информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Сетевые кракеры и правда о деле ЛевинаВсе любят медАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Имя компании как средство XSS-атаки 
 Утекший код XP и Windows Server... 
 Дела виртуальные 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2004 / январь
2004
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость





Эпидемия вируса Novarg
ZloyShaman // 27.01.04 12:46
Новый почтовый вирус активно распространяется по сети.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2004/01/38.html]
Рассылается он в присоединенных файлах с расширением .exe, .scr, .zip или .pif. В заголовке письма часто стоят слова "test" или "status." Запущенный вирус рассылает себя по всем e-mail-адресам, содержащимся в компьютере жертвы. Последствия его деятельности - сбои в работе почтовых серверов и резкому увеличению сетевого трафика, особенно - в сетях крупных корпораций.

Источник: lenta.ru      
предложить новость  |  обсудить  |  все отзывы (8) [5699]
назад «  » вперед

последние новости
Имя компании как средство XSS-атаки // 30.10.20 17:01
Утекший код XP и Windows Server удалось собрать // 01.10.20 01:40
Дела виртуальные // 30.09.20 22:36
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50

Комментарии:

кто просветит!? 30.01.04 13:52  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
пришел он мне на почту (Майкрософт аутлук), я его открыл - знакомый обратный адрес был.. Там зип приаттачен. Я его каспером - ничего.. распаковал :) там пиф - я его тоже каспером - тоже ничего.. пиф трогать не стал, удалил все в корзину (вин98). параллельно по телеку услышал про вирус, полез каспера обновлять (моим текущим обновлениям было два-три дня..), так мне файрволл аутпост показал, что просится удаленное соединение (не одно, сотни.. всем отказываю), куча попыток соединения с адресами, начинающимися на 33 (я так понял, это сервер майкрософт или sco), обновляю каспера, отрубаюсь от инета, начинаю сканить. Находит он в корзине этого виря, корзину очищаю, смотрю реестр - taskmon, ctfmon и что там еще было - все чисто. При соединением с инетом все "подозрительные" попытки соединений пропали.. Было мнение, что у виря аутпост "предусмотрен", но оказалось нет. короче, все чисто (напомню, что pif я не запускал). вопрос - почему наблюдались попытки соединения только в один сеанс?
Куда просится? На какой порт(ы)? 30.01.04 14:10  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> полез каспера обновлять (моим текущим обновлениям было
> два-три дня..), так мне файрволл аутпост показал, что
> просится удаленное соединение (не одно, сотни.. всем
Куда просится? На какой порт(ы)?

> отказываю), куча попыток соединения с адресами,
> начинающимися на 33 (я так понял, это сервер майкрософт или
> sco), обновляю каспера, отрубаюсь от инета, начинаю
Откуда такая уверенность? айпишники можешь показать?
Может, это как раз сайт с апдейтами Касперского был?-)

> сканить. Находит он в корзине этого виря, корзину очищаю,
> смотрю реестр - taskmon, ctfmon и что там еще было - все
> чисто. При соединением с инетом все "подозрительные"
> попытки соединений пропали.. Было мнение, что у виря
> аутпост "предусмотрен", но оказалось нет. короче, все чисто
Что ты имеешь ввиду под словом "предусмотрен"?
Описание "I-Worm.Mydoom.a"
http://www.viruslist.com/viruslist.html?id=144488783

> (напомню, что pif я не запускал). вопрос - почему
> наблюдались попытки соединения только в один сеанс?
ХЗ, информации маловато....
вот и лог.. 31.01.04 11:23  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
21:50:27 SYSTEM TCP 38.115.4.217 4872 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 38.115.4.151 3981 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 65.95.118.118 4117 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 38.115.4.132 2176 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.62 1808 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.204 2996 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.31 2293 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.205 2087 Отклонить соединение на порт, открытый системой
21:50:21 SYSTEM TCP 38.115.4.60 3951 Отклонить соединение на порт, открытый системой
21:50:21 SYSTEM TCP 38.115.4.217 3912 Отклонить соединение на порт, открытый системой
21:50:20 SYSTEM TCP 38.115.4.163 WINS Отклонить соединение на порт, открытый системой
21:50:19 SYSTEM TCP 38.115.4.76 4189 Отклонить соединение на порт, открытый системой
21:50:18 SYSTEM TCP 38.115.2.110 2710 Отклонить соединение на порт, открытый системой
21:50:18 SYSTEM TCP 38.115.4.38 1386 Отклонить соединение на порт, открытый системой
21:50:17 SYSTEM TCP 38.115.2.105 1508 Отклонить соединение на порт, открытый системой
21:50:17 SYSTEM TCP 38.115.4.13 4618 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.2.101 4783 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 69.37.121.56 4122 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.4.64 1239 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.4.207 2691 Отклонить соединение на порт, открытый системой
21:50:15 SYSTEM TCP 38.115.4.86 4606 Отклонить соединение на порт, открытый системой

...и тд.)
Куда просится? На какой порт(ы)? 30.01.04 14:44  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > полез каспера обновлять (моим текущим обновлениям было
> > два-три дня..), так мне файрволл аутпост показал, что
> > просится удаленное соединение (не одно, сотни.. всем
> Куда просится? На какой порт(ы)?
тисипишные свыше тысячи.. разные, четырех- и пятизначные.

> > отказываю), куча попыток соединения с адресами,
> > начинающимися на 33 (я так понял, это сервер
> майкрософт или
> > sco), обновляю каспера, отрубаюсь от инета, начинаю
> Откуда такая уверенность? айпишники можешь показать?
> Может, это как раз сайт с апдейтами Касперского был?-)
могу показать лог аутпоста (только через пять-шесть часов, нахожусь не дома%( ) айпи по большей части отличаются последними цифрами, но попадаются и одинаковые.. были и начинающиеся на 64..

> > сканить. Находит он в корзине этого виря, корзину
> очищаю,
> > смотрю реестр - taskmon, ctfmon и что там еще было -
> все
> > чисто. При соединением с инетом все "подозрительные"
> > попытки соединений пропали.. Было мнение, что у виря
> > аутпост "предусмотрен", но оказалось нет. короче, все
> чисто
> Что ты имеешь ввиду под словом "предусмотрен"?
> Описание "I-Worm.Mydoom.a"
> http://www.viruslist.com/viruslist.html?id=144488783
спасибо, ссылку читал.. предусмотрен - как предусмотрен вирусом (посредством изменения файла hosts) отказ в доступе к апдейту того же каспера и им подобным в случае с модификацией червя
http://www.viruslist.com/viruslist.html?id=144497704

>
> > (напомню, что pif я не запускал). вопрос - почему
> > наблюдались попытки соединения только в один сеанс?
> ХЗ, информации маловато....
вот и я задумался..:)
а мне дак нравится этот микроорганизм, нравится в чистоте,... 30.01.04 09:18  
Автор: Fatal Acid Статус: Незарегистрированный пользователь
<"чистая" ссылка>
а мне дак нравится этот микроорганизм, нравится в чистоте, лаконичности и идей вложенных авторами в данный шедевр.... хотя хорошего он ничего не несет (красота наблюдается кады смотриш на его внутренности, в асмом коде, ну просто конфетка, а как скрывается от трайсеров, и с шифрайцией нехило, а про то как юзает винсок ваше клево). Жаль что такие умы выкладывают свои таланты в такие немного неприятные веши
Да ну, обычный червяк, каких сейчас сотни. 01.02.04 12:04  
Автор: :-) <:-)> Статус: Elderman
<"чистая" ссылка>
Да ну, обычный червяк, каких сейчас сотни.
Klez и тот был поинтереснее.
А шумиха, которая поднялась - заслуга спамеров, его разославших, а не авторов-программеров.
"Нехилого шифрования" я что-то там не увидел. Надеюсь, ты не имел ввиду rot13 и xor =)
Насчет лаконичности кода тоже можно поспорить. Не думаю, что это очень лаконично писать
if (strchr("ABCDEFGHIJKLMNOPQRSTUVWXYZ", c))
вместо
if (c >= 'A' && c <= 'Z')
заколебал меня этот Novarg за сегодняшнее утро 27.01.04 15:22  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Около 500 писем пришло от него за утро и от антивирей которые ругались что мол я его слал комуто. Ща вроде стихло - видно на почтовике антивирус обновили.
угу. 500 контактов в час. млин, спасибо касперу на почтовике 28.01.04 10:42  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach