Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Внимание! По почте рассылается зараза

Автор: KLASS
Дата сообщения: 27.01.2005 10:57
По почте, видать автоматом, рассылается письмо с темой "Registration is accepted" с прикрепленным файлом viupd02.com и подписью: "Thanks for use of our software". При запуске оного, отрубается встроенный брандмауэр вместе с Центром безопасности. Также, в папку System32 кладется файл sysformat.exe с пикчей от Аськи.
В реестре добавляется запись HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\sysformat
со значением C:\WINDOWS\system32\sysformat.exe При перезапуске компа, стало-быть, стартует и висит в процессах.
Чего эта зараза делает не разбирался, возможно, рассылает себя далее.
Антивири, пока, ничего не видят. Проверьте наличие данной заразы у себя.
Пытался отослать Касперскому, серверы Yandex и Mail.ru отклонили, сказав что шлешь заразу. А мне письмо привалило как раз через Mail.ru.
Автор: SiaRain
Дата сообщения: 27.01.2005 11:22
KLASS

Цитата:
Проверьте наличие данной заразы у себя

нету, а когда началось? Сегодня?
Автор: KLASS
Дата сообщения: 27.01.2005 11:30
Буквально час назад, от "albel" получил. Пока поковырялся... потом уже ему сообщил и на форум.
Автор: Mordovorotishe
Дата сообщения: 27.01.2005 12:25
KLASS

Цитата:
Проверьте наличие данной заразы у себя.

У меня нет, да и я не читаю письма от неизвестных отправителей.
Автор: KLASS
Дата сообщения: 27.01.2005 13:15
Mordovorotishe

Цитата:
да и я не читаю письма от неизвестных отправителей

мАлАдЭц.
Если твой почтовый адрес есть у твоего знакомого, а у него появилась эта зараза, то тебе придет привет именно от него.
Вот и сообщил тута, что народ может начать запускать аттач не разбираясь, потому как письмо может прийти от человека, скажем, с которым ты общаешься каждый день, а он и знать об этом не будет.
Автор: s1n
Дата сообщения: 27.01.2005 15:04
KLASS

Цитата:
По почте, видать автоматом, рассылается письмо с темой "Registration is accepted" с прикрепленным файлом viupd02.com и подписью: "Thanks for use of our software".

Пришло нечто похожее, отличия в теме и имени файла:
Subject: Delivery service mail
Message-ID: <zjkymjeqnhlfwsqpecs@mail.ru>
guupd02.scr - это сам файл
Хрень какая-то...
Автор: exMIB
Дата сообщения: 27.01.2005 16:43
Пришло вот что:

От: Zavod <zavod@atnet.ru>
Тема: Delivery by mail
Текст: Thanks for use of our software.
Прикрепленный файл: upd02.cpl (4 байта)

Антивирус пропустил, но сработала защита по расширению

Решения для локальных сетей:

1. Ставить запрет на расширения файлов в которых могут быть вирусы и не пропускать их юзерам и не брать от них.
2. Следить за последними обновлениями антивирусов (вот этот пункт часто подводит), т.к. базы пополняют люди, а не автоматом, я так думаю.

Решения для дома:

1. Знать в каких файлах могут быть вирусы.
2. Не открывать всё что попало.
3. Следить за последними обновлениями антивирусов (вот этот пункт часто подводит), т.к. базы пополняют люди, а не автоматом, я так думаю.
Автор: G14
Дата сообщения: 27.01.2005 19:52
Касперский отреагировал:
Email-Worm.Win32.Bagle.ax
Email-Worm.Win32.Bagle.ax и Email-Worm.Win32.Bagle.ay Статус: высокая опасность


Добавлено:
exMIB

Цитата:
2. Следить за последними обновлениями антивирусов (вот этот пункт часто подводит), т.к. базы пополняют люди, а не автоматом, я так думаю.

100% и в решения для дома нада.
Автор: SiaRain
Дата сообщения: 27.01.2005 19:55
Пришло в 17.40 на работе, Symantec пропустил.

exMIB

Цитата:
2. Не открывать всё что попало.

самое верное решение
Автор: exMIB
Дата сообщения: 27.01.2005 20:33
SiaRain

Цитата:
самое верное решение

Но как я сказал выше это решение пригодно только для дома, в локальной сети попробуй заставь юзера не открывать всё что попало, он всё-равно откроет, ведь интересно что там
Как в анекдоте "только не нажимай красную кнопку ..."

Добавлено:
exMIB

Цитата:
Решения для дома:

1. Знать в каких файлах могут быть вирусы.

Процитирую сам себя

Оказалось мало знать в каких файлах могут быть вирусы.
Недавно запросто был занесен вирус на один комп с Win98SE из Интернета через JavaScript внутри самого обычного HTML файла.
Вот так вот.
Java на компе был выключен (это не Java для скриптов, а другой), но здесь похоже сработала дыра в Win98SE.
На компе вирус расплодился на 850 файлов и загадил весь интерфейс виндовс он позаписовал себя в файлы, отвечающие за вид папок, это скрытые системные файлы HTT и прописал себя в системную DLL.
Никакой фоновой проверки на вирусы не было включено о чём потом пожелел, т.к. думал тормозить будет, но теперь придется обязательно включить или на раб.станциях, или организовать полную проверку всего интернет-траффика на сервере.
Автор: Max_Payne
Дата сообщения: 27.01.2005 20:52
хм, от знакомого с таким текстом приложеным к письмо врядли прийдет письмо
сам никогда не запускаю файлы, которые приложены к письму, да к тому ж *exe, чего и всем желаю
но все равно спасибо за предупреждение
Автор: KLASS
Дата сообщения: 27.01.2005 22:03

Цитата:
Не открывать всё что попало


Цитата:
сам никогда не запускаю файлы

Так тоже не дело... Друг-чайник, "прислал" письмо и не рылом... вы письмо придавили и забыли, а он перегрузился и пол-винта слямзило. Завтра и вам может также "повезти"...
Открывать файлы надо, дабы узнать чего делает, куда лезет, что ломает, чтобы концы найти и "приславшему" сообщить, пусть даже он и не друг вовсе... только делать это лучше в виртуалке. И овцы целы и чела от потери инфы уберегли. Сам боишься, пришли продвинутому, заведомо сообщив чего слать собираешься...
Автор: exMIB
Дата сообщения: 27.01.2005 22:05
Вот что предлагается поставить в фильтр на почтовый сервер в локальной сети:

Цитата:

*.exe
EXE files

*.com
COM files

*.vbs
Visual Basic scripts

*.{*}*
CLSID extension vulnerability

*.doc.*
Double extensions

*.xls.*
Double extensions

audio/x-wav
WAV

audio/x-midi
MSIE vulnerability

audio/x-mpeg
MP3

image/x-bmp
BMP

*.ade
Microsoft Access Project Extension

*.adp
Microsoft Access Project

*.app
OS X Executable Application

*.asd
Microsoft Advanced Streaming Format Description

*.asf
Microsoft Advanced Streaming Format

*.asx
Microsoft Advanced Stream Redirector File

*.bas
Basic Source Code

*.bat
Batch Processing

*.chm
Microsoft HTML Help Compiled Help File

*.cmd
Microsoft Command File for Windows

*.cpl
Microsoft Windows Control Panel Extension

*.dll
Dynamic Link Library

*.fxp
FoxPro Compiled Source

*.hlp
Microsoft Windows Help File

*.hta
Hypertext Application

*.hto
Hierarchical Tagged Objects

*.inf
Information or Setup File

*.ini
Initialization/Configuration File

*.ins
Microsoft IIS Internet Communications Settings

*.isp
Microsoft IIS Internet Service Provider Settings

*.jse
JScript Encoded Script File

*.lib
Program Library Common Object File Format (COFF)

*.lnk
Microsoft Windows Shortcut File

*.mdb
Microsoft Access Database

*.mde
Microsoft Access MDE Database

*.msc
Microsoft Management Console Snap-in Control File

*.msi
Microsoft Windows Installer File

*.mst
Microsoft Test Document

*.ocx
Microsoft Object Linking and Embedding (OLE) Control Extension

*.pcd
Microsoft Visual Test

*.pif
Microsoft Windows Program Information File

*.reg
Microsoft Registry Data File

*.scr
Microsoft Windows Screen Saver

*.sct
FoxPro Screen

*.sh
UNIX/LINUX Shell Script

*.shb
Microsoft Windows Shortcut into a Document

*.shs
Microsoft Shell Scrap Object File

*.sys
System Device Driver

*.url
Internet Location

*.vb
VBScript File or Any VisualBasic Source

*.vb?
VBScript Script File

*.vcs
vCalendar

*.vxd
Virtual Device Driver

*.wm?
Microsoft Windows Media Download File

*.ws?
Microsoft Windows Script

*.wsc
Microsoft Windows Script Component
Автор: KLASS
Дата сообщения: 27.01.2005 22:26
SAV уже тоже ловит... я тот файлик приберег пока, так щас обновы качнул, Symantec без разговора выдал:

Цитата:

Осмотр: Автоматическая защита
Событие: Обнаружена угроза!
Угроза: W32.Beagle.AZ@mm
Файл: C:\Documents and Settings\KLASS\My Documents\DOWNLOAD\sysformat.exe
Действие: Исправить не удалось : Изолировать не удалось : Удалить удалось : Доступ закрыт
Дата обнаружения: 28 января 2005 г. 0:21:39
Автор: Vjaces
Дата сообщения: 27.01.2005 22:38
F-Secure Client Security тоже уже отреагировал

Цитата:
A new Bagle.AY has been reported from several different countries in Europe and Asia. It spreads in variable emails with different icons and via P2P networks. The worm contains a backdoor that listens on TCP port 81.

Автор: TVN
Дата сообщения: 27.01.2005 23:01
KLASS
СПАСИБО!
Хорошо, что сначала зашел на форум, а не начал почту тащить...


Цитата:
Не открывать всё что попало

А ежель интересно???
Бэкапный винт отключу и обязательно проверю шо за срань...
Автор: exMIB
Дата сообщения: 27.01.2005 23:19
ALL

А вы заметили, что в теме уже идет разговор о 3 вирусах (файлах), а не об одном.

KLASS

Цитата:
viupd02.com

s1n

Цитата:
guupd02.scr

exMIB

Цитата:
upd02.cpl


Так что радоваться рано.
Автор: KLASS
Дата сообщения: 28.01.2005 01:59
TVN

Цитата:
Хорошо, что сначала зашел на форум, а не начал почту тащить...

Дело не в этом... я ведь проверяю\запускаю такие вещи в виртуалке, а там они "не развернутся". Поковырялся, вышел из системы без сохранения и прибил все махом
exMIB

Цитата:
А вы заметили, что в теме уже идет разговор о 3 вирусах (файлах), а не об одном

Скорее всего это звеньи одной цепи, просто имена разные... Зашлите, кто словил, на klass#bk.ru в архивированном виде, я проверю антивирем, одно это или нет.
Ответ от albel пришел, так он грит этим ящиком (откуда письмо ко мне пришло) уже месяц не пользовался. Видать кто-то пооделался под него...
Автор: exMIB
Дата сообщения: 28.01.2005 02:55
Всегда когда есть сомнения по файлу проверяйте его автоматом в 14 антивирусах одновременно по ссылке http://www.virustotal.com/flash/index_en.html
Автор: TVN
Дата сообщения: 28.01.2005 04:45
KLASS

Цитата:
я ведь проверяю\запускаю такие вещи в виртуалке,

У меня славянский подход - сначала создаю себе трудности, а потом их героически преодолеваю...
Автор: G14
Дата сообщения: 28.01.2005 07:21
exMIB

Цитата:
А вы заметили, что в теме уже идет разговор о 3 вирусах (файлах), а не об одном.

это один и тот же вирус.

Цитата:
Характеристики зараженных писем
Тема письма:
Выбирается из списка:

Delivery by mail
Delivery service mail
Is delivered mail
Registration is accepted
You are made active
Текст письма:
Выбирается из списка:

Before use read the help
Thanks for use of our software.
Имя файла-вложения:
Выбирается из списка:

guupd02
Jol03
siupd02
upd02
viupd02
wsd01
zupd02
Вложения могут иметь одно из расширений:

com
cpl
exe
scr

ссылку на источник я давал выше.
Автор: s1n
Дата сообщения: 28.01.2005 10:13
После обновления зараза поймана:

Цитата:
AntiVir®/9x Personal Edition v6.29.00.03 of 13.12.2004
VDF file v6.29.0.84 (0) of 27.01.2005
GUUPD02.SCR.SAFE
[DETECTION] Contains signature of the worm Worm/Bagle.AX

Автор: KLASS
Дата сообщения: 28.01.2005 11:18
Заразу то антивири уже ловят, а вот чего мыльные сервера работать не хотят. С форума писем нет, рекламы нет, в ящике чисто "как в трамвае" (С). Или это только у меня?
Автор: SiaRain
Дата сообщения: 28.01.2005 11:54
KLASS
да нет у меня тоже тихо
Автор: IMP
Дата сообщения: 28.01.2005 15:51
KLASS

Цитата:
Или это только у меня?

У меня тоже.
Автор: exMIB
Дата сообщения: 28.01.2005 17:06
KLASS
SiaRain
IMP
Профилактика на форуме
http://forum.ru-board.com/topic.cgi?forum=13&bm=1&topic=1190&start=560#lt

batva

Цитата:
Вчера со второй половины дня, и сегодня видимо весь день, письма по подписке ходить не будут.
В связи с профилактическими работами на сервере.
Приносим извинения.
Автор: woodja
Дата сообщения: 31.01.2005 03:33
хммм. в оутлук есплорере можно запретит видет те сообщения где есть присоединенные файлы.
Автор: eugrus
Дата сообщения: 31.01.2005 18:30

Цитата:
хммм. в оутлук есплорере можно запретит видет те сообщения где есть присоединенные файлы.

можно просто не запускать бинарники, а в MS-Office поставить запрет на исполнение VBScript'ов
Автор: Mordovorotishe
Дата сообщения: 01.02.2005 22:29
Кому нить еще эта гадость приходила? И как она вообще называется, как оформляется письмо?
Автор: exMIB
Дата сообщения: 02.02.2005 01:53
Mordovorotishe
Мне ещё раза 4 приходила, по 1-ому разу в день.

Страницы: 1

Предыдущая тема: Проблема "Драйвер отключил буфер записи для устройства


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.