информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Куда просится? На какой порт(ы)? 30.01.04 14:44  Число просмотров: 1430
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > полез каспера обновлять (моим текущим обновлениям было
> > два-три дня..), так мне файрволл аутпост показал, что
> > просится удаленное соединение (не одно, сотни.. всем
> Куда просится? На какой порт(ы)?
тисипишные свыше тысячи.. разные, четырех- и пятизначные.

> > отказываю), куча попыток соединения с адресами,
> > начинающимися на 33 (я так понял, это сервер
> майкрософт или
> > sco), обновляю каспера, отрубаюсь от инета, начинаю
> Откуда такая уверенность? айпишники можешь показать?
> Может, это как раз сайт с апдейтами Касперского был?-)
могу показать лог аутпоста (только через пять-шесть часов, нахожусь не дома%( ) айпи по большей части отличаются последними цифрами, но попадаются и одинаковые.. были и начинающиеся на 64..

> > сканить. Находит он в корзине этого виря, корзину
> очищаю,
> > смотрю реестр - taskmon, ctfmon и что там еще было -
> все
> > чисто. При соединением с инетом все "подозрительные"
> > попытки соединений пропали.. Было мнение, что у виря
> > аутпост "предусмотрен", но оказалось нет. короче, все
> чисто
> Что ты имеешь ввиду под словом "предусмотрен"?
> Описание "I-Worm.Mydoom.a"
> http://www.viruslist.com/viruslist.html?id=144488783
спасибо, ссылку читал.. предусмотрен - как предусмотрен вирусом (посредством изменения файла hosts) отказ в доступе к апдейту того же каспера и им подобным в случае с модификацией червя
http://www.viruslist.com/viruslist.html?id=144497704

>
> > (напомню, что pif я не запускал). вопрос - почему
> > наблюдались попытки соединения только в один сеанс?
> ХЗ, информации маловато....
вот и я задумался..:)
<site updates>
Эпидемия вируса Novarg 27.01.04 12:46  
Publisher: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Эпидемия вируса Novarg
lenta.ru http://lenta.ru/internet/2004/01/27/new/

Новый почтовый вирус активно распространяется по сети. Рассылается он в присоединенных файлах с расширением .exe, .scr, .zip или .pif. В заголовке письма часто стоят слова "test" или "status." Запущенный вирус рассылает себя по всем e-mail-адресам, содержащимся в компьютере жертвы. Последствия его деятельности - сбои в работе почтовых серверов и резкому увеличению сетевого трафика, особенно - в сетях крупных корпораций.


Полный текст
кто просветит!? 30.01.04 13:52  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
пришел он мне на почту (Майкрософт аутлук), я его открыл - знакомый обратный адрес был.. Там зип приаттачен. Я его каспером - ничего.. распаковал :) там пиф - я его тоже каспером - тоже ничего.. пиф трогать не стал, удалил все в корзину (вин98). параллельно по телеку услышал про вирус, полез каспера обновлять (моим текущим обновлениям было два-три дня..), так мне файрволл аутпост показал, что просится удаленное соединение (не одно, сотни.. всем отказываю), куча попыток соединения с адресами, начинающимися на 33 (я так понял, это сервер майкрософт или sco), обновляю каспера, отрубаюсь от инета, начинаю сканить. Находит он в корзине этого виря, корзину очищаю, смотрю реестр - taskmon, ctfmon и что там еще было - все чисто. При соединением с инетом все "подозрительные" попытки соединений пропали.. Было мнение, что у виря аутпост "предусмотрен", но оказалось нет. короче, все чисто (напомню, что pif я не запускал). вопрос - почему наблюдались попытки соединения только в один сеанс?
Куда просится? На какой порт(ы)? 30.01.04 14:10  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> полез каспера обновлять (моим текущим обновлениям было
> два-три дня..), так мне файрволл аутпост показал, что
> просится удаленное соединение (не одно, сотни.. всем
Куда просится? На какой порт(ы)?

> отказываю), куча попыток соединения с адресами,
> начинающимися на 33 (я так понял, это сервер майкрософт или
> sco), обновляю каспера, отрубаюсь от инета, начинаю
Откуда такая уверенность? айпишники можешь показать?
Может, это как раз сайт с апдейтами Касперского был?-)

> сканить. Находит он в корзине этого виря, корзину очищаю,
> смотрю реестр - taskmon, ctfmon и что там еще было - все
> чисто. При соединением с инетом все "подозрительные"
> попытки соединений пропали.. Было мнение, что у виря
> аутпост "предусмотрен", но оказалось нет. короче, все чисто
Что ты имеешь ввиду под словом "предусмотрен"?
Описание "I-Worm.Mydoom.a"
http://www.viruslist.com/viruslist.html?id=144488783

> (напомню, что pif я не запускал). вопрос - почему
> наблюдались попытки соединения только в один сеанс?
ХЗ, информации маловато....
вот и лог.. 31.01.04 11:23  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
21:50:27 SYSTEM TCP 38.115.4.217 4872 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 38.115.4.151 3981 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 65.95.118.118 4117 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 38.115.4.132 2176 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.62 1808 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.204 2996 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.31 2293 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.205 2087 Отклонить соединение на порт, открытый системой
21:50:21 SYSTEM TCP 38.115.4.60 3951 Отклонить соединение на порт, открытый системой
21:50:21 SYSTEM TCP 38.115.4.217 3912 Отклонить соединение на порт, открытый системой
21:50:20 SYSTEM TCP 38.115.4.163 WINS Отклонить соединение на порт, открытый системой
21:50:19 SYSTEM TCP 38.115.4.76 4189 Отклонить соединение на порт, открытый системой
21:50:18 SYSTEM TCP 38.115.2.110 2710 Отклонить соединение на порт, открытый системой
21:50:18 SYSTEM TCP 38.115.4.38 1386 Отклонить соединение на порт, открытый системой
21:50:17 SYSTEM TCP 38.115.2.105 1508 Отклонить соединение на порт, открытый системой
21:50:17 SYSTEM TCP 38.115.4.13 4618 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.2.101 4783 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 69.37.121.56 4122 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.4.64 1239 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.4.207 2691 Отклонить соединение на порт, открытый системой
21:50:15 SYSTEM TCP 38.115.4.86 4606 Отклонить соединение на порт, открытый системой

...и тд.)
Куда просится? На какой порт(ы)? 30.01.04 14:44  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > полез каспера обновлять (моим текущим обновлениям было
> > два-три дня..), так мне файрволл аутпост показал, что
> > просится удаленное соединение (не одно, сотни.. всем
> Куда просится? На какой порт(ы)?
тисипишные свыше тысячи.. разные, четырех- и пятизначные.

> > отказываю), куча попыток соединения с адресами,
> > начинающимися на 33 (я так понял, это сервер
> майкрософт или
> > sco), обновляю каспера, отрубаюсь от инета, начинаю
> Откуда такая уверенность? айпишники можешь показать?
> Может, это как раз сайт с апдейтами Касперского был?-)
могу показать лог аутпоста (только через пять-шесть часов, нахожусь не дома%( ) айпи по большей части отличаются последними цифрами, но попадаются и одинаковые.. были и начинающиеся на 64..

> > сканить. Находит он в корзине этого виря, корзину
> очищаю,
> > смотрю реестр - taskmon, ctfmon и что там еще было -
> все
> > чисто. При соединением с инетом все "подозрительные"
> > попытки соединений пропали.. Было мнение, что у виря
> > аутпост "предусмотрен", но оказалось нет. короче, все
> чисто
> Что ты имеешь ввиду под словом "предусмотрен"?
> Описание "I-Worm.Mydoom.a"
> http://www.viruslist.com/viruslist.html?id=144488783
спасибо, ссылку читал.. предусмотрен - как предусмотрен вирусом (посредством изменения файла hosts) отказ в доступе к апдейту того же каспера и им подобным в случае с модификацией червя
http://www.viruslist.com/viruslist.html?id=144497704

>
> > (напомню, что pif я не запускал). вопрос - почему
> > наблюдались попытки соединения только в один сеанс?
> ХЗ, информации маловато....
вот и я задумался..:)
а мне дак нравится этот микроорганизм, нравится в чистоте,... 30.01.04 09:18  
Автор: Fatal Acid Статус: Незарегистрированный пользователь
<"чистая" ссылка>
а мне дак нравится этот микроорганизм, нравится в чистоте, лаконичности и идей вложенных авторами в данный шедевр.... хотя хорошего он ничего не несет (красота наблюдается кады смотриш на его внутренности, в асмом коде, ну просто конфетка, а как скрывается от трайсеров, и с шифрайцией нехило, а про то как юзает винсок ваше клево). Жаль что такие умы выкладывают свои таланты в такие немного неприятные веши
Да ну, обычный червяк, каких сейчас сотни. 01.02.04 12:04  
Автор: :-) <:-)> Статус: Elderman
<"чистая" ссылка>
Да ну, обычный червяк, каких сейчас сотни.
Klez и тот был поинтереснее.
А шумиха, которая поднялась - заслуга спамеров, его разославших, а не авторов-программеров.
"Нехилого шифрования" я что-то там не увидел. Надеюсь, ты не имел ввиду rot13 и xor =)
Насчет лаконичности кода тоже можно поспорить. Не думаю, что это очень лаконично писать
if (strchr("ABCDEFGHIJKLMNOPQRSTUVWXYZ", c))
вместо
if (c >= 'A' && c <= 'Z')
заколебал меня этот Novarg за сегодняшнее утро 27.01.04 15:22  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Около 500 писем пришло от него за утро и от антивирей которые ругались что мол я его слал комуто. Ща вроде стихло - видно на почтовике антивирус обновили.
угу. 500 контактов в час. млин, спасибо касперу на почтовике 28.01.04 10:42  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach