Осторожно, новый вирус!

[OlyaOb]

Олег, я зашла на сайт для обновления Windows, все по вашим инструкциям, мне надо начать обновления с самого начала, с SP 1, но там говорят, что для того, чтобы это сделать, надо отключить антивирусную программу, иначе она не даст перекачать обновление. И что же, отключишь Нортон, а вирусы тут и залезут в компьютер, пока я буду качать обновление. Я в полной растерянности.

[OlyaOb]

Олег,спасибо, все установила, теперь будет мне спокойнее, а то вирус ко мне уже залезал. Всем советую обновлять Windows

[Emely]

Ко мне пару недель назад заползла(видимо,с просторов Интернета)страшная бяка и скушала мой Windows,да так,что от него за час даже косточек не осталось(кстати,MacAfee ,AdAwareничего не показывали)...
Переустановили,пошли в Инет...через 3 часа та же фигня!!!Опять все накрылось.На другом компе проверили наш жесткий диск,MacAfee нашел только Cydoor,но,по-моему,от него такой заразы быть не может.
Лечим опять...Ну что это за беда?!

[ALX]

Emely,
Если бы Вы дали хоть какую-то информацию по поводу компьютера, версии операционной системы, версии антивируса и симптомов действия вируса, может быть, появилась бы надежда Вам как-то помочь

[Emely]

ALX --- 10:37 - 12 Дек., 2003 пишет:

Emely,
Если бы Вы дали хоть какую-то информацию по поводу компьютера, версии операционной системы, версии антивируса и симптомов действия вируса, может быть, появилась бы надежда Вам как-то помочь

Windows XP,бесплатные версии MacAfee и AdAware(точнее не помню).Симптомы:комп перезагружается сам собой,через каждые 2 минуты,потом выдает проблему с ,где-то на третьей перезагрузке доползает только до загрузки Windsows и возвращается к началу,и так до бесконечности.
В первый раз даже не было Windows,после старта - заставка с именем материнской платы(как я понимаю,а поскольку понимаю я не очень много... )
Сейчас наш комп на лечении,но результатов пока нет...Жесткий диск вроде бы в порядке,сист.блок тоже,а Windows не устанавливается.
вот так...

[ALX]

Emely пишет:

Сейчас наш комп на лечении

Ну раз компом уже занялись спецы, то вопрос как бы закрыт Могу только посоветовать - не пользоваться бесплатными антивирусами (к Ad Aware) это не относится.

[Feya]

Извините за , вероятно, глупые вопросы:
1. Как отличить, пришёл тебе спам по почте или вирус?
2. Удаляя пришедшее послание, ты ведь всё равно невольно открываешь его. Или опасность заключается именно в открытии вложений?
Вопросы вызваны тем, что сегодня получила загадочное послание. Письмо было с вложением. Удалила, не открывая вложения. На сайте Касперского не нашла вируса с названием письма. И что это было?..

[ALX]

Feya пишет:

1. Как отличить, пришёл тебе спам по почте или вирус?

Спам это отдельная "песня", а для борьбы с вирусами необходимо иметь нормальный антивирус (например Norton Antivirus проверяет получаемые письма на вирусы до его передачи Вашей почтовой программе).

Feya пишет:

2. Удаляя пришедшее послание, ты ведь всё равно невольно открываешь его. Или опасность заключается именно в открытии вложений?

Некоторые вирусы используют уязвимости почтовыз программ (например Outlook Express), поэтому просто просмотр сообщения может заразить компьютер - особенно это опасно в отсутствии современной и обновленной прораммы антивируса. Однако, большинство вирусов просто находятся во вложении и другой опасности не представляют.
Сегодня очень много писем сгенерированных вирусом Novarg, который опасен только открытием вложения.

[nel]

ALX, у меня просто завал от этих писем. Выглядит как атака вирусная :-)

[ALX]

nel пишет:

у меня просто завал от этих писем. Выглядит как атака вирусная

У меня тоже несколько десятков за утро набралось, пока не привинтили эффективный фильтр на мейлсервера 8-/

[Chocolat]

ALX пишет:

необходимо иметь нормальный антивирус (например Norton Antivirus

ALX, а какой бы Вы посоветовали Нортон - на сайте они предлагают несколько разных пакетов, и у меня сомнения не окажется ли "домашний" набор слабым в виду сегодняшнего "прогресса" вирусов..

[ALX]

Chocolat, А какая у вас стоит система и на каком компьютере (какой процессор и сколько памяти) ?

• Гамма программ от Symantec представленна след. программами :
• Symantec Antispam - фильтр для борьбы со спамом (продукт сыроват, как мне показалось)
• Symantec Antivirus - собственно антивирус
• Symantec Firewall - фаерволл или сетевой фильтр, очень нужная вещь, особенно для тех, кто не защищен встроенным в систему фаерволлом (как в Windows XP).

Symantec предлагает наборы этих и некоторых других програм под названием Symantec Internet Security Suite - хороший вариант, т.к. интересная цена за весь пакет программ.
Короче говоря, я бы Вам посоветовал просто взять Norton Antivirus 2004.

[Arina]

Стоит у меня дома Нортон. Какая версия, точно не помню, но у нас абонемент, и мы делаем update регулярно.
Вчера просканировали систему, так он у нас трояна нашел. Какого, пока не поняла, их вроде несколько сотен разных версий.
Вылечить, говорит, не может.
Полазила по интернету и увидела программку Trojan Remover.

Что вы про нее знаете? Попробовать установить или нет смысла?

[ALX]

Arina пишет:

Стоит у меня дома Нортон. Какая версия, точно не помню,

Это плохо, что Вы обновляете только вирусные базы, а не саму программу. Некоторые старые версии Norton Antivirus как 2000 или 2001 вообще "плохо видят", что происходит. Поэтому практика фирмы Symantec на склонение людей к покупке продления абонемента прямо через интернет, практика достаточно порочная.

Arina пишет:

он у нас трояна нашел. Какого, пока не поняла, их вроде несколько сотен разных версий.
Вылечить, говорит, не может.

Посмотрите обязательно у Нортона в журнале событий, как называется троян - это может быть крайне опасно (может быть разглашена конфиденциальная информация из Вашего компьютера).

Arina пишет:

Полазила по интернету и увидела программку Trojan Remover.
Что вы про нее знаете? Попробовать установить или нет смысла?

В Вашей ситуации, можно попробовать. Хуже, скорее всего, не будет. Хотя, у Вас какая стоит на компьютере система ?

[ALX]

Для тех, кто все-таки "поймал" Novarg/MyDoom вирус, Symantec выпустила бесплатную утилиту для очистки и удаления данного вируса из системы. Получить инструкции (на английском) и скачать можно на этой странице.

[Oleg]

Немного ликбеза о вирусе MyDoom/Novarg:

Вирус распространяется только через вложения в эл. письмах и запускается только если вы сами запустите это вложение.

В отличие от своих предков вирус MyDoom/Novarg не рассылает писем с зазывающими текстами. Он прикидывается письмом с техническим/системным сообщением. В результате этого люди, которые обычно не доверяют письмам с бизнес и порно содержанием, попадаются на "технические" письма.

По данным статистики уже сейчас каждое 12-ое письмо в Интернет содержит данный вирус. По широте распространения этот вирус спешит стать самым-самым.

Несколько цитат о вирусе MyDoom/Novarg из статьи
"Секрет успеха MyDoom, или как обмануть сисадмина":

Цитата:

Чтобы заставить пользователей открывать зараженные письма, создатели вирусов обычно используют технологии так называемого "социального инжиниринга". В действительности, за этим сложным термином скрывается обычное мошенничество, используемое для привлечения внимания пользователей.

Классическим примером был вирус ILOVEYOU (Loveletter). В мае 2000 года он распространился по всему миру, выдавая зараженное письмо за любовное послание.

Цитата:

Теперь такая тактика не всегда оказывается успешной. Многие пользователи уже наслышаны об опасности подобных писем и относятся к ним с подозрением. Пришло время для червей, способных обманывать и тех, кто хорошо знаком с типичными приманками вирусописателей.

Так появился червь Mydoom.A. Почему бы опытному пользователю не открыть сообщение об ошибке с почтового сервера? Простая тема и текст сообщения, содержащие предупреждение о поврежденном электронном письме, спровоцировали устрашающую по своим масштабам эпидемию.

Цитата:

Пользователи, которые не покупаются на приманку в виде порнографической фотографии, соглашаются взглянуть на сообщение о поврежденном письме.

Средство для удаления вируса из компьютера можно скачать и с русского сайта www.kaspersky.ru
http://www.kaspersky.ru/news.html?id=145357396

[hr]

Содержание зараженных писем:

Адрес отправителя: [произвольный]

Тема письма выбирается произвольно из списка:

• test
• hi
• hello
• Delivery Error
• Mail Delivery System
• Mail Transaction Failed
• Returned mail
• Server Report
• Status
• Unable to deliver the message
• Error

Тело письма выбирается произвольно из списка:

• test
  
• The message cannot be represented in 7-bit ASCII encoding
  and has been sent as a binary attachment
  
• sendmail daemon reported: Error #804 occured during SMTP session.
  Partial message has been received
  
• The message contains Unicode characters and
  has been sent asa binary attachment.
  
• The message contains MIME-encoded graphics and
  has been sent as a binary attachment
  
• Mail transaction failed. Partial message is available.

Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":

• document
• readme
• doc
• text
• file
• data
• test
• message
• body

Вложения могут иметь одно из расширений:

• pif
• scr
• exe
• cmd
• bat

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

[Feya]

Oleg, ну не открывала я вложение, а "MyDoom.a" всё равно залез!!!
Сидит во "Входящие.mbx". Скачала я Утилиту у Касперского - ноль реакции!!! При сканировании выдаёт - "Лечение невозможно". Ставлю на "Удаление" - ноль реакции и надпись "Лечение невозможно". А при последнем сканировании вообще обнаружилось 2 тела вируса: один - во "Входящие.mbx", второй - "Антивирус Касперского"??????? Ничего не понимаю!!!!!!!!

[ALX]

Feya пишет:

"MyDoom.a"  всё равно залез!!!
Сидит во "Входящие.mbx

Теперь все ясно ! Ваш компьютер не заражен, просто KAV несколько своеобразно работает с программой Outlook Express.
Что произошло : Вы получили письмо с вирусом, но Ваша версия KAV не фильтрует почту на лету, а только смотрит на то, что в системе открывается. Таким образом, письмо с вирусом лежит в файле базы данных Входящие.mbx Outlook Express и при обращении к этому файлу или при сканировании системы антивирус находит это письмо, но, естественно, не может вычистить файл базы данных Outlook Express.

Ваши действия : временно дезактивируете KAV, запускаете Outlook Express, вычищаете все зараженные письма, освобождаете корзину с удаленными, далее File -> Folders -> Compress All folders.
Закрываете Outlook Express. Включаете KAV. Проблема должна быть решена на какое-то время.

Не волнуйтесь, Ваш компьютер не заражен, вирус не активен, при описанных Вами симптомах, он просто лежит в одном из сообщений. Просто будьте осторожны.

[ALX]

Feya,
В догонку, объяснения (на русском) того, что я написал в предыдущем сообщении
Антивирусный Монитор не лечит вирусы в почте Outlook Express. При попытке запуска Outlook Express выдается сообщение о невозможности открыть файл.
Почему иногда Сканнер выдает сообщение о том, что он не может вылечить зараженный файл?

[Feya]

ALX, спасибо большое. Вы меня успокоили, и я, наконец-то, разобралась, что у меня в компе творится. Теперь всё нормально.

[Oleg]

Вчера 2 февраля Microsoft выпустила несколько обновлений,
закрывающих определенные бреши в безопасности
на компьютерах с операционной системой:
Windows NT 4.0
Windows NT 4.0, Terminal Server Edition
Windows 2000
Windows XP
Windows Server™ 2003

и броузерами:
Internet Explorer версий 6.0, 5.01 и 5.5

Обновления можно скачать отсюда:
http://windowsupdate.microsoft.com/

Компьютерный минздрав предупреждает:
регулярная не установка обновлений выпускаемых корпорацией Microsoft может привести к полной потере информации на вашем компьютере.


О том, что такое обновления для Windows и как их "едят"
объяснено в этой теме:
"Рекомендации по безопасности вашего компьютера"

Небольшая справка о том, какие уязвимости устраняют последние обновления:

Цитата:

Первая из заделанных дыр была обнаружена еще в середине декабря прошлого года. Суть ошибки сводится к тому, что хакер может отобразить в адресной строке поддельный URL, не соответствующий реальному. В результате, веб-страница, содержащая вредоносный код, может быть замаскирована под заслуживающий доверия ресурс, что, в свою очередь, приведет у утечке персональной информации.

Вторая уязвимость позволяет злоумышленнику сохранить на локальном диске компьютера какой-либо файл без предварительного согласия пользователя. Для этого нужно лишь заманить владельца атакуемой машины на сформированный особым образом сайт и вынудить его кликнуть по ссылке.

Наконец, последняя ошибка связана с реализацией модели междоменной защиты браузера и позволяет хакеру получить полный доступ к файловой системе удаленного ПК. Все дыры получили рейтинг критической важности и требуют немедленной установки патча, который можно загрузить на официальном сайте софтверного гиганта.

[Firefly]

К размышлению...

1. I-Worm.Mydoom: не верьте проходимцам

31 января на множестве сайтов компьютерного андеграунда была
опубликована якобы новая, сенсационная информация
(http://lists.netsys.com/pipermail/fu...ry/016353.html)
о черве Mydoom (http://www.viruslist.com/viruslist.html?id=144488783) от
некоего "независимого исследователя" по имени Юари Босникович (Juari Bosnikovich).

Согласно высказываниям "исследователя", антивирусные компании скрывают правду о ряде функций, присутствующих в коде вируса.
Так, по словам Юари, вирус написан на ассемблере, но таким образом, чтобы выглядеть написанным на языке C++. Из этого факта Юари делает смелый вывод: раз он написан на ассемблере, значит, бОльшая часть его функциональности осталась нераспознанной экспертами антивирусных компаний. Господин Босникович предупреждает, что на самом деле вирус отнюдь не
прекратит свою активность 12 февраля 2004 года, как сообщают антивирусные эксперты, а "будет обновлен" и
"мутирует" в версию Mydoom.c. Затем следуют заявления о заражении червем BIOS компьютера, куда,
якобы, записывается код длиной в 624 байта. Этот код открывает TCP-порт, если системная дата превышает 12 февраля 2004 года.

В качестве заключения своих "исследований" г-н Босникович выдвигает предположение о всемирном заговоре антивирусных
компаний, которые "пытаются что-то скрыть", и обвиняет ведущие антивирусные лаборатории в некомпетентности.

Давайте разберем заявление "независимого исследователя" на составные части.

Во-первых, для настоящих антивирусных исследователей не существует разницы между ассемблером и C++, ведь они изучают вовсе не исходные коды вредоносной программы, а результаты работы дизассемблера, которые всегда
показывают все заложенные в коде функциональные возможности вне зависимости от языка программирования, при помощи которого этот код был создан. Во-вторых, встроенный в семейство червей Mydoom механизм удаленного
администрирования, продолжающий свою работу и после 12 февраля 2004 года, позволяет злоумышленникам загружать на зараженные компьютеры любые программы на свое усмотрение. Это может быть и новая модификация вируса
Mydoom, которая, что совершенно логично, будет иметь версию "c". Однако в данный момент этой версии в интернете не
существует, и никаких выводов о её чрезмерной опасности сделать невозможно - особенно исходя из анализа кода существующих версий червя. В-третьих, нельзя записать вредоносный код в 624 байта длиной в BIOS компьютера. Причин здесь сразу несколько. Для начала придется что-то стереть из существующей прошивки BIOS, после чего компьютер попросту
откажется запускаться. Далее: на свете существует несметное множество BIOS от разных производителей, которые изменяются от версии к версии и от материнской платы к другой материнской плате настолько, что предусмотреть наличие места даже для 624 байт во всех компьютерах и всех версиях прошивок представляется совершенно нереальным.

На практике это означает, что если бы Mydoom что-то записывал в BIOS, почтовые ящики службы технической поддержки "Лаборатории Касперского" были бы переполнены письмами от пользователей, у
которых попросту перестали включаться компьютеры. Но этого нет. Можно в силу разных причин не верить экспертам антивирусных компаний, но нельзя отрицать существование здравого смысла. Кроме того, г-н Босникович (кстати, нет никакой уверенности, что
подобный человек вообще существует) допустил грубейшую ошибку, написав в своей провокации об открытии некоего TCP-порта из BIOS компьютера теми самыми 624 байтами зловредного кода. Опытному пользователю ПК должно
быть известно, что для открытия порта TCP/IP требуется хотя бы наличие на компьютере соответствующего сетевого протокола, который управляется вовсе не из BIOS, а только из операционной системы. Другими словами,
"открыть TCP-порт из BIOS" невозможно. Окончательно "независимого исследователя" обличают обвинения во всеобщем заговоре и некомпетентности. Подумайте сами, какой смысл антивирусным компаниям скрывать подробности об особенно опасных функциях Mydoom? Должны же тому быть логические обоснования! Но логика утверждает, что всё как раз наоборот - нет и никогда не было у
производителей антивирусного ПО причин скрывать подробности о вирусе, эпидемия которого уже захлестнула весь интернет.

Сложно сказать, кому понадобилась подобная провокация. Возможно, г-н Босникович занимается самопиаром? Но больше всего эта история напоминает чью-то злую шутку.

[Oleg]

Привожу фрагмент сообщения антивирусной компании Касперского:

В интернете разгорается война вирусописателей

Авторы вирусов Bagle, Mydoom и Netsky обмениваются любезностями

Всего за 3 часа 3 марта 2004 г. "Лаборатория Касперского" зафиксировала появление сразу 5 новых модификаций печально известных вредоносных программ "Bagle" (версии I, J), "Mydoom" (версии F, G) и "Netsky" (версия F). Ситуация усугубляется тем, что на данный момент уже зафиксированы массовые случаи заражения этими вредоносными программами.

"Лаборатория Касперского" уже выпустила обновление базы данных, защищающее от данных червей.

Вместе с тем, заслуживает отдельного внимания война, которая разгорается между тремя группировками кибер-преступников - создателей "Netsky" с одной стороны, и "Mydoom" и "Bagle" с другой.

В частности, каждая новая модификация червей несет в себе очередное послание к противостоящей группировке, изобилующее нецензурными выражениями:

   "Netsky.C"
we are the skynet - you can't hide
yourself! - we kill malware writers (they have no chance!) -
[LaMeRz->]MyDoom.F is a thief of our idea! - -- ->->

   "Netsky.F"
Skynet AntiVirus - Bagle - you are a looser!!!!

С другой линии фронта поступают ответные 'реверансы':

   "Mydoom.F"
to netsky's creator(s): imho, skynet is
a decentralized peer-to-peer neural network. we have seen P2P in
Slapper
in Sinit only. they may be called skynets, but not your shitty app.

   "Bagle.I"
Hey, NetSky, fuck off you bitch, don't
ruine our bussiness, wanna start a war ?

   "Bagle.J"
Hey, NetSky, fu** off you bitch!

Обмен "любезностями" между авторами вредоносных программ, несомненно, провоцирует ухудшение эпидемиологической ситуации
в Сети. С другой стороны, эта ситуация наводит нас на мысль, что
интернет окончательно превратился в арену ожесточенной битвы вирусов.

"Трудно представить более комичную ситуацию, чем когда горстка
вирусописателей безнаказанно играет с глобальной компьютерной сетью и ни один из участников интернет-сообщества не может предпринять решительных действий по предотвращению этого беспредела, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского". - Причем проблема заключается не в отсутствии желания изменить ситуацию, но в несовместимости современной архитектуры интернета с требованиями к информационной безопасности".

"Лаборатория Касперского" вынуждена констатировать, что
подобные инциденты в интернете будут продолжаться с возрастающей
частотой, пока в Сети не будут внедрены эффективные инструменты
профилактики, обнаружения и нейтрализации вирусных атак и отслеживания их создателей. До тех пор борьба с вирусными эпидемиями будет представлять собой разрозненную, пассивную оборону, неспособную изменить ситуацию кардинально.