Odgovorov v temi: 112

[totek]

Scarab zakaj ne zrihtas sumnike?

Se verjetno mu delajo. Ampak jih ne pise, glih tak ko jaz ne! :ok:

[nebby]

Sej jih jaz tudi ne pisem ampak sem videl na njegovi strani "kvadratke"

[borutvel]

Zato ker je prelen

[scarab79]

Zato ker je prelen

Tocno tako :ok: Sicer pa tudi po forumu skoraj nikoli ne pisem sumnikov...pac navada iz starih casev

Prosim pa da se vseeno drzimo nazaj teme...

Nekaj inofrmacij o različici virusa Sasser.E

Na spletu se je pojavila nova,že peta različica spletnega črva Sasser, ki povzroča okužbe računalnikov po vsem svetu. Pojav nove različice, imenovane Sasser.E, ob sobotni aretaciji domnevnega avtorja črva Sasser kaže, da je za napadom organizirana skupina prestopnikov, ki bo še naprej dajala v obtok nove zlonamerne kode.

Verjetno je kriva organizirana skupina

Črv Sasser.E se je pojavil hitro po objavi aretacije domnevnega avtorja črvov. "To potrjuje naše strahove, da aretirani ni edina oseba, ki je programirala črve Sasser in Netsky, ampak gre bolj verjetno za organizirano skupino. To kaže, da poteka kibernetska vojna med avtorji črvov Bagle, Mydoom, Netsky in Sasser, ki bo še naprej povzročala pojav novih različic," je povedal vodja laboratorija PandaLabs Luis Corrons.

Namen teh skupin še vedno ni znan

Možno je tudi, da poskušajo pritegniti pozornost na virusne kode in istočasno izvajati druge vrste akcij, s katerimi bi imeli ekonomske koristi, kot je npr. kraja bančnih podatkov za zlorabo.

Sasser.E je samo še eden v nizu različic Sasserja, ki je minuli teden povzročil pravo epidemijo. Tako kot ostali tudi Sasser.E izkorišča ranljivost v Microsoftovem operacijskem sistemu Windows, poznano kot LSASS.

Kako črv deluje?

Črv Sasser.E po internetu išče ranljive računalnike, ko jih napade, pa ustvari svojo kopijo v direktoriju Windows z imenom LSASSS.EXE. Posledica je sistemska napaka, ki prisili okuženi računalnik, da se ugaša in ponovno zaganja vsakih 60 sekund. Poleg tega za razliko od svojih predhodnikov Sasser.E zbriše sistemske različice črva Bagle.

[m-2-j]

Norišnica - odkrit nov črv Cycle.A

Aretaciji domnevnega avtorja črvov Sasser ni sledilo zatišje v napadu virusov. Odkrit je bil namreč nov črv Cycle.A (W32/Cycle.A.worm), ki tako kot Sasser in njegove različice za širjenje izkorišča ranljivost LSASS, ki prizadene nekatere različice operacijskega sistema Windows.

Scenarij se je spremenil, saj sodeč po besedilu v kodi virusa avtor - alias Cyclone - trdi, da je Iranec in opozarja na družbeno in politično situacijo v svoji državi. Celotna vsebina sporočila je dostopna v virusni enciklopediji Pande Software.

Cycle.A poskuša vstopiti v računalnike preko komunikacijskih vrat TCP45, da bi preveril, če je sistem ranljiv. Če je, črv povzroči, da prizadeti računalnik naloži kopijo črva z imenom CYCLONE.EXE. To se zgodi le, če je na sistemu nameščena aplikacija TFTP.EXE. Poleg tega in ne glede na to, ali se je črv uspel prekopirati na ciljni računalnik, poskus vstopa virusa povzroči napako v aplikaciji LSASS.EXE, zaradi česar se računalnik ugasne in ponovno zažene vsakih 60 sekund. Da bi preprečili napade črvov Cycle, Sasser ali drugih, ki bi izkoriščali ranljivost LSASS, je potrebno namestiti Microsoftov popravek na http://www.microsoft...n/MS04-011.mspx in posodobiti svoje protivirusne programe. Kdo ve, koliko različic bo še dobil črv Cycle.

Avtor: Miran Varga
Orig. članek na strani RN
Info. na Symantecovi strani

[scarab79]

Nov virus - WORM_WALLON.A

Po Internetu se je zelo hitro začel širiti nov Internetni črv z imenom WORM_WALLON.A, za katerega je podjetje Trend Micro razglasilo rumeni alarm.


Virus izkorišča ranljivost odjemalca za elektronsko pošto Microsoft Outlook Express, ki omogoča prenos datoteke na lokalni računalnik brez vednosti uporabnika. Za več informacij o tej ranljivosti in popravkih zanjo obiščite spodnjo spletno strani:
- http://www.trendmicr...OUTLOOK_EXPRESS

Ta virus se širi s pomočjo elektronskega sporočila v HTML obliki, ki vsebuje hiper-povezavo (hyperlink). Ob pregledu sporočila se ranljivi sistemi sami povežejo z določeno spletno stranjo in z nje na lokalni računalnik prenesejo komponente virusa. Na okuženem računalniku virus nato uporabi naslove iz uporabnikovega imenika (datoteka tipa .WAB) za pošiljanje okuženega sporočila, ki ima naslednjo obliko:

Od: (uporabniško ime uporabnika)

Zadeva: Re:

Besedilo:
http://drs.yahoo.com/(ime_domene)/NEWS

Več podatkov o virusu, kot tudi orodje in navodila za njegovo odstranitev lahko najdete na Trend Microvi spletni strani.

[scarab79]

Zunaj je tudi nova razlicica virusa Sasser.F

Vec info na http://www.trendmicr...e=WORM_SASSER.F !

Unlike earlier variants, it drops its copy as NAPATCH.EXE and looks for the mutex, billgate.

To propagate, it scans the network for vulnerable systems. When it finds a vulnerable system, this malware sends a specially crafted packet to produce a buffer overflow on LSASS.EXE.

It creates the script file CMD.FTP, which contains instructions for the vulnerable system to download and execute a copy of this malware from a remote infected system via port 5554 using FTP.

[Klemi4]

Za tiste, ki imate Sasser virus od A-F je Microsoft izdal "tool" s katerim si ga zbrišete iz sistema. Dobite ga tej strani: KLIK

LP
P.S.: Ker je tok velik naslov strani bi jo dal pod kšno črko (recimo "klik") pa ne vem kako.

P.P.S: Popravljeno in urejeno! LP Scarab!

[borutvel]

Dabber
Vzdevki: Dabber.A, Worm.Win32.Dabber.a
Dolžina: 29696

Povzetek

Dabber se širi preko omrežja in napada računalnike, ki sože okuženi s črvom Sasser. Izkoristi napako v FTP strežniku črva sasser, odstrani nekatere druge viruse in namesti svoja stranska vrata.
Podroben opis

Sasser je bil napisan v Visual C++ in je stisnjen z UPX in Pe_Patch. Dolžina razpakiranega programa je okoli 70 KB.

Okužba

Ob okužbi se črv skopira v Windows sistemski imenik pod imenom 'package.exe'. Zatem doda v register ukaz za avtomatski zagon ob vklopu računalnika:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"sassfix" = "%SystemDir%package.exe"

Datoteko 'package.exe' skopira še v uporabniške Startup imenike.

Z namenom onemogočiti nekatere druge viruse, črv Dabber odstrani množico vrednosti iz registra.

Š irjenje po omrežju

Dabber izkoristi napako v FTP strežniku črva Sasser. Pregleduje naključno izbrane računalnike na internetu in preverja, če je na njih aktiven črv Sasser na TCP portu 5554. Če mu povezava uspe, preko napake sproži ukaz za TFTP prenos svoje kode (preko TCP porta 8967). Dabber ima vgrajen svoj lasten TFTP strežnik.

Stranska vrata

Črv Dabber odpre na TCP vratih 9898 stranska vrata, ki omogočajo prenos in poganjanje poljubnih programov na okuženem računalniku.

Pregled uporabljenih TCP vrat

5554/TCP: - FTP strežnik črva Sasser na okuženih računalnikih
8967/TCP: - Začasna povezava, preko katere se sproži prenos črva Dabber
9898/TCP: - Stranska vrata, ki jih odpre Dabber

Vir:www.f-secure.si

[scarab79]

Na medmrežju sta se pojavila dva nova črva - Dabber, ki se širi prek napake v črvu Sasser, in SDBot.MD, ki se širi prek različnih programov in napak v njih (na primer Microsoft SQL, DCOM RPC, strežniki Real, program DameWare, IPC-imeniki, LSASS).

Dabber tako okuži tiste računalnike, ki sože okuženi s črvom Sasser. Izkoristi namreč napako v FTP-strežniku črva Sasser. Poleg tega Dabber onemogoči nekatere druge črve, vendar hkrati odpre stranska vrata in tako omogoči poganjanje različnih programov na okuženem računalniku. (Vec o tem je ze napisal borutvel!!!)

SDBot.MD pa se na napadeni računalnik skuša prijaviti na različne načine z uporabo množice uporabniških imen in gesel. Najprej odstrani Sasserja, na računalnik pa namesti popravke Microsoftove napake, prek katere se širi črv Sasser. Hkrati pa se poveže na več IRC-strežnikov in prek kanalov #virtualz in #scanlog omogoča nadzor računalnika na daljavo.

[scarab79]

Pri organizaciji US-CERT so prejeli poročila o skeniranju, ki je usmerjeno v vrata 5000/tpc.

Ta vrata uporablja storitev Universal Plug and Play (UPnP), za katero sože bile odkrite varnostne pomanjkljivosti in tudi razviti ustrezni popravki. Tovrstno delovanje so pri organizaciji pripisali delovanju dveh črvov, poimenovanih W32/Bobax in W32/Kibuv. Organizacija priporoča uporabnikom, da redno posodabljajo svoj operacijski sistem z najnovejšimi popravki.

[scarab79]

Nov crv na pohodu WORM_KORGO.A in B

Sicer potencialno zelo nevaren crv, ki pa se ne siri tko kot bi se lahko....ocitno so pomagali popravki, ki so jih uporabniki namestili po prejsnjih napadih, saj se vedno uporablja LSASS ranljivost Windows sistemov!

Da ne bom na dolgo pisal...vec o njem zveste TUKAJ !

[Goldi]

Pri podjetju Kaspersky Labs so prestregli novi virus po imenu Plexus, ki se širi po lokalnih omrežjih, po E-pošti, omrežju P2P (deljenje datotek) in preko varnostnih lukenj v OS Windows, kot sta to počelaže Sasser in Lovesan.
Plexus vsebuje enako kodo, kot MyDoom. Novi črv, imenovan tudi kot Explet.A je bil prvič najden v sredo. Pazite se elektronske pošte, ki vsebuje zaponko z imenom SecUNCE.exe in tekstom RE: order Hi. Here is the archive with those information, you asked me. And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;-) ali zaponk z imenom AtlantI.exe, ki vsebujejo tekst For you Hi, my darling Look at my new screensaver. I hope you will enjoy... Your Liza.

vir: Pla@net PC

[scarab79]

Organizacija US-CERT je prejela poročila o novem črvu, poimenovanem Korgo.F ali Padobot.

Črv izkorišča pomanjkljivost v operacijskem sistemu, ki bi oddaljenemu napadalcu lahko omogočila izvajanje kode s sistemskimi pravicami. Črv išče ranljive sisteme s skeniranjem naključnih IP-naslovov na vratih 445/tcp. V kolikor je pri tem uspešen, vzpostavi povezavo na vratih 113/tcp ali 3067/tcp in se poskuša povezati z IRC-strežniki.

[roky23]

http://zeta.download...1mupau_Doc1.doc
ne nasedajte "prijaznim" možem :nene:

[scarab79]

Nov črv Zafi.B se zelo hitro širi po Evropi
Finsko podjetje F-Secure Corporation obvešča uporabnike interneta, da se je ta vikend pričel hitro širiti črv Zafi.B.

Okužena sporočila, ki jih pošilja, so napisana v različnih jezikih. Črv se je pojavil 11. junija 2004. Za razliko od verzije .A, ki se je pošiljala v sporočilih z madžarskim besedilom, se verzija .B pošilja v sporočilih o elektronskih voščilnicah v angleškem, italijanskem, španskem, ruskem, švedskem, ... jeziku.

Črv je v danes zjutraj postal najbolj pogost črv v večini evropskih držav, tudi v Sloveniji. Zaradi velikih količin okuženih sporočil občasno prihaja do zamika pri dostavi elektronske pošte. Več informacij najdete na tem naslovu.

[borutvel]

Cabir je črv, ki se širi preko bluetooth povezav in deluje na mobilnih telefonih, ki podporajo Symbian Series 60 aplikacije.

Črv se širi v datoteki caribe.sis. Če uporabnik datoteko odpre in namesti, prične črv iskati ostale naprave v okolici in jih poizkuša okužiti.

Več o tem:
http://www.f-secure.si/cabir.html

[Goldi]

Evaman črv:

Masovni e-poštni črv se širi počasi, vendar strokovnjaki še ne vedo, kaj se bo zgodilo, ko bo dosegel Evropo in Ameriko.
Črv sicer ne predstavlja velike navarnosti (druga stopnja od petih).
Evaman, ki se širi po poštnih naslovih, najdenih na tej strani, prenaša zaponko s končnico .exe ali .scr. Kot Zadevo ima vpisano "failed transaction" ali "failure delivery".

Navodila za odstranitev:

navodila

[borutvel]

MS July pack
http://www.microsoft...07_windows.mspx

[scarab79]

Na spletu se je pojavil nov izredno nevaren črv, ki je dobil oznako Atak (W32.Atak). Črv napada samo operacijske sisteme Microsoft Windows, širi pa se s pomočjo elektronskih sporočil. Ko črv zaide v naš računalniški sistem, se njegova koda prekopira v sistemsko mapo pod imenom hint.exe.


Črv Atak razpolaga celo s funkcijo SloperMtx, ki skrbi, da se sočasno izvaja le en proces črva in ne več, kot je to značilno za druge vrste okužb. Glavna naloga novega črva je v iskanju spletnih naslovov, ki jih ima uporabnik shranjene na trdem disku. Ko Atak pridobi celoten seznam elektronskih naslovov, se na njih tudi razpošlje.

Najvidnejša značilnost novega črva pa je v njegovi "nevidnosti", saj ga protivirusni programi preprosto ne morejo zaznati, saj vsakič, ko ga uporabnik zažene oziroma se le-ta avtomatično zažene, se črv takoj izklopi iz procesa in postane za protivirusne programe popolnoma neviden.


Črvi postajajo iz dneva v dan pametnejši.

Niti tehnologija Norman za zaznavanje še nepoznanih črvov, Sandbox, ga ne more odkriti. Edina možnost, ki nam potem ostane je ta, da črva izbrišemo ročno. Najbolje pa bo, da se z njim niti ne okužimo.

Vse uporabnike elektronske pošte obveščamo, da so pozorni na spodnje pošiljatelje z omenjenim naslovom v sporočilih.

Črv Atak se skriva v sporočilih z naslovoma Read the Result! ter Important Data!, njihovi pošiljatelji pa so kevin@, huck@, george@, mike@ ter andrew@. Če naletite na tovrstna sporočila jih nikakor ne odpirajte, sicer je okužba z novim črvom neizbežna.