Pages in topic:   [1 2] >
Novarg & Mydoom - отшен опастные вирусы!!!
Thread poster: ttagir

ttagir  Identity Verified
Local time: 12:46
Member (2002)
English to Russian
+ ...
Jan 27, 2004

27 ночью началась массовая рассылка (уже поражены миллионы компов по всему белу свету...) новой версии Novarg свежего вируса Mydoom...
Ниже некоторые их свойства и лечение (Kaspersky, как всегда, уже выпустил лекарства!).

I-Worm.Novarg
Вирус-червь. Также известен как Mydoom.
Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB. Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.
Часть тела вируса зашифрована.
Инсталляция: После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.
При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSoftwareMicrosoftWindows CurrentVersionRun]"TaskMon" = "%System%taskmon.exe"
Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:
[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
"(Default)" = "%SysDir%shimgapi.dll"
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe". Также червь создает файл "Message" во временном каталоге системы (обычно, %windirtemp). Данный файл содержит произвольный набор символов.
Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".

Рассылка писем: При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя. Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:
asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt

и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu". {вот второй половине сегодняшнего дня по Гринвичу этот "недостаток" уже "преодолен"...}
Содержание зараженных писем
Адрес отправителя:
[произвольный]
Тема письма выбирается произвольно из списка:
test
hi (HI)
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Тело письма выбирается произвольно из списка:
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body

Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

Размножение через P2P:
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:
bat
exe
scr
pif

Прочее:
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.
В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.

Одиин ищз "тупых" способов лечения - запустив машину в режиме "команд промпт онли" в ДОСе зайти в windows/system и именно там удалить оба файла
taskmon.exe
и
shimgapi.dll
Затем следуют несколько перезапусков машины с отслеживанием того, что именно творится в windows/ system.
Всю почту с аттачментами и темами-названиями (см выше) удалять НЕ ОТКРЫВАЯ!!!
Особенно внимательно смотреть на состояние системы к 1 февраля и до 12 февраля.
Касперский (www.avp.ru) содержит отслыку на вируслист.ру, с которой эта информация и была скопирована.
ВСЕМ НЕ БОЛЕТЬ!!!
Ваш Тагир.


Direct link Reply with quote
 
xxxIreneN
United States
Local time: 04:46
English to Russian
+ ...
Тагир, подскажите, плиз Jan 27, 2004

Как Касперский работает с XP Home Edition? Если только меня не дезинформировали когда-то, у меня были сведения, что вначале он не сразу подтянулся, даже в магазите питерском говорили, что не будет фунциклировать с ХР. А как теперь?

Direct link Reply with quote
 

Nikita Kobrin  Identity Verified
Lithuania
Local time: 12:46
Member (2010)
English to Russian
+ ...
Спасибо, Тагир! Jan 27, 2004

Я сегодня уже два таких получил.

Direct link Reply with quote
 

Nik-On/Off  Identity Verified
Ukraine
Local time: 12:46
English to Russian
+ ...
А вот и антивирусочек Jan 27, 2004

http://www3.ca.com/Files/VirusInformationAndPrevention/clnshimg.zip

Direct link Reply with quote
 

Uldis Liepkalns  Identity Verified
Latvia
Local time: 12:46
Member (2003)
English to Latvian
+ ...
U menja XP Pro Jan 27, 2004

KAV 4.0, skazjem, nu, nje konfljiktoval, no bivalji otdjeljnije gljuki. Seichas u menja stoit KAV 4.5- no problems.

Uldis
IreneN wrote:

Как Касперский работает с XP Home Edition?


Direct link Reply with quote
 

Vladimir Dubisskiy  Identity Verified
United States
Local time: 04:46
Member (2001)
English to Russian
+ ...
Спасибо, Тагир! Jan 28, 2004

Получил два послания с этим ...
Слава Богу, что не открыл. Доложу, что у меня РС-циллин от Тренда. Сразу доложил мне о заразе и приложения уничтожил. Сразу я вспомнил, как "жаба давила" 43 дол. "выбрасывать" за версию 2004.

Всем - чистых компов!


Direct link Reply with quote
 

ttagir  Identity Verified
Local time: 12:46
Member (2002)
English to Russian
+ ...
TOPIC STARTER
еще одна ссылочка Jan 28, 2004

Вот она
http://www.kcn.ru/tat_ru/universitet/FxNovarg.exe
можно скачать и почистить комп: наши (КГУшные) сисадмины самиые сисадминистые сисадмины на территории РФ:)!!!
Yours
T.
PS. Всем большое и глубокое пожалуйста и чистеньких системок!
Т.


Direct link Reply with quote
 

ttagir  Identity Verified
Local time: 12:46
Member (2002)
English to Russian
+ ...
TOPIC STARTER
Приветы правильной жабе:) Jan 28, 2004

Vladimir Dubisskiy wrote:
... Сразу я вспомнил, как "жаба давила" 43 дол. "выбрасывать" за версию 2004.

И правильная жаба-то, Володя, была, не ругай ее, экономку:). Бережливая вполне. Ибо эта зараза появилась 27 января, и вский, кто купил фактицки ЛЮБОЙ антивир 26-го, мог спокойно ее запоиметь скоко хошь раз 27-го с ночи...:)
Берегите жаб, люди!:)
Yours
T.


Direct link Reply with quote
 
xxxIreneN
United States
Local time: 04:46
English to Russian
+ ...
Улдис, Тагир, спасибо! Jan 28, 2004



Direct link Reply with quote
 
Vladimir Lioukaikine  Identity Verified
Local time: 13:46
Russian
+ ...
Внимание, эпидемия! Обнаружена новая версия червя "Mydoom" ("Novarg") Jan 28, 2004

От Касперского информбюро:


"Внимание, эпидемия! Обнаружена новая версия червя "Mydoom" ("Novarg")

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама сообщает об обнаружении новой
версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".

На данный момент уже поступили сообщения о случаях заражения этой
вредоносной программой. "Лаборатория Касперского" допускает, что для
распространения "Mydoom.B" были использованы компьютеры, зараженные
предыдущей версией червя (на данный момент их число достигает 600 000
единиц). Возможно, они получили централизованную команду начать рассылку
"Mydoom.B". По этой причине не исключено, что в ближайшие часы начнется
новая вирусная эпидемия, по масштабам многократно превосходящая
"Mydoom.A".

Новая версия червя содержит минимум технологических отличий. Она
также распространяется по электронной почте и файлообменной сети KaZaA.
При e-mail рассылке используется другой набор текстовых строк для
создания тела письма. Файл-носитель червя имеет размер около 28 килобайт
и содержит текстовую строку "sync-1.01; andy; I'm just doing my job,
nothing personal, sorry". "Mydoom.B" в период с 1 по 12 февраля проводит
DDoS-атаку сразу на два веб-сайта: www.sco.com и www.microsoft.com.

Кроме того, червь модифицирует операционную систему таким образом,
что пользователь зараженного компьютера не в состоянии соединиться с
сайтами многих антивирусных компаний, новостными лентами, различными
разделами сайта Microsoft и загружать данные из баннерных сетей.

Защита от "Mydoom.B" уже добавлена в базу данных Антивируса
КасперскогоR.

Более подробная информация о данной вредоносной программе доступна в
Вирусной Энциклопедии Касперского
(http://www.viruslist.com/viruslist.html?id=144497704).

===========


Бесплатная утилита для лечения "Novarg" ("Mydoom")

В связи с многочисленными случаями заражения сетевым червем "Novarg"
("Mydoom"), "Лаборатория Касперского" разработала бесплатную утилиту для
обнаружения и удаления данной вредоносной программы.

Утилита CLRAV производит поиск и нейтрализацию червя в оперативной
памяти и жестком диске зараженного компьютера, а также восстанавливает
оригинальное содержимое системного реестра Windows.

Помимо "Novarg" ("Mydoom") данная утилита эффективно борется с
другими вредоносными программами, в том числе "Klez", "Lentin",
"Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV будет
особенно полезен пользователям других антивирусных программ, которые
могут некорректно обнаруживать и удалять "Novarg".

При запуске данной утилиты "Лаборатория Касперского" рекомендует
закрыть все активные приложения. По окончании ее работы необходимо
перезагрузить компьютер и запустить антивирусный сканер для
полномасштабной проверки компьютера.

Вы можете загрузить утилиту CLRAV по адресу:
ftp://ftp.kaspersky.com/utils/clrav.zip"

Конец цитаты.


Direct link Reply with quote
 
Vladimir Lioukaikine  Identity Verified
Local time: 13:46
Russian
+ ...
Или - или Jan 28, 2004

Или я, или Windows... Таков, на мой взгляд, принцип работы Касперского, независимо от версии системы (95, ME, XP, Server2003 etc.). Вешает все наглухо. Тянет одеяло (ресурсы) на себя, и делиться ни с кем не хочет. Посему включаю монитор (проверку в реальном времени) только в "критические дни".

Обещали его "облегчить" в версии 4.5., но с облегчением вышло не очень

Говорят, что 5-я версия для Linux/Unix работает без проблем, сам не проверял.

Кстати, на прошлой неделе лаборатория заявила о начале бета-тестирования Антивируса Касперского Personal 5.0 для Windows Desktops - можете подключиться. Там и призы дают лучшему тестеру

"Наиболее активные участники программы будут награждены бесплатными
коммерческими версиями антивирусных программ "Лаборатории Касперского"".

http://www.kaspersky.ru/beta.html?product=144623081


IreneN wrote:

Как Касперский работает с XP Home Edition? Если только меня не дезинформировали когда-то, у меня были сведения, что вначале он не сразу подтянулся, даже в магазите питерском говорили, что не будет фунциклировать с ХР. А как теперь?


Direct link Reply with quote
 

Elena Volkovaya  Identity Verified
United Kingdom
Local time: 10:46
English to Russian
+ ...
Спасибо, Тагир Jan 28, 2004

И мы с этим сегодня столкнулись. Хорошо, антивирус вовремя среагировал.

Direct link Reply with quote
 

ttagir  Identity Verified
Local time: 12:46
Member (2002)
English to Russian
+ ...
TOPIC STARTER
Ну вот, началось... Jan 31, 2004

...гугль накрылся медным, процентов 50 штатовских сайтов недостижимы (все с мейлавтоматами, похоже, или гикаются, или же их специально отключили)...
А вот ПроЗ-то, ай молодца! пашет и пашет! Между прочим, инженеры и сисадмины на сайте ВЕЛИКОЛЕПНЫЕ (прикиньте, люди, скоко почты за сутки прокачивается через сайт, родной Куды! и все без вирусяк!). Я также верю, что политику жесткой конфиденциальности хранения личной информации сайт держит постоянно и на самом высоком уровне.
Насчет Каспера, кто телик смотрит изредка (в частности, НТВ и еще пара каналов), тот Евгения мог лицезреть самостоятельно и в живом эфире.:) Кстати, еще и потому, что касперские ребята раньше всех эту заразу отловили и сделали этому вирусу зажигалку-запалилку навылет:).
Насчет "сожрания ресурсов", так это обычно бывает тогда, когда не совсем хорошо прописаны конфиг и аутоикзек, ось кривовата, сервпак и дрова староваты или память нехорошо эксплуатируется (скажем, видел я однажды любителя посадить на 32-метровую бОшку 2000 офис со всеми прибамбасами под управлением ХиПишной винды... у него еще автоматом висело программок 8 в РАМе с запуска, да и его реальную РАМу жрали какие-то дрова от недописанных стрелялок...) Если РАМа меньше 256, то жаловаться на плохую систему распределения ресурсов теперь уже в приличном обчестве и нельзя:))) Еще один момент: самое милое дело все же ставить не пиратские оси и проги, и проводить все-же анализ запуска винды...
Линус это очень хорошо, но только под него софтин все еще мало. Есть САНовские офис-эпликейшнс, это тоже очень хорошо, но... Вот сейчас только кончил делать редактуру одного ПДФа (24 метра). А где заново брать весь непаленый софт при уходе на Линух или под приклады САНа? Во сколько это все выльется? И на сколько всего это хватит? Сейчас у меня стоит софта тонны на 2-3 (хоть что-то и покупалось 7 дет тому назад). Отыскивать еще тонну на новый софт и бросать весь чемодан в кусты? Да у него кожа натуральная, все ручки на месте, да и вместимость вполне приличная:):)! А на Линуксе тоже прекрасно черви живут. И вполне даже быстро распротраняются. Оно, конечно, эх бы, САНовскую бы машинку бы поставить, да и работать на последней соляре и весь софт иметь "энтерпрайз/корпорейте эдишн"... Но тогда это уже не переводчество будет, а чистый сисадмин:):):)
...Сегодня, вот, 1 февраля уже и пока лишь видится воочию, как эта заразина ломает Инет....
ВСЕМ осторожности, безопасности и компьютерно-грамотных друзей!
Ваш Т.


Direct link Reply with quote
 
xxxkire
Russian to English
+ ...
ну, не сейте панику :) Feb 1, 2004

ttagir wrote:

...гугль накрылся медным, процентов 50 штатовских сайтов недостижимы (все с мейлавтоматами, похоже, или гикаются, или же их специально отключили)...


У меня все прекрасно работает, ни одного сбоя. И Гугл ничем не накрылся


Direct link Reply with quote
 

Nikita Kobrin  Identity Verified
Lithuania
Local time: 12:46
Member (2010)
English to Russian
+ ...
Re: А где заново брать весь непаленый софт при уходе на Линух или под приклады САНа? Feb 1, 2004

Тагир,

А нельзя чуточку упростить язык ваших постингов? Адаптировать, так сказать, для чайников. А то у меня ум за разум заходит, когда я вас читаю. Впору помещать многие слова и выражения для рассмотрения в Кудозе, но нет там еще такой пары "Хакерский > Русский"

НК


Direct link Reply with quote
 
Pages in topic:   [1 2] >


To report site rules violations or get help, contact a site moderator:


You can also contact site staff by submitting a support request »

Novarg & Mydoom - отшен опастные вирусы!!!

Advanced search


Translation news in Russian Federation





memoQ translator pro
Kilgray's memoQ is the world's fastest developing integrated localization & translation environment rendering you more productive and efficient.

With our advanced file filters, unlimited language and advanced file support, memoQ translator pro has been designed for translators and reviewers who work on their own, with other translators or in team-based translation projects.

More info »
Déjà Vu X3
Try it, Love it

Find out why Déjà Vu is today the most flexible, customizable and user-friendly tool on the market. See the brand new features in action: *Completely redesigned user interface *Live Preview *Inline spell checking *Inline

More info »



Forums
  • All of ProZ.com
  • Term search
  • Jobs
  • Forums
  • Multiple search