Дмитровский Форум V2

[gosha]

В интернете началась глобальная эпидемия нового опасного червя Mydoom, известного также под названием Novarg. Специалисты считают, что он был создан в России. Всего за несколько часов существования эта вредоносная программа поразила порядка 300 тысяч компьютеров по всему миру.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки "тема", 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем. В сети KaZaA Novarg присутствует под различными именами (например, winamp5, icq2004-final) и с различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения. Сразу же после запуска Novarg открывает текстовый редактор Notepad и показывает произвольный набор символов. Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем Novarg начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

Novarg содержит весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы. В-третьих, в Novarg заложена функция организации DoS-атаки на сайт www.sco.com. Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

[MatriX]

Taskmon.exe итак присутствует в директории windows, как определить червивый он или нет?

[УХ]

Че за фигня? Мне сегодня на мкомм-ский ящик пришло 13 писем неопределенного характкра и все со вложенными файлами явно вирусняк!!! Работники Мкомма примите во внимание данный факт!!!

[bart]

та же фигня
только не так много
всего 2

[NEX]

как их отловить то?
у меня тоже писем 5 пришло

[Joe_Narn]

Одно всего.

[DievSE]

Какие у вас варианты строки "тема"?

[Joe_Narn]

Mail Delivery Sistem. Адрес: Alimov-vp@rambler.ру.

[DievSE]

А ты такова чела знаешь?

[Joe_Narn]

Вообще без понятия. В письме какаято вкладка с текстовым файлом, но она заархивирована. Может оно и к лучшему?

[gosha]

Еще раз для тех кто в танке, вирус рассылает себя вставляя в поле "От кого" чужие email адреса, так что пользователи от который Вы получаете эти письма даже не в курсе. Лично на меня "отплюнулось" около 40 писем за день, как будто я отсылаю эти файлы. По заголовска rfc-822 можно определить что это делал не я. Вообще в нашей сети пока за реальное распространение этого вируса отключен один абонент. Но думаю это только начало, изза Вашей же халатности и безграмотности (использование продукции Microsoft и плохим обновлениям ее различными патчами) этот вирус путешествует по сети. Будьте бдительны, админ не дремлет.

[УХ]

Mail Delivery Sistem. Адрес: Alimov-vp@rambler.ру.

У меня таой же был. Все вложения зазипованы!!! Естественно, желание распаковать их у меня не появилось...

[DievSE]

У меня все чисто.

[BL{O_o}D]

у меня кстати тоже...

[Joe_Narn]

Еще два, с других адресов. Потер их нах...

[NEX]

далана.. у меня такое было уже месяца 4 назад.
недели 2 присылали по полмега в час, уроды

[Joe_Narn]

Пришло такое сообщение:
User [email protected] sent to you mail with virus.
-------------------------------------
KAV report:
-------------------------------------
uasj.zip архив: ZIP
uasj.zip/uasj.txt .exe упакован UPX
uasj.zip/uasj.txt .exe заражен: I-Worm.Novarg

-------------------------------------
This message redirect to [email protected]

И как это понимать. Вкладка присутствует.

[NEX]

мне ща тока что пришла почта с темой TEST и Document.zip точно как по телеку говорят...

[Joe_Narn]

мне ща тока что пришла почта с темой TEST и Document.zip точно как по телеку говорят...

Итакая фигня пришла.

[PS]

Вирусные новости. 28 января 2004

1. Бесплатная утилита для лечения "Novarg" ("Mydoom")

В связи с многочисленными случаями заражения сетевым червем "Novarg" ("Mydoom"), "Лаборатория Касперского" разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы.

Утилита CLRAV производит поиск и нейтрализацию червя в оперативной памяти и жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows.

Помимо "Novarg" ("Mydoom") данная утилита эффективно борется с другими вредоносными программами, в том числе "Klez", "Lentin", "Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV будет особенно полезен пользователям других антивирусных программ, которые могут некорректно обнаруживать и удалять "Novarg".

При запуске данной утилиты "Лаборатория Касперского" рекомендует закрыть все активные приложения. По окончании ее работы необходимо перезагрузить компьютер и запустить антивирусный сканер для полномасштабной проверки компьютера.

Вы можете загрузить утилиту CLRAV по адресу:
ftp://ftp.kaspersky.com/utils/clrav.zip
___________________________________________________

Также можно взять локально на 10.10.7.12

[PS]

Для тех у кого аллергия на продукты Касперского есть программка от Symantec

[DievSE]

Вы где почту регистрировали? У меня 2 ящика на mail.ru. И все у чисто

[NEX]

у меня на dmitrow (sabaka) dmitrow.ru приходит куча спама

утилитку скачал, на компе ниего не нашли ;Ф)

[DievSE]

А ты свои адресса где-нибудь светил, может что регистрировал или еще что?

[BL{O_o}D]

у меня мкомм.ру , дмитров.инфо, дмитров.ком , майл.ру...
и все нормально