Рассылка вирусов от имени ModLabs
#1
Отправлено 27 Январь 2004 - 10:04
http://modlabs.net/?id=280
#2
Отправлено 27 Январь 2004 - 11:21
#3
Отправлено 27 Январь 2004 - 11:28
#4
Отправлено 27 Январь 2004 - 12:39
#6
Отправлено 27 Январь 2004 - 14:56
djevis сказал:
быть такого не может. если комп не заражен то и слать он ничего не может... просто вирус подствляет мейлы какие ему понравились, если посмотреть в свойствах письма, то по ИП адресу можно увидеть откуда оно на самом деле пришло.
#7 Гость__*
Отправлено 27 Январь 2004 - 17:04
Filimon -modding.ru-
#8
Отправлено 27 Январь 2004 - 17:25
#9
Отправлено 27 Январь 2004 - 20:27
Цитата
Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.
Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.
Профилактика, диагностика и защита
"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA.
Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.
В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).
Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.
Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.
Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.
Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.
"Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер — модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.
В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.
Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского.
#10
Отправлено 27 Январь 2004 - 22:25
Файлы называютс по разному, с каких адресов шлет я не посмотрел правда, но похоже вирусы рулят инетом
Будьте осторожны
#12
Отправлено 28 Январь 2004 - 02:00
#13
Отправлено 28 Январь 2004 - 05:22
"письмо посланое вами не доставлено, тк. в нем был вирус"
проверился - комп чист.
прокси мои отрублены, почтовый сервер настроен правильно.
#14
Отправлено 28 Январь 2004 - 13:32
#15
Отправлено 28 Январь 2004 - 14:57
#16
Отправлено 28 Январь 2004 - 15:00
#17 Гость_ds_*
Отправлено 29 Январь 2004 - 10:03
(MyDoom). Весит оголо 151кБ.
http://securityrespo...er/FxNovarg.exe
Все делает сама.
это для тех кто не пользуется антивирусами.