| Автор |
Сообщение |
Mr.K
Мерзкий тип
Зарегистрирован: 17.11.2002
Сообщения: 226
Откуда: Kiev, UA
|
|
Areen
Feel the Skyline!
Зарегистрирован: 29.05.2003
Сообщения: 909
Откуда: Omsk, Ru
|
|
Tema
Junior Member
Зарегистрирован: 25.03.2003
Сообщения: 16
Откуда: Estonia
|
 27.01.2004 12:28 |
профиль цитировать |
|
этот вирус, как и много ему подобных шлет от имени тех людей кого нашел в адресной книжке на зараженном компе, я например такой вирус сегодня получил от самого себя .gif) |
|
djevis
Мак Юзер
Зарегистрирован: 16.03.2003
Сообщения: 2823
Откуда: Ижевск
|
| 27.01.2004 13:39 |
профиль цитировать |
|
Tema Нее не обязательно на зараженном! ПРосто шлет кого нашел в адресной книжке! Комп у меня был не заражен, а он слал!
_________________
MacBook C2D 2.0 |
|
Санек
Junior Member
Зарегистрирован: 25.12.2003
Сообщения: 27
Откуда: Уфа
|
|
Tema
Junior Member
Зарегистрирован: 25.03.2003
Сообщения: 16
Откуда: Estonia
|
| 27.01.2004 15:56 |
профиль цитировать |
|
djevis писал(а): Tema Нее не обязательно на зараженном! ПРосто шлет кого нашел в адресной книжке! Комп у меня был не заражен, а он слал!
быть такого не может. если комп не заражен то и слать он ничего не может... просто вирус подствляет мейлы какие ему понравились, если посмотреть в свойствах письма, то по ИП адресу можно увидеть откуда оно на самом деле пришло. |
|
Гость
|
| 27.01.2004 18:04 |
цитировать |
|
Получал и от Джевиса (аккурат перед выставкой) , сегодня получил целых 5 штук !!! от разных неизвестных адресов . Выход один - ставить антивирус , а если прорвались - удалять нахрен ...
Filimon -modding.ru- |
|
3o3o.
Member
Зарегистрирован: 03.01.2003
Сообщения: 859
Откуда: 0dessa.UA
|
| 27.01.2004 18:25 |
профиль цитировать |
|
тю, мне именно сегодня прислали.. .непонятный текст... с вложенными файлами... непонятной кодеровки.....
_________________
:: project etern1ty.. 50 % complete |
|
Turek
Junior Member
Зарегистрирован: 22.10.2003
Сообщения: 43
Откуда: Москва/Климовск
|
| 27.01.2004 21:27 |
профиль цитировать |
|
Очень может быть, что это Novarg - очередной вирь, который, попав на машину, сканирует её на наличие мыльных адресов в htm, txt и прочих текстовых файлах. Мне самому пришло несколько писем от почтовых роботов о том, что я отправил в разные уголки мира письма с вирями (видимо, вирус не только поле "to" вносит, но и "from", и я не исключаю, что у кого-то в html'ке может валяться мой адрес). Вот, что говорит по этому поводу лаборатория Касперского:
Цитата: "Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.
Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.
Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.
Профилактика, диагностика и защита
"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.
Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.
В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).
Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.
Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.
Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.
Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.
"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер — модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.
В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.
Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского.
_________________
Always Clear, Always fine |
|
ES!
HP!
Зарегистрирован: 17.12.2002
Сообщения: 1350
Откуда: Tyumen.RUS
|
| 27.01.2004 23:25 |
профиль цитировать |
|
А я седня писем двести собрал по всем ящикам там зип файлик во всех один и тотже вроде
Файлы называютс по разному, с каких адресов шлет я не посмотрел правда, но похоже вирусы рулят инетом
Будьте осторожны 
_________________
 |
|
Areen
Feel the Skyline!
Зарегистрирован: 29.05.2003
Сообщения: 909
Откуда: Omsk, Ru
|
|
Vitos
Member
Зарегистрирован: 13.04.2003
Сообщения: 420
Откуда: Dnepropetrovsk, Ukraine
|
|
ZPS
Moderator
Зарегистрирован: 28.02.2003
Сообщения: 682
Откуда: Tallinn.ee
|
| 28.01.2004 06:22 |
профиль цитировать |
|
сегодня утром выгреб из ящика около 200 писем типа
"письмо посланое вами не доставлено, тк. в нем был вирус"
проверился - комп чист.
прокси мои отрублены, почтовый сервер настроен правильно.
_________________
 . . . . . "Мы лепили любовь, вышла баба с веслом...." |
|
Скотч
Alienware suxx
Зарегистрирован: 16.06.2003
Сообщения: 4803
Откуда: Odessa, Ukraine
|
| 28.01.2004 14:32 |
профиль цитировать |
|
у нас половина рабочих мыл в контре оказались завалены..... этим же...
_________________
Dr@gOn @ forum.0day.kiev.ua -азотная смесь подаёться на все теплые места на материнке проце, и ОЗУ обязательно.... также им охлаждаеться северный и южный мост... |
|
Dwarf
Member
Зарегистрирован: 09.01.2004
Сообщения: 142
Откуда: Украина, Киев
|
| 28.01.2004 15:57 |
профиль цитировать |
|
это новый червь I-Worm.Novarg, дюже страшный  качайте обновление касперского, ета зараза запускается как дополнительный процесс эксплорера и поэтому его не видно в задачах. прописывает себя в реестре открывает порт и позволяет удаленно управлять компутеров вплоть до ВКЛ ВЫКЛ шутка а если серьезно то 300000 компов уже сдохли и продолжают сдыхать |
|
Dwarf
Member
Зарегистрирован: 09.01.2004
Сообщения: 142
Откуда: Украина, Киев
|
|
ds
Гость
|
|
Areen
Feel the Skyline!
Зарегистрирован: 29.05.2003
Сообщения: 909
Откуда: Omsk, Ru
|
|
|
