Очередной червяк заразил уже полтора миллиона машин dl // 21.09.03 07:04
Вот уже несколько дней по сети ползет очередной червяк - Swen, он же Gibe, он же w32.swen@mm. [Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/09/35.html] Червь демонстрирует довольно высокую степень приспосабливаемости - распространяется через почту, irc, обменные сети, модифицирует текст и заголовок почтовых сообщений. В самом письме, кстати, рассказывается, что это самый-самый последний патч от Microsoft, который надо срочно поставить. Ну и до кучи после заражения обращается к счетчику на некоем веб-сайте, накрутив к данному моменту уже полтора миллиона сообщений.
Лично я за последнюю пару дней огреб в свою папку Possible spam уже несколько десятков этого счастья и могу подтвердить, что текст писем действительно слегка меняется. Правда, называть простую рандомизацию фрагментов текста высокой степенью полиморфизма, как это уже сделали некоторые эксперты, я бы не стал.
> Похоже ета гадости использует информацию из спаммерских > баз, > Ко мне сначала приходили письма только на засвеченные > адреса E-mail Это потому, что свеченные емели с гораздо большей вероятностью будут находиться в адресных книгах незнакомых людей, чем личные. И только когда заразились знакомые, червяк начнет присылаться на личные адреса.
ЗЫ: как вариант, использовать не адресную книгу, а MRU list с адресами (который бат например использует для автозаполнения адреса)
Ну, это же не червяк И не вирус.21.09.03 10:23 Автор: Zef <Alloo Zef> Статус: Elderman
И те и другие заражают компы без участия человека. Это лохотрон. Или, давайте придумаем какой-нить аналогичный термин, чтобы не путать божий дар с яичницей.
Это вирус21.09.03 12:31 Автор: amirul <Serge> Статус: The Elderman
> И те и другие заражают компы без участия человека. Это > лохотрон. Или, давайте придумаем какой-нить аналогичный > термин, чтобы не путать божий дар с яичницей. Пока нет точного определения вируса. Единственной однозначной характеристикой вируса является его размножение без ведома пользователя (то бишь бесконтрольное). А использует он дырку в софте или в мозгах - его личное дело. В данном случае пользователь не знает, что его действия приведут к размножению вируса, так что под единственное более-менее приемлимое определение вируса он попадает.
То, что определения нет, не значит, что оно не нужно22.09.03 03:58 Автор: Zef <Alloo Zef> Статус: Elderman
> И вообще, распространение прог, юзающих "дырку в мозгах" > 100%-но подпадает под юридическое понятие "мошенничество". А эта прога распространяется все таки сама, как и все вирусы.
Насчет определения вирусов. Я встречал несколько попыток определения, но все они болеют одной из двух болезней:
1) Недоопределение - не все вирусы попадают под такое определение (например, вредоносное воздействие)
2) Переопределение - вне зависимости от того, охватываются ли все вирусы, под это определение попадают валидные программы (например, модификация кода программ: всевозможные патчи и апдейты определенно не являются вирусами)
Повторюсь, в любом определении вируса, кроме собственно самораспространения можно найти одну или другую болезнь.
ЗЫ: Понятие вредоносных программ гораздо шире. Сюда входят всевозможные трояны, кейлоггеры и т.д., которые определенно не распространяются сами, но наносят вред пользователю. Вот здесь вообще мрак: система удаленного администрирования или мониторинговая программа, установленная администратором системы - не вредоносная, а если она же установлена злоумышленником без ведома администратора (или даже пользователя) - это вредоносный код.
Тогда и МММ - вирус.23.09.03 04:19 Автор: Zef <Alloo Zef> Статус: Elderman
> Тот, кто пишет эту муть, знает, что делает, а > еслиутверждать, что мошенник должен знать жертву, то тоже - > не обзательно. Да, тот кто написал мошенник. Но написал он ВИРУС. МММ не распространяла свои копии.
Ну не МММ, а МЛМ тада :)23.09.03 10:02 Автор: whiletrue <Роман> Статус: Elderman
> > Тот, кто пишет эту муть, знает, что делает, а > > еслиутверждать, что мошенник должен знать жертву, то > тоже - > > не обзательно. > Да, тот кто написал мошенник. Но написал он ВИРУС. МММ не > распространяла свои копии.
Т.н. сетевой маркетинг - каждый пытается навязать своих "вирусов" в своей башке...
Я тоже за отдельное название. Путаница иногда происходит.
Если таким рассуждениям следовать то и MSBlaster не червяк и не вирь тк использует дыру в мозгах ламеров - лень и пофигизм, ибо заплатка вышла за месяц до появления виря. Как и все остальные вирусы - еслиб все проверяли дискеты антивирями то тоже было бы меньше проблем. Вобщем если программа попала в AV базу в категории вирусы - значит вирус Ж).
Не демагогия это!23.09.03 13:23 Автор: Zef <Alloo Zef> Статус: Elderman
"Провокация пользователя обманным путем на запуск деструктивного кода" и "Автоматический запуск деструктивного кода на атакуемом компьютере" - вещи и юридически и технически принципиально различные.
Первое вообще не должно квалифицироваться как компьютерное преступление. "Саморазмножающиеся письма" типа "Адна бабка, нах, таргавала паленой водкой..." и по бумажной почте приходят. Это спам и мошенничество.
И еще: настоящие вири юзают "дыры" еще до появления патчей, как раз, наоборот, патч является следствием появления виря.
а если проги сами себя распространяют?22.09.03 04:47 Автор: Killer{R} <Dmitry> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
