Mimail.Q: алчный, лицемерный почтовый шантажист

[Professor 0]

QUOTE (graycrow @ Jan 27 2004, 14:41) Хм. И у меня на 2 моих активно используемых ящика ни одного вируса не пришло. Доктор, что я делаю не так?
нужЁн? Щас перешлю

[GDV 9784]

"Лаборатория Касперского" сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.

 

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

 

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

 

>>> Профилактика, диагностика и защита

 

"Novarg" распространяется по сети интернет двумя способами: через электронную почту и файлообменной сети KaZaA.

 

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного выявления зараженных писем.

 

В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif).

 

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.

 

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный набор символов.

 

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера.

 

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail адреса и, незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами.

 

"Novarg" содержит весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.
В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

 

"Опасность сращивания вирусных и спам технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальность. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями".

[allyouneed 1]

QUOTE (GDV @ Jan 27 2004, 14:52)"Опасность сращивания вирусных и спам технологий и формирования объединенной, мотивированной сети кибер-преступников становится реальность. За первые два дня этой недели мы обнаружили сразу две вредоносные программы, подтвердившие эту тенденцию, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Уже в ближайшем будущем эта проблема может означать новый этап в компьютерной вирусологии, который ознаменуется еще более серьезными и частыми эпидемиями".
Да ну, фигня. Как обычно, антивирусы подымают свои акции. Старо. Ничего нового. Самое банальное животное, каких уже было. Скучно, господа.
Статистика заражений
Тех. детали

[GDV 9784]

QUOTE (allyouneed @ Jan 27 2004, 15:26) Скучно, господа.
Ах скучно? А кто кричал на всю "Пуччелини", когда Бластёр сожрал вашу сетку? Иван Федорович Крузенштерн?

[allyouneed 1]

QUOTE (GDV @ Jan 27 2004, 15:31) когда Бластёр сожрал вашу сетку?
Не, ты не равняй. Там всему Микрософту в лице ДеБилла ДеГейтса в душу наплевали.

[GDV 9784]

QUOTE (allyouneed @ Jan 27 2004, 15:35) Не, ты не равняй.
Я не вирусы равняю, я просто говорю, что периодически всё же не скучно. Иными словами, не обобщай. Хочешь, мы тут скинемся и, чтобы ты не скучал, закажем вирусонаписателям в Руске чё-нить для тебя? Спешл, так сказать, эдишн? Назовём Win32.Allyouneed.Is.Love. С угорозами в адрес твоей компании.

[allyouneed 1]

Не забудь указать адрес заказчика.

[GDV 9784]

Обязательно. Как же иначе? Твой и укажу.

[KOTRPA 0]

А как вам вот такое:

Эпидемия Mydoom - виновный найден?

 

Как стало известно сегодня, ФБР произвело задержание нескольких сотрудников (программистов и менеджеров) компании SCO, а также осуществило обыск в головном офисе и изъятие одного из серверов и нескольких рабочих станций. Подробности операции спецслужб особо не разглашаются, однако известно (со слов представителя компании IBM по связям с общественностью) что операция связана напрямую с судебной тяжбой между компаниями IBM и SCO.
По имеющейся информации, все задержания связаны с расследованием, ведущимся ФБР в связи с эпидемией нового Интернет-червя. Предположительно, спецслужбам удалось проанализировать географию и скорость распространения червя, а так же выявить сам источник заражения – как ни парадоксально, саму компанию SCO. Возможно, таким неожиданным ходом кто-то из сотрудников компании планировал (по личной инициативе или по указанию руководства) настроить общественное мнение против Linux-сообщества, с которым ведет непримиримую юридическую войну SCO, пытаясь сорвать за лицензии на участки кода Linux/Unix «банк» в десятки миллиардов долларов.

 

http://www.securitylab.ru/42464.html

 

Конечно, это может быть все треп, но ход мыслей уникальный. Тем более, что то что вирус DDoS'ит www.sco.com утверждает только sco и на правду не похоже (http://www.math.org.il/newworm-digest1.txt)

[Professor 0]

Что бы это значило? Это как бы я рассылаю заразу из Кошиц???

 

Received: from mail1.worldhosting.org (unknown [193.173.27.3])
by mail.us.worldhosting.org (Postfix) with SMTP id 5CC7A1E23
for <alex@nmtrix.com>; Thu, 29 Jan 2004 03:18:36 +0000 (GMT)
Received: (qmail 4653 invoked from network); 29 Jan 2004 03:22:18 -0000
Received: from kosice-2.antik.sk (HELO infocentr.cz) (62.65.180.2)
  by 193.173.27.3 with SMTP; 29 Jan 2004 03:22:18 -0000
From: jerry@infocentr.cz
To: alex@nmtrix.com
Subject:
Date: Thu, 29 Jan 2004 04:22:08 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0011_A3B98C84.894E5A79"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20040129031836.5CC7A1E23@mail.us.worldhosting.org>