» Внимание! По почте рассылается зараза

По почте, видать автоматом, рассылается письмо с темой "Registration is accepted" с прикрепленным файлом viupd02.com и подписью: "Thanks for use of our software". При запуске оного, отрубается встроенный брандмауэр вместе с Центром безопасности. Также, в папку System32 кладется файл sysformat.exe с пикчей от Аськи.
В реестре добавляется запись HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\sysformat
со значением C:\WINDOWS\system32\sysformat.exe При перезапуске компа, стало-быть, стартует и висит в процессах.
Чего эта зараза делает не разбирался, возможно, рассылает себя далее.
Антивири, пока, ничего не видят. Проверьте наличие данной заразы у себя.
Пытался отослать Касперскому, серверы Yandex и Mail.ru отклонили, сказав что шлешь заразу. А мне письмо привалило как раз через Mail.ru.

KLASS

Цитата:

Проверьте наличие данной заразы у себя

нету, а когда началось? Сегодня?

Буквально час назад, от "albel" получил. Пока поковырялся... потом уже ему сообщил и на форум.

KLASS

Цитата:

Проверьте наличие данной заразы у себя.

У меня нет, да и я не читаю письма от неизвестных отправителей.

Mordovorotishe

Цитата:

да и я не читаю письма от неизвестных отправителей

мАлАдЭц.
Если твой почтовый адрес есть у твоего знакомого, а у него появилась эта зараза, то тебе придет привет именно от него.
Вот и сообщил тута, что народ может начать запускать аттач не разбираясь, потому как письмо может прийти от человека, скажем, с которым ты общаешься каждый день, а он и знать об этом не будет.

KLASS

Цитата:

По почте, видать автоматом, рассылается письмо с темой "Registration is accepted" с прикрепленным файлом viupd02.com и подписью: "Thanks for use of our software".

Пришло нечто похожее, отличия в теме и имени файла:
Subject: Delivery service mail
Message-ID: <zjkymjeqnhlfwsqpecs@mail.ru>
guupd02.scr - это сам файл
Хрень какая-то...

Пришло вот что:

От: Zavod <zavod@atnet.ru>
Тема: Delivery by mail
Текст: Thanks for use of our software.
Прикрепленный файл: upd02.cpl (4 байта)

Антивирус пропустил, но сработала защита по расширению

Решения для локальных сетей:

1. Ставить запрет на расширения файлов в которых могут быть вирусы и не пропускать их юзерам и не брать от них.
2. Следить за последними обновлениями антивирусов (вот этот пункт часто подводит), т.к. базы пополняют люди, а не автоматом, я так думаю.

Решения для дома:

1. Знать в каких файлах могут быть вирусы.
2. Не открывать всё что попало.
3. Следить за последними обновлениями антивирусов (вот этот пункт часто подводит), т.к. базы пополняют люди, а не автоматом, я так думаю.

Касперский отреагировал:
Email-Worm.Win32.Bagle.ax
Email-Worm.Win32.Bagle.ax и Email-Worm.Win32.Bagle.ay Статус: высокая опасность


Добавлено:
exMIB

Цитата:

2. Следить за последними обновлениями антивирусов (вот этот пункт часто подводит), т.к. базы пополняют люди, а не автоматом, я так думаю.

100% и в решения для дома нада.

Пришло в 17.40 на работе, Symantec пропустил.

exMIB

Цитата:

2. Не открывать всё что попало.

самое верное решение

SiaRain

Цитата:

самое верное решение

Но как я сказал выше это решение пригодно только для дома, в локальной сети попробуй заставь юзера не открывать всё что попало, он всё-равно откроет, ведь интересно что там
Как в анекдоте "только не нажимай красную кнопку ..."

Добавлено:
exMIB

Цитата:

Решения для дома:

1. Знать в каких файлах могут быть вирусы.

Процитирую сам себя

Оказалось мало знать в каких файлах могут быть вирусы.
Недавно запросто был занесен вирус на один комп с Win98SE из Интернета через JavaScript внутри самого обычного HTML файла.
Вот так вот.
Java на компе был выключен (это не Java для скриптов, а другой), но здесь похоже сработала дыра в Win98SE.
На компе вирус расплодился на 850 файлов и загадил весь интерфейс виндовс он позаписовал себя в файлы, отвечающие за вид папок, это скрытые системные файлы HTT и прописал себя в системную DLL.
Никакой фоновой проверки на вирусы не было включено о чём потом пожелел, т.к. думал тормозить будет, но теперь придется обязательно включить или на раб.станциях, или организовать полную проверку всего интернет-траффика на сервере.

хм, от знакомого с таким текстом приложеным к письмо врядли прийдет письмо
сам никогда не запускаю файлы, которые приложены к письму, да к тому ж *exe, чего и всем желаю
но все равно спасибо за предупреждение

Цитата:

Не открывать всё что попало

Цитата:

сам никогда не запускаю файлы

Так тоже не дело... Друг-чайник, "прислал" письмо и не рылом... вы письмо придавили и забыли, а он перегрузился и пол-винта слямзило. Завтра и вам может также "повезти"...
Открывать файлы надо, дабы узнать чего делает, куда лезет, что ломает, чтобы концы найти и "приславшему" сообщить, пусть даже он и не друг вовсе... только делать это лучше в виртуалке. И овцы целы и чела от потери инфы уберегли. Сам боишься, пришли продвинутому, заведомо сообщив чего слать собираешься...

Вот что предлагается поставить в фильтр на почтовый сервер в локальной сети:

Цитата:

*.exe
EXE files

*.com
COM files

*.vbs
Visual Basic scripts

*.{*}*
CLSID extension vulnerability

*.doc.*
Double extensions

*.xls.*
Double extensions

audio/x-wav
WAV

audio/x-midi
MSIE vulnerability

audio/x-mpeg
MP3

image/x-bmp
BMP

*.ade
Microsoft Access Project Extension

*.adp
Microsoft Access Project

*.app
OS X Executable Application

*.asd
Microsoft Advanced Streaming Format Description

*.asf
Microsoft Advanced Streaming Format

*.asx
Microsoft Advanced Stream Redirector File

*.bas
Basic Source Code

*.bat
Batch Processing

*.chm
Microsoft HTML Help Compiled Help File

*.cmd
Microsoft Command File for Windows

*.cpl
Microsoft Windows Control Panel Extension

*.dll
Dynamic Link Library

*.fxp
FoxPro Compiled Source

*.hlp
Microsoft Windows Help File

*.hta
Hypertext Application

*.hto
Hierarchical Tagged Objects

*.inf
Information or Setup File

*.ini
Initialization/Configuration File

*.ins
Microsoft IIS Internet Communications Settings

*.isp
Microsoft IIS Internet Service Provider Settings

*.jse
JScript Encoded Script File

*.lib
Program Library Common Object File Format (COFF)

*.lnk
Microsoft Windows Shortcut File

*.mdb
Microsoft Access Database

*.mde
Microsoft Access MDE Database

*.msc
Microsoft Management Console Snap-in Control File

*.msi
Microsoft Windows Installer File

*.mst
Microsoft Test Document

*.ocx
Microsoft Object Linking and Embedding (OLE) Control Extension

*.pcd
Microsoft Visual Test

*.pif
Microsoft Windows Program Information File

*.reg
Microsoft Registry Data File

*.scr
Microsoft Windows Screen Saver

*.sct
FoxPro Screen

*.sh
UNIX/LINUX Shell Script

*.shb
Microsoft Windows Shortcut into a Document

*.shs
Microsoft Shell Scrap Object File

*.sys
System Device Driver

*.url
Internet Location

*.vb
VBScript File or Any VisualBasic Source

*.vb?
VBScript Script File

*.vcs
vCalendar

*.vxd
Virtual Device Driver

*.wm?
Microsoft Windows Media Download File

*.ws?
Microsoft Windows Script

*.wsc
Microsoft Windows Script Component

SAV уже тоже ловит... я тот файлик приберег пока, так щас обновы качнул, Symantec без разговора выдал:

Цитата:

Осмотр: Автоматическая защита
Событие: Обнаружена угроза!
Угроза: W32.Beagle.AZ@mm
Файл: C:\Documents and Settings\KLASS\My Documents\DOWNLOAD\sysformat.exe
Действие: Исправить не удалось : Изолировать не удалось : Удалить удалось : Доступ закрыт
Дата обнаружения: 28 января 2005 г. 0:21:39

F-Secure Client Security тоже уже отреагировал

Цитата:

A new Bagle.AY has been reported from several different countries in Europe and Asia. It spreads in variable emails with different icons and via P2P networks. The worm contains a backdoor that listens on TCP port 81.

KLASS
СПАСИБО!
Хорошо, что сначала зашел на форум, а не начал почту тащить...


Цитата:

Не открывать всё что попало

А ежель интересно???
Бэкапный винт отключу и обязательно проверю шо за срань...

ALL

А вы заметили, что в теме уже идет разговор о 3 вирусах (файлах), а не об одном.

KLASS

Цитата:

viupd02.com

s1n

Цитата:

guupd02.scr

exMIB

Цитата:

upd02.cpl

Так что радоваться рано.

TVN

Цитата:

Хорошо, что сначала зашел на форум, а не начал почту тащить...

Дело не в этом... я ведь проверяю\запускаю такие вещи в виртуалке, а там они "не развернутся". Поковырялся, вышел из системы без сохранения и прибил все махом
exMIB

Цитата:

А вы заметили, что в теме уже идет разговор о 3 вирусах (файлах), а не об одном

Скорее всего это звеньи одной цепи, просто имена разные... Зашлите, кто словил, на klass#bk.ru в архивированном виде, я проверю антивирем, одно это или нет.
Ответ от albel пришел, так он грит этим ящиком (откуда письмо ко мне пришло) уже месяц не пользовался. Видать кто-то пооделался под него...

Всегда когда есть сомнения по файлу проверяйте его автоматом в 14 антивирусах одновременно по ссылке http://www.virustotal.com/flash/index_en.html

KLASS

Цитата:

я ведь проверяю\запускаю такие вещи в виртуалке,

У меня славянский подход - сначала создаю себе трудности, а потом их героически преодолеваю...

exMIB

Цитата:

А вы заметили, что в теме уже идет разговор о 3 вирусах (файлах), а не об одном.

это один и тот же вирус.

Цитата:

Характеристики зараженных писем
Тема письма:
Выбирается из списка:

Delivery by mail
Delivery service mail
Is delivered mail
Registration is accepted
You are made active
Текст письма:
Выбирается из списка:

Before use read the help
Thanks for use of our software.
Имя файла-вложения:
Выбирается из списка:

guupd02
Jol03
siupd02
upd02
viupd02
wsd01
zupd02
Вложения могут иметь одно из расширений:

com
cpl
exe
scr

ссылку на источник я давал выше.

После обновления зараза поймана:

Цитата:

AntiVir®/9x Personal Edition v6.29.00.03 of 13.12.2004
VDF file v6.29.0.84 (0) of 27.01.2005
GUUPD02.SCR.SAFE
[DETECTION] Contains signature of the worm Worm/Bagle.AX

Заразу то антивири уже ловят, а вот чего мыльные сервера работать не хотят. С форума писем нет, рекламы нет, в ящике чисто "как в трамвае" (С). Или это только у меня?

KLASS
да нет у меня тоже тихо

KLASS

Цитата:

Или это только у меня?

У меня тоже.

KLASS
SiaRain
IMP
Профилактика на форуме
http://forum.ru-board.com/topic.cgi?forum=13&bm=1&topic=1190&start=560#lt

batva

Цитата:

Вчера со второй половины дня, и сегодня видимо весь день, письма по подписке ходить не будут.
В связи с профилактическими работами на сервере.
Приносим извинения.

хммм. в оутлук есплорере можно запретит видет те сообщения где есть присоединенные файлы.

Цитата:

хммм. в оутлук есплорере можно запретит видет те сообщения где есть присоединенные файлы.

можно просто не запускать бинарники, а в MS-Office поставить запрет на исполнение VBScript'ов

Кому нить еще эта гадость приходила? И как она вообще называется, как оформляется письмо?

Mordovorotishe
Мне ещё раза 4 приходила, по 1-ому разу в день.