Независимый исследователь Juari Bosnikovich juarib@m-net.arbornet.org опубликовал в списке рассылки новые подробности разрушающего действия вируса MyDoom.B, которые не были опубликованы антивирусными компаниями.
Антивирусные компании говорят, что код вируса написан на ассемблере, однако при дизассемблировании, он выглядит как написанный на c++. Оказалось, что антивирусные компании скрывают основную информацию о действии вируса, например как тот факт, что в действительности 12 февраля он не остановит свое распространение. На самом деле после 12 февраля MyDoom перейдет в новую фазу и будет еще более опасным поскольку появится новая обновленная и мутировавшая версия. Известно, что MyDoom посредством shimgapi.dll оставляетоткрытыми порты 3127-3189, но это используется только для скрытия реальных намерений MyDoom.B.

До сих пор не было известно, что вирус заражает BIOS компьютера. По словам исследователя, вирус записывает в BIOS код длиной 624 байта, который будет управляться по TCP протоколу после 12 февраля. Также нет возможности вылечить вирус записанный в BIOS, кроме как перезаписать в флеш память BIOS заново.

Полностью сообщение находится здесь. http://lists.netsys.com/pipermail/full-disclosure/2004-January/016353.html ://http://lists.netsys.com/pipermail/f...ry/016353.html

Насколько это реально .... ??????
Кто нибудь подобное читал ???

Уж больно на лапшу похоже, честно говоря. Откуда он знает, куда именно можно писать себя в BIOS, не испортив при этом то, что там уже есть?

Насколько я помню, для записи в Биос необходимо выполнить int 21h.
Даже 98 Винда при этом орёт и пытается данные действия запретить.
Далее непонятно, каким образом будет вестись управление БИОС по TCP/IP.
Данную функцию встречал только на HP Vectra, и то старых моделей.
Если неправ - поправьте меня, могу что и напутать.

На самом деле, как показывает практика, данный вирус - обыкновенный "лохотрон", похожий на известный ранее LoveLetter. А большое распространение - из-за того, что вирус - а именно "письма об ошибке доставки почты" рассчитаны на более "наделенных правами" пользователей - т.е. администраторов, как факт, вирус, запущенный ими, распространяется более широко, поскольку имеет большие полномочия в системе.
Как прием - сам по себе достаточно оригинальный из-за того, что рассчитан на неожиданную аудиторию.

Где-то, на вируслисте, кажется, я читал об этом заявлении. Автор очень подробно доказывает, почему это письмо является полной чушью.

Для записи в BIOS не надо пользоваться int21h. Пишется непосредственно в порты, что вполне можно реализовать под любую винду. Меня как ассемблирщика смешит "BIOS код длиной 624 байта, который будет управляться по TCP протоколу." Это откровенная чушь.

Люди! Помогите, кто знает!
Сеть - рабочие станции W2000Pro, DC - W2000Server. Антивирус KAV стоит и на серверах и на рабочих станциях, обновляется постоянно - вирусов нет (в последнее время). Почтовый сервер - MS Exchange 2000. Время от времени некоторым пользователям приходят сообщения типа
"Сообщение не было получено одним или несколькими получателями.
Тема: hello
Отправлено: 30.01.2004 9:34
Сообщение не получили следующие получатели:
alex@rambler.ru 30.01.2004 9:23
Почтовая система не смогла доставить сообщение и не указала причину сбоя. Проверьте адрес и повторите попытку. При повторении сбоя обратитесь к системному администратору.
< mailhub.co.ru #5.0.0>"
Проверил все компы утилитой clrav.com от KasperskyLab - не находит вирусов.
Что это??? Novegan? MyDoom??? И главный вопрос: как с этим бороться?

veugen, это какие-то шутки вируса MyDoom (чисто ИМХО, может и нет), у меня эпизодически приходит та же ерунда. Компьютер чист.

наш админ мне объяснял чего это: вирус пишет письмо на несуществующий адрес А от несуществующего адреса Б.
Почтовик А получив такое письмо и не найдя у себя адрес А, отписывает обратно адресу Б отчет об ошибке.
В свою очередь почтовик Б не находит адрес Б и отписывает адресу А об этом.
Круг замкнулся, вечный кайф.
И вот поэтому наш админ на время отключил отсылку Delivery failuare report-a нашего почтовика, а чужие репорты просто удаляет не читая.

Ну если быть до конца точным то принцип работы мейлсервера может быть чуть иначе ......
Некоторые мейлсерваки просто не принимают письмо на несуществующие адресса а вся тяжесть ответа автору письма на неудавшуюся попытку послать писму ложится на мейлсервер посылателя .......

Но бывает и так как Vio, ты сказал .......
А описание вируса не до конца точно ..... адресс может быть и реалным ... и приходить письма могут на реальные адресса .... а то как могли заразиться столько компьютеров ...... ну а если хочешь удивить вашего админа знаниями в области комп. инфекции Mydoоm можешь прочитать это ......

может я малость чего напутал, но какой-то спамер или вирус пишет письма от имени адресов с нашим доменом, и нам приходят куча mail delivery report.

Да просто ваши адреса почтовые засветились в списках рассылок - откуда их и берет вирус как адрес отправителя... Тут уже можно сделать только одно - сразу резать все "mail delivery report".

да но используется только домен, а адреса генерятся типа "weghghg".

Цитата

да но используется только домен, а адреса генерятся типа "weghghg".

НУ не скажи ..... у меня на сервак на вполне существующие адресса приходят письма ...
Как отметил pokhlebaev, вирус использует так же спамовую сеть рассылки ..... вот из за чего такое большое распространение в первые же дни............

значит у нас разные случаи

Vio, а какая разнича-то? Ну взяли ваше доменное имя, насоздавали несуществующих адресов с параметром

Цитата

@ваш_домен

И отсылают - изначально ведь получатель не знает, существует ли такой адрес или нет. Я могу например отправить письмо от любого - НЕСУЩЕСТВУЮЩЕГО ИЛИ СУЩЕСТВУЮЩЕГО АДРЕСА.
Суть в том, что таким образом вирус добивается дополнительных результатов, нагружая ВАШ сервер отказами о доставке ВИРУСОВ с адресов ВАШЕГО ДОМЕНА. Очень умно. Страдает сразу две цели - те, кого атаковали и те, от имени кого атаковали.

pokhlebaev, я защищен от этой проблеммы ....
Юзаю Symantec Antivirus For SMTP Gayteways 3.1 ... который настроен отсекать все инфицированые файлы ....

Словом вирусы на лету перехватываем .....

Ага, и

Цитата

на лету

отвечаете тем, кто отправил эти письма что, дескать, "delivery failed... у вас вирус"?
Искренне надеюсь, что данная функция отключена у вас.

Цитата

Искренне надеюсь, что данная функция отключена у вас

Обязательно отключена ...........
Так ведь 99% теперяшних вирусов идут совсем не оттуда куда указывает reply-to

Так что отвечать ни в чем не повинным людям ... типа ты прислал нам вирус ..... излишне

А ко мне пару раз такая фенька приходила

ВСЕМ-ВСЕМ-ВСЕМ!
Требуется професиональная подсказка. В своих путешествиях по Варез-сайтам я добрался и до адреса -

<вырезано цензурой>

Щелкнув по очередному link. я (-мой ПК-) вдруг оказался под порно атакой. Окна открывались одно за другим и их набралось штук 10. Т.к. подобного типа атаки не очень большая новость, то на моем вооружении был "System Mechanic 4" Popup stopper. Но, начав было отбиваться от атак, он вдруг застыл. как неживой... Я попытался отключиться от интернета стандартным путем. т.е зайдя в Старт - кнопка не работала... Щелкнув еще раз, по раскрывшему в изумлении свою пасть, но по прежнему неподвижному Механику, я вдруг увидел надпись, гласящую - Access manager #...
Все стало предельно ясным. Пришлось-таки нажимать вручную кнопку "Re-start", чтобы отключиться от интернета и перезарядиться.
Я пользую AVG 6.0 Anti-Virus System и Sygate Personal firewall. Об Ad Aware Pro я уже и не говорю. Имеется ли у кого-нибудь професиональный или граничащий с профессиональным совет что же еще или вместо, я должен использовать, как эффективное средство, когда противная сторона пытается использовать и использует аccess manager ? Это вопрос # 1.
И вопрос # 2.
Мой SpyWare Blaster блокирует целую кучу программ-шпионов, сидящих у меня в компе. Ни одна из выше перечисленных програм их не видит. Если назвать парочку, то их имена будут: spyware и cookies. Знает ли кто либо как их удалить? Не вручную..!

Ребята, а знает ли кто-нибудь хорош ли Anti-virus Кашперского? "Kaspersky Personal Pro 4.5.0.94" ?

Спасибо.

Aharon.

Aharon, есть специальная тема про антивирусы

Цитата

Все стало предельно ясным.

Что именно? Мне вот что-то не ясно...

Цитата

Я пользую AVG 6.0 Anti-Virus System и Sygate Personal firewall. Об Ad Aware Pro я уже и не говорю.

Н-да... ну Sygate tot? скажем, ничего вещь, но остальное - откровенная гадость.

Цитата

Мой SpyWare Blaster блокирует целую кучу программ-шпионов, сидящих у меня в компе.

КЛАСС!!!! Особенно если сможешь объяснить - ЗАЧЕМ ИХ БЛОКИРОВАТЬ, ЕСЛИ НАДО ПРОСТО ВЫНОСИТЬ????
В общем, уважаемый, надо просто переходить на нормальный, профессиональный софт - ставить Trend Micro Internet Security (он же PC-Cillin 2004) - это антивирус, файрволл и другое в одном пакете. Или еще можно поставить Norton Antivirus - тоже замечательная штука. А вот по поводу

Цитата

а знает ли кто-нибудь хорош ли Anti-virus Кашперского? "Kaspersky Personal Pro 4.5.0.94"

забудь как страшный сон. Для чего он дествительно хорош - так только для того, чтобы качественно, с первой попытки убить систему.
По поводу блокировки окон - знаешь, посмотри тоже что-нибудь вроде продуктов Norton'a и иже с ним - они есть... сделаны на порядок качественнее - и надежнее (System Mechanic - системные утилиты, вполне на уровне, но вот всякими "самодельными добавками для весу" - типа этого Popup лучше не пользоваться). А вообще - поставь, если хочешь, Avant Browser - многооконный броузер на движке IE, блокирует все всплывающие окна без проблем, особо не церемонится.

Таксь... Эпопея с Mydoom продолжается... Вышла модификация Mydoom.M. Вот что про него пишет сайт TrendMicro (заодно там же инструкции по ручному удалению):

http://www.trendmicro.com/vinfo/virusencyc...e=WORM_MYDOOM.M

Мне на мейлсервер за сегодня уже 49 шт. пришло .........
Symantec MailSecurity for SMTP Gateways 4.0 рулит, на ходу выбрасывает .....

ВСЕМ, ЗДРАВСТВУЙТЕ!!!
Ребята,умоляю,СПАСИТЕ!
Ко мне, сам незнаю как, пробрался "Червь" - "Trojan-Gen" (rdrvi.32), жуткая штуковина, уже неделю удалить не могу - ни антивирусом (AVAST 4.6), ни в ручную. Запустил свои корни в разные файлы и плодится, а комп, ясно дело, страшно тормозит! Что можно предпринять? Антивирус не берет, а Windows переустанавливать не охота, как быть?
Спасибо...
Славик.

Славик, есть парочка вопросов, ответ на которые хотелось бы услышать:
1. насколько актуально обновление твоих антивирусных баз? последняя сборка VPS: 0524-2 от 15.6.2005
2. точное название заразы в студию! названного тобой червячка в virusliste AVASTa нет...

GLUZER, спасибо что взялся помочь!

Отвечаю на твои вопросы:

1. Обновление Анти-вирусной базы от 16.06.05 имеется (0524-3)
2. Точное местонахождение червя : C:\WINDOWS\system32\rdriv.sys
3. Имя червя : Trojan-Gen [Other]! ....что означает приписка [Other]! ,понятия не имею.
4. Червь пробрался в звуковые файлы (C:\Volume System...) и пропал звук.

Что будем делать?

С уважением,
Славик.

Логический диск только один? Если нет - можешь поставить на другой диск вторую windows и из неё уже затоптать вируса. При инсталляции грузиться с CD, а не запускать из больной windows.

P.S. Для x:\System Volume Information : отключи индексирование для данного диска (папки), стань владельцем этой папки и кроши в ней всё.

что означает приписка [Other]! ,понятия не имею

это означает "Другой" - отсюда следует вывод, что базы AVAST`a не знают этого червя и он обнаружен расширенной эвристикой. Советую сметить Антивирь