SoftoRooM LifeRooM Whois RSS GZip WAP Поиск Правила Помощь Disclaimer
Твой софтовый форумТвой софтовый форумТвой софтовый форумТвой софтовый форум

Здравствуйте, Гость ( Вход | Регистрация )

Danger! Вирус!

Вид темы: Стандартный · [ Линейный ] · Режимы сортировки: [ По возрастанию (0-9) ] · По убыванию (9-0)

> Danger! Вирус!, Глобальные вирусные эпидемии


 
post 24.02.2004 - 22:57
Отправлено #1
farg



Unregistered


Профиль












Червь "Bizex" атакует пользователей ICQ
Зарегистрирована первая глобальная эпидемия ICQ-червя

"Лаборатория Касперского" предупреждает об обнаружении нового
сетевого червя "Bizex", который вызвал первую глобальную эпидемию среди
пользователей интернет-пейджера ICQ. На данный момент сообщения о
случаях заражения червем поступают практически из всех стран мира. По
предварительным оценкам количество зараженных компьютеров составляет
около 50 тысяч.

Заражение компьютера происходит при посещении хакерского веб-сайта,
приглашение на который доставляется по каналам ICQ.

Для маскировки при просмотре веб-сайта пользователю показывается
содержание интернет-представительства "Joe Cartoon" - автора популярных
американских мультсериалов. В это время вредоносная программа атакует
компьютер сразу по двум направлениям. Во-первых, используя брешь в
браузере Internet Explorer
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-047.asp).
Во-вторых, через брешь в операционной системе Windows
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-011.asp).
В результате на компьютер незаметно для пользователя загружается
специальный файл, который "дотаскивает" с удаленного веб-узла
непосредственно файл-носитель "Bizex" (APTGETUPD.EXE) и запускает его на
выполнение.

После этого "Bizex" начинает процедуру заражения компьютера. Для
этого он создает папку SYSMON в системном каталоге Windows, копирует
себя в нее под именем SYSMON.EXE и регистрирует этот файл в ключе
автозапуска системного реестра. Таким образом, червь обеспечивает свою
загрузку в память компьютера при каждом старте операционной системы.

По завершении этого процесса "Bizex" начинает процедуру дальнейшего
распространения по ICQ. Червь извлекает из себя несколько системных
библиотек для работы с этим интернет-пейджером и устанавливает их в
системный каталог Windows. С их помощью "Bizex" получает доступ к списку
контактов ICQ, отключает запущенный ICQ-клиент, осуществляет
самостоятельное подключение к серверу от имени владельца зараженной
машины и от его имени рассылает по всем найденным контактам ссылку на
указанный выше веб-сайт. Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

"Bizex" содержит ряд исключительно опасных побочных эффектов,
которые могут привести к утечке важных конфиденциальных данных. В
частности, червь сканирует зараженный компьютер, собирает сведения об
установленных платежных системах и незаметно отсылает их на удаленный
анонимный сервер. В число уязвимых систем попали: Wells Fargo American
Express UK Barclaycard Credit Lyonnais Bred.fr Lloyds E-gold

Помимо этого "Bizex" перехватывает информацию, передаваемую с
компьютера по протоколу HTTPS (защищенный протокол передачи данных,
который, в частности, используется для важных финансовых транзакций), а
также коды доступа к различным почтовым системам (например, Yahoo Mail).
Эти сведения также пересылаются на удаленный анонимный сервер.
Go to the top of the pageGo to the end of the page
+Quote Post

11 Страницы  1 2 3 > »  
Reply to this topicStart new topicStart Poll
Ответов(1 - 9)
 
post 24.02.2004 - 23:08
Отправлено #2
PRYANIK



Made In Tula
[SoftoRooMTeaM] Group Icon

Профиль
Группа: Администраторы
Сообщений: 13.442
Регистрация: 22.02.2004
Пользователь №: 7


Респектов: 3678
-----XXXXX




QUOTE
Важно отметить, что червь атакует только
оригинальные ICQ клиенты (за исключением Web ICQ), в то время как
альтернативные пейджеры (Miranda, Trillian) обладают иммунитетом.

Ещё один аргумент, чтобы перейти с Аськи на Миранду или Трилл... smile.gif
User is online!Profile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post

 
post 25.02.2004 - 3:17
Отправлено #3
fao



Unregistered


Профиль












PRYANIK/
для меня не аргумент... smile.gif
Go to the top of the pageGo to the end of the page
+Quote Post

 
post 2.03.2004 - 0:23
Отправлено #4
farg



Unregistered


Профиль












"Netsky. D": новый охотник на "Mydoom" бороздит пространство интернета
"Лаборатория Касперского" предупреждает об обнаружении
новой вирусной эпидемии, вызванной четвертой модификацией
сетевого червя "Netsky" - "Netsky.D" (также известен как
"Moodown.D"). На данный момент уже получено несколько
десятков сообщений о случаях заражения компьютеров.
"Netsky.D" распространяется через письма электронной
почты. Зараженные сообщения могут иметь самый разный внешний
вид: червь случайным образом выбирает заголовок из 25 вариантов, текст
письма (6 вариантов), имя вложенного файла (21 вариант).

Вложенный файл имеет фиктивное расширение .PIF, в
действительности представляя собой обычную EXE-программу (размер около 17Кб).
Если пользователь имел неосторожность запустить этот файл, то червь
устанавливает себя в систему и запускает процедуры
распространения.

При установке "Netsky.D" копирует себя с именем
WINLOGON.EXE в каталог Windows и регистрирует этот файл в ключе
авто-запуска системного реестра. Таким образом он обеспечивает
свою активизацию при каждой загрузке операционной системы.

Для дальнейшей рассылки червь сканирует файлы наиболее распространенных
интернет-приложений (например, WAB, EML, DOC,
HTML, MSG и др.), считывает из них адреса электронной почты и незаметно
для владельца компьютера отсылает на них свои копии. Важно
отметить, что рассылка писем осуществляется в обход установленного на
компьютере почтового клиента, но с использованием встроенной
SMTP-подпрограммы. С ее помощью "Netsky.D" распространяется через 23
прокси-сервера, расположенных в разных концах мира.

Червь имеет ряд побочных действий. В частности, он удаляет
из системного реестра ключи другого сетевого червя -
"Mydoom", а также пытается нарушить работу Антивируса
Касперского.


Go to the top of the pageGo to the end of the page
+Quote Post

 
post 3.03.2004 - 17:34
Отправлено #5
PRYANIK



Made In Tula
[SoftoRooMTeaM] Group Icon

Профиль
Группа: Администраторы
Сообщений: 13.442
Регистрация: 22.02.2004
Пользователь №: 7


Респектов: 3678
-----XXXXX




Обнаружены семь новых вариантов червя Bagle
Специалисты компании McAfee предупреждают пользователей Всемирной сети о появлении сразу семи модификаций вредоносной программы Bagle.
Впервые о черве Bagle, напомним, стало известно 19 января нынешнего года, а примерно четыре недели спустя в интернет была выпущена вторая версия вируса. Вредоносная программа распространяется по электронной почте в виде вложений. Тема и название вложения при этом выбираются произвольным образом. После неосторожного запуска присланного файла вирус копирует себя в системный каталог Windows и регистрируется в реестре, обеспечивая себе, тем самым, автоматический запуск при каждой загрузке операционной системы. Далее червь рассылает свои копии по найденным на инфицированной машине адресам с применением встроенного SMTP-сервера, а также открывает злоумышленникам удаленный доступ в систему через один из портов.
Новые модификации вируса Bagle.C, D, E, F, G и H функционально очень похожи на предшественников. Однако, версии Bagle.F, Bagle.G и Bagle.H способны обмануть многие антивирусные пакеты за счет использования оригинальной схемы формирования зараженного сообщения. В частности, вредоносный код помещается в zip-файл, защищенный паролем. Антивирусные программы не способны распаковать такой архив и, как правило, пропускают сообщение. Вместе с тем, сам пароль включен в тело письма, так что пользователь может без особых проблем просмотреть содержимое архива. В коде всех обнаруженных модификаций прописана функция самоуничтожения, которая должна активироваться 25 марта 2004 года.
Кроме того, специалисты McAfee зафиксировали появление червя Bagle.I, однако его возможности на момент написания заметки были еще не изучены.

User is online!Profile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post

 
post 4.03.2004 - 0:27
Отправлено #6
farg



Unregistered


Профиль












В интернете разгорается война вирусописателей
Авторы Bagle, Mydoom и Netsky обмениваются любезностями

QUOTE
    Всего за 3 часа 3 марта 2004 г. "Лаборатория  Касперского" зафиксировала появление сразу 5 новых модификаций  печально известных вредоносных программ "Bagle" (версии I,  J), "Mydoom" (версии F, G) и "Netsky" (версия  F). Ситуация усугубляется тем, что на данный момент уже зафиксированы  массовые случаи заражения этими вредоносными программами.
      "Лаборатория Касперского" уже выпустила обновление базы  данных, защищающее от данных червей. Вместе с тем, заслуживает  отдельного внимания война, которая разгорается между тремя группировками  кибер-преступников - создателей "Netsky" с одной  стороны, и "Mydoom" и "Bagle" с другой. В  частности, каждая новая модификация червей несет в себе очередное  послание к противостоящей группировке, изобилующее нецензурными  выражениями: 
    "Netsky.C"  we are the skynet - you can't hide  yourself! - we kill malware writers (they have no chance!) -  [LaMeRz->]MyDoom.F is a thief of our idea! - -- ->->     
    "Netsky.F"  Skynet AntiVirus - Bagle - you are a looser!!!!     
  С другой линии фронта поступают ответные 'реверансы':   
    "Mydoom.F"  to netsky's creator(s): imho, skynet is  a decentralized peer-to-peer neural network. we have seen P2P in Slapper  in Sinit only. they may be called skynets, but not your shitty app. 
      "Bagle.I"  Hey, NetSky, fuck off you bitch, don't  ruine our bussiness, wanna start a war ?        "Bagle.J"  Hey, NetSky, fu** off you bitch!   
  Обмен "любезностями" между авторами вредоносных  программ, несомненно, провоцирует ухудшение эпидемиологической ситуации  в Сети. С другой стороны, эта ситуация наводит нас на мысль, что  интернет окончательно превратился в арену ожесточенной битвы вирусов.   
  "Трудно представить более комичную ситуацию, чем когда горстка  вирусописателей безнаказанно играет с глобальной компьютерной сетью и ни  один из участников интернет-сообщества не может предпринять решительных  действий по предотвращению этого беспредела, - комментирует Евгений  Касперский, руководитель антивирусных исследований "Лаборатории  Касперского". - Причем проблема заключается не в отсутствии  желания изменить ситуацию, но в несовместимости современной архитектуры  интернета с требованиями к информационной безопасности".
Go to the top of the pageGo to the end of the page
+Quote Post

 
post 9.03.2004 - 14:13
Отправлено #7
PRYANIK



Made In Tula
[SoftoRooMTeaM] Group Icon

Профиль
Группа: Администраторы
Сообщений: 13.442
Регистрация: 22.02.2004
Пользователь №: 7


Респектов: 3678
-----XXXXX




Новый вирус маскируется под обновление от Microsoft
Сразу несколько антивирусных компаний сообщили о появлении во Всемирной сети новых модификаций вредоносных программ Sober и Netsky. Данные черви, напомним, распространяются по электронной почте в виде вложений и представляют угрозу исключительно для пользователей операционных систем Microsoft Windows.
Как сообщают сотрудники фирмы Symantec, новый вариант вируса Sober, получивший индекс "D", маскируется под обновление от Microsoft. Заголовок и имя вложения выбираются произвольным образом, в тексте послания говорится, что присланный файл якобы устраняет опасную дыру в Windows, через которую на ПК может проникнуть вирус MyDoom. После неосторожного запуска файла пользователем компьютера Sober.D проверяет наличие на машине своих ранних модификаций. В случае, если ПК еще не заражен, червь копирует себя в системный каталог и регистрируется в ключе автозапуска реестра ОС. Далее на экран выводится надпись: The patch has been successfully installed ("Заплатка успешно установлена"). Если компьютер уже инфицирован, вирус сообщает, что установка патча не требуется. По классификации Symantec, вредоносная программа имеет средний уровень опасности.
Кроме того, в Symantec зафиксировали начало распространения одиннадцатой модификации червя Netsky. Вариант Netsky.K практически ничем не отличается от своих предшественников и, как и прежде, пытается удалить с компьютера вирус MyDoom. Вредоносная программа Netsky.K получила рейтинг низкой опасности. Кстати, следует заметить, что авторы Sober, Netsky и MyDoom, объявили друг другу самую настоящую войну, то и дело обмениваясь угрожающими высказываниями и выпуская в Сеть все новые и новые версии вирусов.
User is online!Profile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post

 
post 17.03.2004 - 13:05
Отправлено #8
PRYANIK



Made In Tula
[SoftoRooMTeaM] Group Icon

Профиль
Группа: Администраторы
Сообщений: 13.442
Регистрация: 22.02.2004
Пользователь №: 7


Респектов: 3678
-----XXXXX




Обнаружены две модификации червя Bagle
Специалисты сразу нескольких антивирусных компаний сообщили об обнаружении новых модификаций вредоносной программы Bagle. Червь Bagle, напомним, досаждает пользователям Всемирной сети уже два месяца, распространяясь по электронной почте в виде вложенных в письмо файлов. При этом тема, текст послания и имя вложения меняются произвольным образом. После проникновения на компьютер червь регистрируется в системном реестре, обеспечивая, тем самым, свой автоматический запуск при загрузке Windows, и начинает рассылку копий по найденным на машине адресам электронной почты с применением встроенного SMTP-сервера.
Кроме того, в начале марта создатели Bagle выпустили в интернет несколько новых модификаций вируса, применяющих весьма оригинальную схему формирования зараженного сообщения. В частности, вредоносный код помещался в zip-файл, защищенный паролем (сам пароль указывался в тексте письма). Такая тактика вводила в заблуждение как многих пользователей, так и некоторые антивирусные пакеты, не способные вскрыть зашифрованный архив.
А в минувшие выходные было зафиксировано появление версий червя Bagle.n и Bagle.o, использующих еще более хитрые способы проникновения в систему. В частности, наряду с форматом zip, вредоносная программа теперь способна работать и с rar-архивами. Более того, пароль к зашифрованному файлу передается не в виде текста, а в виде графического изображения, что, естественно, усложняет идентификацию вируса. Наконец, Bagle.n и Bagle.o научились внедрять свой код в тело исполняемых файлов, найденных на инфицированной машине. Впрочем, ведущие антивирусные фирмы уже включили защиту от Bagle.n и Bagle.o в свои базы данных.
User is online!Profile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post

 
post 22.03.2004 - 12:36
Отправлено #9
PRYANIK



Made In Tula
[SoftoRooMTeaM] Group Icon

Профиль
Группа: Администраторы
Сообщений: 13.442
Регистрация: 22.02.2004
Пользователь №: 7


Респектов: 3678
-----XXXXX




Новый червь использует дыру в брандмауэре BlackICE
Сотрудники компании F-Secure предупреждают о появлении новой вредоносной программы Witty. Данный червь был обнаружен в субботу, 20 марта, и на сегодняшний день известно уже, как минимум, о пятидесяти тысячах случаев заражения.
Вирус Witty распространяется исключительно через прямые интернет-соединения и представляет угрозу лишь для тех пользователей, на чьих компьютерах установлен персональный брандмауэр BlackICE производства компании Internet Security Systems. Используя ошибку в данном пакете, вредоносная программа обходит защиту, проникает на уязвимую машину и активирует процедуры дальнейшего распространения. Для этого червь отправляет копии своего кода по 20000 произвольных IP-адресов. Далее Witty пытается открыть один из доступных носителей и произвести с ним ряд операций. В частности, имеется информация, что вредоносная программа заполняет свободное пространство диска произвольными данными, однако до конца функциональные особенности червя пока не изучены.
По словам представителей F-Secure, код вируса занимает всего 909 байт. Это говорит о том, что написан червь на ассемблере. Кстати, в теле вредоносной программы имеется строчка: "(^.^) insert witty message here (^.^)". Атаке подвержены компьютеры с установленными пакетами BlackICE Server Protection версий 3.6 и ниже, BlackICE PC Protection версий 3.6 и ниже, BlackICE Agent for Server версий 3.6 и ниже. Загрузить обновления, ликвидирующие дыры в брандмауэре, можно с сайта (http://www.iss.net/download/) компании Internet Security Systems.
User is online!Profile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post

 
post 25.03.2004 - 14:29
Отправлено #10
PRYANIK



Made In Tula
[SoftoRooMTeaM] Group Icon

Профиль
Группа: Администраторы
Сообщений: 13.442
Регистрация: 22.02.2004
Пользователь №: 7


Респектов: 3678
-----XXXXX




Обнаружен новый почтовый червь Snapper

Антивирусная компания "Лаборатория Касперского" предупреждает о появлении новой вредоносной программы I-Worm.Snapper, распространяющейся через интернет в виде ссылки на инфицированный веб-сайт. Вирус представляет среднюю опасность и способен заражать только компьютеры, работающие под управлением операционной системы Windows.
При неосторожном нажатии на присланную ссылку в систему проникает троян, извлекающий из себя и устанавливающий основной компонент червя - файл IELOAD.DLL размером 8704 байта. Данный файл записывается в системный каталог Windows и затем запускается как системная библиотека. Далее вредоносная программа рассылает письма со ссылкой на хакерский сайт по всем найденным в книге контактов Outlook адресам электронной почты. Для отправки сообщений применяется указанный в системе SMTP-сервер. При этом все зараженные послания содержат код:

<HTML><BODY><IFRAME src='http://198.170.245.129/[censored by KL].htm' style='display:none'></IFRAME></HTML></BODY>

Важно заметить, что вирус в процессе распространения использует дыру в браузере Internet Explorer. Данная уязвимость, описанная в бюллетене безопасности MS03-040, связана с неправильным определением типа объекта, внедренного в веб-страницу с помощью тэга object. Таким образом, для защиты от червя Snapper достаточно просто загрузить с сайта Microsoft и установить соответствующую заплатку для браузера. "Лаборатория Касперского" также уже обновила собственные антивирусные базы данных.
User is online!Profile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post


Reply to this topicTopic OptionsStart new topic
 


Сейчас: 4.12.2016 - 13:10
LITE - версия