Odgovorov v temi: 112

[Veget]

A nima črv oznake U in ne V?

[m-2-j]

Različica V je bila odkrita vceraj.

http://securityrespo...eagle.v@mm.html

[Veget]

Jaz opažam, da črv WORM_NETSKY.Q ježe full razširjen v Sloveniji... A ste opazili to?

[m-2-j]

Panda Software poroča o novem črvu Netsky.R

V virusnem laboratoriju Pande Software - PandaLabs so dokrili novo R različico črva Netsky (W32/Netsky.R.worm). To je nova različica zlonamerne kode, ki je skupaj s črvi iz družine Mydoom in Bagle, odgovorna za največji val virusov v zgodovini računalništva. Da bi zmedel uporabnike, ta črv na računalnikužrtve ustvari datoteko z imenom PandaAVEngine.exe, ki je v resnici kopija črva. Netsky.R se širi po e-pošti v sporočilu z naslednjimi značilnostmi: Subject (Zadeva): Re: Document (naključna številka) Besedilo sporočila: Excuse me, the important document is attached, Yours sincerely Priponka: Document (naključna številka).pif Če se pripeta datoteka zažene, se črv pošlje na vse naslove, ki jih najde v datotekah s končnicami.eml, .txt, .php, .asp, .wab, .doc, .sht, .oft, .msg, .vbs, .rtf, .uin, .shtm, .cgi, .dhtm, .adb, .tbb, .dbx, .pl, .htm, .html, .jsp, .wsh, .xml, .cfg, .mbx, .mdx, .mht, .mmf, .nch, .ods, .stm, .xls, in .ppt. Netsky.R v direktoriju operacijskega sistema Windows ustvari tudi datoteko z imenom PandaAVEngine.exe, ki pa v resnici vsebuje kopijo črva. To je poskus avtorjev črva Netsky.R, da bi prepričali uporabnike, da je datoteka del proizvodov Pande Software. To čitno ne drži in ko jo bo protivirusni program odkril, jo bo odstranil ravno tako, kot če bi vsebovala kateri drug virus. Ko se datoteka prvič zažene, na računalniku generira še dve drugi datoteki - temp09094283.dll in inmzertinmds.opm. Netsky.R je bil narejen za vzpostavitev napada, ki povzroči zavračanje storitev (Denial of Service - DoS) na spletna mesta www.emule.de; www.cracks.am; www.emule-project.net; www.kazaa.com; in www.keygen.us med 12 in 16 aprilom. Netsky.R naredi tudi zapise v registrski mapi Windows registry in zbriše številne druge, ki pripadajo črvom Mydoom, Bagle ali Mimail.

Avtor: David Bezgovšek
Članek RN
Več informacij in navodila za odstranitev

[borutvel]

New variant of Bugbear/Tanatos worm found

http://www.f-secure..../bugbeare.shtml

[m-2-j]

VBS.Gaggle.D

Nov "mass-mail" črv (odkrit 6.aprila), sposoben širjenja tudi preko mIRCa, ICQa in nekaterih p2p mrež.
Laže o pošiljatelju, tema sporočila je naključna, širi se pa kot priponka filezip.zip.Zmožen je okužbe vbs, .vbe, .js, .jse, .hta, .htm, .html, .php,
.shtm, .shtml, .phtm, .phtml, .mht, .mhtml, .plg, in .htx datotek, vsebuje
lasten SMTP in še pošilja po naslovih, ki jih prebere iz .hta, .htm, .html,
.php, .shtm, .shtml, .phtm, .phtml, .mht, .mhtml, .plg, ali .htx datotek!

Več o tem črvu!

------------------------------------

W32.Gaobot.YC (varijanta W32.HLLW.Gaobot.gen črva)

Š iri se po mreži in dovoli napadalcu dostop na napadeni računalnik
preko IRC kanala!

Črv izkorišča znane luknje:
- The DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026), using TCP port 135
- The RPC locator vulnerability (described in Microsoft Security Bulletin MS03-001), using TCP port 445
- The WebDav vulnerability (described in Microsoft Security Bulletin MS03-007), using TCP port 80

Več o črvu in zaščiti!

[borutvel]

ZoneAlarm ima nov update:

http://download.zone...000AEN1023.html

[scarab79]

Virus: MAC_MP3CONCEPT.A

To je eden redkih virusov, ki okuži računalnike tipa Macintosh, vendar ni škodljive narave - njegova funkcija je le širjenje.
Virus se na okuženem računalniku prikaže kot datoteka z ikono datoteke tipa MP3, v resnici pa je to Macintosh izvedljiva datoteka, ki vsebuje mp3 zapis smeha.

Več informacij o virusu ter navodila in orodje za njegovo odstranitev lahko najdete na Trend Microvi spletni strani.


Virus: WORM_NACHI.G

Ta virus se naloži v pomnilnik okuženega računalnika in zapiše svojo kopijo v sistemsko mapo %System32%drivers v obliki datoteke SVCHOST.EXE.

Na okuženem računalniku poskuša virus odstraniti nekatere vnose v registru, med drugim vnose, ki jih v registru naredijo virusi družine WORM_MYDOOM.

Virus za širjenje izrablja naslednje ranljivosti:
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) Vulnerability
IIS5/WEBDAV Buffer Overrun Vulnerability
MS Workstation Service Vulnerability
Locator Service Vulnerability


Seznam najpogostejših virusov
WORM_NETSKY.P
WORM_NETSKY.D
WORM_NETSKY.B
HTML_NETSKY.P
WORM_NETSKY..Q
WORM_NETSKY..C
PE_NIMDA.E
WORM_NETSKY.DAM
JAVA_BYTEVER.A
PE_VALLA:A

[borutvel]

Nova verzija Netsky:

http://www.f-secure..../netsky_w.shtml

[scarab79]

Trend Micro je ponovno izdelal seznam najbolj aktualnih virusov, ki so pretekli teden grozili našim računalnikom s spleta. Poglejmo si ga.

1. WORM_NETSKY.P
2. HTML_NETSKY.P
3. WORM_NETSKY.D
4. WORM_MYDOOM.A
5. WORM_NETSKY.B
6. WORM_NETSKY.C
7. WORM_NETSKY.Q
8. WORM_SOBER.F
9. WORM_NETSKY.X
10. PE_VALLA.A


Virus: WORM_NETSKY.Y

Ta različica virusa uporablja lasten SMTP programski modul za pošiljanje okuženih elektronskih sporočil naslednje oblike:

Od: [ponarejen naslov pošiljatelja]

Zadeva: Delivery failure notice (ID-[naključen niz črk in številk])

Besedilo:
·--- Mail Part Delivered ---
·220 Welcome to [domena]
·Mail type: multipart/related
·--- text/html RFC 2504
·MX [Mail Exchanger] mx.mt2.kl.[domena]
·Exim Status OK.

[sledi ena od spodnjih vrstic]
·New message is available.
·Partial message is available.
·External message is available.
·Delivered message is available.

Priponka:
www.[domena].[uporabnik].session-[naključnih 8 znakov].com

Opomba
[domena] in [uporabnik] sta vzeta iz prejemnikovega elektronskega naslova - [uporabnik]@[domena].xxx.


Virus na okuženem računalniku shrani svoji kopiji v sistemsko mapo Windows v obliki datotek:
- FirewallSvr.exe in
- f**k_you_bagle.txt

V času od 28. do 30. aprila lahko virus sproži napade tipa Denial of Service (Dos) nad spletnimi naslovi:
- www.educa.ch
- www.medinfo.ufl.edu
- www.nibis.de,
poleg tega pa na okuženem računalniku odpre (stranska) vrata (port) 82 in tam čaka na ukaze oddaljenega uporabnika.


Virus: VBS_SORACI.A

To je virus v obliki VisualBasic skripte in se nahaja v datoteki FOLDER.HTT, ki prepiše originalno FOLDER.HTT datoteko operacijskega sistema Windows.

Na okuženem računalniku skripta spremeni začetno/domačo stran Internet Explorerja, in sicer na naslov:
http://www.gities.co...ntino/index.htm


Virus: JS_CIDEXPLOIT.D

Ta skripta, napisana v programskem jeziku Java, izkorišča ranljivost Microsoft Internet Explorerja, ki oddaljenemu uporabniku omogoča izvajanje poljubne datoteke na ciljnem računalniku brez vednosti/dovoljenja lokalnega uporabnika.

Zlonamerna programska koda se pojavlja na nekaterih spletnih straneh ali v elektronskih sporočilih v HTML obliki. Virus uporabnike vabi, da si ogledajo to spletno stran ozr. elektronsko sporočilo in tako, če to naredijo, sprožijo to ranljivost.

[borutvel]

Netsky je presel ze v dvocrkovno fazo.

Najnovejsa varianta je sedaj Netsky.AA

[scarab79]

Virus: WORM_BAGLE.X

Te dni se po svetu znova širi nova različica virusa Bagle - WORM_BAGLE.X.

Virus se širi preko elektronske pošte in omrežnih pogonov v skupni rabi. Ob okužbi shrani v sistemsko mapo WindowsSystem svoje kopije v obliki datotek:
- Drvsys.exe,
- Drvsys.exeopne,
- Drvsys.eveopenopen,
lahko pa naredi še več svojih kopij z dodajanjem niza "open" k imenu datoteke.

Okužena elektronska sporočila imajo zelo razčine oblike, vsebujejo pa dve priponki. Ena pripeta datoteka je slika dekleta v formatu .JPEG, druga pa kopija virusa z eno od spodnjih končnic:
- COM
- CPL
- EXE
- HTA
- SCR
- VBS
- ZIP

Preko omrežnih pogonov v skupni rabi (in omrežij za izmenjavo datotek) pa se virus širi tako, da shrani svoje kopije v obliki različnih datotek v mape, ki vsebujejo niz "shar".

Več podatkov o virusu, kot tudi orodje in navodila za njegovo odstranitev lahko najdete na Trend Microvi spletni strani.


Virus: WORM_NETSKY.AB

Ta različica sedajže vsem dobro znanega virusa se širi preko elektronske pošte, naslove za pošiljanje pa poišče v različnih datotekah na vseh pogonih okuženega računalnika.

Virus v registru operacijskega sistema Windows zbriše vnose, ki jih je ustvaril virus iz družine Bagle.


Virus: WORM_BAGLE.Z

Ta različica virusa Bagle, za katero je Trend Micro danes razglasil nov rumeni alarm, na okuženem sistemu v sistemsko mapo WindowsSystem shrani svoje kopije v obliki datotek:
- DRVDDLL.EXE,
- DRVDDLL.EXEOPEN,
- DRVDDLL.EXEOPENOPEN.

Virus se širi z elektronskimi sporočili zelo različnih oblik in različnih priponk ter tudi preko omrežnih pogonov in map v skupni rabi.

Na okuženem računalniku virus odpre določena stranska vrata, kjer čaka na ukaze oddaljenega uporabnika.

[bmw-f1]

Nov črv Win32/Sasser-A, zlorabja luknjo (MS04-011) v Microsoft Windows operacijskem sistemu. V kolikor niste naredili nadgradnje vašega sistema po 13. aprilu 2004 odkar je na voljo popravek, to nemudoma storite. Popravek dobite na spletnem naslovu: http://www.microsoft...n/ms04-011.mspx ali pa kar obiščite uradno stran Microsoft za nadgradnje operacijskega sistema: http://windowsupdate.microsoft.com/

Operacijski sistemi, ki so ranljivi z omenjenim črvom: Windows 2000 s SP2, Windows 2000 s SP3 in Windows 2000 s SP4, Windows XP in Windows XP SP1 in Windows XP 64-bit s SP1

[bryant]

to sm dobu js. dns.
ad-aware mi ne zazna nič, le norton ki ga pa ne more odstraniti.

[totek]

to sm dobu js. dns.
ad-aware mi ne zazna nič, le norton ki ga pa ne more odstraniti.

ad-aware ga ne more zaznat, ker ni antivirus. Norton pa je tak za en drek in ga cimprej zamenjaj s kakim vredu antivirusom. Ta norton ga samo serje zadne cajte. Iz verzije v verzijo je slabsi! :x

[scarab79]

Vem da je ze bilo govora o tem virusu, pa vseeno kopiram:

Po internetu se širi nov virus, imenovan Sasser, s katerim je najverjetneje okuženihže na milijone računalnikov po svetu.

Po podatkih ameriške računalniške družbe Symantec ta spletni virus cilja na sisteme Windows 2000, Windows Server 2003 in Windows XP, drugi sistemi pa naj ne bi bili občutljivi nanj, poroča francoska tiskovna agencija AFP.

Kot je za AFP povedal finski računalniški strokovnjak Mikko Hyppoenen, se Sasser za razliko od ostalih spletnih virusov ne širi prek elektronske pošte. "To je eden redkih virusov, ki se širi avtomatično: dovolj ježe, da je vaš osebni računalnik priključen na internet," je dejal. Virus povzroči samodejno izključitev računalnika, takoj zatem pa njegov ponovni zagon. Ta postopek se lahko ponavlja večkrat zapored.

Ameriška računalniška spletna stran Panda Software je medtem sporočila, da so zaenkrat s tem virusom najbolj prizadete Estonija, Izrael, Tajvan, Š panija in Francija.

Sasser je tretji večji val virusov letos po Mydoom.A januarja in Bagle.B februarja.

[scarab79]

Za Sasser.B še Sasser.C

Potem, ko se je v soboto pojavila prva različica virus Sasser, je včeraj podjetje Trend Micro razglasilo rdeči alarm za virus WORM_SASSER.B, pojavila pa se je tudiže različica C.

Tako kot različica A, tudi različica B izkorišča ranljivost operacijskega sistema Windows, imenovano LSASS, ki oddaljenemu uporabniku omogoča prevzem nadzora nad ranljivim sistemom. Več podatkov o tej ranljivosti in popravke zanjo lahko najdete na spodnjih spletnih straneh:
- MS04-011_MICROSOFT_WINDOWS in
- Microsoft Security Bulletion MS04-11.


Virus na okuženem računalniku shrani svojo kopijo v sistemsko mapo Windows v obliki datoteke AVSERVE2.EXE (prejšnja različica je uporabljala datoteko AVSERVE.EXE), nato pa v register doda spodnji vnos, ki omogoča samodejen zagon virusa ob zagonu operacijskega sistema.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
avserve.exe = %Windows%avserve2.exe

Virus se širi tako, da na naključnih IP naslovih poišče ranljive računalnike in jim na vrata TCP 445 pošlje posebej oblikovan paket. Ta vrata so sicer namenjena prenosu SMBjev (Server Message Block), zato ponavadi niso zaprta. S tem paketom virus omogoči, da ciljni sistem čaka na ukaze na vratih številka 9996 in tako tudi dejansko okužbo sistema z uporabo protokola FTP preko vrat številka 5554. Datoteka, ki se preko FTPja prenese na okužen sistem in tam tudi zažene, ima naslednjo obliko: [naključno_število]_up.exe.

Ranljivost, ki jo izrablja ta virus, lahko povzorči napako v izvajanju programa LSASS.EXE, zato se pojavi okno z besedilom "LSA Shell (Export Version) has encountered a problem and needs to close." in nato še okno z naslovom "System Shutdown", ki uporabnika opozorja, da se bo računalnik samodejno ponovno zagnal v roku 1 minute.

Več podatkov o virusu, kot tudi orodje in navodila za njegovo odstranitev lahko najdete na Trend Microvi spletni strani.

[scarab79]

Tokrat v anglescini...Sasser.D

W32/Sasser-D is a network worm which spreads by exploiting the Microsoft LSASS vulnerability on port 445.
For further information on this vulnerability see Microsoft Security Bulletin MS04-011.

When first run W32/Sasser-D copies itself to the Windows folder with the filename skynetave.exe and creates the following registry entry, so the worm is run automatically each time Windows is started:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
skynetave.exe = %WINDOWS%skynetave.exe

A harmless text file is created in the C: root folder named win2.log.

[scarab79]

Je ze zunaj tudi Sasser.E

Vec o aktualnih virusih lahko sedaj izveste tudi na povezavi na moji strani - glej spodaj!!!

Tam je tudi resitev za vecino virusov!!!

LP

[nebby]

Scarab zakaj ne zrihtas sumnike?