Results 1 to 12 of 12

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1
    Registered User
    Join Date: Dec:2003
    Location: Ïëåâåí
    Posts: 4,191

    Âèðóñíè åïèäåìèè!

     ìðåæàòà ñå ðàçïðîñòðàíÿâà ÷åðâåÿ I-Worm.Bagle. Òåìàòà íà ñúîáùåíèåòî å åäíà è ñúùà - "Hi". ×åðâåÿ ïðåäñòàâëÿâà èçïúëíèì ïîä Windows ôàéë ñ ðàçìåð îêîëî 15 Êá, ïðèëîæåí êúì ïèñìîòî ñ ïðîèçâîëåí àäðåñ íà èçïðàùà÷à. Òðÿáâà äà ñå îòáåëåæè, ÷å òåìàòà íà ñúîáùåíèåòî "Hi", êàêòî è ñúäúðæàíèåòî "Test =)" è ïîäïèñà "Test, yep" ñà íåèçìåííè, äîêàòî èìåòî íà ïðèêà÷åíèÿ ôàéë å ïðîèçâîëíî.
    Íå ñòàðòèðàéòå íèêàêâè ïðèêà÷åíè ôàéëîâå, äîðè è àêî "èçïðàùà÷à" âè å äîáðå ïîçíàò è ìó èìàòå ïúëíî äîâåðèå.
    Ïîäðîáíîñòè òóê - http://www.kaspersky.ru/news.html?id=145194182

    Äà íå ðîâèòå â ëèíêà ãî äàâàì. Ïðåâîä îò DarkLight:

    Ðåãèñòðèðàíà å åïèäåìèÿ íà íîâ ÷åðâåé - I-Worm.Bagle [19.01.2004]

    Ëàáîðàòîÿòà íà Êàñïåðñêè, âîäåù ðóñêè ðàçðàáîò÷èê íà ñèñòåìè çà çàùèòà îò âèðóñè, õàêåðñêè àòàêè è ñïàì, ñúîáùàâà çà îòêðèâàíåòî íà ÷åðâåÿ "I-Worm.Bagle". Âðåäíàòà ïðîãðàìà ñå ðàçïðîñòðàíÿâà ÷ðåç åëåêòðîííàòà ïîùà.  íàñòîÿùèÿ ìîìåíò åêñïåðòèòå ñà ôèêñèðàëè äåñåòêè õèëÿäè ñëó÷àè íà çàðàçÿâàíå ñ òîçè ÷åðâåé â ðàçëè÷íè ñòðàíè, êîåòî ïîçâîëÿâà äà ñå ãîâîðè çà íà÷àëîòî íà ìàùàáíà åïèäåìèÿ

    ×åðâåÿ ïðåäñòàâëÿâà èçïúëíèì ïîä Windows ôàéë ñ ðàçìåð îêîëî 15 Êá, ïðèëîæåí êúì ïèñìîòî ñ ïðîèçâîëåí àäðåñ íà èçïðàùà÷à. Òðÿáâà äà ñå îòáåëåæè, ÷å òåìàòà íà ñúîáùåíèåòî "Hi", êàêòî è ñúäúðæàíèåòî "Test =)" è ïîäïèñà "Test, yep" ñà íåèçìåííè, äîêàòî èìåòî íà ïðèêà÷åíèÿ ôàéë å ïðîèçâîëíî

    Ñëåä ñòàðòèðàíå ÷åðâåÿ ñå êîïèðà â ñèñòåìíàòà äèðåêòîðèÿ íà Windows, ñëåä êîåòî ñå îïèòâà äà çàðåäè è ñòàðòèðà íà çàðàçåíèÿ êîìïþòúð "òðîÿíñêè" ïðîêñè-ñåðâåð Mitglieder. Òîçè ïðîêñè-ñåðâåð ïîçâîëÿâà íà ïîçâîëÿâà çàðàçåíèÿ êîìïþòúð äà ñå èçïîëçâà çà ïî-íàòàòú÷íî ðàçïðîñòðàíÿâàíå íà ïèñìà, ñúäúðæàùè âðåäíèÿ êîä.  íàñòîÿùèÿ ìîìåíò âñè÷êè âðúçêè íà èçòî÷íèöèòå çà çàðåæäàíå íà Mitglieder ñà ïðåìàõíàòè, è "I-Worm.Bagle" íå ìîæå äà èçïîëçâà äàäåíàòà òåõíîëîãèÿ çà óâåëè÷àâàíå íà òåìïîâåòå íà ñàìîðàçïðîñòðàíåíèå.

    Ïî òîçè íà÷èí, â äàäåíèÿ ìîìåíò "I-Worm.Bagle" èçïîëçâà ïðîöåäóðà, ñòàíäàðòíà çà òîçè òèï âðåäíè ïðîãðàìè. Òîé ñêàíèðà ôàéëîâàòà ñèñòåìà íà çàðàçåíèÿ êîìïþòúð, òúðñåéêè ôàéëîâå ñ ðàçøèðåíèå wab, txt, htm, html è r1 è ñå ñàìîèçïðàùà íà âñè÷êè íàìåðåíè â òÿõ å-ìåéë àäðåñè. Çà èçïðàùàíåòî íà ïîùàòà ÷åðâåÿ èçïîëçâà ñîáñòâåí SMTP-ñåðâåð.
    Last edited by Ôèëèïîâ; 2nd February 2004 at 13:41.
    Å íÿìà âñå òÿõíîòî äà å!
    Ñòåíàòà ïàäíà, ùå ïàäíàò è òå!

  2. #2
    Registered User
    Join Date: Dec:2003
    Location: Ïëåâåí
    Posts: 4,191
    Ñëåäâàùàòà åïèäåìèÿ å îò ÷åðâåé, êîéòî ñå êàçâà Novarg I-Worm/Novarg, W32/Mimail.R, W32.Novarg.A@mm, Win32/Mydoom.A@mm, W32/Mydoom.A@mm, Win32/Shimg Ðàçïðîñòðàíÿâà ñå ÷ðåç åëåêòðîíà ïîùà è KaZaA. Çà èíôîðìàöèÿ:

    Êàñïåðñêè Ïàíäà è Viruslist.com
    Íîâà èíôîðìàöèÿ - ìóòàöèè.
    http://securityresponse.symantec.com...r/FxMydoom.exe - èç÷èñòåòå ãî

    Íåçàâèñèìèÿò èçñëåäîâàòåë Juari Bosnikovich juarib@m-net.arbornet.org ïóáëèêóâà íîâè ïîäðîáíîñòè çà ðàçðóøèòåëíîòî äåéñòâèå íà âèðóñà MyDoom.B, êîèòî íå ñà áèëè ïóáëèêóâàíè îò àíòèâèðóñíèòå êîìïàíèè.

    Àíòèâèðóñíèòå êîìïàíèè òâúðäÿò, ÷å âèðóñúò å íàïèñàí íà àñåìáëåð, ìàêàð ÷å ïðè äèçàñåìáëèðàíå (äåêîìïèëèðàíå?) òîé èçãëåæäà êàòî íàïèñàí íà Ñ++. Îêàçâà ñå, ÷å àíòèâèðóñíèòå êîìïàíèè ñêðèâàò îñíîâíàòà èíôîðìàöèÿ çà äåéñòâèåòî íà âèðóñà, êàòî íàïðèìåð ôàêòà, ÷å â äåéñòâèòåëíîñò íà 12 ôåâðóàðè òîé íÿìà äà ïðåóñòàíîâè ñâîåòî ðàçïðîñòðàíåíèå.  äåéñòâèòåëíîñò íà òàçè äàòà MyDoom ùå ïðåìèíå â íîâà ôàçà è ùå áúäå îùå ïî-îïàñåí, òúé êàòî ùå ñå ïîÿâè íîâà, îáíîâåíà è ìóòèðàëà âåðñèÿ. Èçâåñòíî å, ÷å MyDoom ïîñðåäñòâîì shimgapi.dll îñòàâÿ îòâîðåíè ïîðòîâå 3127-3189, íî òîâà âñúùíîñò ñëóæè çà ïðèêðèòèå íà ðåàëíàòà öåë íà âèðóñà.

    Äî ñåãà íå áåøå èçâåñòíî, ÷å MyDoom çàðàçÿâà BIOS-à íà êîìïþòúðà, â êîéòî å ïðîíèêíàë. Ñïîðåä èçñëåäîâàòåëÿ (Juari Bosnikovich), âèðóñúò çàïèñâà â BIOS êîä ñ îáåì 624 áàéòà, êîéòî ùå áúäå óïðàâëÿâàí ïî TCP ñëåä 12 ôåâðóàðè. Òàêà ÷å íÿìà âúçìîæíîñò äà ñå "èçëåêóâà" âèðóñà, çàïèñàí â BIOS, îñâåí àêî íå áúäå ïðåçàïèñàí BIOS íàíîâî. (ïðåâîäà å íà Notman)
    Last edited by Ôèëèïîâ; 4th February 2004 at 19:28.
    Å íÿìà âñå òÿõíîòî äà å!
    Ñòåíàòà ïàäíà, ùå ïàäíàò è òå!

  3. #3
    Registered User
    Join Date: Dec:2003
    Location: Ïëåâåí
    Posts: 4,191
    ×åñòèòî! Ïî êúñíî êàòî èìàì âðåìå ùå ãî ïðåâåäà!

    Íåçàâèñèìûé èññëåäîâàòåëü Juari Bosnikovich juarib@m-net.arbornet.org îïóáëèêîâàë â ñïèñêå ðàññûëêè íîâûå ïîäðîáíîñòè ðàçðóøàþùåãî äåéñòâèÿ âèðóñà MyDoom.B, êîòîðûå íå áûëè îïóáëèêîâàíû àíòèâèðóñíûìè êîìïàíèÿìè.

    Àíòèâèðóñíûå êîìïàíèè ãîâîðÿò, ÷òî êîä âèðóñà íàïèñàí íà àññåìáëåðå, îäíàêî ïðè äèçàññåìáëèðîâàíèè, îí âûãëÿäèò êàê íàïèñàííûé íà c++. Îêàçàëîñü, ÷òî àíòèâèðóñíûå êîìïàíèè ñêðûâàþò îñíîâíóþ èíôîðìàöèþ î äåéñòâèè âèðóñà, íàïðèìåð êàê òîò ôàêò, ÷òî â äåéñòâèòåëüíîñòè 12 ôåâðàëÿ îí íå îñòàíîâèò ñâîå ðàñïðîñòðàíåíèå. Íà ñàìîì äåëå ïîñëå 12 ôåâðàëÿ MyDoom ïåðåéäåò â íîâóþ ôàçó è áóäåò åùå áîëåå îïàñíûì ïîñêîëüêó ïîÿâèòñÿ íîâàÿ îáíîâëåííàÿ è ìóòèðîâàâøàÿ âåðñèÿ. Èçâåñòíî, ÷òî MyDoom ïîñðåäñòâîì shimgapi.dll îñòàâëÿåòîòêðûòûìè ïîðòû 3127-3189, íî ýòî èñïîëüçóåòñÿ òîëüêî äëÿ ñêðûòèÿ ðåàëüíûõ íàìåðåíèé MyDoom.B.

    Äî ñèõ ïîð íå áûëî èçâåñòíî, ÷òî âèðóñ çàðàæàåò BIOS êîìïüþòåðà. Ïî ñëîâàì èññëåäîâàòåëÿ, âèðóñ çàïèñûâàåò â BIOS êîä äëèíîé 624 áàéòà, êîòîðûé áóäåò óïðàâëÿòüñÿ ïî TCP ïðîòîêîëó ïîñëå 12 ôåâðàëÿ. Òàêæå íåò âîçìîæíîñòè âûëå÷èòü âèðóñ çàïèñàííûé â BIOS, êðîìå êàê ïåðåçàïèñàòü â ôëåø ïàìÿòü BIOS çàíîâî.
    Å íÿìà âñå òÿõíîòî äà å!
    Ñòåíàòà ïàäíà, ùå ïàäíàò è òå!

  4. #4
    Registered User
    Join Date: Dec:2003
    Location: Ïëåâåí
    Posts: 4,191
    Ïîðåäíàòà ãàäîñò - NetSky.B Âèðóñúò ñå ðàçïðîñòðàíÿâà êàòî ïðèêðåïåí êúì E-mail èçïúëíèì ôàéë ñ ïðîèçâîëíî èìå. Ïèñìàòà ñà ñ òåìè "hi, hello, read it immediately, something for you, warning, information, stolen, fake, unknown" è äðóãè , òåêñòà íà ïèñìàòà å ïðîèçâîëåí. Ïðè ñòàðòèðàíå íà ïðèêðåïåíèÿ ôàéë ñå èçâåæäà ñîîáùåíèå "Ôàéëúò íå ìîæå äà áúäå îòâîðåí", ñëåä êîåòî ÷åðâåÿò ñêàíèðà õàðä äèñêà êàòî òúðñè àäðåñíè êíèãè è ïèñìà, à ñúùî òàêà ñå êîïèðà â äèðåêòîðèè ñ èìåíà òèïà "Share, Shared" è ò.í. Ïî èçÿâëåíèÿòà íà àíòèâèðóñíèòå êîìïàíèè, åïèäåìèÿòà NetSky.B ñå ðàñïðîñòðàíÿâà áúðçî, ïî èíòåíçèâíîñò òÿ å 10 ïúòè ïî áúðçà îò MyDoom.
    Å íÿìà âñå òÿõíîòî äà å!
    Ñòåíàòà ïàäíà, ùå ïàäíàò è òå!

  5. #5
    Íàñòîÿù øåô íà Èíòåë Joredos's Avatar
    Join Date: May:2003
    Location: Ñîôèÿ
    Posts: 5,202
    À êàêâà å ðàçëèêàòà ìåæäó NetSky.B,NetSky.Å,NetSky.Ñ è äðóãèòå òàêèâà ðàçíîðîäíîñòè?
    Íå îòãîâàðÿì íà íåãðàìîòíè ïîñòîâå. Äà èçòèêàìå HWBG ïàïëà÷òà! Êîïèðàéòå ãî â ïîäïèñà ñè, çà äà ñè âúðíåì ôîðóìà.
    Èìàì ñè áëîã è ñè ëàÿ â íåãî

  6. #6
    ðàçñåÿí mio's Avatar
    Join Date: Jun:2003
    Location: Sf
    Posts: 1,690
    [bg]Ebaati hitreca... polu`ih mejl ot [/bg]administration@yahoo.com [bg]s tat`nat [/bg] W32.Beagle.J@mm. [bg]Naprawo se podwedoh po syob]enieto:[/bg]
    ........................................ ........................................ .............
    Dear user of Yahoo.com,

    Our main mailing server will be temporary unavaible for next two
    days,
    to continue receiving mail in these days you have to configure our
    free
    auto-forwarding service.

    Further details can be obtained from attached file.
    ........................................ ........................................ ...............
    [bg]Dobre, `e go hwa]a antiwirusnata...[/bg]

  7. #7
    Registered User achilles's Avatar
    Join Date: Sep:2003
    Location: Ñîôèÿ
    Posts: 684
    Õåõå, è àç ñå âúðçàõ ÿêî íà òîâà, à óæ ñúì ïå÷åí
    Ñàìî ÷å ñòàâàøå äóìà çà áã-äîñòàâ÷èê...
    Äîáðå ÷å óèí-à ìå ïîïèòà ñ êàêâî äà îòâîðè .ïèô ôàéëà

  8. #8
    ðàçñåÿí mio's Avatar
    Join Date: Jun:2003
    Location: Sf
    Posts: 1,690
    [bg]Abe mnogo nahalen toq [/bg]W32.Netsky.D@mm [bg]be! We`e tri pisma polu`ih w [/bg]yahoo [bg]s nego, ata`a wse e [/bg].pif...

  9. #9
    Registered User
    Join Date: Dec:2003
    Location: Ïëåâåí
    Posts: 4,191
     Ãåðìàíèÿ å çàäúðæàí àâòîðà íà ÷åðâåÿ Sasser http://xpsite.net/public/index.php?news=archive&go=70
    Å íÿìà âñå òÿõíîòî äà å!
    Ñòåíàòà ïàäíà, ùå ïàäíàò è òå!

  10. #10
    Dark Traveler massacre's Avatar
    Join Date: May:2003
    Location: Ta'Xbiex, Malta
    Posts: 7,100
    Originally posted by mio
    [bg]Abe mnogo nahalen toq [/bg]W32.Netsky.D@mm [bg]be! We`e tri pisma polu`ih w [/bg]yahoo [bg]s nego, ata`a wse e [/bg].pif...
     òîçè ðåä íà ìèñëè, íåêà è àç äà ñå îïëà÷à.

    Îò îêîëî 2 ñåäìèöè íàñàì ïîëó÷àâàì ìåæäó 10-20 ïèñìà/äåí, êîèòî ñà ñúñ çàãëàâèå: Re: document

    Èíòåðåñíîòî å, ÷å ïðèáëèçèòåëíî 1/2 ñà îò ïîòðåáèòåëè íà abv.bg (õîðà, êîèòî èçîáùî íå ïîçíàâàì, ðàçáèðà ñå!), îñòàíàëîòî ñà ðàçíè ÷óæäè àäðåñè (yahoo è ðàçëè÷íè *.pl). Ìåæäó òåçè, êîèòî ñà .pl, ÷åñòî ïúòè ñå áóòà åäèí mailer daemon - failure notice. Íÿêîé ïðàùàë îò ìîå èìå, àìà õîðàòà âèäÿëè áàöèëà, òà ñè ìè ãî ïîâðúùàò. ( :bua: )

    Âñè÷êèòå ïðèñòèãàò ñ ðàçëè÷åí òåêñò âúòðå - ïîíÿêîãà ïî-îáåìåí, ïîíÿêîãà 1-2 äóìè, íî âèíàãè ñ ïðèêà÷åí ôàéë: .xx.pif

    Àç äî åäíî âðåìå ãè òðèåõ, íî ìè ïèñíà, çàòîâà ñè íàïðàâèõ íÿêàêâè ïðàâèëà íà êëèåíòà çà ïîùàòà, òà ñè ãè ñêëàäèðàì â îòäåëíà ïàïêà, ÷å äà ñè ãè òåñòâàì, êîãàòî ìè ñå çàíèìàâà. Àêî ñïðàò, ùå çàïî÷íàò äà ìè ëèïñâàò..

    Sarcasm is just one more service I îffer.
    Me, mad? Haha... quite likely.
    There is life. There is death. And then there is me.

  11. #11
    Registered User
    Join Date: Dec:2003
    Location: Ïëåâåí
    Posts: 4,191
    Âèðóñèòå âå÷å ñå ðàçïðîñòðàíÿâàò è ÷ðåç WEB ãðàôèêà http://www.i2r.ru/news.shtml?count=3...gin=0&count=30
    Îùå íåùî èíòåðåñíî http://www.webplanet.ru/news/securit...8/iis5_ie.html
    Last edited by Ôèëèïîâ; 28th June 2004 at 14:09.
    Å íÿìà âñå òÿõíîòî äà å!
    Ñòåíàòà ïàäíà, ùå ïàäíàò è òå!

  12. #12
    Registered User
    Join Date: Dec:2003
    Location: Ïëåâåí
    Posts: 4,191
    Net-Worm.Perl.Santy.a

    Net-Worm.Perl.Santy.a
    Ñåòåâîé ÷åðâü, èñïîëüçóþùèé äëÿ ñâîåãî ðàçìíîæåíèÿ óÿçâèìîñòü â ïîïóëÿðíîì ôîðóìå — phpBB, âåðñèé íèæå 2.0.11. ×åðâü íàïèñàí íà ÿçûêå Perl è èìååò ðàçìåð 4996 áàéò.

    Ðàçìíîæåíèå
    ×åðâü ôîðìèðóåò ñïåöèàëüíûé çàïðîñ äëÿ ïîèñêîâèêà Google, â ðåçóëüòàòå êîòîðîãî íàõîäèò ñàéòû, ðàáîòàþùèå ïîä óïðàâëåíèåì óÿçâèìîé âåðñèè phpBB. Çàòåì ÷åðâü îòñûëàåò íà íàéäåííûå ñàéòû ñòðîêó, ñîäåðæàùóþ ýêñïëîéò óÿçâèìîñòè.  ðåçóëüòàòå îáðàáîòêè àòàêóåìûì ñåðâåðîì äàííîãî ýêñïëîéòà ÷åðâü ïðîíèêàåò íà ñàéò è ïîëó÷àåò óïðàâëåíèå, ïîñëå ÷åãî ïðîöåññ ðàçìíîæåíèÿ ÷åðâÿ ïîâòîðÿåòñÿ.

    Äåéñòâèå
    ×åðâü ïîñëåäîâàòåëüíî ïðîâåðÿåò âñå êàòàëîãè íà çàðàæåííîì ñàéòå è ïåðåçàïèñûâàåò ñâîèì òåêñòîì (ñì. íèæå) ôàéëû ñ ðàñøèðåíèÿìè:

    asp htm jsp php phtm shtm

    Çàïèñûâàåìûé â ïîäîáíûå ôàéëû òåêñò:

    This site is defaced!!!

    This site is defaced!!!
    NeverEverNoSanity WebWorm generation
    Ýòîò òåêñò âûâîäèòñÿ â áðàóçåðå ïðè ïîñåùåíèè ïîðàæåííîãî âåá-ñàéòà

    Google îñòàíîâèë ðàçâèòèå ÷åðâÿ ïîñëå âçëîìà áîëåå 40.000 ñàéòîâ
    Ðàñïðîñòðàíåíèå â èíòåðíåòå ÷åðâÿ "Santy" (Perl/Santy-A), î ïîÿâëåíèè êîòîðîãî ñîîáùàëîñü â÷åðà, óäàëîñü îïåðàòèâíî îñòàíîâèòü.
    ×åðâü ðàñïðîñòðàíÿëñÿ ïðè ïîìîùè ïîïóëÿðíîãî ïîèñêîâèêà Google: îí èñêàë íîâóþ "æåðòâó", èñïîëüçóþùóþ óÿçâèìóþ âåðñèþ ïîïóëÿðíîãî ïðèëîæåíèÿ äëÿ ñîçäàíèÿ èíòåðíåò-ðåñóðñîâ, "phpBB".

    Ê âå÷åðó âòîðíèêà áûëî ïîðàæåíî îêîëî 40 òûñÿ÷ ñàéòîâ â èíòåðíåòå.

    Êàê çàÿâèëè ñåãîäíÿ ïðåäñòàâèòåëè Google, íåñìîòðÿ íà òî ÷òî ÷åðâü íå îïàñåí äëÿ ïîëüçîâàòåëåé, êîìïàíèÿ íà÷àëà áëîêèðîâàòü õàðàêòåðíûå ïîèñêîâûå çàïðîñû ÷åðâÿ, îñòàíîâèâ ýòèì ýïèäåìèþ.

    Êàê ñîîáùèëè â÷åðà ïðåäñòàâèòåëè êîìïàíèè Sophos, çàíèìàþùåéñÿ ðàçðàáîòêîé àíòèâèðóñíûõ ïðîãðàìì, ÷åðâü çàìåíÿë ñîäåðæèìîå âñåõ web-äîêóìåíòîâ ïîðàæåííîãî ñàéòà (ïðè ñîáëþäåíèè îïðåäåëåííûõ óñëîâèé) ñëåäóþùèì ñîîáùåíèåì: "This site is defaced!!! NeverEverNoSanity WebWorm generation N" (Ýòîò ñàéò èçóðîäîâàí!!! NeverEverNoSanity èíòåðíåò-÷åðâü ïîêîëåíèå N), ãäå âìåñòî "N" ïîäñòàâëÿëñÿ íîìåð êîïèè ÷åðâÿ.

    Èçòî÷íèê: http://www.securitylab.ru/50788.html http://www.securitylab.ru/50826.html
    Å íÿìà âñå òÿõíîòî äà å!
    Ñòåíàòà ïàäíà, ùå ïàäíàò è òå!

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Copyright © 1999-2011 Õàðäóåð ÁÃ. Âúçìîæíî å ñúäúðæàíèåòî íà òàçè ñòðàíèöà äà å îáåêò íà àâòîðñêè ïðàâà.
iskamPC.com | mobility.BG | Bloody's Techblog | Êðèïòîâàëóòè è ìàéíèíã | 3D Vision Blog | Ìàãàçèí çà åëåêòðîííè öèãàðè