Вирусы: все, что вы хотели знать, но боялись спросить...

[<Vivawa>]

Два трояна к празднику

Перед тем как смотреть валентинки 20 раз подумайте. Будьте осторожны.
------------------------------------
Антивирусная компания Sophos предупреждает о появлении двух новых троянских программ, маскирующихся под фотографии знаменитостей и поздравления с днем святого Валентина. Первый из троянов W32/Igloo-15 известен достаточно давно. Он распространяется в пиринговых сетях, таких как Kazaa, и через IRC-чаты. Как правило, файл с трояном маскируется под откровенные фотографии звезд. До этого появлялись варианты с Бритни Спирс, Шакирой, а теперь дело дошло до актрисы Кетрин Зета Джонс. По-видимому, новый этап распространения трояна связан с тем, что актриса сейчас судится с журналом Hello!, опубликовавшим ее фото, выполненные скрытой камерой.

Троян W32/Igloo-15 устанавливается в систему после попытки открыть файл с "фотографиями". После установки червь запускается каждый раз при загрузке компьютера и открывает на нем черный ход для хакера. С его помощью злоумышленник может захватить управление пораженной машиной.

Второй обнаруженный Sophos троян маскируется под электронное поздравление с днем святого Валентина . Он приходит в электронном письме с обратным адресом cupid@valentines-ecard.com и темой You have been sent a Valentines Card! (Вам отправили валентинку). В письме приводится адрес, по которому можно получить открытку, однако при посещении сайта валентинку предлагается скачать в виде исполняемого файла.

При запуске этого файла открывается окно с поздравительным flash-роликом (см. иллюстрацию), якобы от анонимного поклонника, а в Internet Explorer незаметно устанавливаются три объекта в формате help-файлов. В дальнейшем эти объекты отслеживают поведение пользователя в интернете, а собранную информацию отправляют своим хозяевам.
------------------------------------

 

[Pacewon]

Появился новый "иракский" вирус

Эксперты по компьютерным вирусам предупреждают о появлении нового "червя", авторы которого эксплуатируют интерес публики к военной операции в Ираке.

В строке темы письма с вирусом La Ganda можно прочесть призывы "Go USA!!!" или "Spy pics". Считается, что источник вируса находится в Швеции.

В некоторых из этих писем говорится, что в приложенном файле получатель может увидеть снимки Ирака, сделанные американскими спутниками. Другие предлагают скринсейвер с ироническим изображением Джорджа Буша.

"Авторы этих вирусов эксплуатируют интерес публики к происходящим событиям, чтобы заставить людей открывать приложенные файлы", - говорит Грэм Клюлей, один из экспертов компании Sophos.

Бдительность

Компании, занимающиеся компьютерной безопасностью, предупреждают пользователей о том, чтобы быть предельно осторожными с письмами, которые содержат приложение и приходят от неизвестных людей.

Новый вирус может быть послан автоматически по всем адресам, содержащимся в программе Microsoft Outlook, и блокировать антивирусные программы.

Самая главная задача для авторов вируса - это заставить получателя открыть приложение. Их фантазиям нет предела. Зараженные электронные сообщения часто обещают привлекательные фотографии знаменитостей или сообщения с крупных спортивных событий. 11 сентября полтора года назад также наблюдался всплеск деятельности любителей создания "червей".


Взято с Podrobnocti.ua

 

[Del]

Вирусы: все, что вы хотели узнать, но боялись спросить...

Трояны

Рассмотрим наиболее известные из них:

Backdoor.BO, aka Back Orifice Trojan
Trojan.PSW, семейство
Backdoor.Netbus
Trojan.FreeCD Trojan.Readme
Trojan.Telefoon
Trojan.Win32.Coke
Trojan.Win32.DiskAdmin
Choleepa
PKZ300b
Hoax.INetCrack
Time, Antitime
Trojan.Durell
Trojan.NetPatch
Trojan.On4ever
Trojan.Stdout
Trojan.Wic
Win32.Antigen trojan

 

[Del]

Интернет-черви

BubbleBoy + !
I-Worm.MyPics
I-Worm.NewApt
ZippedFiles

IRC-Worm.Claw
I-Worm.Happy
IRC-Worm.Readme.1077
IRC-Worm.MrWormy
IRC-Worm.Septic
IRC-Worm.Loa
IRC-Worm.Pron

 

[Tanya]

удалить Dyfuca

А если такая фигня:
подхватила троянец Dyfuca (кстати, нортон его и не думает определять). Пытаюсь удалить dll nem214.dll, а он пишет, что используется виндовсом. Но в процессах я его вообще не вижу, там все нормально.
Уж больно задолбал он меня со своим internet-optimize, его я кстати из программ и автозапуска удалила.
Реестр вроде почистила, после удаления dll nem214.dll, опять туда загляну.
Так как его все-таки удалить?


_____
Вложение удалено.
Fractal

 

[Shah]

Вот здесь всё пошагово:

http://www.safersite.com/PestInfo/d/dyfuca_internet_optimizer.asp

Заодно советую Вам в подобных случаях проводить такие манипуляции в "безопасном" режиме - клавиша F8 или СТRL, в зависимости от Виндовс ( судя по первым признакам именно ХР, а не ХT

). Неудобно, зато времени на устранение проблем гораздо меньше. И файлы можно будет сразу удалить, без вякого сопротивления со стороны Виндовс

.

Это сколько же можно Интернет оптимизировать???

 

[Лана]

Worm.Win32.Randex, как от этого вируса лечиться?

 

[Nika]

Лана, вот здесь подробно написано про этот вирус: http://www.viruslist.com/viruslist.html?id=2741617

В принципе, если у тебя есть антивирусная программа, попробуй удалить вирус с помощью нее.
Если не помогает - можно попробовать удалить записи вируса из реестра и файлы вируса из системного каталога - как они называются - см. данную мной ссылку.

 

[Фиша]

VBS.Redlof...

1. Что этот вирус вообще делает? Он слишком опасный?
2. Касперский антивирус с этой гадостью справиться?
3. Как этот вирус вообще мог попасть на мой комп?
4. Kernel.dll - это файл вируса или просто зараженный объект?

 

[Del]

VBS.Redlof

Вирус написан на языке Visual Basic Script (VBS) и зашифрован (VBE - Visual Basic encoded script). При первом запуске создает файл со своим исполняемым кодом в системном каталоге Windows с именем Kernel.dll.

Кроме этого вирус создает файлы kjwall.gif в каталогах System32 и Web. Также вирус копирует себя во все каталоги на других дисках зараженного компьютера в виде файла настройки отображения файлов и папок MS Explorer - folder.htt.

Размножение вируса:

Зараженный файл folder.htt получает управление и копируется вирусом во все каталоги при их просмотре/открытии при помощи MS Explorer. Если в каком-то каталоге уже имеется файл folder.htt - заражения не происходит.

Вирус дописывает себя во все HTM файлы, находящиеся в каталоге windows\web и таким образом он также получает управление при открытии данных файлов (iejit.htm, offline.htm, related.htm, tip.htm, folder.htm, wum.htm).

Уязвимые операционные системы : Windows 95/98/ME/NT/2000/XP

Лечение:

- перезагружаете Windows в безопасном режиме
- находите все файлы folder.htt и desktop.ini (через поиск)
- удаляете их с помощью сочетания клавиш Shift+Del
- удаляте файл «С» — он без расширения и лежит в C:\
- удаляем из автозагрузки (Пуск- Выполнить- "msconfig")
все ссылки на kernell.dll, desktop.ini, redlof*
(после этого вирус не размножается, хотя при открытии зараженных файлов снова активируется)
- перезагружаешься в обычном режиме
- запускаем pqremove.com
- делаем проверку системы антивирусом

 

[Nika]

Червь "Novarg" вызывает новую глобальную эпидемию

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских
атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный
как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела
вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот
инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку
вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров.
При достижении критического числа машин в эту сеть была отправлена централизованная команда
рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

-----------------------------------------------------------------
Профилактика, диагностика и защита

"Novarg" распространяется по сети интернет двумя способами: через электронную почту и
файлообменной сети KaZaA.

Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8
вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений
вложенных файлов. Более того, с определенной вероятностью червь распространяется в письмах с
бессмысленным набором случайных символов в теме письма, тексте письма и имени вложения. Подобная
неустойчивость внешних признаков значительно затрудняют пользователям задачу самостоятельного
выявления зараженных писем.

В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и
различными расширениями (bat, exe, scr, pif).

Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной
почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и
дальнейшего распространения.

Сразу же после запуска "Novarg" открывает текстовый редактор Notepad и показывает произвольный
набор символов.

Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель
червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и
регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной
программы при каждой последующей загрузке компьютера.

Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной
почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail адреса и,
незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь
проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена
файлами.

-----------------------------------------------------------------
"Novarg" содержит весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный
компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для
рассылки спама или новых версий вредоносной программы.
Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного
управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее
помощью можно похищать, удалять, изменять данные, устанавливать программы и др.
В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция
активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные
компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.

Процедуры защиты от "Novarg" уже добавлены в базу данных Антивируса Касперского.

Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии
Касперского: http://www.viruslist.com

 

[Menschlichkeit]

А я на одном сайте нашла инфо про новый вирус -
В интернете началась эпидемия нового почтового червя Bagle. За последние сутки компания MessageLabs, специализирующаяся на системах сетевой безопасности, зафиксировала более 70 тысяч случаев заражения в нескольких десятках стран. По данным MessageLabs, вирус продолжает быстро распространяться, сообщается на сайте Ananova.
Bagle представляет собой файл размером около 15 килобайт, прикрепленный к письму с произвольным адресом отправителя. Тема сообщения "Hi", содержание "Test =)" и подпись "Test, yep" неизменны во всех письмах с вирусом. В то же время единого названия у вложения нет, сообщается на сайте "Лаборатории Касперского".

После запуска прикрепленного файла червь копирует себя в системный каталог Windows. Затем Bagle сканирует файловую систему пораженного компьютера в поисках файлов с расширениями wab, txt, htm, html и r1, рассылая себя по всем найденных в них адресах электронной почты. Для отправки писем червь использует собственный SMTP-сервер.

По словам специалистов, Bagle создан по образцу червя Sobig, эпидемия которого прошла в прошлом году. "Лаборатория Касперского" отдала Sobig первую строчку рейтинга вредоносных программ 2003 года. На его долю пришлось более 18 процентов от всех зарегистрированных случаев заражения.

 

[Nika]

Новые подробности разрушающего действия вируса MyDoom.B (Novarg)

Независимый исследователь Juari Bosnikovich опубликовал в списке рассылки новые подробности разрушающего действия вируса MyDoom.B, которые не были опубликованы антивирусными компаниями.
Антивирусные компании говорят, что код вируса написан на ассемблере, однако при дизассемблировании, он выглядит как написанный на c++. Оказалось, что антивирусные компании скрывают основную информацию о действии вируса, например как тот факт, что в действительности 12 февраля он не остановит свое распространение. На самом деле после 12 февраля MyDoom перейдет в новую фазу и будет еще более опасным поскольку появится новая обновленная и мутировавшая версия. Известно, что MyDoom посредством shimgapi.dll оставляетоткрытыми порты 3127-3189, но это используется только для скрытия реальных намерений MyDoom.B.

До сих пор не было известно, что вирус заражает BIOS компьютера. По словам исследователя, вирус записывает в BIOS код длиной 624 байта, который будет управляться по TCP протоколу после 12 февраля. Также нет возможности вылечить вирус записанный в BIOS, кроме как перезаписать в флеш память BIOS заново.

Полностью сообщение находится здесь. http://lists.netsys.com/pipermail/full-disclosure/2004-January/016353.html

 

[Kaily]

Люди!!! У меня на компе Novarg этот сидит. Чаво мне делать?

 

[Nika]

Courtney, если у тебя установлен Касперский, обнови антивирусные базы и запусти антивирусное сканирование.

Если антивируса нет или он отказывается работать (его может блокировать вирус) - существует бесплатная утилита clrav.com (скачать можно здесь: ftp://ftp.kaspersky.com/utils/clrav.zip), скачай ее последний апдейт, и запусти. Перед запуском надо распаковать утилиту в корень системного диска (обычно это C:\), переименовать так, чтобы в названии не было букв v, i, r (например, назвать его ddd.com или abc.com).

 

[Лана]

Чем (как) лечить вирус W32.Randex.F в файле msnv32.exe?

 

[ohio is for lovers]

я запустила компьютер и мне он выдал сообщение типа этого:
" ВНИМАНИЕ! Обнаружен вирус!
Вирус Trojan Proxy. Win32. Mitgilieder.e
обнаружен в
C:\windows\system\realupd.exe

Опасная ситуация!
Вам необходимо загрузить AVP сканер, проверить все Ваши папки и вылечить все зараженные объекты"
Загрузила я AVP, он мне нашел 2 зараженных файла, один я удалила, а второй оказался "закрыт на запись другими процессами ", 5 объектов было повреждено, но он с ними ничего не сделал, а в программе(в той, которая выше) мне сказали, что чистить нечего.
Что мне делать? Я в панике! Откуда он мог у меня появиться??

 

[Nika]

Scream, вобщем-то ты всё сделала правильно и паниковать тут особенно не из-за чего. При появлении сообщения о вирусе следует запускать антивирусное сканирование (хотя бы системного логического диска или папки Windows (или WINNT)), перед этим обновив антивирусные базы. Файлы, которые якобы "заняты системой" и не удаляются антивирусом сразу, обычно автоматически удаляются после перезагрузки или же с помощью специальных утилит (хотя такие вирусы - редкость).

Появиться вирус мог много откуда - например, если ты запустила зараженное вложение из письма в электронной почте, или же с зараженного диска или дискеты. Некоторые вирусы загружаются даже при одном открытии зараженной странички в инете, используя ActiveX.

 

[ohio is for lovers]

Nika после перезгрузки он не удалился. А с помощью каких утилит?

 

[Darkel]

Всем пользователям ICQ

Началась глобальная эпидемия ICQ-червя Worm.Win32.Bizex

На компьютер жертвы доставляется ICQ-сообщение, где предлагается посетить хакерский веб-сайт http://www.jokeworld.xxx/xxx.html (xxx - замененные символы).
Пользователю показываются мультфильмы из популярного сериала Joecartoon. Тем временем в систему незаметно внедряется Java-вирус, который, используя брешь в ICQ, незаметно рассылает от имени владельца компьютера ссылку на вышеуказанный веб-сайт по всем получателям из контакт-листа.
"Лаборатория Касперского" рекомендует пользователям в случае получения ссылки на веб-сайт "jokebox" немедленно удалить данное сообщение и ни в коем случае не посещать сай.