Новый почтовый вирус
Коллеги, я сегодня получил сразу пять писем инфицированных Win32.HLLM.Reteras (точнее НЕ получил, поскольку SpiderMail такие вещи удаляет "на лету").
Это значит, что кто-то, у кого есть мой адрес в адресной книге почтового клиента, плохо следит за безопасностью компьютера. Поскольку обратный адрес, естественно, подставляется фальшивый -- определить человека трудно. Короче говоря -- проверьте свои машины на всякий случай. Ниже официальный релиз ДиалогНауки по поводу этого червя. ========== [20.08.2003] Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о катастрофически быстром распространении новой разновидности почтового червя массовой рассылки семейства Win32.HLLM.Reteras, известного также под названием Sobig.F. По состоянию на утро 20 августа по московскому времени, доля этого почтового червя в вирусной статистике ЗАО "ДиалогНаука" составляет 89% - таких цифр не было уже давно, со времени безраздельного господства червя Win32.HLLM.Klez.4. Новый вариант червя Reteras - Sobig во многом повторяет своих предшественников. Он рассылается в виде приложения к письму, которое имеет в качестве имени одно из нескольких достаточно неброских слов, которые, тем не менее, побуждают большинство получателей открывать их: your_document.pif document-all.pif your_details.pif details.pif и некоторых других. При поражении компьютера он помещает в систему троянский компонент, который может превратить зараженную машину в прокси-сервер, используемый для спам-рассылок. Пользователи антивирусных продуктов семейства Dr.Web® во всеоружии встретили новую вирусную угрозу. Dr.Web® определяет новый вирус без дополнительных вирусных записей. ========== |
Новый почтовый вирус
Jacky
Цитата:
всего пять... а вот 34 за день на 8 ящиков это как? |
Новый почтовый вирус
revinski
Цитата:
Цитата:
Это, кстати, эпидемии все эти, хорошая иллюстрация к вопросу об отношении народа к безопасности своих компьютеров -- хотя бы на минимальном уровне (не в твой адрес реплика). Я вообще не понимаю, как можно к интернету подходить даже близко без: а) Антивируса со свежими базами б) Файрвола в) Антишпиона (типа Ad-Aware) Добавлено Да, забыл сказать -- пять писем только по личным ящикам. На работу не ходил сегодня, завтра посмотрю, что там интересного пришло. :D |
Новый почтовый вирус
Jacky
Цитата:
|
Новый почтовый вирус
revinski
Цитата:
|
Новый почтовый вирус
Цитата:
Но вот антивируса со свежими базами у меня нет, а кто такие файрвол и антишпион (типа Ad-Aware) я и знать не знаю. Если кто-то может нормальным русским языком (безо всякого компьютерного жаргона) объяснить, что это такое и для чего нужно - буду очень признательна. Только не надо меня на ру борд посылать - не пойду все равно! :) |
Новый почтовый вирус
heilig
Цитата:
файервол - это специальная программа, отслеживающая все сетевые соединения, которые устанавливаются между твоим компьютером и другими компьютерами (как серверами, так и другими личными компьютерами). каждая программа (Интернет Эксплорер, Бат или Аутлук, фтп-клиент и проч.) устанавливает свое отдельное соединение - а чаще не одно, а несколько и поэтому, когда с твоим компьютером пытаются установить нежелательное соединение (например, чтобы установить тебе троян), то файервол эту попытку блокирует. кроме того, файервол умеет блокировать ненужную тебе при брожении по интернету графику/рекламу - чтобы общий трафик уменьшить |
Новый почтовый вирус
Немного добавлю. Для более четкого понимания самого слова "файрвол", если оно в таком русифицированном виде не идентифицировано, приведу его оригинальное написание -- firewall (т.е. огненная стена). Иногда его еще называют брандмауэром. Кроме того, что написал Ревинский, файрвол должен блокировать не только нежелательные соединения с твоим компьютером извне, но и нежелательные попытки соединения твоего компьютера с "внешним миром" -- например, если к тебе пролез-таки троянец, который теперь пытается выйти в интернет и передать какую-то информацию.
Что касается AdAware -- посмотри, например, здесь: http://daily.sec.ru/dailypblshow.cfm?rid=45&pid=5856 Только учитывай, что статья довольно старая, соответственно на указанные там версии программ ориентироваться не стоит, но общий принцип понятен. Как я уже написал выше, при наличии хорошего антивируса и файрвола это скорее опция -- но довольно полезная. |
Новый почтовый вирус
Елки! Люди! Сколько у вас получилось? 35 на 8 ящиков? А мне больше 800 на один ящик!!!! Конечно, это мне не доставляется, но оно на сервак то дошло!!!!!!!
Бедный сервак :( Пошла разбираться с остальным... Кстати, тема для компов, где модер? Кинь в компы - там совсем скучно бо. |
Новый почтовый вирус
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
revinski Jacky Как и обещала, премного благодарна. Оказывается, и о компьютерах можно говорить нормальным языком :) Ладно, скачаю сегодня этот файервол и антишпион, раз уж без них нельзя к интернету и близко подходить :) |
Новый почтовый вирус
heilig
Цитата:
Jacky Цитата:
|
Новый почтовый вирус
heilig
Цитата:
lynx Цитата:
|
Новый почтовый вирус
Цитата:
Я не знаю нипро какие файерволы и мэйкфайеры. Мне кажется, что если не запускаешь сам всякую дрянь, что шлют, то и вирус не подцепишь. Чай не 2000 год. Вот тут меня одолели идиоты из АмериканЛэнгвичЦентра. Кто бы сказал, как от них избавиться, а? И еще про это вирус, а как конкретно он пролезает? Ну, я помню, что прошлый массовый вирус лез через дырку в ИЕ5 и писал себя в реестр, а потом рассылал. Без моего клика. А этот что, тоже без ведома получателя влезает в реестр? Расскажите, кто грамоте обучен, плиз. Вобще про вирусы - это интересно, лучше, чем про советскую власть. А я в обмен могу показать вирус БольшойБилл. Я его почти сам написал. Но он безвредный. Детей пугать только и ламеров. Но неприятный. Полезно бывает всяких спамеров учить. Добавлено О... Сам нашел. Делюсь впечатлениями: ======== Воздействие Распространяется через открытые порты RPC. Компьютер пользователя перезапускается, или в его системе появляется файл msblast.exe. Техническая информация Червь выполняет сканирование порта TCP 135 произвольного диапазона IP-адресов в поисках уязвимой системы. Червь пытается воспользоваться уязвимостью DCOM RPC, для защиты от которой было выпущено исправление MS03-026. Отправленный в систему пользователя код злоумышленника загружает и запускает файл MSBLAST.EXE с удаленного компьютера по протоколу TFTP. После запуска червь создает в реестре следующий раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill Симптомы заражения вирусом Некоторые пользователи могут вообще не заметить никаких симптомов. Основной признак заражения — перезагрузка системы с интервалом в несколько минут без участия пользователя. Кроме того, пользователи могут обнаружить следующее: наличие необычных файлов TFTP; наличие файла msblast.exe в каталоге WINDOWS\SYSTEM32. Чтобы обнаружить вирус, попытайтесь найти в каталоге WINDOWS\SYSTEM32 файл msblast.exe или загрузите последние версии описаний вирусов с веб-узла своего поставщика антивирусных программ и выполните сканирование компьютера. ======== Это все с сайта дырявого Микрософта: http://www.microsoft.com/rus/news/bl...&LN=RU&gssnb=1 Так что надо посмотреть этот бласт и в реестре его посмотреть. И удалить, если что. Вот и весь файервол. Спасибо. Правда, так и не сказали, умники дырявые, сам червь запускается или пользователь запускает из приложенного файла. Обновление для 4:21 воскресенья Привет, Ревинский! Чего не спишь? Черви гложат? Добавлено А это мой "вирус": http://mclaud.by.ru/BigBill/index.html Он называется Большой Билл. Никаких троянов там нет и ничего он не пишет на винч. Но о-о-о-очень страшный! Кто боится - ни в коем случае не кликать! Но кто скажет, как защититься - буду благодарен, поскольку сам не знаю. |
Новый почтовый вирус
McLaud
Цитата:
мхо, работать без файервола не в локальной сети - убийство. В локальной тоже, в общем-то, но опасность от своих только. Цитата:
Цитата:
Цитата:
http://forum.ru-board.com/topic.cgi?...8&topic=4299#1 Добавлено лол document.body.onmousedown=new Function("if (event.button==2||event.button==3)aler t('No! You don not able!')"); и все что ли? Опера рулит ;) |
Новый почтовый вирус
Цитата:
Опера рулит лучше, чем ИЕ как раз из-за нее, но тоже как умная Маша отрывает сто окон. В ИЕ бывает часто, что и перезагружаться надо, поскольку "Системе существенно не хватает ресурсов!". На том суть и основана. НетКаптор со второго окна понимает, что фигня в файле и не дает больше открывать. Только все одно 90% юзеров и я с ними юзают ИЕ, и впредь юзать будут. Потому на них и расчет. Это на любой сайт с тыщей народу в день сходить и посмотреть статистику юзеров: http://top.mail.ru/stat?id=7753;what=sys;period=1 Цитата:
А суть файла простая и в таких словах: <body onLoad="full('menu.html')" onUnLoad="full('menu.htm')" onMouseOver="full1('menu.htm')"> (Эти слова в трех одинаковых файлах index.htm, menu.htm,menu.html в папке BigBill.) то есть по всем мыслимым событиям юзера окно открывается в полный рост и загружает свои дубли. Ну, и файлик должен быть маленький, чтобы завгрузиться успеть. В файлик тоже для отмазки пару строчек full1('menu.htm') вставить. А full1('menu.htm') - это такая штука: function full1(x){ window.open(x, '', 'fullscreen=yes'); if (document.all) document.body.onmousedown=new Function("if (event.button==2||event.button==3)aler t('No! You don not able!')"); //сюда вот как раз можно фигню всякую вставить для попсы //типа не alert, а confirm("Форматировать диск A или не надо?") // или full1('VIRUS_BIG_BILL.EXE')" или чередовать } Короче парение мозгов натуральное. Но психологически работает неплохо. Проверял неоднократно. Добрая такая шутка. Я ее Джеку пошлю в письме потом. Он самый продвинутый, мне кажется. И Хильге, чтобы не скучала. Цитата:
Могу свой комп на такой эксперимент отдать. А то чего тут философию разводить. |
Текущее время: 04:42. Часовой пояс GMT +3. |
Powered by vBulletin® Version 3.8.8
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
© 2001—2024, «Аспирантура. Портал аспирантов»