PDA

View Full Version : Внимание! Вирус!


DIQUA
14-08-2003, 23:56
Вчера, господин Касперский заявил, что в ближайшие 2- 3 дня заходить в инет не следует, в связи с новоиспеченным вирусом.
В Швеции застопорилась работа многих учреждений. Кто , что нибудь знает об этом?:eek:

ApTyp
15-08-2003, 00:06
Эх ты опередил меня на пару мин с этой темой :)

ApTyp
15-08-2003, 00:14
Он появился с четверга на пятницу и я его поймал, пробовал всё перезагружал пять раз WIN перебирал файлы, 4 файла удалось найти и переправить но остальных неудалось найти.
Как он работает.
Он зарожает весь Microsoft приходит через обновку файлов,
называется он LOVSAN/BLASTER
Сперва он фрагментирует вашь жёсткий диск, потом перегружается вся ваша система, после этого windows начинает глючить, перегружается ЦП после этого врубается таблицы где написанно NT AUTHORITY/SYSTEM идаётся одна минута для сохронений ваших данных если вы их не сохраните (если вы что-то делали) то вся инфа проподает.

ApTyp
15-08-2003, 00:18
Удалось так же выличить комп, просто надо закочать заплатку на дыру в WINDOWS'е.
Корпарация Microsoft уже выпустила заплатку.
Оснавную инфу о вирусе LOVSAN/BLASTER и как сним боротся так же заплатку можно найти здесь http://www.f-secure.com/v-descs/msblast.shtml

также ещё можно прочитать о вирусе здесь
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2003-52.htm

Miker
15-08-2003, 19:29
Ставьте Firewall и ни чего не бойтесь ...так как вирус попадает на комп через 135, 137, 138, 139, 445 порт
Есть ли у вас вирус можно проверить через регистр виндовс

\hklm\software\microsoft\windows\run\msblast.exe если эта строка присутствует то ваш комп заражен

Miker
15-08-2003, 19:42
http://www.kaspersky.ru/news.html?id=1319733

inferno
16-08-2003, 12:59
http://www.microsoft.com/security/incident/blast.asp

Лучше уже к мелкомягким тогда. :]

ApTyp
16-08-2003, 23:11
Firewall за всеми вирусами не смотрит у меня стоял но вирус пропустил.
Так как вирус прошёл через обновленные файлы.
На вине ХР есть такая функцыя как "Параметры уведомления" так вот когда вин ставишь невсегда помнишь чтоб эту функцыю отключить так как обычна она стоит в режиме "Уведомлять о возможности загрузки обновлений, а затем ещё раз увеломлять о том, что они готовы к установке"
Вот если бы отключил эти параметры то вирус не прополз бы.
А Firewall даже и несреогировал не начто.
Kaspersky он придерается к любому неработоющиму файлу или просто к файлу у которого нету своеё регистрации в базе данных компа.
Kaspersky даж к простому флашевскому файлу и то придрался.

Miker
16-08-2003, 23:42
ApTyp Значит не правильно настроил firewall, да и вообще firewall существует не для того что бы вирусы ловить а для того что бы на твоем компе не было открытых портов или были открытые порты но для определенных программ и для определенных ip. вот. И если у тебя завелся вирус или троян то он обязательно попробует куда нибудь обратиться в инет и твой firewall (если настроен нормально) обязан тебе сообщить об этом . типа такая то и такая прога пробует обратить на такой то и такой аддресс на такойто и такой порт с порта такого то и такого / и ты по идее должен это заметить. По поводу Касперского что ты используешь сканер или инспектор? если или то зря.

ApTyp
24-08-2003, 02:42
В Интернете по всему миру началась эпидемия нового почтового вируса Win32.HLLM.Reteras.
Если Вы получили письма с неизвестными Вам вложенными файлами с расширениями pif, scr и др., советую лучше удалить.
комне уже 4 штуки таких уже пришло.

Да чуть не забыл
насчёт LOVSAN/BLASTER он активизируется в сеньтябре опять
Заплака каторую выпустил Microsoft она не помогла, часть вируса всё равно сидит в компе.
Мне только 20% его удалось удалить, а остальные 80 ещё нет. Надо покапатся толком в файлах.
У меня заметно что часть вируса ещё сидит, Norton показывает что диски C:/ D:/ и G:/ сильно фрагментированны.
Из-за этого при включении какой-нибудь программы в тичение 20 мин начинает глючить. Загрузка ЦП в файле EXPLORER.EXE увеличивается до 100% из-за чего начинает глючить комп.

DIQUA
24-08-2003, 07:43
ApTyp

У меня та-же ерунда. Может сразу пойти и удавить комп?!

FINOCHKA
24-08-2003, 07:59
А у меня вообше никакого антивируса нет......
и порнухи я уже нахватала с размаааааахом!!!! За всё жизнь столько не пересмотреть!!!!
Вообще-то комп тоже иногда глючит, но нормаально!!! Как только куплю новый комп, то поставлю по 10 антивирусов!!! Чтобы ни одна зараза не мешала мне :) :) :)

ApTyp
24-08-2003, 21:09
FINOCHKA
10 не стоит, а то комп зависнит, и придётся переустанавлевать WIN ;)
или не один антивирус небудет работать и тогда без труда пройдёт вирус :)

ApTyp
25-08-2003, 19:28
Кароче. нашёл я тут ещё один вирус который оставил LOVSA/BLASTER его чатстично удалось удалить.
Но он ещё один сюрпрайз оставил после себя зарозя все диски и запустил ещё один вирус "Win32.Parite" "B и A" он зарожает все "COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? AVB BAT CEO CMD MHT POT NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2" это файлы каторые зарожает "Win32.Parite.B" можно так сказать что это все файлы вина. Если вовремя его не удалить то он зарозит все харды каторые стоят на компе.

Вирус состоит из пипетки, которая является Виттеном в ассемблер, и вирусной части, непосредственно, написанной в Борланд C ++. Когда инфицированный файл запущен, контроль управления пропускают к вирусной пипетке, которая пишет вирус временному файлу и выполняет его процедуру инфекции. Вирусные исследования Win32 ЕКс П файлы с .скр и .екс расширениями на всех логических двигателях компьютера, и также в разделенных ресурсах местной сети, и инфицируют их. Вирус не проявляет ицелфс присутствие. Структура инфицированного файла напоминает это: файл Хозяина пипетка Вируса - понижается "главный" ТЕМП директории. F-Secure Антивирус может обнаруживать и дезинфицировать этот вирус.

Удалось также найти его и главные заражённые файлы.
(файлов может быть много ;))

C:\WINDOWS\system32\migpwd.exe
C:\WINDOWS\system32\ImapiRox.exe
C:\WINDOWS\system32\cliconfg.exe
C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe


тут можно посмотреть список вирусов каторые в данный момент гуляют по сети (http://www.europe.f-secure.com/virus-info/wild.shtml)

Лютик
26-08-2003, 03:07
хмм........100% способ, пока работает по крайней мере
Пуск -> Выполнить> - ввести "dcomcnfg.exe" (без кавычек)...
Там выбрать "Служба компонентов" затем перейти в папку "Компьютеры", далее правой кнопкой по "Мой компьютер", вкладка "Свойства по умолчанию" и убрать флажок с "Разрешить использование DCOM на этом компьютере"....
Воть так вот...

Podpolschik
26-08-2003, 13:28
Кстати, не мог-бы написать что это за DCOM? Dinamic Libraly или что-то другое. Или линк, где про "Службу компонентов" почитать можно на русском.

ApTyp
26-08-2003, 17:43
DCOM -Distributed Component Object Model.

DCOM- это набор стандартов построения, размещения и взаимодействия компонент и реализующих их механизмов, которые позволяют объектам внутри компонент посылать вызовы другим компонентам, а также принимать и обрабатывать запросы от других компонент вне зависимости от их положения на компьютере или в сети, от способов реализации, от того, являются ли они прикладными или объектами операционной системы и т.д. Для этого объекты (D)COM "договариваются" о предоставлении друг другу сервисов через строго определенные интерфейсы, которые на идеологическом уровне можно рассматривать как своего рода обязательство объекта предоставить заявленную функциональность при условии вызова в соответствии с опубликованными им правилами, а на бытовом - как группы семантически связанных функций, объединенных в абстрактные виртуальные классы. Например, имеем некоторый набор функций, оформленный в виде

struct I1
{
virtual void f11();
virtual int& f12();
...
}


дальше писать не буду, а то загребёшся, это просто пример.
Не знаю понятно шонить што я написал тут или нет. :D

3apa3a
26-08-2003, 19:15
ApTyp: откуда ты всё это цитируешь?
зачем это переводить, если сам не понимаешь..
Лучше бы давал ссылку... :)

ApTyp
26-08-2003, 19:20
3apa3a
откуда ты всё это цитируешь?
из головы, что помню, что где-то шо-то читал и на своём опыте проверенно.
а на счёт ссылок тут может про DCOM будет понятней
http://www.osp.ru/cw/1996/24/37.htm
http://www.creativeport.ru/programming/cpp/com_4_13.shtml

ApTyp
30-08-2003, 01:31
Это письмо было получено от Soner'ы
_________________________

YLEINEN VIRUSUHKA - TARKISTATHAN KONEESI!

Windows-käyttöjärjestelmän eräissä versioissa on havaittu maailmanlaajuisesti haavoittuvuus, joka mahdollistaa tietojärjestelmien väärinkäytön: ulkopuolinen taho voi esimerkiksi ottaa valtaansa vieraan tietokoneen ja suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuutta hyödyntävä verkkomato on havaittu leviämässä aktiivisesti internetissä. Mato tunnetaan mm. nimillä LOVSAN, MSBLAST ja W32.Blaster. Haavoittuvuus koskee Microsoft Windows -versioita NT 4.0, 2000, XP ja 2003. Myös muut käyttöjärjestelmän versiot on hyvä päivittää.

Sonera on ryhtynyt jo varhaisessa vaiheessa kaikkiin mahdollisiin verkon suojaustoimenpiteisiin, mutta tartuntavaara on edelleen olemassa. Siksi on tärkeää, että jokainen internetin käyttäjä tarkistaa oman koneensa. Jos verkkomatoa ei poisteta, saastunut kone todennäköisesti aiheuttaa häiriötä ja joudumme sulkemaan Soneran verkossa olevan liittymän toistaiseksi. Vaikka käytössäsi olisi jokin tietoturvaohjelmisto, on käyttöjärjestelmä silti hyvä tarkistaa ja päivittää haavoittuvuuden varalta.

TOIMI NÄIN:
1. Pyri poistamaan mahdollinen verkkomato välittömästi ja päivitä Windows-käyttöjärjestelmäsi ajan tasalle. Ohjeita löydät esimerkiksi F-Securen internetsivuilta:

http://www.f-secure.com/v-kuvaus/msblast.shtml

Windows-päivitykset voi myös tehdä tietokoneen Käynnistä (Start) -valikon kautta, kohdasta Windows Update. Valitsemalla tämän pääset päivityssivulle, jossa tarkistetaan koneessasi olevan Windowsin päivitystarpeet. Päivitys löytyy kohdasta Critical updates. Mikäli Windows Update ei toimi, voit kokeilla seuraavaa linkkiä valmistajan sivuilla:

http://windowsupdate.microsoft.com

Lisätietoja ja ohjeita valmistajan internetsivuilla:

http://www.microsoft.fi/security


2. Päivitä virusturvaohjelmistosi. Mikäli käytössäsi on Sonera Tietoturva, voit päivittää sen koneesi näytön alareunassa olevan F-Secure -ikonin kautta. Mikäli sinulla ei vielä ole käytössäsi Sonera Tietoturva -palvelua, voit tutustua siihen osoitteessa http://www.soneraplaza.fi/internet/tietoturva


LISÄTIETOA JA OHJEITA LÖYDÄT MYÖS NÄISTÄ OSOITTEISTA (Ei Soneran internetsivuja):
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2003-52.htm
http://www.f-secure.com/v-descs/msblast.shtml

Huom! Ohjeistus voi vaihdella käytössäsi olevan laitteiston mukaan. Verkkomato saattaa käyttäytyä eri tavalla eri ohjelmistoversioissa ja tietokoneissa, joten myös madon havaitseminen, poistaminen ja torjuminen saattaa poiketa näistä ohjeista.

Nämä ohjeet ovat Soneran suositus verkkomadon torjumiseksi. Koska mato johtuu ohjelmistotoimittajan käyttöjärjestelmän ominaisuudesta, Sonera ei voi vastata madon aiheuttamista ongelmista tai niiden seuraamuksista eikä tämän ohjeen toimivuudesta tai seuraamuksista.

Sonera Oyj
Asiakaspalvelu

HUOM! Älä vastaa tähän sähköpostiviestiin, sillä vastausviestejä ei käsitellä. Seuraathan myös asiakastiedotteitamme internetosoitteessa http://www.soneraplaza.fi/internet

ApTyp
11-10-2003, 17:48
Для тех кто любыт закачивать музон с инета.
Появился небольшой троян под названием TrojanDownloader.Win32.Swizzor.c
он закачивает всякий мусор к вам в комп, после этого вин начинает глючить и под конец напишет что "Переустановите WINDOWS"
с перва он заползает в папку Temporary Internet Files\Content.IE5\7R9JRD4W , а потом уже расплодается по всему компу.
Такчто будьте внимательны! :)
Доп. инфа тут (http://www.europe.f-secure.com/v-descs/swizzor.shtml)

DIQUA
11-10-2003, 19:54
Всем у кого стоит 2000, советую проверять папку под названием system 32 и в принципе.. все , что приходит под цифрой 32 .. выкидывайте сразу же и побыстрее; ибо это сердце компа...

GET
12-10-2003, 20:53
V smysle steret' system32? :)

MegaBrat
23-10-2003, 01:30
скопирую ещё и сюда, но наверное все уже видели.. проще всего излечиться от бластворма у мелкомягких: если у вас вЫндоуз ХР то линк для английской версии: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074
для русской: http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074

ApTyp
23-10-2003, 17:18
MegaBrat
да вродь тут уже всё было расписанно
см. выше ^

Sc\
17-11-2003, 13:26
Esli est podozrenie na NSBLAST i protsie tservi, zajdite sjuda:
http://vil.nai.com/vil/stinger/
Katsaete programmu STINGER i zapuskaete (tam odin EXE-snik)
Bystro i katsestvenno.

ApTyp
29-01-2004, 02:37
Эпидемия нового почтового вируса Mydoom другое название - Novarg

ПОДРОБНАЯ ИНФА тут (http://www.viruslist.com/alert.html?id=144487727)

Пружинка
29-01-2004, 08:21
мне вчера всю дорогу слали вложения по почте, видимо, кто-то из знакомых подцепил!
будте аккуратны!

Giomen
29-01-2004, 23:46
А я вот Novarg подцепил на домашнем компе. Правда отмониторил при загрузке и вырезал все еще в ДОСе. Лишь потом уже залез в И-нет и почитал инфу.
У Касперского есть бесплатная утилитка. Загрузил с www.avp.ru (http://www.avp.ru) , там есть ссылочка, по поиску этой дряни и уничтожению. Потом загрузил ее, но она собака следов вируса не нашла. Ну ладно бы на диске, но и в реестре. Или она слабовата, или успел пресечь я это дело вовремя, хотя уже успела ведь сука -монитор задач новый попытаться прописать и файлы начала разваливать.

Где подцепил не знаю. Через почту исключено (99.99 %), это рабочий инструмент, слежу. Скорее всего пора жениться и с "виртуальными" девочками с порносайтов завязывать. :ass:

Miker
30-01-2004, 00:34
Не открывайте файлы из е-мэйла и все будет ок.
А лучше почтовик настроить на отлов.

П.С. Я никак не понимаю что трудно не открывать *.exe *.bat *.scr *.pif *.com *.js *.vbs (если так то тут просто медицина бессильна)

GET
30-01-2004, 23:26
Virus mozhet rasprostranjat'sja s filami v filoobmennyh setjah. Predlagajut as'ku 2004, winamp 4 i td i tp.

BTW, virus ispol'zuet porty 3127, 3128, kotorye ispol'zujutsja vsjacheskimi updaterami dlja antivirusov, win i prochego. Nekotorye nerodivye providery prikryli u sebja eti porty dlja bor'by s virusom, tem samym lishiv pol'zovatelej vozmozhnosti skachat' updaty.

Miker
31-01-2004, 13:55
GET ну скачать можно ..и через 80 ..а кто это такие нерадивые провайдеры ?..последний рас слышал что закрывали 135 от мсбласта

п.с. Да и аська 2004 или там винамп 4 врядли весят 200 кил

DIQUA
01-02-2004, 11:24
ApTyp
Сегодня вечером, ожидается пик активности.:eek: Мне однажды друг из Канады прислал по аське сообщение, что б не открывал его письма, ну а я лоханулся забыл и открыл, подцепив червяка..:(

ApTyp
01-02-2004, 12:42
DIQUA
a zachem on ego tebe prislal...? esli znal chto nelza otkrivat.
teper' nado lichit'...

BURATINO
01-02-2004, 12:54
Мне сегодня ничего не шлите!

DIQUA
01-02-2004, 13:09
ApTyp

Насколько я понимаю, рассылка идет автоматом, всем адресатам, внесенным в контакт лист. После этого думаю, и от меня кто то получил.:(

Письмо примерно следующего содержания было: "Не волнуйся! Это не вирус! Это такой прикольный червячoк!"

Давно это уже было. Я все отформатировал тогда и винд переставил..

cat-x
01-02-2004, 15:54
В ночь с понедельника на вторник в интернете началась крупнейшая за последние два года эпидемия почтового вируса. За несколько часов червь Novarg, созданный, по мнению экспертов, российскими хакерами, инфицировал более полумиллиона компьютеров по всему миру.

27 января днем вирус продолжал распространяться настолько активно, что из-за него существенно снизилась скорость работы интернета. Разработчики антивирусных средств заявляют, что атака Novarg может стать самой серьезной эпидемией за всю историю всемирной сети.

"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA !!!

Подготовлено на основе статей "Комерсант" и "Лаборатории Касперского"

----------------------------
Если к Вам приходят какие-то письма аля "НЕ ДОСТАВЛЕННЫЕ" со вложенным в письмо файлом 22,6 Кб, то это и есть проделки этого коварного червя, желающего заиметь Ваш компьютер. Утилита, которую мы предлагаем Вам скачать, была выпущена компанией Symantec в скором времени после появления самого червя. Даже если у Вас нет этого червя, будет полезным ее скачать и провести тестирование дисков, дабы убедиться в этом на 100%. Поверьте, лишним не будет точно !!! Результат работы этой утилиты покажет Вам достоверную информацию о наличии вируса на копьютере и в случае его обнаружения почистит его "шалости". Ну кому хочется быть сервером для рассылки спама или "проходным двором" ?

Дополнительную информацию об этом вирусе вы можете узнать на сайте "Лаборатории Касперского (http://www.kaspersky.ru/news.html?id=145335904)" www.kaspersky.ru или бегло пробежаться здесь (http://uralpress.ru/politika/show_news.php?id=1730).

А отсюда (http://www.russian.fi/FxNovarg.exe) (148 Кб) можете утянуть ту самую утилиту для проверки!
И НЕ ЗАБУДЬТЕ ОБНОВИТЬ БАЗЫ АНТИВИРУСОВ ПРИ ВЫХОДЕ В СЕТЬ!!!

Текст прислал FoY на NetZ.Ru (http://www.netz.ru)

--------------------------

Все, кто еще борется с вирусом Novarg, качаем tools от семантека, которая вылечит Ваши любимые ПиСи от Novarg/Mydoom модификации А и В.
http://securityresponse.symantec.com/avcenter/FxMydoom.exe

BURATINO
01-02-2004, 17:18
Приложение, только что лез в мои недры!

ApTyp
01-02-2004, 18:36
Да "Novarg" натворил делов... но и бластер все еще брыкаеться..
Убедитесь втом чтобы увас небыло в компе следущих файлов
MsBlast.exe (ну это само сабой)
Nstask32.exe
Penis32.exe
Teekids.exe
Winlogin.exe
Win32sockdrv.dll
Yvetyvtr.dll



..................


чуть не забыл....
Чтоб избавиться от вируса Novard можно воспользоваться некоторыми утилитками ... находящиеся тут (http://www.f-secure.com/v-descs/novarg.shtml) так же там расписанно конкретно как он ведёт себя и как отнего избавиться......

автодоктор
06-02-2004, 02:15
Он зарожает весь Microsoft приходит через обновку файлов,
называется он LOVSAN/BLASTER

Я этот вирус ловил ещё в прошлом году. У меня антивирусник
Norton. Он сразу пишет что поймал. Раньше был Касперский,
но он мне не нравился, да и тормозил здорово.
Рекомендую.

GET
06-02-2004, 09:52
Miker nazyvat' ne budu, no oni za predelami FinNeta :)

cat-x
07-02-2004, 19:43
утилита Microsoft MyDoom (A,B) Worm Removal 1.0 (http://download.microsoft.com/download/f/a/7/fa7ff57d-edba-4836-bb03-499bc72aa5ba/DoomCln-KB836528-ENU.exe)

BURATINO
08-02-2004, 09:55
Почему интересно не ходят перейти на систему SUN (http://www.sun.com/index.xml)?

Они же непробиваемые вирусам и намного эффективнее работают! (http://ru.sun.com/win/index.html)

BURATINO
09-02-2004, 08:21
Мне в голову постоянно лез вопрос- почему создатели вирусов это делают, какие интересы? (http://www.membrana.ru/articles/misinterpretation/2003/02/27/182800.html)

Spetsnaz
24-02-2004, 19:47
Пользователям ICQ: осторожно! эпидемия "Bizex" (K)

"Лаборатория Касперского" объявила об обнаружении нового сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди пользователей интернет-пейджера ICQ.

На компьютер жертвы доставляется ICQ-сообщение, где, в частности, предлагается посетить хакерский веб-сайт. Для маскировки пользователю показываются мультфильмы из популярного сериала "Joecartoon". Тем временем в систему незаметно проникает Java-вирус, который, используя брешь в ICQ, незаметно рассылает от имени владельца компьютера ссылку на вышеуказанный веб-сайт по всем получателям из контакт-листа.

Поэтому в случае получения ссылки на веб-сайт "jokebox" рекомендуется немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт.

Взято с 3d News (http://www.3dnews.ru)

GET
25-02-2004, 14:49
BURATINO

Solaris x86 vsegda byl tem esche gljukom.

Ty ego doma predlagaesh' ispol'zovat'?