Осторожно, новый вирус!

[Boris]

Wanadoo сообщает, что 29 сентября в интернете появился новый вирус - Bug Bear. Проникает классическим путем - в виде письма с приложением под скрепкой в РС с Microsoft Windows 95-98-2000-Me-XP-NT. Зараженный документ под скрепкой - в формате EXE, SCR или PIF.

Здесь можно скачать бесплатную антивирусную программу против этой заразы (меценат - Wanadoo):
http://alert.securitoo.com/index.htm

Доброго здравия вам и вашему компу! :-)

[nel]

Борис, а вас уже давно пора поставить вместо дырявого Аутлука Экспресс мою любимую летучую мышь The Bat. Я пришлю установочный файл, а друзья вам помогут установить...

[Boris]

Спасибо, Неллочка! :-)

А вот у меня в связи с вирусами вопрос. Я позавчера получил два аналогичных письма (явно от робота) - одно из них о том, что я якобы послал на сайт французского МИДа (!!!), причем совершенно определенному г-ну N., письмо, зараженное вирусом. Ясное дело, что я никакого г-на N. не знаю и гриппом или чем-то там еще заражать его не собирался. Вопрос: надо ли отвечать на такие письма (из соображений - мало ли что?) или просто выбрасывать их в корзину?

[Maroucha]

Борис, я такие письма выбрасываю не читая.
В последнее время вирусы меня атакуют: мне приходят письма от незнакомых людей в виде ответа на мое письмо!!!, естесвенно, со скрепкой. Людей этих я знать не знаю и тем более ничего не могла им писать, следовательно все что RE: и со скрепкой - в корзину.
Хоть таким образом немного защищаюсь

[Boris]

Марин, с письмами со скрепкой всё понятно - я их тоже выбрасываю не долго думая. Но я говорю про письма без всяких RE и скрепок, где тебе ставят на вид, что ты послал "зараженное" письмо работнику французского МИДа!!!

В свете развернувшейся компании по борьбе с терроризмом, в том числе в интернете... как-то неуютно от таких писем. Вот я и спросил тут: отвечать - не отвечать? Это ж косвенное обвинение в хакерных грехах! Да и юридическая сторона дела мне совершенно не понятна... Могу ли я опротестовать отправку мне таких писем? Могут ли меня обвинить в чем-то на основании таких писем?
Вопрос не такой простой, как кажется.

[nel]

Не отвечайте. Письмо рассылается от их антивирусной программы роботом, а вас как отправителя выставить может любой вирус, в чью базу данных вы попали.

Обвинить не могут - вы жертва вируса, а не его создатель.

[Maroucha]

Совершенно согласна с Неллой. Не отвечайте, а то может еще штук двадцать вирусов по дороге прицепиться, тогда докажите, что Вы не злоумышленник

[Boris]

Свят, свят, свят! Пронеси, Господи!

[Escargot]

Недавно появился оченно опасный заразный вирус, распространяющийся посредством системы форумов. Если вы обнаружили сообщение под темой "Осторожно, вирус!", не читайте его. Если вдруг рискнете, вирус испортит вторую половину ВСЕХ  текстовых файлов в вашем компутере.

ОЧЕНЬ ВАЖНО. Если вы все же подцепили этот вирус, немедлено ёптùт µчсук ы èhhh дéш гртаè яуçт dflasidffnm asd difvu asdfa vgoiae vdsofj we dasdf 9efm sd dag0 g adf БЛЪЪЪЪЪЪas dg 0vbàwe ads gwefawe ads vewerwe dsf! БЛЪЪЪ ЫДЖС эù er §§+3 èhhh дéш 3APA3A bà  !!

[Boris]

Эскаргоша, а я в таких случаях черепушкаю клуками, фистонно отцыркиваю хлюлюлюшки, а заблёбу чураликов хецкаю писталыми гверями, тырбо крызы не гандобили бирук. И всем это рикопулаю.

PS. Извините, проглядел опечатку. Не бирук, а пирук!

[Яна]

От JMMeu:

sur la page
http://securityresponse.symantec.com...oval.tool.html

vous trouverez un outil de symantec pour nettoyer votre pc de cette saloperie de virus.
Penser à lire les instructions.

Merci qui ;-)))

[Яна]

От Judyth

Attention! C'est le virus W32/Bugbear@mm, aussi connu sur le nom Tanatos, qui parcourt le monde depuis le 30 septembre et semble avoir commence dans le monde des traducteurs, malheureusement. J'en ai recu une cinquantaine de copies -- heureusement sur mon Mac immunise et non sur un ordinateur sous Windows mal protege -- dont la grande majorite me parvenait des traducteurs.

Ce virus est tres, tres dangereux et pas seulement parce que c'est tres repandu. Voici une description:

1. Il se transmet avec une adresse de retour faussee (une combinaison de deux adresses de courriel prises du disque dur infecte) et avec un texte pris d'un message reel stocke sur l'ordinateur, donc ca peut apparaitre comme un message legitime d'une liste ou d'un collegue. Le fichier joint porte un nom
variable et deux extensions - ex. "texte.doc.pif" - qui est bonne raison pour ne pas permettre a Windows de cacher les extensions, parce que si la deuxieme indique un fichier executable (.exe. .scr., .pif et le reste) c'est presque toujours un virus.

2. Il existe dans deux versions principales. La premiere, que vous avez recue, comporte la balise "iframe" qui lance automatiquement le fichier infecte s'il se trouve dans Outlook Express sans le correctif (emis en 2000) pour le trou securitaire "incorrect MIME header"; ce n'est même pas necessaire d'ouvrir le message pour le lire! Dans un OE avec le correctif ou un autre logiciel de courriel, ce n'est plus automatique. La deuxieme ne se lance pas: il faut l'utilisateur naif pour le faire marcher.

3. Ce virus n'est pas une blague pour vous incommoder un peu. C'est un petit logiciel tres comprime pour faire du vrai mal. Il y a une partie pour repandre l'infection comme tous ces virus de nos jours mais aussi

- du code pour arreter votre logiciel antivirus (une douzaine de marques) afin d'echapper la detection

- du code qui enregistre vos frappes au clavier dans un fichier qu'il envoit a une d'une douzaine d'adresses du genre "e-mail gratuit sur le Web" -- ce qui donne a l'auteur votre nom d'utilisateur, vos mots de passe, peut-être votre carte de credit ou votre compte de banque...

- du code qui installe une "porte arrière" sur le port 137 qui permet au createur d'entrer dans votre ordinateur pour faire n'importe quoi, y compris l'utiliser (avec les milliers d'autres infectes) pour s'attaquer a des reseaux, des sites Web, les systemes de controle de satellite ...

- du code qui branche votre ordinateur au site Web de son createur afin de telecharger une "mise a jour" du virus s'il y a lieu

La "bonne" nouvelle est que les adresses et le site sont maintenant abandonnes mais sans doute cette personne a reussi tres bien dans les premiers jours du virus.

4. A part cela, il y a question de la confidentialite violee. Entre les copies que j'ai recues personellement etait un message comportant le nom d'utilisateur et le mot de passe de la personne infectee (que je connais ici à Montreal) pour un compte sur Internet et la commande envoyee par un client a VOLPE EVA MARIA qui traduit de l'italien en allemand qui sans doute infecte mais pour laquelle je n'ai pas d'adresse.

En bref, ce n'est pas beau et il n'est pas possible d'avertir la personne infectee si vous n'avez pas autre part son adresse de courriel. Donc, si vous utilisez Windows en toute version après 3.1 et surtout si vous n'avez pas installe tous les correctifs necessaires pour vos logiciels et vous n'avez pas deja verifie votre systeme et mis a jour votre antivirus cette semaine :

- Aller tout de suite a http://www.securityspace.com/smysecure/bugbear.html
pour une verification en ligne que vous n'etes pas infecte. (C'est en anglais mais je ne connais pas un equivalent francais et le lien pour vous desinfecter mene à sophos.com ou sont des explications en francais.)

- Mettre a jour votre antivirus existant ou en telecharger un autre immediatement. Vous arranger pour visiter automatiquement ce site en demarrant l'ordi le matin pour savoir s'il faut une autre mise a jour. Vous abonner aux alertes par courriel.

- Aller tout de suite au site de Microsoft pour lire les quatre (peut-etre c'est deja cinq!) nouveaux bulletins techniques sur de nouveaux problemes de securite. Bien lire les instructions en ce qui concerne les bons correctifs pour votre systeme. Installer les correctifs. Vous abonner aux alertes par courriel -- de preference en ne pas utilisant le methode de Passport qui certains pose de risques lui-même.

- Rechercher avec un moteur de recherche au besoin 2-3 autres sites fiables fournissant des nouvelles sur la securite informatique et vous y abonner aussi. (La vitesse est essentielle - j'ai recu mon premier message infecte le matin du 1 octobre, la premiere alerte le 2, et la derniere seulement HIER, ce qui veut dire que si j'etais infectee et ne le savais pas, j'aurais envoye l'infection a au moins 5000 personnes pendant la semaine de retard! Donc c'est bon d'avoir plusieurs sources d'information au lieu d'attendre qu'un fabricant particulier vous avertit.)

- Pensez a l'installation d'un pare-feu si vous n'en avez pas deja. Ce n'est pas un antivirus mais une protection supplementaire contre un Bugbear qui veut utiliser votre connexion pour voler des donnees ou pour fouiller dans votre ordinateur afin de nuire a d'autres.

Esperant que ceci vous aidera,

Judyth la pomme




(Отредактировал(а) Яна - 12:01 - 17 Окт., 2002)

[Яна]

test

[Яна]

Ок, я разобралась с дырами и всё поправила.

(Отредактировал(а) Яна - 12:02 - 17 Окт., 2002)

[Olala]

Получила предупреждение от французских друзей:

Attention virus tres dangereux.
Informations communiquees par France Telecom Transpac Centre Support Internet Toulouse (2, Esplanade Compans Caffarelli 31903 TOULOUSE )
Information a diffuser tres rapidement pour arreter ce virus.
1. Un nouveau virus vient d'etre decouvert et a ete classe par Microsoft comme etant le plus destructeur n'ayant jamais existe ! Ce virus a ete decouvert hier apres-midi par McAfee et aucun vaccin n'a encore ete developpe. Ce virus detruit le Secteur Zero de votre disque dur, la ou les informations vitales au fonctionnement de votre systeme sont emmagasinees.
Ce virus agit de la facon suivante : Il envoie lui-meme un message a toute votre liste de contacts avec le titre "A Virtual Card for You" ou "Une carte virtuelle pour vous". N'OUVRIR AUCUN LIEN QUI PORTE CETTE MENTION.
Aussitot que la supposee "carte virtuelle" est ouverte, l'ordinateur se bloque et l'utilisateur doit redemarrer son systeme.. Lorsque les touches ctrl+alt+del ou le bouton "reset" sont enfonces, le virus detruit le Secteur Zero, et votre disque dur sera alors detruit de facon permanente.
S..V.P. distribuez ce message a plus de gens possible.
2. L'academie de Creteil nous previent que le centre d'anti-criminalite des virus annonce que deux nouveaux virus ont ete decouverts. Ils arriveront par un e-mail intitule : "CALIFORNIA IBM" et "GIRL HING".
Microsoft a annonce qu'ils sont tres puissants, plus encore que
"I love you ". Il n'existe aucun remede, ils avalent toute l'information du
disque dur, detruisent Internet Explorer et Netscape Navigator. N'ouvrez rien s'intitulant ainsi.
3. Si vous recevez par mail un message avec comme fichier joint un ecran de veille "screensaver" intitule "DDLY SIP", ne l'ouvrez en aucun cas.
Annulez immediatement. En l'ouvrant, vous allez perdre toutes les donnees de votre disque dur. Ce virus a ete lance il y a 5 jours.
Si tout le monde est au courant, le lancement de ces virus SERA un echec.

[Eveline]

Хакеры напали на Южную Корею
25.01.2003 18:53 | ИД "Коммерсантъ"


25 января мощная атака хакеров спровоцировала сбой в интернете по всему миру. Особенно пострадали Южная Корея и Япония.

Как сообщает ИТАР-ТАСС, по сети распространяется опасный вирус, по своим признакам напоминающий "Красный код", парализовавший огромные участки "всемирной паутины" весной 2001 года. Однако сегодняшняя атака хакеров впервые носила общенациональный масштаб. Последствия атаки отразились и на российском сегменте интернета

[Eveline]

Новый компьютерный червь вызвал глобальную сетевую эпидемию
25.01.2003 22:34 | Газета.ru


Российский лидер в области разработки антивирусных систем безопасности "Лаборатория Касперского", сообщает об обнаружении нового Интернет-червя "Helkern" (также известен под именем "Slammer"), заражающего серверы под управлением системы баз данных Microsoft SQL Server 2000. Небольшой размер червя (всего лишь 367 байт), уникальная технология заражения и исключительно высокая скорость распространения позволяют назвать "Helkern" одной из главных угроз нормальному функционированию Интернет за последние несколько лет. Уже сейчас поступают данные о перебоях в работе Всемирной сети из Южной Кореи, Австралии и Новой Зеландии. На данный момент можно утверждать, что червь вызвал одну из крупнейших в истории глобальную эпидемию, которая затронула практически все страны мира: многочисленные сообщения о фактах заражения "Helkern" поступают из Европы, США, Азии, а также из России. "Helkern" принадлежит к классу так называемых "бестелесных" червей: эти вирусные программы осуществляют все операции (включая заражение и распространение) исключительно в системной памяти компьютера, что значительно затрудняет процесс их обнаружения и нейтрализации стандартными антивирусными средствами. Первым представителем этого класса червей был "CodeRed", обнаруженный 20 июля 2001 года и вызвавший крупномасштабную эпидемию. До сегодняшнего дня "бестелесные" черви более никак себя не проявляли. "Helkern" заражает только компьютеры под управлением Microsoft SQL Server 2000. Это ПО является многофункциональной системой управления базами данных, которая широко используется в том числе и на Web-серверах. Для домашних пользователей, которые самостоятельно не устанавливали Microsoft SQL Server "Helkern" не представляет опасности. Сообщает "Газета.RU"

[Ангара]

В преддверии 8 марта в интернете распространяются фальшивые открытки с вирусами

19:16 5/03/03
http://www.newsru.com/russia/05mar2003/virus.html

На этой неделе пользователи интернета начали получать поддельные поздравительные открытки, в которых за поздравлением прячется троянская программа Wmpatch - она похищает информацию у пользователей российской платежной системы WebMoney. По данным "Лаборатории Касперского", в ночь с 4 на 5 марта письмо, приглашающее посетить вредоносный Web-сайт и загрузить с него "троянца", было разослано многим пользователям интернета - по разным оценкам, это сообщение получили от нескольких сотен тысяч до миллиона адресатов.



Вредоносные письма были разосланы с адреса "greeting_cards@yahoo.com" и выглядели следующим образом:


Тема: Вам пришла открытка!
Текст:
Вам пришла открытка! Вы можете получить ее, щелкнув по ссылке: http://www.yahoo-greeting-cards.com/...e23d52.asp.scr
Открытка доступна для просмотра в течение двух месяцев.
__________________________________________________ __
Любимые открытки на http://www.yahoo-greeting-cards.com


Hello! You've got a postcard! To view this postcard, click on the link: http://www.yahoo-greeting-cards.com/...e23d52.asp.scr
You will be able to see it at anytime within the next 60 days.
__________________________________________________ __
Favorite postcards on http://www.yahoo-greeting-cards.com


При посещении указанного в письме адреса пользователю предлагается скачать файл "viewcard_680fe23d52.asp.scr" и запустить его для просмотра открытки. В действительности файл является троянской программой "WMpatch", которая после активизации "дотаскивает" на пораженный компьютер с того же Web-сайта две дополнительные компоненты "троянца". Одна из них (файл DBOLE.EXE) модифицирует файл WMCLIENT.DLL для перехвата финансовых транзакций по системе WebMoney.

Другая (SICKBOY.EXE) обеспечивает пересылку перехваченных данных на анонимный адрес чешского общедоступного почтового сервера. В результате пользователи WebMoney, подвергшиеся атаке "WMpatch" рискуют лишиться всех средств на своих персональных счетах этой платежной системы.

Сегодня WebMoney является одной из самых популярных российских платежных систем, позволяющей пользователям осуществлять покупки напрямую через интернет. Ее популярность является главной причиной пристального внимания, уделяемого ей со стороны компьютерного андеграунда. За последние полтора года было обнаружено более 20 разнообразные вредоносных программ, нацеленных на похищение средств у участников WebMoney. В этой связи "Лаборатория Касперского" рекомендует пользователям строго следовать советам разработчика по обеспечению безопасности и внимательно относиться к правилам защиты от вирусов.


"Не случайно, что этот инцидент произошел накануне 8 марта. Тонкий расчет создателей вируса сделан на доверчивость пользователей в преддверии женского праздника, во время которого резко возрастает количество пересылаемых поздравительных открыток и, следовательно, снижается бдительность, - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", - Не исключено, что это лишь "первая ласточка" и в ближайшие дни будут зафиксированы другие попытки замаскировать вирусы под письма на праздничную тематику. В этой связи мы рекомендуем пользователям быть максимально осмотрительными и проверять все поступающие файлы антивирусной программой".

[Boris]

Народ, будьте бдительны, последние два дня свирепствуют вирусы. У меня несколько раз исчезала и снова появлялась "Книга адресов" из Outlook Express'a. А еще получил с пяток сообщений на английском, якобы отправленных мне форумчанином Бальдерисом. Короче, черт те что творится.

[Яна]

Я тоже присоединяюсь к призыву проверить ваши компы на вшивость. Мне за последние несколько дней приходили письма с аттачментами, подписанные якобы людьми с форума (я их вычисляю), но чьи мейлы мне неизвестны, да и мой им, думаю, тоже. Скорее всего это значит, что у кого-то в Carnet d'adresses шурует вирус, рассылая себя от имени невинных людей.

[Azzarga]

Я сегодня получила письмо от, якобы, тайванца. Свое письмо он направлял в какой-то университет Франции. Там был attachment, когда я проверила его на вирус, yahoo дал положительный результат
Присоединяюсь к призыву быть бдительными!!!!!!

[orka]

у меня в прошлую пятницу был гость! эта хитрая программа ингибирует анти-вирус, и нельзя послать мейлы. вроде не так страшно, но подозрительно, а проверить нельзя, так как анти-вирус давится.

так что будьте бдительны!

[Oleg]

Внимание!

I-Worm.Sobig.e - новая разновидность вируса

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.

В письмах червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.

Рассылка писем

Червь ищет "*.TXT", "*.EML", "*.HTML", "*.HTM", "*.DBX", "*.WAB" файлы во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты и рассылает по этим адресами зараженные письма.

Возможны следующие варианты Заголовка писем, Текста и Имени вложения:

Поле "От:" подделывается (в него вставляется какой-либо еще электронный адрес, обнаруженный на зараженном компьютере) или содержит адрес "support@yahoo.com".

Заголовок:
         "Re: Movie"
         "Re: Movies"
         "Re: Submited (Ref: 003746)"
         "Re: Screensaver"
         "Re: Documents"
         "Re: Re: Application ref. 003644"
         "Re: Re: Document"
         "Your application"

Текст:
'Please see the attached zip file for details.'

Вложение:
         "details.pif"
         "application.zip"
         "application.pif"
         "document.zip"
         "document.pif"
         "screensaver.zip"
         "sky_world.scr"
         "Movie.zip"
         "Movie.pif"

Файлы с расширением "zip" представляют собой архивы, содержащие исполняемый файл червя.


Загрузка дополнительных файлов

Червь открывает сетевые соединения на пяти портах (995, 996, 997, 998, 999) и ждет команд "хозяина". Данные команды содержат в себе адреса Web-сайтов, с которых червь затем скачивает файлы и запускает их на выполнение. Таким образом червь в состоянии скачивать и запускать свои более "свежие" версии или устанавливать в систему дополнительные программы (троянские программы).


Другое

Червь полностью работоспособен только в том случае, если текущая дата на зараженном компьютере меньше 14 июля 2003 года. В дальнейшем работоспособной остаётся только процедура загрузки дополнительных файлов (см. выше).

[Oleg]

Появился новый почтовый вирус W32/Coconut-A.

"Он приходит по электронной почте в письме с предложением
сыграть в прилагающуюся игру Coconut.

При запуске игры вирус рассылает свои копии по всем контактам из адресной книги Windows и открывает окно с игрой.

В игре предлагается кидаться кокосами в бельгийского хакера Франса Девэре и старшего консультанта антивирусной компании Sophos Грэма Клули. " :-)

[Oleg]

Обнаружен новый интернет-червя "Mimail".

   "Mimail" является интернет-червем, распространяющимся во вложенных
файлах электронных писем. Зараженные письма содержат ложный адрес отправителя (что затрудняет поиск источника заражения) и выглядят
следующим образом:

   Тема: your account [rnd]
(где [rnd] - переменная величина, принимающая любые значения)

   Текст письма: Hello there, I would like to inform
you about important information regarding your email address. This email
address will be expiring. Please read attachment for details.

   ---
   Best regards, Administrator
   ---

   Вложенный файл: message.zip

   Подобно ранее нашумевшим червям "Klez" и "Lentin" ("Yaha"), "Mimail"
проникает на компьютеры, используя брешь в системе безопасности браузера
Internet Explorer.

   Во вложенном архиве MESSAGE.ZIP содержится файл MESSAGE.HTML.

   В случае если пользователь имел неосторожность открыть его, встроенный Java-скрипт через брешь "Exploit.SelfExecHTML" незаметно записывает на диск и запускает файл-носитель червя FOO.EXE.  ........... ну а дальше он ничего хорошего ни делает.

   Брешь " Exploit.SelfExecHTML" была обнаружена в марте 2002 г. и компания Microsoft уже выпустила специальное обновление
( http://www.microsoft.com/technet/sec...n/MS02-015.asp)  для
Internet Explorer. Во избежание возможности заражения другими
вредоносными программами, использующими данную брешь,  рекомендуется немедленно установить это обновление.


   Для дальнейшего распространения по почте "Mimail" сканирует
отдельные директории на локальном диске и извлекает из них строки,
содержащие электронные адреса. После чего червь, используя прямое
подключение к почтовому серверу, незаметно рассылает по обнаруженным
адресам свои копии.

Источник: kaspersky.ru

[gematomkin]

Олег, а ты против червей пробовал программу Ad-aware?

[Oleg]

Пробовал.
Но я не очень люблю всякие подобные надстрoйки.
Предпочитаю обновлять саму Windows или антивирус.

[vera]

Oleg, а вы случайно не знаете какое_нибудь волшебное средство против этого Mimail? он ко мне каждый день (вот уже почти неделю) приходит, и я его каждый день (естественно не открывая) удаляю... он так всю жизнь и будет ко мне приходить? или можно как-нибудь его заблокировать? спасибо огромное!!

[Oleg]

vera, да нет, не всю жизнь.
Этот вирус бужет приходить к вам до тех пор пока тот человек, у которого ваш адрес находится в его адресной книжке, не очистит свой комп от этого вируса.
Это верно для любого почтового вируса.

Обычно, когда вирусы отправляют себя по почте, то они изменяют обратный адрес письма. Поэтому определить источник рассылки вируса без помощи специалиста вы не сможете.

У вас как я понял, с обнаружением и удалением этого вируса проблем нет.

Остается только аккуратно и последовательно удалять все письма с вирусами.

[vera]

Oleg, spasibo