Внимание, ВИРУС!!!

[Professor 0]

За первую половину дня получили сотни полторы вирусов на разные комбинации адресов нашего сервера. Да и от нашего сервера (яко бы) рассылают какую-то заразу .scr. Ребята! Я здесь не при чем!!! Да и из Удмуртии мне тяжело подобную рассылку совершить.

 

The headers of infected mail follow:
---------------------------------------------
Return-Path: <infocentr@infocentr.cz>
Received: from localhost (root@i-server [127.0.0.1])
by vetov.ru (8.9.3/8.9.3/Debian 8.9.3-21) with ESMTP id MAA08386
for <postmaster@localhost>; Tue, 27 Jan 2004 12:30:23 +0400
From: infocentr@infocentr.cz
X-Authentication-Warning: i-server.vetov.: Host root@i-server [127.0.0.1] claimed to be localhost
Received: from mail.udm.ru
by localhost with POP3 (fetchmail-5.3.3)
for postmaster@localhost (multi-drop); Tue, 27 Jan 2004 12:30:23 +0400 (SAMT)
Received: from <fan@izh.com>
  by aps.mark-itt.ru (CommuniGate Pro RULES 4.0.6)
  with RULES id 84573721; Tue, 27 Jan 2004 11:46:05 +0400
X-Autogenerated: Mirror
X-Mirrored-by: <fan@izh.com>
Received: from [217.14.192.18] (HELO hq.mark-itt.ru)
  by aps.mark-itt.ru (CommuniGate Pro SMTP 4.0.6)
  with ESMTP id 84573686 for fan@izh.com; Tue, 27 Jan 2004 11:46:04 +0400
Received: from [62.33.15.1] (HELO infocentr.cz)
  by hq.mark-itt.ru (CommuniGate Pro SMTP 4.1.8)
  with ESMTP id 3269389 for fan@izh.com; Tue, 27 Jan 2004 11:46:02 +0400
To: fan@izh.com
Subject: test
Date: Tue, 27 Jan 2004 10:46:01 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0006_A64271F6.8A75D84F"
X-Priority: 3
X-MSMail-Priority: Normal
Message-ID: <auto-000003269389@hq.mark-itt.ru>
X-Fetchmail-Warning: recipient address fan@izh.com didn't match any local name
X-UIDL: 1a09dd83ccc726e79f5c330e68d7481d

[GDV 9980]

Проф, ты бы соседнюю тему про вирусы прочитал, прежде чем оправдываться.

[cray 0]

какое совпадение интересное, я с этим сервером лично знаком был в своей российской жизни,
очень ностальгический РФЦ заголовок

[Sergei 13]

Коментарий Касперского.

[Dim 0]

А вот и ещё один....

Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении новой версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".

 

На данный момент уже поступили сообщения о случаях заражения этой
вредоносной программой. "Лаборатория Касперского" допускает, что для
распространения "Mydoom.B" были использованы компьютеры, зараженные
предыдущей версией червя (на данный момент их число достигает 600 000
единиц). Возможно, они получили централизованную команду начать
рассылку "Mydoom.B". По этой причине не исключено, что в ближайшие часы
начнется новая вирусная эпидемия, по масштабам многократно
превосходящая "Mydoom.A".

 

Новая версия червя содержит минимум технологических отличий. Она также
распространяется по электронной почте и файлообменной сети KaZaA. При
e-mail рассылке используется другой набор текстовых строк для создания
тела письма. Файл-носитель червя имеет размер около 28 килобайт и
содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing
personal, sorry". "Mydoom.B" в период с 1 по 12 февраля проводит
DDoS-атаку сразу на два веб-сайта: www.sco.com и www.microsoft.com.

 

Кроме того, червь модифицирует операционную систему таким образом, что
пользователь зараженного компьютера не в состоянии соединиться с
сайтами многих антивирусных компаний, новостными лентами, различными
разделами сайта Microsoft и загружать данные из баннерных сетей.

 

Защита от "Mydoom.B" уже добавлена в базу данных Антивируса
Касперского®.

[CHIPpolino 0]

Новые подробности разрушающего действия вируса MyDoom.B

 

Денис, denis@ixi.ru
Независимый исследователь Juari Bosnikovich juarib@m-net.arbornet.org
опубликовал в списке рассылки новые подробности разрушающего действия вируса
MyDoom.B, которые не были опубликованы антивирусными компаниями.

 

Антивирусные компании говорят, что код вируса написан на ассемблере, однако
при дизассемблировании, он выглядит как написанный на c++. Оказалось, что
антивирусные компании скрывают основную информацию о действии вируса,
например как тот факт, что в действительности 12 февраля он не остановит
свое распространение. На самом деле после 12 февраля MyDoom перейдет в новую
фазу и будет еще более опасным поскольку появится новая обновленная и
мутировавшая версия. Известно, что MyDoom посредством shimgapi.dll
оставляетоткрытыми порты 3127-3189, но это используется только для скрытия
реальных намерений MyDoom.B.

 

До сих пор не было известно, что вирус заражает BIOS компьютера. По словам
исследователя, вирус записывает в BIOS код длиной 624 байта, который будет
управляться по TCP протоколу после 12 февраля. Также нет возможности
вылечить вирус записанный в BIOS, кроме как перезаписать в флеш память BIOS
заново.

 

Полностью сообщение находится здесь.
http://lists.netsys.com/pipermail/full-dis...ary/016353.html

 

www.securitylab.ru

[GDV 9980]

Интересно, правда или кря-кря?

 

А еще вирус меняет раскладку клавиатуры на пишмашинку и заменяет драйвер коврика на драйвер колонок.