Помощь
Внимание ! От имени администрации ModLabs рассылаются вирусы, подробности читайтет тут:
http://modlabs.net/?id=280
Страница 1 из 1
Рассылка вирусов от имени ModLabs
#6
Tema 
- Junior
-
- Группа: Пользователи
- Сообщений: 16
- Регистрация: 25 Март 03
Отправлено 27 Январь 2004 - 14:56
djevis сказал:
Tema Нее не обязательно на зараженном! ПРосто шлет кого нашел в адресной книжке! Комп у меня был не заражен, а он слал!
быть такого не может. если комп не заражен то и слать он ничего не может... просто вирус подствляет мейлы какие ему понравились, если посмотреть в свойствах письма, то по ИП адресу можно увидеть откуда оно на самом деле пришло.
#7 Гость__*
Отправлено 27 Январь 2004 - 17:04
Получал и от Джевиса (аккурат перед выставкой) , сегодня получил целых 5 штук !!! от разных неизвестных адресов . Выход один - ставить антивирус , а если прорвались - удалять нахрен ...
Filimon -modding.ru-
Filimon -modding.ru-
#9
Turek
- Junior
-
- Группа: Пользователи
- Сообщений: 43
- Регистрация: 22 Октябрь 03
Отправлено 27 Январь 2004 - 20:27
Очень может быть, что это Novarg - очередной вирь, который, попав на машину, сканирует её на наличие мыльных адресов в htm, txt и прочих текстовых файлах. Мне самому пришло несколько писем от почтовых роботов о том, что я отправил в разные уголки мира письма с вирями (видимо, вирус не только поле "to" вносит, но и "from", и я не исключаю, что у кого-то в html'ке может валяться мой адрес). Вот, что говорит по этому поводу лаборатория Касперского:
Цитата
"Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.
Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.
Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.
Профилактика, диагностика и защита
"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.
Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.
В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).
Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.
Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.
Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.
Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.
"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер — модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.
В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.
Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского.
Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.
Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.
Профилактика, диагностика и защита
"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.
Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.
В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).
Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.
Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.
Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.
Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.
"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер — модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.
В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.
Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского.
#10
ES!
- Advanced Member
-
- Группа: Пользователи
- Сообщений: 1 350
- Регистрация: 17 Декабрь 02
Отправлено 27 Январь 2004 - 22:25
А я седня писем двести собрал по всем ящикам там зип файлик во всех один и тотже вроде 
Файлы называютс по разному, с каких адресов шлет я не посмотрел правда, но похоже вирусы рулят инетом
Будьте осторожны
Файлы называютс по разному, с каких адресов шлет я не посмотрел правда, но похоже вирусы рулят инетом
Будьте осторожны
#13
ZPS
- Advanced Member
-
- Группа: Пользователи
- Сообщений: 682
- Регистрация: 28 Февраль 03
Отправлено 28 Январь 2004 - 05:22
сегодня утром выгреб из ящика около 200 писем типа
"письмо посланое вами не доставлено, тк. в нем был вирус"
проверился - комп чист.
прокси мои отрублены, почтовый сервер настроен правильно.
"письмо посланое вами не доставлено, тк. в нем был вирус"
проверился - комп чист.
прокси мои отрублены, почтовый сервер настроен правильно.
#15
Dwarf
- Member
-
- Группа: Пользователи
- Сообщений: 142
- Регистрация: 09 Январь 04
Отправлено 28 Январь 2004 - 14:57
это новый червь I-Worm.Novarg, дюже страшный 
качайте обновление касперского, ета зараза запускается как дополнительный процесс эксплорера и поэтому его не видно в задачах. прописывает себя в реестре открывает порт и позволяет удаленно управлять компутеров вплоть до ВКЛ ВЫКЛ шутка а если серьезно то 300000 компов уже сдохли и продолжают сдыхать
качайте обновление касперского, ета зараза запускается как дополнительный процесс эксплорера и поэтому его не видно в задачах. прописывает себя в реестре открывает порт и позволяет удаленно управлять компутеров вплоть до ВКЛ ВЫКЛ шутка а если серьезно то 300000 компов уже сдохли и продолжают сдыхать
#17 Гость_ds_*
Отправлено 29 Январь 2004 - 10:03
на сайте www.Symantec.com есть программа для удаления конкретно I-Worm.Novarg
(MyDoom). Весит оголо 151кБ.
http://securityrespo...er/FxNovarg.exe
Все делает сама.
это для тех кто не пользуется антивирусами.
(MyDoom). Весит оголо 151кБ.
http://securityrespo...er/FxNovarg.exe
Все делает сама.
это для тех кто не пользуется антивирусами.
Поделиться темой:
Страница 1 из 1