запуском. Это дает злоумышленникам доступ к удаленному управлению компьютером, в частности, позволяет запускать на выполнение различные команды и загружать файлы по усмотрению автора червя.

 

[hostt]

Сегодня прочитал ))

Atak - почтовый червь, который для маскировки впадает в спячку Антивирусная компания Sophos сообщила о появлении в Интернет нового вируса Atak, который относится к категории почтовых червей. Он не слишком опасен, так как не причиняет никакого физического вреда зараженным компьютерам, но он может генерировать большие объемы спама, а это само по себе неприятно. Зато у него есть уникальная функция: он может "впадать в спячку". Причем делает он это тогда, когда, по его "мнению", его пытается обнаружить какая-нибудь антивирусная программа. Конечно, создатели вирусов всячески стараются защитить свои программы и усложнить работу специалистам по антивирусам. Но создатель червя Atak, наверное, превзошел их всех и наделил свое творение каким-то подобием искусственного интеллекта. Atak активно старается определить, предпринимает ли кто-то попытки проанализировать его код с помощью антивирусной программы. И если Atak приходит к выводу, что антивирус принялся за работу, то он наоборот свою работу прекращает и впадает в спячку. Поэтому все функциональные возможности этого червя пока остаются неизвестными. Правда, кое-что о нем все же удалось выяснить. По словам ведущего специалиста финской антивирусной компании F-Secure Микко Хиппонена (Mikko Hypponen), в коде вируса имеется текст с угрозами в адрес других известных вирусов и червей MyDoom, Bagle и Netsky. Возможно, Atak пытается удалить их с зараженного компьютера. В общем, в изобретательности вирусописателям не откажешь.

(по материалам CNET News.com)

 

[Mrak]

Опасный червь начал атаковать ПК с Windows Новый червь, заражающий компьютеры через недавно обнаруженные прорехи в безопасности Windows, начал распространяться по Сети. Об этом объявила в понедельник компания-разработчик антивирусного ПО Trend Micro. Червь ZOTOB появился вскоре после того, как Microsoft на прошлой неделе объявила об обнаружении трех новых «критических» дыр в защите своей ОС, передает Reuters. Одна из таких дыр позволяет хакерам получать полный контроль над компьютером. По словам представителей Trend Micro, червь способен поражать операционные системы Windows 95, 98, ME, NE, 2000 и XP, обеспечивая хакерам удаленный доступ к зараженным компьютерам. Однако инженеры по компьютерной безопасности в самой Microsoft заявили, что червь способен поразить лишь Windows 2000. «Пока что мы имеем информацию лишь о поражении червем систем Windows 2000», — говорит Стивен Тулуз (Stephen Toulouse), менеджер Центра безопасности Microsoft. — Вирус еще не имеет широкого распространения в интернете, но мы находимся в состоянии готовности". При заражении вирус копируется в системную папку Windows под именем BOTZOR.EXE и изменяет системные файлы зараженной системы таким образом, чтобы пользователь не смог подключиться к соответствующим сайтам для обновления своего антивирусного ПО. Также червь способен соединяться со специальным IRC-сервером, передавая хакерам удаленный доступ к пораженным системам. При этом хакеры могут заражать другие компьютеры в локальной сети либо замедлять ее работу. «Так как большинство пользователей не знают о существовании этой новой дыры в системе безопасности и еще не установили необходимую заплатку, мы ожидаем еще ряда случаев заражения вирусом WORM_ZOTOB», — сказал г-н Тулуз. В прошлый вторник Microsoft выпустила патч для уязвимостей, обнаруженных в ОС Windows и браузере Internet Explorer. Microsoft предупредила, что, используя брешь в Internet Explorer, хакеры могут перенаправлять пользователей на вредоносные интернет-страницы, а также запускать программный код, дающий им контроль над пораженным компьютером. Для защиты пользователям следует обновить свои антивирусные базы данных и установить последние патчи Microsoft.

 

[n3rgens]

W32/IRCbot.worm!MS05-039 обнаружен 16.08.2005
Работает на
http://www.microsoft.com/technet/securi ... 5-039.mspx


Installation

When the file is run the virus copies itself to the Windows System directory (e.g. C:\Windows\System32\ on Windows XP) as WINTBP.EXE. The file can be run automatically by exploiting the MS05-039 vulnerability or by a person directly executing the worm.

Registry keys are created to load the worm at startup:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "wintbp.exe" = wintbp.exe

Indications of Infection

If this worm is run on a system which has not yet been patched for the MS05-039 vulnerability, it will continually reboot.



Method of Infection

This threat scans for MS05-039 exploitable systems. When a vulnerable system is found, it uses a buffer overflow to write the worm file to that machine via a TFTP upload on port 8594. Blocking this port via McAfee Desktop Firewall or McAfee Personal Firewall will prevent infection even if the buffer overflow is not prevented.

 

[REM]

Бесплатное лечение компьютеров от вирусов*

Вылечить компьютер от проникших в него вирусов Вам поможет новая бесплатная лечебная утилита Dr.Web Cure.IT!. Скачав эту утилиту на базе сканера Dr.Web для Windows, Вы сможете быстро просканировать и при обнаружении вирусов - вылечить свой компьютер без установки антивируса Dr.Web на компьютер. Эта утилита содержит самый свежий набор дополнений вирусной базы, обновляемый дважды в час – такой рекордной частоты обновлений Вам не может предложить никакая другая антивирусная компания.

Утилита CureIT! автоматически определяет установленный язык системы и настраивает интерфейс сканера на этот язык (или на английский, если заданный язык не поддерживается этой утилитой).

Не забудте при запуске программы в меню Настройки-->Изменить настройки-->типы файлов-->поставить точку на "Все файлы"

ftp://10.0.0.3/free/drweb-cureit.exe (ftpproxy)

http://www.gtn.ru/downloads/antivir/drweb-cureit.exe (без прокси)

 

[ReFFleX]

Господа, получил masage от некой компании eBay с какимито поздравлениями, заголовок сообщения: "DESINFECTED MASAGE", ну и чё вы думаете, 95% поражено некой WIN32 HIDRA PROFESSIONAL :shock: , ну разумеется я эту тварь убил, в принципе как и 95% информации, но своим долгом считаю предупредить о том, что г-н Касперский на вторжение не отреагировал, Dr.Web Cure.IT! была поражена не меньше остальных... и не помогла... так что врубайте фильтр спама на всю и ждите сообщ. от eBay... :twisted:

 

[REM]

Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
PowerManager = %WindowsDir%\SVCHOST.EXE

Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Дрвеб его знает 100%, скорее всего ты не поставил проверять все файлы.

 

[ReFFleX]

Знать-то может и знает, но в процесах, дампе не обнаружил, хотя как оказалось приложений поражённых им запушенно было тьма, касперский в дампе нашёл, но только когда попросили, кстати первыми умерли Serv-U и IncrediMail, что не есть хорошо. Почему интересно сообщение было дезинфицировано, но тварь спокойно гуляла по системе? И кстати объём почти 300 Гб был уничтожен за сутки...поразительная скорость распространения по системе, поражены файлы всех типов без разбора, включая JPG, MIDI,DLL....и прочие, не только EXEшники. Также неизвесно не вырвалась ли зверюшка за пределы моей машинки, ftp://refflex.gtn.ru часто посещаемый...

Добавлено спустя 3 минуты 23 секунды:

P.S. Качайте спокойно, вся информация полностью заменена резервными копиями, после форматирования...(Я всё на ДВДшки новьё скидываю, так что не пропадёт)на ДВДшках вирей 100 пудов не было...

 

[Gpuxa]

Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла. ...

Вобщем его надо в сервисах дизейблить, находу его не вырубить. Веб его видит как Win32.HLLP.Jeefo.36352

Так что проверьтесь, так не замечал в принципе, но тут недавно тотал не стал запускаться, вот и решил провериться.
Кстати, если память не изменяет, то такой вирус уже был когда то. Но вот только у меня подозрения не останутся ли файлы битыми.
Ах да, заражаются только *.exe
В данный момент веб сканит, довольно внушительный списочек :0

 

[Web]

Dr.Web'ом не советую лечить, может многие файлы испортить, советую использовать специальную утилиту Jeefogui.com, предназначенную для уничтожения вирусов типа Jeefo, JeefoA. Пощите по Ftp, я многим её заливал.

 

[vrman]

Dr.Web'ом не советую лечить, может многие файлы испортить...

Это уже смотря как ты его настроишь.

 

[LKr]

По результатам свежего исследования потоков трафика настойчиво рекомендую всем проверить свои компьютеры на наличие всякой дряни...
Количество свободно качающих/передающих/атакующих вирусов и троянов в сети поражает.
Да, многим на безлимитке все равно, но качество и безопасность конечно же страдают.

ЗЫ: особо злостные действия зверушек будут пресекаться временным отключением от сети.

 

[Geos]

Хорошо бы озвучить еще и "опасные" порты, дабы ограничить фаерволом торрент-клиентов.
В этом месяце меня отключали за "ДОС атаку" - виновен был, наверно,
BitComet.

 

[SerЕga]

А можно подробнее как связан Torrent и ДОС атака?

 

[Reefer]

2 LKr просьба озвучить популярных уродов и порты.

 

[Mrak]

2 LKr просьба озвучить популярных уродов и порты.

+1

 

[n0ip]

присоединяюсь к предыдущим ораторам

 

[amazing]

А можно подробнее как связан Torrent и ДОС атака?

p2p клиенты активно работают с сокетами, что может создать проблемы.

 

[gram]

проблемы у меня или у провайдера? не приравнивать же p2p к трояну