| Тема: Вирусы Страниц: 1 2 3 4 | Прочитано 9145 раз |
gyv
Гость
|
 |
Вирусы
« от 27.01.2004 в 14:02:06 » |
|
Господа и дамы Джайцы!
Чего-то сегодня разразилась эпидемия вирусов. Причем есть подозрение что заражен кто-то из наших, причем из тех кто пользует Аутглюк и хранит в его базе адреса. Или вирус таскает их с открытой странички форума. Просьба всех пройти допиг-...., т.е. вирус-контроль. Хоть чтобы самим не разносить заразу (с 9 утра пришло 34уже 35 вируса).
|
| « Изменён в : 27.01.2004 в 14:04:06 пользователем: gyv » |
 Зарегистрирован |
|
|
|
Терапевт
[Человек в чёрном]
Народный целитель. Шарлатан высшей категории.
Пол: 
Репутация: +1190
|
|
Re: Вирусы
« Ответ #1 от 27.01.2004 в 14:27:25 » |
|
2gyv:
Симптомы какие?
Письма х.з. от кого с 1 аттачем. Аттач может быть файлом с расширением pif, htm, zip (наверняка и другим). В итоге всё это оказывается одним и тем же PE-файлом, упакованным UPX. Размер кажется около 20кБ.
Если такие, то сегодня я уже видел 4 таких письма. DrWeb пока на них молчит.
|
|
Зарегистрирован |
Весна! Я уже не грею пиво! (с) В.Цой
|
|
|
oMEN
[Макся. Просто Макся.]
Небесный Всадник
И мира Вашему дому!
Репутация: +88
|
|
Re: Вирусы
« Ответ #2 от 27.01.2004 в 15:22:13 » |
|
PLS DISTRIBUTE FURTHER
Dear colleagues,
please note - new MAIL WORM virus is bombarding world's email systems.
BE EXTREMELY CAREFUL opening ATTACHMENTS.
This virus tends to send following files:
Attachment: (varies [.exe, .pif, .cmd, .scr] - often arrives in a ZIP archive) (22,528 bytes)
examples (common names, but can be random)
doc.bat
document.zip
message.zip
readme.zip
text.pif
hello.cmd
body.scr
test.htm.pif
data.txt.exe
file.scr
|
|
Зарегистрирован |
Нет людей психически здоровых, есть необследованные..
|
|
|
oMEN
[Макся. Просто Макся.]
Небесный Всадник
И мира Вашему дому!
Репутация: +88
|
|
Re: Вирусы
« Ответ #3 от 27.01.2004 в 15:23:01 » |
|
Эт его описание в двух словах.
Хм.. TrendMicro его находит
|
|
Зарегистрирован |
Нет людей психически здоровых, есть необследованные..
|
|
|
Tailor
[Гениталиссимус]
Прирожденный Джаец
Да здравствуют Розовые Слоны - Священные Коровы!
Пол:
Репутация: +664
|
|
Re: Вирусы
« Ответ #4 от 27.01.2004 в 15:28:51 » |
|
2gyv:
У меня сегодня на рабочем компутере был отловлен вирус... Убить его не смогли, а только закарантинили...
|
|
Зарегистрирован |
Даешь самую вертикальную вертикаль власти и самую управляемую мной демократию!
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #5 от 27.01.2004 в 16:11:46 » |
|
2Терапевт: Там разные - лично мне приходят только отчеты почтовика об отловленных вирусах (на текущий момент - о 66 уже). Но у некоторых провов на почтовиках не стоят антивири и некоторые джайцы получили письма, якобы отправленные другими джайцами (естественно с фигней с scr/pif/doc & company). Большинство с
{message} is infected with Exploit-MIME.gen.exe (Ц) McAffee.
Хваленый корпоративный Нортон с апдейтом от 21го - молчит хоть обзапускайся вирусами (выкинул бы эту каку если бы не корпоративная политика).
|
|
Зарегистрирован |
|
|
|
Komar
[Поведитель Шмайлов]
Псих
Смайлы рулят!
Пол:
Репутация: +303
|
|
Re: Вирусы
« Ответ #6 от 27.01.2004 в 16:12:40 » |
|
Сегодня с мыла SatanClaw'а получил червяку в аттаче body.rar. Кодировки не понял (ла-а-амер!), вот, полюбуйтесь:
Кто хочет - могу выслать образец 
|
| « Изменён в : 27.01.2004 в 16:20:12 пользователем: Комар » |
Зарегистрирован |
Кто с чем к нам зачем тот от того и того!
|
|
|
Терапевт
[Человек в чёрном]
Народный целитель. Шарлатан высшей категории.
Пол:
Репутация: +1190
|
|
Re: Вирусы
« Ответ #7 от 27.01.2004 в 16:34:47 » |
|
2gyv:
Тело вируса уже не приходит.
Приходят только уведомления о посланом в мой адрес вирусе.
Found the W32/Mydoom@MM virus !!!
|
|
Зарегистрирован |
Весна! Я уже не грею пиво! (с) В.Цой
|
|
|
Мелкий Бес
[Я все еще думаю]
Прирожденный Джаец
Радиостанция "Глас из скита"
Пол:
Репутация: +172
|
|
Re: Вирусы
« Ответ #8 от 27.01.2004 в 16:44:31 » |
|
Хех. Мне пришло уже два. Хмм...
|
|
Зарегистрирован |
Ушел из мира. Писать на мыло.
|
|
|
Tailor
[Гениталиссимус]
Прирожденный Джаец
Да здравствуют Розовые Слоны - Священные Коровы!
Пол:
Репутация: +664
|
|
Re: Вирусы
« Ответ #9 от 27.01.2004 в 17:01:14 » |
|
2Мелкий Бес:
Quote:| Мне пришло уже два. Хмм... |
|
Ну, царям-то всего больше положено, в том числе и вирусов... 
|
|
Зарегистрирован |
Даешь самую вертикальную вертикаль власти и самую управляемую мной демократию!
|
|
|
Старик Ксинменг
Гость
|
|
Re: Вирусы
« Ответ #10 от 27.01.2004 в 17:44:27 » |
|
Мне сегодня пришло письмо с какого-то s**(не помню)**@yandex.ru c аттачем в 20 кб. Кодировка не понятная. Удалил прямо на серваке.
|
| « Изменён в : 27.01.2004 в 17:45:12 пользователем: Bei_Xinmeng » |
Зарегистрирован |
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #11 от 27.01.2004 в 20:25:56 » |
|
2Komar: Мне тоже пришло такое с @inbox.ru, но тело - пустое и в аттаче body.zip в 26 байт (заголовок архива only). Источник не запомнил - смахнул, но это точно не мой почтовик развлекался - он письма с вирусом целиком дропает и только злорадствует в почту "отправителю" и получателю.
А тему я начал к тому чтобы каждый обновил у себя базы и просканировал свой комп дабы не стать распространителем. Для не имеющих антивируса рекомендую натянуть РТИ нумер 2 на момед 
|
|
Зарегистрирован |
|
|
|
Терапевт
[Человек в чёрном]
Народный целитель. Шарлатан высшей категории.
Пол:
Репутация: +1190
|
|
Re: Вирусы
« Ответ #12 от 27.01.2004 в 20:35:29 » |
|
2gyv:
Quote:| Для не имеющих антивируса рекомендую натянуть РТИ нумер 2 на момед |
|
Хотел бы я посмотреть на человека, который будет это проделывать, например, с "классическим" Курьером.
|
|
Зарегистрирован |
Весна! Я уже не грею пиво! (с) В.Цой
|
|
|
sd
[Сам себе программёр]
Прирожденный Джаец
Пол:
Репутация: +65
|
|
Re: Вирусы
« Ответ #13 от 27.01.2004 в 22:20:51 » |
|
Я подписан на рассылку от kaspersky anti-virus и вот что мне пришло
1. Червь "Novarg" вызывает новую глобальную эпидемию
"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового
опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего
за несколько часов существования данная вредоносная программа успела
вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по
всему миру. Этот инцидент является крупнейшим в этом году и имеет все
шансы побить рекорды распространения в 2003 г.
Подобный взрыв активности вредоносной программы однозначно указывает
на серьезную подготовку вирусописателей. Подготовка включала в себя
создание распределенной сети зараженных компьютеров. При достижении
критического числа машин в эту сеть была отправлена централизованная
команда рассылки "Novarg". Такая технология уже была применена ранее в
почтовом черве Sobig.F.
Подробный анализ географии распространения позволяет говорить, что
"Novarg" был создан в России.
Профилактика, диагностика и защита
"Novarg" распространяется по интернету двумя способами: через
электронную почту и файлообменные сети KaZaA.
Зараженные электронные письма имеют произвольный фальсифицированный
адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18
возможных названий и 5 вариантов расширений вложенных файлов. Более
того, с определенной вероятностью червь распространяется в письмах с
бессмысленным набором случайных символов в теме письма, тексте письма и
имени вложения. Подобная неустойчивость внешних признаков значительно
затрудняют пользователям задачу самостоятельного выявления зараженных
писем.
В сети KaZaA "Novarg" присутствует под различными именами (например
winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).
Если пользователь имел неосторожность запустить зараженный файл,
присланный по электронной почте или загруженный из сети KaZaA, то червь
начинает процедуру внедрения на компьютер и дальнейшего распространения.
Сразу же после запуска "Novarg" открывает текстовый редактор Notepad
и показывает произвольный набор символов.
Одновременно он создает в директории Windows два файла под именами
TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента
для удаленного управления компьютером) и регистрирует их в ключе
автозапуска системного реестра для обеспечения активации вредоносной
программы при каждой последующей загрузке компьютера.
Затем "Novarg" начинает процедуру дальнейшего распространения. Для
рассылки по электронной почте он сканирует диск (файлы с расширениями
HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца
компьютера рассылает по ним зараженные письма. Кроме того, червь
проверяет факт подключения компьютера к сети KaZaA и копирует себя в
публичный каталог обмена файлами.
"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь
устанавливает на зараженный компьютер прокси-сервер - модуль, который
может позднее использоваться злоумышленниками для рассылки спама или
новых версий вредоносной программы. Во-вторых, на компьютер внедряется
backdoor-программа (утилита несанкционированного удаленного управления),
которая позволяет вирусописателям полностью контролировать зараженную
машину. С ее помощью можно похищать, удалять, изменять данные,
устанавливать программы и др. В-третьих, в "Novarg" заложена функция
организации DoS-атаки на сайт "www.sco.com". Функция активна в период с
1 февраля по 12 февраля 2004 года, в течение которого все зараженные
компьютеры будут посылать запросы на данный веб-сайт, что может привести
к его отключению.
"Опасность сращивания вирусных и спам-технологий и формирования
объединенной, мотивированной сети кибер-преступников становится
реальность. За первые два дня этой недели мы обнаружили сразу две
вредоносные программы, подтвердившие эту тенденцию, - комментирует
Евгений Касперский, руководитель антивирусных исследований "Лаборатории
Касперского", - Уже в ближайшем будущем эта проблема может означать
новый этап в компьютерной вирусологии, который ознаменуется еще более
серьезными и частыми эпидемиями".
Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса
КасперскогоR.
Этот? 
|
|
Зарегистрирован |
|
|
|
zhrugr
[консультант по трубам]
Полный псих
...проглочу, проглочу - не помилую!
Пол:
Репутация: +34
|
|
Re: Вирусы
« Ответ #14 от 28.01.2004 в 00:04:11 » |
|
мне сЁдня что-то пришло на левой кодировке от сержа псг
незнаю что
36 Кб с аттачем
имя не посмотрел
на сервере и удалил
тов. археолог тому свидетель
|
| « Изменён в : 28.01.2004 в 00:14:02 пользователем: zhrugr » |
Зарегистрирован |
|
|
|
Lupus Tambovis
[Наш товарищ]
Убиваю принцесс, спасаю драконов
Пол:
Репутация: +252
|
|
Re: Вирусы
« Ответ #15 от 28.01.2004 в 00:08:44 » |
|
мне весь bulk mail забило такими "посылками"
я их просто не глядя стираю, если письмо от незнакомого человека
|
|
Зарегистрирован |
Deprives of our lives push us to war
|
|
|
Lupus Tambovis
[Наш товарищ]
Убиваю принцесс, спасаю драконов
Пол:
Репутация: +252
|
|
Re: Вирусы
« Ответ #16 от 28.01.2004 в 01:19:01 » |
|
я с сервера проверяю письма  аутглюком не пользуюсь из принципа
|
|
Зарегистрирован |
Deprives of our lives push us to war
|
|
|
sd
[Сам себе программёр]
Прирожденный Джаец
Пол:
Репутация: +65
|
|
Re: Вирусы
« Ответ #17 от 28.01.2004 в 01:40:36 » |
|
Попался гад... (см. приклеплённый файл)
|
|
Зарегистрирован |
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #18 от 28.01.2004 в 09:18:18 » |
|
Один из источников заражения подключен к Neolink-Izhevsk (домен Neolink-Izhevsk.ttknn.net).
ЗЫ. Не перепутайте - taskmon, а не taskman.exe
|
|
Зарегистрирован |
|
|
|
Serj_PSG
[Serj_PSG]
Прирожденный Джаец
Когда-то я любил сей форум
Репутация: +612
|
|
Re: Вирусы
« Ответ #19 от 28.01.2004 в 09:50:15 » |
|
Я никому никаких писем не писал уже больше месяца. Если чего приходит --- удаляйте. Я только приватом пользуюсь в последнее время: мне оутлук и винду похоже надо переставить, а я на это забил... Лениво возиться.
|
|
Зарегистрирован |
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #20 от 28.01.2004 в 10:45:34 » |
|
Я тооормоз.
c:\windows\taskmon.exe из дистрибутива 98se RUS весит 28.672 байта и имеет время модификации 5-5-99 22:22. Это НЕ вирус. В 2к его нет - там может быть или вирус или ошметок 98х, поверх которых ставили. В других версиях не знаю - не имеем-с.
|
|
Зарегистрирован |
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #21 от 28.01.2004 в 10:48:21 » |
|
Да, еще упоминание - не пользуйтесь казой для выкачки программ - когда искал что-то, то 14 из 15 выкачаных программ оказались вирусами, доблестно отловленными авепой. Если видите у человека несколько программ в расшаренной папке, имеющих одинаковый размер - знайте, что он нахватал вирусов и радостно их раздает. Это не лечится.
|
|
Зарегистрирован |
|
|
|
Lupus Tambovis
[Наш товарищ]
Убиваю принцесс, спасаю драконов
Пол:
Репутация: +252
|
|
Re: Вирусы
« Ответ #22 от 28.01.2004 в 11:35:56 » |
|
каза морально устарела к тому же там нереально найти что-либо путное, все уже давно перешли на нормальные peer2peer типа eMule
|
|
Зарегистрирован |
Deprives of our lives push us to war
|
|
|
SatanClaws
[Воскресший демон-хранитель]
Прирожденный Джаец
Я? верю? в Пакоса?
Пол: 
Репутация: +191
|
|
Re: Вирусы
« Ответ #23 от 28.01.2004 в 12:31:42 » |
|
2ALL: писем в последнее время не отсылал. Принял к сведению, начинаю общение через приват/аську.
|
|
Зарегистрирован |
как-нить в другой раз
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #24 от 28.01.2004 в 13:04:04 » |
|
2Lupus Tambovis: При моих скоростях я получу нормальный рейтинг в осломуле лет через 200. Так что с диалапом туда соваться бесполезно. А в казе я кое-что находил (парвда, фильмы/исошки оттуда не качаю - скорость-с).
|
|
Зарегистрирован |
|
|
|
Viking
[Серверный Воин]
Хм...
Пол:
Репутация: +220
|
|
Re: Вирусы
« Ответ #25 от 28.01.2004 в 13:08:58 » |
|
К меня пока 5 писем с вирями. Ни одного от наших (зато одно - от администрации почтового ящика ).
|
|
Зарегистрирован |
|
|
|
Терапевт
[Человек в чёрном]
Народный целитель. Шарлатан высшей категории.
Пол:
Репутация: +1190
|
|
Re: Вирусы
« Ответ #26 от 28.01.2004 в 15:56:11 » |
|
2gyv:
Quote:| c:\windows\taskmon.exe из дистрибутива 98se RUS весит 28.672 байта и имеет время модификации 5-5-99 22:22. Это НЕ вирус. В 2к его нет - там может быть или вирус или ошметок 98х, поверх которых ставили. |
|
Невелика потеря. Без него Win98 даже лучше работает. (на слабых машинах)
|
|
Зарегистрирован |
Весна! Я уже не грею пиво! (с) В.Цой
|
|
|
Komar
[Поведитель Шмайлов]
Псих
Смайлы рулят!
Пол:
Репутация: +303
|
|
Re: Вирусы
« Ответ #27 от 28.01.2004 в 18:42:51 » |
|
Итак, дамы и господа, сэры и... э... сЭруньи, поздравляем всех с начавшейся эпедемией! Ура! 
|
|
Зарегистрирован |
Кто с чем к нам зачем тот от того и того!
|
|
|
Lupus Tambovis
[Наш товарищ]
Убиваю принцесс, спасаю драконов
Пол:
Репутация: +252
|
|
Re: Вирусы
« Ответ #28 от 28.01.2004 в 20:20:17 » |
|
2gyv:
а там рейтинг не нужен, кол-во источников определяется не шириной канала, а длительностью подключки и удаленностью сервера
|
|
Зарегистрирован |
Deprives of our lives push us to war
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #29 от 28.01.2004 в 20:53:28 » |
|
2Lupus Tambovis: Опять же на диалапе длительность будет не очень большой. Учитывая каКчество линий и прямым назначением телефона. А рейтинг в казе определяется по тому сколько с тебя взяли (можно ограничивать мин.рейтинг подключившихся). Про мула - не знаю (но какой-то рейтинг тоже есть. По крайней мере мне заявлял low еще и из-за огнестенки).
Хм.... получается что я защищаю казу, хотя сам в нее не вылезал очень долго. Хотя к данной теме это не очень большое отношение имеет, но от вирусов каза получает почему-то больше всего.
|
| « Изменён в : 28.01.2004 в 20:56:36 пользователем: gyv » |
Зарегистрирован |
|
|
|
Lupus Tambovis
[Наш товарищ]
Убиваю принцесс, спасаю драконов
Пол:
Репутация: +252
|
|
Re: Вирусы
« Ответ #30 от 28.01.2004 в 21:05:27 » |
|
2gyv:
я как раз про мула говорил
там тебе не рейтинг заявляли, а приоритетность закачки файла
|
|
Зарегистрирован |
Deprives of our lives push us to war
|
|
|
zhrugr
[консультант по трубам]
Полный псих
...проглочу, проглочу - не помилую!
Пол:
Репутация: +34
|
|
Re: Вирусы
« Ответ #31 от 29.01.2004 в 01:31:42 » |
|
2Viking:
таже ботва от
mail delivery system
|
|
Зарегистрирован |
|
|
|
sd
[Сам себе программёр]
Прирожденный Джаец
Пол:
Репутация: +65
|
|
Re: Вирусы
« Ответ #32 от 29.01.2004 в 02:23:04 » |
|
Опять от Касперского:
Бесплатная утилита для лечения "Novarg" ("Mydoom")
В связи с многочисленными случаями заражения сетевым червем "Novarg"
("Mydoom"), "Лаборатория Касперского" разработала бесплатную утилиту для
обнаружения и удаления данной вредоносной программы.
Утилита CLRAV производит поиск и нейтрализацию червя в оперативной
памяти и жестком диске зараженного компьютера, а также восстанавливает
оригинальное содержимое системного реестра Windows.
Помимо "Novarg" ("Mydoom") данная утилита эффективно борется с
другими вредоносными программами, в том числе "Klez", "Lentin",
"Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV будет
особенно полезен пользователям других антивирусных программ, которые
могут некорректно обнаруживать и удалять "Novarg".
При запуске данной утилиты "Лаборатория Касперского" рекомендует
закрыть все активные приложения. По окончании ее работы необходимо
перезагрузить компьютер и запустить антивирусный сканер для
полномасштабной проверки компьютера.
Вы можете загрузить утилиту CLRAV по адресу:
ftp://ftp.kaspersky.com/utils/clrav.zip
Качаем для профилактики
|
|
Зарегистрирован |
|
|
|
COBRA
[Штык-перо]
Мы лучше, чем на самом деле...
Пол:
Репутация: +702
|
|
Re: Вирусы
« Ответ #33 от 30.01.2004 в 12:02:10 » |
|
2sd: Спасибо.
Я отловил эту заразу у себя - Крашер намекнул, чтоб я поискал. Выяснилось, что файлы вируса очутились у меня 27 января... Мда.
|
|
Зарегистрирован |
Устал я на месте кружить,
Чужим потакая рекордам.
Я буду внимательно жить,
И каждый мой шаг будет твёрдым!
|
|
|
sd
[Сам себе программёр]
Прирожденный Джаец
Пол:
Репутация: +65
|
|
Re: Вирусы
« Ответ #34 от 30.01.2004 в 19:15:01 » |
|
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении новой версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".
На данный момент уже поступили сообщения о случаях заражения этой вредоносной программой. "Лаборатория Касперского" допускает, что для распространения "Mydoom.B" были использованы компьютеры, зараженные предыдущей версией червя (на данный момент их число достигает 600 000 единиц). Возможно, они получили централизованную команду начать рассылку "Mydoom.B". По этой причине не исключено, что в ближайшие часы начнется новая вирусная эпидемия, по масштабам многократно превосходящая "Mydoom.A".
Новая версия червя содержит минимум технологических отличий. Она также распространяется по электронной почте и файлообменной сети KaZaA. При e-mail рассылке используется другой набор текстовых строк для создания тела письма. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing personal, sorry". "Mydoom.B" в период с 1 по 12 февраля проводит DDoS-атаку сразу на два веб-сайта: www.sco.com и www.microsoft.com.
Кроме того, червь модифицирует операционную систему таким образом, что пользователь зараженного компьютера не в состоянии соединиться с сайтами многих антивирусных компаний, новостными лентами, различными разделами сайта Microsoft и загружать данные из баннерных сетей.
Защита от "Mydoom.B" уже добавлена в базу данных Антивируса Касперского®.
|
|
Зарегистрирован |
|
|
|
VVA
[Путин. Просто Путин.]
Царь всея Руси! :)
Пол:
Репутация: +520
|
|
Re: Вирусы
« Ответ #35 от 05.02.2004 в 12:49:41 » |
|
Дня три назад у меня начали глючить Винды. Например, мой любимый JA2 начал вываливаться в синий экран. И не только Ja2, пасьянс косынка с таким же успехом выходил в синий экран. Правда, без перезагрузки, в отличие от того же ДЖА.
Долго ли коротко ли, но система грохнулась.
Вот поставил ХРюшу, вместо 98. Полез было на наш ftp: качнуть Аутпост... ага, пока я шарился по фтипишнику произошол сбой в системе, вызванный "ошибкой" процедур RPC.... Опаньки, сделать ничего нельзя и система перезагружается...
Предупреждал же бывший компаньон, что по нашей сетке вирусы ходят... но не так же быстро. Хака у нас нет, ибо сеть закрытая. А Борисыч отслеживает все программы, запущенные пользователями сети. И в случае запуска или использования хакерских прог, пользователью решившемуся на такое деяние, админ посылает сообщение в ультимативной форме - отказ в обслуживании и отключение от сетки, в случае рецидива. Так что нетути у нас хакеров! Вот вирусов - хоть ж...й ешь. И расшаренные ресурсы есть... ага, с полным доступом.
Короче, после перезагрузки, вызванной "ошибкой" проце.... и т.д. переустановил систему. Перед тем как втыкать сетевой кабель в розетку, установил Аутпост.
Сейчас пытаюсь его настроить.
Вопрос: какие порты можно закрывать, а какие надо оставить открытыми.
Сори коли немного не в той теме, но ежели кто сочтёт уместным отвечать в ветке про Аутпост... я её так же читаю.
Кстати, версия Аутпоста 1.0 - да старенький, но к новому у меня нет крякалки.
|
|
Зарегистрирован |
Не разочаровывается тот, кто ничего не ждёт.
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #36 от 05.02.2004 в 15:03:48 » |
|
2VVA: Можешь вместо аутпоста включить встроенный файр (галочка "Защитить мое соединение"). Дома им пользуюсь, а на работе оно и не надо (там вся сетка защищена). На выход оставляешь все открытыми, а на вход(для установки соединения) - закрываешь (самый простой случай не мудрствуя с ftp).
|
|
Зарегистрирован |
|
|
|
VVA
[Путин. Просто Путин.]
Царь всея Руси! :)
Пол:
Репутация: +520
|
|
Re: Вирусы
« Ответ #37 от 05.02.2004 в 15:12:16 » |
|
2gyv:
Юра, у нас не всё так просто.
Чтобы подключить пользователя к инету, сервак должен пинговать машину пользователя и получать отклик. Если это невозможно - происходит отключение от инета, при том моментальное (1-3 секунды и до свидания). Приходится по новой заходить на страницу "включения инета".
В аутпосте можно ввести доверенный адрес ДНС-сервера/.
|
| « Изменён в : 05.02.2004 в 15:13:52 пользователем: VVA » |
Зарегистрирован |
Не разочаровывается тот, кто ничего не ждёт.
|
|
|
VVA
[Путин. Просто Путин.]
Царь всея Руси! :)
Пол:
Репутация: +520
|
|
Re: Вирусы
« Ответ #38 от 05.02.2004 в 15:40:11 » |
|
И ещё там какая-то заморочка с МАКадресами сетевых карт. Т.е. как только кто-то решит воспользоваться чужим МАК-адресом, для этого потребуется перезагрузка. А в это время сервер не будет его пинговать, в результате чего и отключит.
В итоге, можно обперезагружаться с нулевым результатом.
|
|
Зарегистрирован |
Не разочаровывается тот, кто ничего не ждёт.
|
|
|
Терапевт
[Человек в чёрном]
Народный целитель. Шарлатан высшей категории.
Пол:
Репутация: +1190
|
|
Re: Вирусы
« Ответ #39 от 05.02.2004 в 22:20:10 » |
|
2VVA:
Quote:| Чтобы подключить пользователя к инету, сервак должен пинговать машину пользователя и получать отклик. |
|
Именно пинговать?
Впринципе, тебе будет достаточно попользоваться Outpost'ом в режиме обучения, чтобы разрешить работу только нужных приложений.
За пингование машин отвечает протокол ICMP. По умолчанию в Outpost'е такая возможность вроде бы разрешена. Если нет, посмотри Системные Параметры.
Quote:| И ещё там какая-то заморочка с МАКадресами сетевых карт. Т.е. как только кто-то решит воспользоваться чужим МАК-адресом, для этого потребуется перезагрузка. |
|
Чужим МАК-адресом воспользоваться проблематично, т.к. он прошит в сетевой карте. Может ты имеешь ввиду IP-адрес?
|
|
Зарегистрирован |
Весна! Я уже не грею пиво! (с) В.Цой
|
|
|
VVA
[Путин. Просто Путин.]
Царь всея Руси! :)
Пол:
Репутация: +520
|
|
Re: Вирусы
« Ответ #40 от 06.02.2004 в 00:58:26 » |
|
2Терапевт:
Quote:| За пингование машин отвечает протокол ICMP. |
|
Совершенно верно! Речь идёт о ICMP traffic"е, входящем/исходящим с моей машины. И тачка именно пингуется. Я эту проблему решил: в "доверенные адреса" ввёл адрес шлюза. У нас в сети, он же адрес DNS сервера. Всё работает без проблем.
Единственное что беспокоит - открытые порты. Это не есть хорошо, поскольку некоторые из них не помешало бы закрыть. И оставить штук 6-8 для эксплорера/мозилы.
Quote: Чужим МАК-адресом воспользоваться проблематично, т.к. он прошит в сетевой карте. Может ты имеешь ввиду IP-адрес?
|
|
В нашей сети, идентификация пользователей осуществляется как по МАК-адресу сетевой карты, так и по IP-адресу.
Сушествуют хитрющие программулины, умеющие не только считать МАКадрес с чужой сетевой карты, но ещё и запустить машину в сеть под чужим МАК-адресом. И таким образом занять IP-адрес того пользователя, чьим Мак-адресом воспользовались.
Об этом фокусе, Борисычу рассказал админ - владелец сетки из соседнего микрорайона.
После чего мой бывший компаньон разработал ряд мероприятий, делающим невозможным подобный фортель в его сети.
Одно из таких мероприятий - пингование тачек сервером.
Я точно не знаю как там это делается. Знаю только, что для задействования чужого МАК-адреса требуется перезагрузка машины. Как только это происходит - машина жулика перестаёт пинговаться. И в итоге отключается. А для завершения процесса занятия чужого IP (при подстановке МАКадреса), помимо перезагрузки машины нужна ещё связь с сервером (при том мгновенная, задержка хотя бы в пол сеунды вызывает потерю связи с сервером и разрыв соединения), которая теряется вследствие перезагрузки системы. Вроде так - точнее не скажу.
Дальнейших технических подробностей не знаю. Могу сказать лишь одно, что в нашей сетке перегружаться и пыжиться можно до опупения, но занять чужой IP подменив МАК-адрес сетевой карты - не реально!
|
| « Изменён в : 06.02.2004 в 00:04:34 пользователем: VVA » |
Зарегистрирован |
Не разочаровывается тот, кто ничего не ждёт.
|
|
|
Терапевт
[Человек в чёрном]
Народный целитель. Шарлатан высшей категории.
Пол:
Репутация: +1190
|
|
Re: Вирусы
« Ответ #41 от 06.02.2004 в 21:16:57 » |
|
2VVA:
Quote:| Единственное что беспокоит - открытые порты. Это не есть хорошо, поскольку некоторые из них не помешало бы закрыть. И оставить штук 6-8 для эксплорера/мозилы. |
|
В общем случае можно оставить открытыми на вход порты где-то от 1000 до 4000. А на выход открытыми можешь оставить все.
Может кто-то меня поправит или дополнит.
|
|
Зарегистрирован |
Весна! Я уже не грею пиво! (с) В.Цой
|
|
|
VVA
[Путин. Просто Путин.]
Царь всея Руси! :)
Пол:
Репутация: +520
|
|
Re: Вирусы
« Ответ #42 от 06.02.2004 в 22:06:34 » |
|
2Терапевт:
Паша, спасибо!
|
|
Зарегистрирован |
Не разочаровывается тот, кто ничего не ждёт.
|
|
|
Twiser
Гость
|
|
Re: Вирусы
« Ответ #43 от 11.02.2004 в 05:31:52 » |
|
2VVA:
Кстати, перезагрузка у тебя происходила не просто так, а от Worm.Blast. Вирь такой. Лечится элементарно, щас его уже кажись все антивири лечат. Насчет аутпоста не подскажу - не юзаю ни один файрвол, два вируса были очень давно. если не ошибаюсь, то по ссылке http://sigin.fatal.ru/virus.html можно найти, как защититься. Но он поражает только винды на НТ. 98 нечего опасаться. Для защиты нуна качать патч с Микрософта. Удачи в защите!
А на мои мэйлы приходит либо спам (на провайдерский. Никакой защиты там нет.. ), либо рассылки (на mail.ru). Rambler не получает практически ничего . Но базы на всякий случай сегодня обновлю...
|
|
Зарегистрирован |
|
|
|
sd
[Сам себе программёр]
Прирожденный Джаец
Пол:
Репутация: +65
|
|
Re: Вирусы
« Ответ #44 от 11.02.2004 в 06:23:03 » |
|
VVA:
Twiser прав, вот об этом вирусе поподробней...
http://www.kaspersky.ru/news.html?id=1319733
Советую установить заплатку для windows.
|
| « Изменён в : 11.02.2004 в 06:23:27 пользователем: sd » |
Зарегистрирован |
|
|
|
VVA
[Путин. Просто Путин.]
Царь всея Руси! :)
Пол:
Репутация: +520
|
|
Re: Вирусы
« Ответ #45 от 11.02.2004 в 07:56:54 » |
|
2sd:
2Twiser:
Я уже справился с этой напастью.
Достал из закромов родины стааарую досовскую дискету, с Новелевским Fdisk'ом.
Эфдиск МБР, формат с:, старый добрый виндовз 98, Доктор Веб и Аутпост. А ХРюшу послал...
Пока живой.
Но за отклики ваши, всё равно спасибо! Ведь рано или поздно, на ХРюшу переходить прийдётся.
|
|
Зарегистрирован |
Не разочаровывается тот, кто ничего не ждёт.
|
|
|
Twiser
Гость
|
|
Re: Вирусы
« Ответ #46 от 11.02.2004 в 10:46:31 » |
|
2VVA:
ой да не за шо. Мы шо? нэ луды шо ли?
Но на Икспишку переходить придется. Недавно видел игрульку, которая принципально не поддерживает 98.... В скором времени наверное все игры так будут.
|
|
Зарегистрирован |
|
|
|
sd
[Сам себе программёр]
Прирожденный Джаец
Пол:
Репутация: +65
|
|
Re: Вирусы
« Ответ #47 от 11.02.2004 в 11:10:34 » |
|
Новый ход автора "Mydoom": червь "Doomjuice" заметает следы и угрожает Microsoft
"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового
опасного интернет-червя "Doomjuice". Обнаруженный экспертами компании 9
февраля 2004 года вредоносный код на настоящий момент успел заразить
более 100 000 компьютеров по всему миру, и темпы его распространения
продолжают нарастать. По сведениям специалистов "Лаборатории
Касперского", "Doomjuice" написан автором наиболее разрушительного
вируса современности - "Mydoom", - и предназначен для сокрытия
обличающих его улик. Помимо этого, новый интернет-червь позволяет
организовать масштабную атаку на веб-сайт компании Microsoft. Для
осуществления этих целей используются компьютеры, зараженные "Mydoom.a".
Интенсивный рост числа зараженных "Doomjuice" пользовательских машин
объясняется механизмом саморазмножения червя. Он распространяется по
глобальным сетям, используя компьютеры, уже зараженные одной из версий
червя "I-Worm.Mydoom". Проникновение в компьютер производится через порт
TCP 3127, открываемый троянской компонентой "Mydoom" для приема
удаленных команд. Если зараженный компьютер отвечает на запрос червя, то
"Doomjuice" создает соединение и пересылает свою копию. В свою очередь,
установленная "Mydoom" троянская программа принимает данный файл и
запускает его на исполнение.
Запустившись, червь копирует себя в системный каталог Windows с
именем "INTRENAT.EXE", и регистрирует данный файл в ключе автозапуска
системного реестра для обеспечения активации вредоносной программы при
каждой последующей загрузке компьютера. Затем "Doomjuice" начинает
выполнение основной функции, заложенной его автором. Он извлекает из
себя файл с именем "SYNC-SRC-1.00.TBZ" и копирует его в корневой
каталог, каталог Windows, системный каталог Windows, а также в
пользовательские каталоги Documents and Settings. Данный файл
представляет собой архив TAR, содержащий полный исходный код
'"-Worm.Mydoom.a".
Цель описанной процедуры - распространить оригиналы "Mydoom.a" на
как можно большее число компьютеров. Благодаря этому станет невозможно
конкретного создателя самого опасного вируса современности. Ведь в
случае, когда исходные образцы кода "Mydoom.a" размещены на жестких
дисках десятков тысяч компьютеров по всему миру, доказать авторство
определенного лица становится фактически невозможно.
Кроме того, в "Doomjuice" встроена функция DoS-атаки на сайт
www.microsoft.com. До 12 февраля 2004 года она реализуется в "легком"
режиме: червь отсылает на 80 порт данного сайта один запрос GET,
повторяя его через произвольное время. Однако, начиная с указанной даты,
DoS-атака начнется в полную мощь, без перерывов. Учитывая огромный
массив зараженных "Mydoom" компьютеров, дальнейшее распространение
"Doomjuice" способно создать реальную угрозу бесперебойному
функционированию интернет-ресурса ведущего производителя программного
обеспечения.
'Помимо стремления запутать следствие в отношении выявления лиц,
причастных к созданию "Mydoom", массовое распространение оригинальных
текстов вируса может привести к возникновению мощной волны новых версий
этого зловредного кода. Располагая исходником "Mydoom.a", любой человек,
знакомый с принципами программирования, сможет создать клон этого
вируса. Поэтому вполне возможно, что в ближайшее время интернет ожидает
массированная бомбардировка репликантами "Mydoom", - сказал Евгений
Касперский, руководитель антивирусных исследований "Лаборатории
Касперского".
|
|
Зарегистрирован |
|
|
|
gyv
Гость
|
|
Re: Вирусы
« Ответ #48 от 11.02.2004 в 12:01:17 » |
|
INTRENAT.EXE - теперь все пользователи удалят у себя индикатор раскладки клавиатуры.
Настоящий internat в Win2k (возможно, XP) лежит в system32, а в 9x - в system. В других каталогах можно смело удалять.
|
|
Зарегистрирован |
|
|
|
sd
[Сам себе программёр]
Прирожденный Джаец
Пол:
Репутация: +65
|
|
Re: Вирусы
« Ответ #49 от 12.02.2004 в 00:16:43 » |
|
Эпопея Doomjuice продолжаетсяљ- версия "b" усугубляет положение
Microsoft
"Лаборатория Касперского", ведущий российский
разработчик систем защиты от вирусов, хакерских атак и спама,
сообщает о появлении новой версии интернет-червя
"Doomjuice" - "Doomjuice.b". Принцип
распространения данной вредоносной программы - тот же,
что использовался ее предшественником, обнаруженным 9 февраля:
http://www.kaspersky.ru/news.html?id=145604728. Червь производит
сканирование адресного пространства интернета в поисках
компьютеров, зараженных сетевыми червями "Mydoom.a" или
"Mydoom.b". Установив соединение с пораженной машиной
через открытый "Mydoom" порт 3127, "Doomjuice.b"
пересылает на нее свою копию, а троянская компонента
"Mydoom" запускает полученный файл.
В то же время, функциональное предназначение
"Doomjuice.b" сосредоточено исключительно на DoS-атаке
веб-сайта компании Microsoft, www.microsoft.com. Скопировав себя при
запуске в системный каталог Windows под именем
"REGEDIT.EXE", и зарегистрировав данный файл
в ключе автозапуска системного реестра, червь проверяет системную
дату. В случае, если текущая дата находится в промежутке между
8 и 12 числом месяца, - функция DoS-атаки
не запускается. Также червь не производит DoS-атаку
в январе.
Таким образом, "Doomjuice.b" будет осуществлять
DoS-атаку на сайт www.microsoft.com каждый месяц,
за исключением января, с 1-го по 8-е число
и с 12-го числа до конца месяца. Для проведения DoS-атаки
червь отсылает множественные запросы на 80-й порт сайта
www.microsoft.com.
При этом используется уникальная для данного вида вирусов
технология
генерации обращения к серверу - строка созданного червем
запроса полностью имитирует формат запроса от популярного
веб-браузера Internet Explorer. Это исключает возможность блокирования
обращений от зараженных компьютеров, так как ни одно средство
сетевой фильтрации не сможет отличить запрос обычного пользователя
от инициированного червем. Данная функция значительно увеличивает
деструктивный эффект DoS-атаки червя Doomjuice.b. Если эта вредоносная
программа получит широкое распространение, дальнейшая жизнеспособность
интернет-ресурса компании Microsoft будет поставлена под серьезное
сомнение.
Всё пипец МелкоМягким 
З.Ы. Как правельно заметил gyv, не нужно удалять на этот раз файл REGEDIT.EXE в системной папке windows, ето редактор реестра. Лучше установите какой нибудь анти-вирь и обнавите базы.
|
|
Зарегистрирован |
|
|
|
|
Главная
Помощь
Поиск
Участники
Вход
Регистрация
Popalsa.jpg
Послать Тему
Печатать