Независимый исследователь Juari Bosnikovich juarib@m-net.arbornet.org опубликовал в списке рассылки новые подробности разрушающего действия вируса MyDoom.B, которые не были опубликованы антивирусными компаниями.
Антивирусные компании говорят, что код вируса написан на ассемблере, однако при дизассемблировании, он выглядит как написанный на c++. Оказалось, что антивирусные компании скрывают основную информацию о действии вируса, например как тот факт, что в действительности 12 февраля он не остановит свое распространение. На самом деле после 12 февраля MyDoom перейдет в новую фазу и будет еще более опасным поскольку появится новая обновленная и мутировавшая версия. Известно, что MyDoom посредством shimgapi.dll оставляетоткрытыми порты 3127-3189, но это используется только для скрытия реальных намерений MyDoom.B.
До сих пор не было известно, что вирус заражает BIOS компьютера. По словам исследователя, вирус записывает в BIOS код длиной 624 байта, который будет управляться по TCP протоколу после 12 февраля. Также нет возможности вылечить вирус записанный в BIOS, кроме как перезаписать в флеш память BIOS заново.
Полностью сообщение находится здесь. http://lists.netsys.com/pipermail/full-disclosure/2004-January/016353.html
Насколько это реально .... ??????
Кто нибудь подобное читал ???
Уж больно на лапшу похоже, честно говоря. Откуда он знает, куда именно можно писать себя в BIOS, не испортив при этом то, что там уже есть?
Насколько я помню, для записи в Биос необходимо выполнить int 21h.
Даже 98 Винда при этом орёт и пытается данные действия запретить.
Далее непонятно, каким образом будет вестись управление БИОС по TCP/IP.
Данную функцию встречал только на HP Vectra, и то старых моделей.
Если неправ - поправьте меня, могу что и напутать.
На самом деле, как показывает практика, данный вирус - обыкновенный "лохотрон", похожий на известный ранее LoveLetter. А большое распространение - из-за того, что вирус - а именно "письма об ошибке доставки почты" рассчитаны на более "наделенных правами" пользователей - т.е. администраторов, как факт, вирус, запущенный ими, распространяется более широко, поскольку имеет большие полномочия в системе.
Как прием - сам по себе достаточно оригинальный из-за того, что рассчитан на неожиданную аудиторию.
Где-то, на вируслисте, кажется, я читал об этом заявлении. Автор очень подробно доказывает, почему это письмо является полной чушью.
Для записи в BIOS не надо пользоваться int21h. Пишется непосредственно в порты, что вполне можно реализовать под любую винду. Меня как ассемблирщика смешит "BIOS код длиной 624 байта, который будет управляться по TCP протоколу." Это откровенная чушь.
Люди! Помогите, кто знает!
Сеть - рабочие станции W2000Pro, DC - W2000Server. Антивирус KAV стоит и на серверах и на рабочих станциях, обновляется постоянно - вирусов нет (в последнее время). Почтовый сервер - MS Exchange 2000. Время от времени некоторым пользователям приходят сообщения типа
"Сообщение не было получено одним или несколькими получателями.
Тема: hello
Отправлено: 30.01.2004 9:34
Сообщение не получили следующие получатели:
alex@rambler.ru 30.01.2004 9:23
Почтовая система не смогла доставить сообщение и не указала причину сбоя. Проверьте адрес и повторите попытку. При повторении сбоя обратитесь к системному администратору.
< mailhub.co.ru #5.0.0>"
Проверил все компы утилитой clrav.com от KasperskyLab - не находит вирусов.
Что это??? Novegan? MyDoom??? И главный вопрос: как с этим бороться?
veugen, это какие-то шутки вируса MyDoom (чисто ИМХО, может и нет), у меня эпизодически приходит та же ерунда. Компьютер чист.
наш админ мне объяснял чего это: вирус пишет письмо на несуществующий адрес А от несуществующего адреса Б.
Почтовик А получив такое письмо и не найдя у себя адрес А, отписывает обратно адресу Б отчет об ошибке.
В свою очередь почтовик Б не находит адрес Б и отписывает адресу А об этом.
Круг замкнулся, вечный кайф.
И вот поэтому наш админ на время отключил отсылку Delivery failuare report-a нашего почтовика, а чужие репорты просто удаляет не читая.
Ну если быть до конца точным то принцип работы мейлсервера может быть чуть иначе ......
Некоторые мейлсерваки просто не принимают письмо на несуществующие адресса а вся тяжесть ответа автору письма на неудавшуюся попытку послать писму ложится на мейлсервер посылателя .......
Но бывает и так как Vio, ты сказал .......
А описание вируса не до конца точно ..... адресс может быть и реалным ... и приходить письма могут на реальные адресса .... а то как могли заразиться столько компьютеров ...... ну а если хочешь удивить вашего админа знаниями в области комп. инфекции Mydoоm можешь прочитать http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.a@mm.html
может я малость чего напутал, но какой-то спамер или вирус пишет письма от имени адресов с нашим доменом, и нам приходят куча mail delivery report.
Да просто ваши адреса почтовые засветились в списках рассылок - откуда их и берет вирус как адрес отправителя... Тут уже можно сделать только одно - сразу резать все "mail delivery report".
да но используется только домен, а адреса генерятся типа "weghghg".
Цитата |
да но используется только домен, а адреса генерятся типа "weghghg". |
значит у нас разные случаи
Vio, а какая разнича-то? Ну взяли ваше доменное имя, насоздавали несуществующих адресов с параметром
Цитата |
@ваш_домен |
pokhlebaev, я защищен от этой проблеммы ....
Юзаю Symantec Antivirus For SMTP Gayteways 3.1 ... который настроен отсекать все инфицированые файлы ....
Словом вирусы на лету перехватываем .....
Ага, и
Цитата |
на лету |
Цитата |
Искренне надеюсь, что данная функция отключена у вас |
А ко мне пару раз такая фенька приходила
ВСЕМ-ВСЕМ-ВСЕМ!
Требуется професиональная подсказка. В своих путешествиях по Варез-сайтам я добрался и до адреса -
<вырезано цензурой>
Щелкнув по очередному link. я (-мой ПК-) вдруг оказался под порно атакой. Окна открывались одно за другим и их набралось штук 10. Т.к. подобного типа атаки не очень большая новость, то на моем вооружении был "System Mechanic 4" Popup stopper. Но, начав было отбиваться от атак, он вдруг застыл. как неживой... Я попытался отключиться от интернета стандартным путем. т.е зайдя в Старт - кнопка не работала... Щелкнув еще раз, по раскрывшему в изумлении свою пасть, но по прежнему неподвижному Механику, я вдруг увидел надпись, гласящую - Access manager #...
Все стало предельно ясным. Пришлось-таки нажимать вручную кнопку "Re-start", чтобы отключиться от интернета и перезарядиться.
Я пользую AVG 6.0 Anti-Virus System и Sygate Personal firewall. Об Ad Aware Pro я уже и не говорю. Имеется ли у кого-нибудь професиональный или граничащий с профессиональным совет что же еще или вместо, я должен использовать, как эффективное средство, когда противная сторона пытается использовать и использует аccess manager ? Это вопрос # 1.
И вопрос # 2.
Мой SpyWare Blaster блокирует целую кучу программ-шпионов, сидящих у меня в компе. Ни одна из выше перечисленных програм их не видит. Если назвать парочку, то их имена будут: spyware и cookies. Знает ли кто либо как их удалить? Не вручную..!
Ребята, а знает ли кто-нибудь хорош ли Anti-virus Кашперского? "Kaspersky Personal Pro 4.5.0.94" ?
Спасибо.
Aharon.
Aharon, есть специальная тема про антивирусы
Цитата |
Все стало предельно ясным. |
Цитата |
Я пользую AVG 6.0 Anti-Virus System и Sygate Personal firewall. Об Ad Aware Pro я уже и не говорю. |
Цитата |
Мой SpyWare Blaster блокирует целую кучу программ-шпионов, сидящих у меня в компе. |
Цитата |
а знает ли кто-нибудь хорош ли Anti-virus Кашперского? "Kaspersky Personal Pro 4.5.0.94" |
Таксь... Эпопея с Mydoom продолжается... Вышла модификация Mydoom.M. Вот что про него пишет сайт TrendMicro (заодно там же инструкции по ручному удалению):
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.M
Мне на мейлсервер за сегодня уже 49 шт. пришло .........
Symantec MailSecurity for SMTP Gateways 4.0 рулит, на ходу выбрасывает .....
ВСЕМ, ЗДРАВСТВУЙТЕ!!!
Ребята,умоляю,СПАСИТЕ!
Ко мне, сам незнаю как, пробрался "Червь" - "Trojan-Gen" (rdrvi.32), жуткая штуковина, уже неделю удалить не могу - ни антивирусом (AVAST 4.6), ни в ручную. Запустил свои корни в разные файлы и плодится, а комп, ясно дело, страшно тормозит! Что можно предпринять? Антивирус не берет, а Windows переустанавливать не охота, как быть?
Спасибо...
Славик.
Славик, есть парочка вопросов, ответ на которые хотелось бы услышать:
1. насколько актуально обновление твоих антивирусных баз? последняя сборка VPS: 0524-2 от 15.6.2005
2. точное название заразы в студию! названного тобой червячка в virusliste AVASTa нет...
GLUZER, спасибо что взялся помочь!
Отвечаю на твои вопросы:
1. Обновление Анти-вирусной базы от 16.06.05 имеется (0524-3)
2. Точное местонахождение червя : C:\WINDOWS\system32\rdriv.sys
3. Имя червя : Trojan-Gen [Other]! ....что означает приписка [Other]! ,понятия не имею.
4. Червь пробрался в звуковые файлы (C:\Volume System...) и пропал звук.
Что будем делать?
С уважением,
Славик.
Логический диск только один? Если нет - можешь поставить на другой диск вторую windows и из неё уже затоптать вируса. При инсталляции грузиться с CD, а не запускать из больной windows.
P.S. Для x:\System Volume Information : отключи индексирование для данного диска (папки), стань владельцем этой папки и кроши в ней всё.
Спасибо,Gluzer!
Старый,добрый Norton Antivirus сделал свое "грязное" дело! А систему восстановим...
Славик.
Добрый день.
Может мне кто-то помочь удалить вирус из файла rdrive.sys ??? Я знаю что єто троян, но у меня невыходит его грохнуть...
Вот что приходит на ум , прочитав http://www.sophos.com/virusinfo/analyses/w32rbotaic.html :-)
Переключись в safe mode
Удали в реестре ветки
HKLM\SYSTEM\CurrentControlSet\Services\lsass\
HKLM\SYSTEM\CurrentControlSet\Services\rdriv\
Загрузись нормально ..... и удали файлы ... lsass.exe и rdriv.sys
Вроде должно помочь
Всем здрасьте)
Прошу помощи..по возможности.
Поддцепила трояна. Нортон написал, что удалил автоматически. АD-Aware все прошел, прочистил.
Но временами вылетает окно предупреждения нортоновское, что троян удален. Его уже при сканировании не видно.
И самое главное, что загрузочная первая страница прилепилась как, не знаю, что...Поисковик грузится какой-то, было у меня уже такое, мучилась, и не помню как отделалась.. Искала фотошоп потянуть, а там этот мусор мне на голову.
В нет одно мучение выходить. Подскажите пожалуйста, где мне его "достать"и избавиться от него.
В свойстах инета устанавливаю загрузочной др. страницу - не помогает. Только не переустановка. Плис.
А , и еще пандой в онлайне просканировала - тоже чисто.
Вот адрес который выдает , когда выхожу в нет.
http://195.95.218.172/index.php
Спасибо.
ps Название трояна Trojan Stwoyle.
ivolga, на форуме есть несколько тем с ответами на вопрос "как избавится от навязанной стартовой страницы", так что милости прошу в поиск
Gluzer
Я понимаю, что действительно противно по несколько раз повторять одно и то же... Как бы с правилами форумов , в принципе знакома. На ваш сайт я захожу очень редко, потому быть в курсе сложно. А поиском тоже надо уметь пользоваться))
Вот Вы, Саша, что бы ввели на моем месте в строку поиска.. Я сама лично в затруднении., что за причина у меня, то ли троян, то ли еще что.. Не специалист в компьютерной терминологии. И потому весь мой поиск вернул меня на сей же топик.
Может поможете, уделите немного своего времени, осветите путь, хоть немного
Спасибо.
ivolga, лично я бы вввел слова "стартовая страница"(без склонения ) и указал бы что надо искать во ВСЕХ разделах
И конечно бы первым делом прочитал найденную тему http://www.wincity.ru/index.php?showtopic=12478&hl=%D1%D2%C0%D0%D2%CE%C2%CE%C9%2B%D1%D2%D0%C0%CD%C8%D6
Господа модераторы! Сразу прошу извинить меня за треп в теме... ну не могу я пройти мимо после чтения ТАКОГО
Стара, но до сих пор исправно действует поговорка: Мужчина - голова, а женщина - шея. Куда хочу, туда верчу.
Gluzer, как приятно, когда тобой "управляют" в такой форме! Ты даже брюзжать не стал
ЗЫ IMHO (опять-же к модераторам) я-бы включил диалог между ivolg-ой и Gluzer-ом, как пример, в правила форума: как правильно задавать вопрос, если хочешь получить корректный ответ на него
Пришла поблагодарить, не сочтите за спам..Но все же привыкла к такой форме общения. Внимание сегодня тоже имеет свою цену..
Саша спасибо за ссылочку, я там походила.
Но руки только сегодня дошли до "объекта."))
Теперь по существу немного. Может кому-то поможет..
Оговорюсь, из выше перечисленного мне не подошло ничего
Само собой многое просто осталось непонятым, надо же кому-то быть и по ту сторону медали))
Вобщем вышла из положения с помощью проги XoftSpy
в поиск введите название проги (ссылка полность не копируется) Потянула самую первую ссылку, потом крякнула и приняла обновления на последнюю весрию)
Красиво работает прога, рисует будто)))
Вобщем страница назойливая от меня отстала.
2 Егора: Читая твой пост, пришло на ум вот это " ..и опыт - сын ошибок трудных" (надеюсь поймешь, о чем я)
Отрадно еще то, что помимо железа, в междустрочье что-то видится .. Значит пока живые мы.
Спасибо всем. Удачи, вам, мальчики)
P.S. Сообщение отредактировано. Ссылки на варез запрещены правилами. Уважаемая, их стоит читать хотя бы иногда.
Подскажите если кто знает.
Чем может навредить Virus.MSWord.MStrib.a
Я его подцепил от компа, которому отключили инет за отправку спама, антиправительственного характера...
А чем ты его нашел .. ? На сайте разработчика антивируса ничего про него нету ... ?
Гугл про это вирус выдает очень скудную информацию ..
Ребят, доброе время суток вам.
Вот как вылавливаю свеженьких червяков, сразу к вам в гости прихожу.
Хорошая вы компания для рыбалки, всегда с нужной рыбкой поможете.
Что-то я заговорился... собсвенно сегодняшний претендент W32/Pirate.B.
Как этот гад пролез не знаю, но F-Prot Antivirus на него очень ругается и говорит, что ета заразка уже прицепилась к 188 файлам. Что интересно, что зацепил (сел) практически на все еxe-шники, которые находятся в Program Files. Начиная BSplayer-ом и заканчивая WinAmp-ом. Кстати, Керио его не сечёт.
Что скажите по этому поводу, может есть какие-то идеи? Да и вообше, что за зверь такой?
Kaspersky 4.0 vs Remote Administrator 2.1!
Доброе время суток!
У меня в офисе на всех ПК стоит Kaspersky Antivirus (версия 4.0.5.0) и Remote Administrator (версия 2.1). И вот сегодня Касперский категорически не дает запускаться RAdmin'у, говоря, что файл admdll.dll заражен вирусом Backdoor.Win32.RAdmin.s. Ну я поверил сначала, решил здоровый файл из Инета взять - лезу на ftp-сервера, пытаюсь скачать - и везде он якобы заражен!
Это глюк Касперского или меня?
veugen, сотри Касперского и используй НОРМАЛЬНЫЙ антивирус.
Всем здравствуйте..
Проблема у меня в следующем.
Бук после переустановки системы. Установила NOD32, стена ..
Потом выход в нет..
И появляется окно об ошибке Generic Host Process for Win32 Services, жму - отчет не отправлять..
И следом выходит окошко о предупреждении сохранении данных, что через мин система уйдет в перезагрузку.
Такое было, когда ловила червя. И так по кругу....
Все прочистила, антивирусов, ad-aware, spybot...
Не помогло.. Может лекарство есть.. Ничего не могу найти, да и не знаю толком, что это за беда.
Спасите , кто может..)
Спасибо)
а если обновить Ось?
Насколько мне извесно мелкомягкие выпустили заплатку и лечилку от этого паразита.
Это вполне может быть и не паразит а кривая установка.
ivolga, Тошиба сама не занимается HDD, они ставят сторонних производителей. Где находишься сама, если не секрет? Если Питер, подъезжай посмотрим попробуем разобраться
Барэль
Не секрет... В Португалии.. В этот раз не получится Но все равно спасибо..
Вобщем, переустановила винду. Не нашли в нете ничего, что бы спасло любителя - разрушителя)) Пока больше ничего не делала. Устала и он устал.. комп..
Посмотрю, как потом выйду в нет, когда проинсталирую антивир. и стену. Да сп2 еще потянуть надо..
зы Установить смогла только с третьей попытки... Инвалид систем диск - такое вот сообщение было..
Гарантию дали 2 года на него. Вот, пока все.
После переустановки проблема повторилась тоже..
Думала, может конфликтует с антивирусом НОД32... Пробовала убирать с автозагрузки, вроде помогало.. Но потом опять все повторилось..
Получается, что жесткий проблемный?
вполне возможно. Обратись в сервис расскажи что-как...
Немного запоздавши, может кому-нибудь поможет..
Проблема у меня оказалась в НОДЕ-32, конфликтовал он...
Убрала, поставила нортон (хоть и не сильно меня к нему тянуло,.. старый друг, старые раны)) Вот, пока что все.
Спасибо всем ответившим.
В НОДе может эвристик и хороший, но сигнатуры никуда не годятся. А поведенческого блокиратора вообще нет.
Защиту от фишинга и спама не обеспечивает.
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)