Odgovorov v temi: 112

[driver]

NOD32 Anti-Virus Slovenija, 20. julij 2004

________________________________________________________________________

1.) Novi virusi tipa Bagle - Bagle.AG ter Bagle.AI - (Stopnja nevarnosti
3/5)
2.) Novi virusi tipa Mydoom - Mydoom.L ter Mydoom.N - (Stopnja nevarnosti
3/5)

________________________________________________________________________


1)
Nove razlièice virusa Bagle se širijo preko elektronske pošte z nakljuènim
naslovom sporoèila in datoteko s konènico .com, .cpl, .exe, .scr, ali .zip

Sporoèilo, ki ga virus pošilja se lahko glasi:

Subject: Re_

Telo sporoèila (body) je nakljuèno in je lahko naslednje:

foto3 and MP3
fotogalary and Music
fotoinfo
Lovely animals
Animals
Predators
The snake
Screen and Music

Pripeta datoteka je lahko tudi s konènico .zip, geslo pa se nahaja v
elektronskem sporoèilu

Virus ustvari kopijo èrva v sistemskem imeniku:
%sysdir%winxp.exe oz. sys_xp.exe

Vsebuje lastno SMTP komponento za razpošiljanje na elektronske naslove, ki
jih najde v vašim datotekah tipa .htm,.txt,.wab,.html. Za razpošiljanje
odpre tudi stranska vrata (backdoor) na TCP portu 1080 okuženega raèunalnika
preko katerih pošilja elektronsko pošto.

2)
Nove variante virusa Mydoom se razpošiljajo z elektronsko pošto, kot tudi z
P2P programi (Kazaa, Emule, Bittorent, itd).

Sporoèilo, ki ga virus pošilja se lahko glasi:

Subject:
say helo to my litl friend
click me baby, one more time
hello
hi
error
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details Returned mail: Data format error

Telo sporoèila (body) je nakljuèno in so naslednja:
(sporoèilo se lahko nahaja tudi v priponki)
- Message could not be delivered
- This Message was undeliverable due to the following reason:
- Your message was not delivered because the destination computer was not
reachable within the allowed queue period. The amount of time a message is
queued before it is returned depends on local configura- tion parameters.
----- The following addresses had permanent fatal errors ----- ...


Pripeta datoteka ima konènico .bat,.cmd,.com ,.exe ,.pif ali .scr

Virus ustvari kopijo èrva v sledeèe datoteke:
%system%LSASS.EXE


*
Podroben opis boste našli kasneje na spletnih straneh NOD32 Slovenija -
www.nod32-si.com

NOD32 odkrije nekatere viruse tipa Bagle in Mydoom po hevristièni
metodi-Advanced Heuristics (AH) vgrajeni v program brez potrebnih popravkov.
Prav tako so na voljo popravki zanj z verzijo baze 1.815 (18.7.2004).

[psihoxxx]

ok en vprašanje bi imel... zadnje čase sem zasledil maile z *.zip priponko in kodo (zapisana kot slika - odpre pa jo v mailu) s katero se naj bi zip odprlo... je to le kakšna fora ali gre za virus

[scarab79]

psiho: drugic te prosim, da postavis vprasanje v drugem postu!

Odgovor pa je....gre v 99% primerov za virus!

Se namig na kratko: ce posiljatelja ne poznaste in ce mu niste nicesar narocili, potem priponk ne odpirajte! Raje povprasajte znanega posiljatelja, ce vam je kaj poslal!!! Neznane posiljatelje (predvsem ko je sporocilo v tujem jeziku) pa ignorirajte!!!

[matkrom]

včeraj me je anti virusni program opozoril da je preprečil vdor trojanca .. downloader.gk mene zanima kakšne posledice bi pustil na računalniku

[Palček]

Tole preberi:
- http://www.pandasoft...x?idvirus=48242
- ...

Drugače pa strica Googla vprašaj!

[scarab79]

Po tem, ko so odkrili novo vrsto nevarnega računalniškega virusa Mydoom, so strokovnjaki zaskrbljeni zaradi hitrega širjenja po spletu.

Minuli teden je bil odkrit nov črv Mydoom.N, nova različica znanega črva Mydoom. V mednarodni mreži tehnične podpore Pande Software so prejeli številna poročila o incidentih z novim črvom. Novi virus je povzročil velike probleme tudi v nekaterih iskalnikih, kot so Google, Altavista, Lycos in Yahoo!. Mydoom.N namreč preverja vse e-poštne naslove, ukradene iz računalnikov v iskalnikih Lycos, Altavista, Yahoo in Google. Ti iskalniki, preplavljeni z zahtevami, niso več pravilno delovali. To je povzročilo povečanje prometa na internetu, kar lahko prizadene celoten internet.

Mydoom.N se je hitro razširil preko e-pošti po vsem svetu, tako da bo lahko število prizadetih računalnikov zelo veliko. Obstaja tudi možnost, de se bodo e-poštni sistemi upočasnili zaradi velikega prometa, ki ga generira omenjeni črv. Mydoom.N se širi po e-pošti z uporabo lastnih SMTP procedur. Namesti datoteko EXE, ki odpre vrata in pregleduje promet preko njih ter se tako obnaša kot stranska vrata. S tem omogoči hekerjem, da na daljavo dostopijo do prizadetega računalnika, da izvedejo akcije, ki lahko prizadenejo zaupnost ali motijo normalno delo. Virus v registrski mapi med rugim ustvari tudi datoteke %WinDir%java.exe in %Windir%Services.exe. Mydoom.N uporablja lažne naslove pošiljatelja ter tako zmede uporabnike. K naslovom lahko doda tudi desedila kot so Automatic Email Delivery Software, Bounced mail, Mail Administrator, Mail Delivery Subsystem, Mailer-Daemon, Post Office, Postmaster, Returned mail in The Post Office.

Sporočilo pa je lahko prazno, nečitljiv niz znakov ali pa je v njem zapisano sporočilo.

[TaVelk]

Nova različica virusa Mydoom

Nova različica virusa Mydoom poskuša zavesti uporabnike z uporabo 'slike'

Nova varianta črva Mydoom (Mydoom.T oz. Mydoom.Q) je bila prvič zaznana na Japonskem. Črv je hitro napredoval in ježe prisoten na celotnem spletu. Obvestilo, ki kroži po svetovnem spletu ima naslov 'Photos', pripeta datoteka pa ima pripono tipa .exe.

Delovanje:
- Črv poskuša ustvariti datoteko winpsd.exe tako, da se starta ob zagonu Windows sistema.
- Kopijo črva shrani pod imenom %Windir%winpsd.exe in %Windows%rasor38a.dll
- Doda se vrednost "winpsd"="%System%winpsd.exe" v registru: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
- Črv odpre stranka vrata (backdoor) na okuženem računalniku preko katerih lahko napadalec upravlja računalnik ali razpošilja elektronska sporočila tipa SPAM
- Elektronska sporočila se pošiljajo na vse naslove, ki jih virus najde v imenikih na okuženem računalniku
- Blokira tudi internet naslove spletnih strani antivirusnih proizvajalcev (NOD32 ni med njimi), preko katerih bi lahko prenesli orodje za odstranitev tega virusa
- Delovanje črva se ustavi 20. avgusta 2004 ob 21:11:11

Zaščita:
- Računalnik mora vsebovati zadnje popravke Microsoft Windows operacijskega sistema. Dobite jih na spletnem naslovu: http://windowsupdate.microsoft.com/
- S protivirusno zaščito, ki ima zadnje definicije virusov lahko črv najdete in ga tudi očistite
- NOD32 odkrije virus po hevristični metodi vgrajeni v program brez potrebnih popravkov. Prav tako pa NOD32 vsebuje popravek v verziji 1.844 (16.8.2004) ali višji.

VIR:KLIK

[scarab79]

Pri podjetju Sophos so odkrili novega črva W32/Rbot-GR, ki na okužen računalnik namesti trojanca.

Ta poleg običajnih dejavnosti, kot je pregledovanje informacij na disku računalnika, zbiranje uporabniških imen in gesel ter izvajanje napadov DoS, oddaljenemu hekerju omogoča tudi prevzem nadzora nad spletno kamero in mikrofonom. Na tak način pridobljene slike in zvočne posnetke lahko potem pošlje avtorju črva.

[anzet]

V laboratoriju PandaLabs so pred kratkim odkrili pojav novega in naprednega črva Noomy.A. Čeprav še ni bilo poročil o incidentih s tem črvom, ima Noomy.A več značilnosti, ki jih je vredno poudariti, saj lahko predstavljajo nov trend v tehnikah zlonamernih kod...

več si lahko preberite na
http://www.racunalni...308cf4a7a313f9b

[bryant]

Kot poroča podjetje F-Secure, se je pričel po internetu širiti črv Santy.A, ki preko napake v forumu phpBB napada spletne strežnike. Črv je spisan v Perlu. Na napadenem strežniku povozi asp/php/htm/shtm datoteke s svojo kodo. Očitno je kar uspešen, saj mu je podleglože več tisoč strani, tudi nekatere slovenske (Atletska zveza, Fitnes zveza, ...).

sem pobral iz slo-techa

[scarab79]

Ravno ko smo mislili, da pisci virusov te dni preživljajo pred televizorjem in čakajo da minejo dnevi požrtij, se pojavi Phel.

Tako je ime novemu trojancu, ki je verjetno nastal kot anagram iz "Help" in je sposoben okužiti računalnike, ki jih poganjajo Windows XP operacijski sistemi.

Trojanec izkorišča luknjo odkritože v oktobru in se nanaša na način na kateri Windows XP in Internet Explorer ravnata z datotekami pomoči, ki jih odpira s spletnih strani. V kolikor namesto Microsoftovega Internet Explorerja uporabljate nek drug spletni brskalnik, na primer priljubljeni Firefox, vas naj Phel ne skrbi.

Podrobni opis lahko najdete na Symantecovih spletnih straneh.

Vir: Siol

by borutvel: tole tudi pise na symatec-ovih straneh: Trojan.Phel.A attempts to infect computers running Microsoft Windows XP Service Pack 2 or later. Ali ima kdo ze SP3

[friki]

Rumeni alarm za virus WORM_BROPIA

Ta se širi prek priljubljenega sistema MSN Messenger in to tako, da vsem dosegljivim osebam pošlje svojo kopijo v obliki datoteke-slike, ki prikazuje komično sliko pečene kure. Črv nosi s sabo tudi črva AGOBOT, različico AJC, ki lahko na okuženem sistemu odpre določena vrata (porte), prek katerih lahko oddaljeni uporabniki izvajajo različne ukaze.

Poleg tega pa črv poskuša ukrasti identifikacijsko številko operacijskega sistema Windows in CD-ključe določenih drugih aplikacij. Ob zagonu virus zapiše svojo kopijo v sistemsko mapo Windows in se nato poskuša razširiti. Najpogosteje uporabljena imena datotek, ki jih virus pošilja prek MSN, so Bedroom-thongs.pif, Hot.pif, LMAO.pif, LOL.scr, Naked_drunk.pif, New_webcam.pif, ROFL.pif, Underware. Pif in Webcam.pif.

[scarab79]

Vec o njem si preberite tu: http://www.trendmicr...e=WORM_BROPIA.F

Za radovedneze...slika je taksna:

[boron]

LONDON, 6.6. Sophos poroča, da različice črva Mytob predstavljajože več kot polovico najpogosteje zaznanih 20 virusov. Najpogostejšo različico (Mytob-CM) so opazili komaj 27. maja, kot večina drugih črvov iz te družine pa se je tudi ta izredno hitro razširila prek e-pošte v okuženi priponki. V kolikor uporabnik odpre priponko, črv poskusi prekiniti delovanje varnostnih aplikacij in preprečiti dostop do znanih spletnih strani, posvečenih varnosti. Pri Sophosu so prepričani, da je za razvoj teh črvov odgovorna skupina piscev, povezanih v skupini z imenom Hellbot. Ker ne gre za posameznega pisca, lahko zelo hitro pripravijo več različic. Sodeč po izvorni kodi pisci sledijo natančno načrtovani strategiji. S pripravo črvov, od katerih je vsak nekoliko drugačen, iščejo elemente zlonamerne kode, s katero bi lahko ustvarili t. i. super črva. (aNET)

[Grim€n]

Ni treba nič razpravljat vse novosti se odvijajo na;

http://vil.mcafee.com/newVirus.asp

Kjer so vsak dan novi :ok:

[juree]

Odkriti virus:
Win32:Trojano-792[Wrm]
Preimenuje se v imena igric,programov,crackov,keygenov. (bodite pozorni). je pa v zazipani obliki, v zipu se nahaja:
Win32:Vibpack [Wrm]
ki ima ime Setup.exe
Meni je virus naredil veliko skode in se zelo hitro siri. imel sem ga v downloads ko sem odstranil mi je antivirus odkril enake pri my shared folder

[l33fr3nk]

Nov črv Hagbard-A grozi P2P omrežju!
Odkril ga je Sophos

[boron]

Nova luknja v Internet Explorer 6.0, tukaj je članek :

Microsoft IE Remote Code Execution Exploit (0day) - Critical

IE6.0salmonela writes "FrSIRT have identified a critical vulnerability with Internet Explorer 6 for Windows XP SP1 and SP2.
The problem could be exploited by remote attackers to execute arbitrary commands. The issue is due to a memory corruption error when instantiating the "Msdds.dll" (Microsoft Design Tools Diagram Surface) object as an ActiveX control, which could be exploited by an attacker to take complete control of an affected system via a specially crafted Web page.

Unfortunately for users of Internet Explorer 6 there is 0day Exploit Code readily available for would be hackers to create web pages. This is un-usual and brings into question whether FrSIRT were taking decent measures to ensure Microsoft were aware of this threat.

According to a Microsoft Spokesperson, "Microsoft is aggressively investigating new public reports of a possible vulnerability in Internet Explorer. Upon completion of this investigation, Microsoft will take the appropriate action to help protect our customers. This may include providing a security update through our monthly release process or providing an out-of-cycle security update, depending on customer needs. Microsoft is concerned that this new report of a vulnerability in Internet Explorer was not disclosed responsibly, potentially putting computer users at risk."

We will keep you updated on Microsoft's investigations and whether they plan to release a patch for this flaw soon.

News source: Neowin"

Tukaj pa še članek na njihovi strani :
http://www.microsoft...ory/906267.mspx

[boron]

Hurikan Katrina tudi kot spam pošta, poglej na link :
http://www.f-secure.com/weblog/