Вирусы,что это такое и как с ними боротъся

Форум по вопросам, связанным с Интернетом, Компьютерами, Программированием, Web-дизайном, Играми и ремонт компютеров

Модератор: Leon

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Сб апр 22, 2006 5:07 pm

Вот наконец то нашел последствия и обьяснения вируса который сейчас гуляет по почтам и нету!!!

Тип: троян.
Длина кода: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Описание:
Собирает на компьютере-жертве:
информацию об e-mail аккаунтах; историю IE; об установленном железе; программах; информацию об ОС и др.

Создаёт ключ реестра
HKEY_CURRENT_USERAtlMon.ReusableComp.5

Отсылает информацию на
62.4.84.161.
Вы конечно уже читали правила тусовки

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Пт май 19, 2006 4:51 pm

Dr.Web в Вашем браузере — новая бесплатная услуга по проверке на вирусы

Изображение

Компания "Доктор Веб" объявляет о начале работы нового бесплатного сервиса, предназначенного для пользователей сети Интернет. Данной услугой могут воспользоваться все, кто бороздит пространства Всемирной паутины с помощью браузеров Mozilla, Mozilla Firefox, Internet Explorer или Opera.

Новый бесплатный сервис от компании "Доктор Веб" представляет собой расширение (plug-in). С его помощью перед открытием любой страницы в Интернете или закачкой файла на Ваш компьютер Вы можете проверить, содержат ли файлы, предлагаемые для скачивания, вирусы или прочие нежелательные программы (дозвонщики, рекламные программы, шпионское ПО и проч.). При этом проверка делается последней версией антивируса Dr.Web с самым полным набором вирусных баз, обновление которых производится дважды в час — такой частоты обновлений на сегодняшний день не может предложить ни один другой производитель антивирусов!

При этом Вам не нужно закачивать ни антивирусную программу, ни нужный файл на Ваш компьютер, — проверка осуществляется на серверах компании "Доктор Веб", входящих во Всемирную систему обновлений антивируса Dr.Web. Время проверки зависит от объема проверяемого файла — от нескольких секунд до нескольких минут. По результатам проверки Вы сможете принять решение о скачивании файла или о посещении интересующей Вас страницы, не опасаясь вирусной атаки.

За всеми подробностями зайдите на сайт Dr.Web
Вы конечно уже читали правила тусовки

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Пт июн 02, 2006 10:52 am

Осторожно

Вот такого прикола я честно говоря не ожидал!!!
Сегодня у нас на тусовке зарегистрировался один под ником seaboss.У него в личке была записана его домашняя страничка.Что то не понравилась мне его домашняя страничка,вернее где то я её уже видел,короче решил я её проверить.

Вот результат

Первая проверка

02-06-2006 12:29:27 [CL] C:\Documents and Settings\viktor\Local Settings\Application Data\Microsoft\Internet Explorer\edb.chk - доступ запрещен

Вторая проверка

Изображение

Пользователь был забанён
Вы конечно уже читали правила тусовки

Igor6661
Сообщения: 1518
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Israel Ашкелон

Сообщение Igor6661 » Пт июн 02, 2006 11:53 am

А куда ссылка то ведет? Под кого закос?
УЛЫБАЙТЕСЬ... завтра будет хуже.

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Сб июн 03, 2006 11:03 am

Igor6661 писал(а):А куда ссылка то ведет? Под кого закос?
Как всегда порно
Вы конечно уже читали правила тусовки

Igor6661
Сообщения: 1518
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Israel Ашкелон

Сообщение Igor6661 » Сб июн 03, 2006 11:09 am

Господи, это же смешно. Интересно, какой идиот это придумал? Мало кто ведь ходит по личным сайтам, ибо они, как правило, скучны до боли в челюстях.
УЛЫБАЙТЕСЬ... завтра будет хуже.

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Пт июл 07, 2006 10:04 pm

На сайте Google нашли "троян"

Неизвестные сетевые мошенники использовали бесплатный хостинг от Google для размещения на нем "трояна", предназначенного для похищения личных данных пользователей. Вредоносную программу, которая размещалась на том же сервере, что и сайт Google Pages, обнаружила компания Websense. Интересно, что хакеры так и не успели использовать код, потому что он был обнаружен еще до того, как началась атака.

Один из специалистов по безопасности компании Websense сказал, что хакеры часто используют бесплатный хостинг для размещения опасного кода, потому что, регистрируясь на сайтах, предоставляющих такие услуги, можно сохранять анонимность.

Google Pages – это дополнение к сервису Google Page Creator, бесплатному редактору для создания сайтов, не требующему знания HTML. Google Page Creator предлагает большое число шаблонов для создания сайтов и дисковое пространство 100 Мб.
Вы конечно уже читали правила тусовки

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Пн июл 31, 2006 8:14 pm

Бесплатная лечащая утилита Dr.Web CureIt!

Изображение

Компания "Доктор Веб" информирует о вирусной опасности - Trojan.PWS.LDPinch.1061! Позаботьтесь о сохранности своих паролей!
Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении по сети мгновенных сообщений (ICQ)новой модификации троянской программы, получившей по классификации компании "Доктор Веб" название Trojan.PWS.LDPinch.1061. Получаемое пользователем сообщение содержит приглашение посмотреть "прикольную флэшку" и ссылку, по которой эта "флэшка" находится. Скачиваемый файл (oPreved.exe) действительно имеет значок флеш-ролика, но на самом деле - это троянец, перехватывающий пароли.

Техническая информация о данном троянце:
После запуска oPreved.exe (354 304 байта. Детектируется антивирусом Dr.Web как Trojan.PWS.LDPinch.1061) создаются файлы: %System%Expllorer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) %windir%tempxer.exe (223 392 байта. Детектируется антивирусом Dr.Web как Win32.HLLW.MyBot) временный файл C:a.bat
Файл Expllorer.exe прописывается в автозагрузку, создавая следующие ключи в системном реестре:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Shel"=Expllorer.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices "Shel"=Expllorer.exe
Передача паролей происходит через скрипт на сайте hxxp://220web.ru. Передаются все собранные пароли в системе: icq, ftp, почтовые сервисы, dialup, trilian, miranda и т.д.
Также Trojan.PWS.LDPinch пытается обойти межсетевые экраны: как встроенный в операционную систему, так и некоторых сторонних разработчиков.
Компания "Доктор Веб" призывает пользователей быть внимательными и не открывать ссылки, пришедшие в сообщениях ICQ от неизвестных адресатов. В случае, если Ваш компьютер поражён трояном Trojan.PWS.LDPinch, рекомендуется отключить компьютер от локальной сети и/или Интернета, проверить его антивирусным сканером Dr.Web®. Вы также можете бесплатно проверить и, в случае необходимости, вылечить компьютер при помощи утилиты Dr.Web - CureIt!. В обязательном порядке смените все пароли, хранящиеся на Вашем компьютере.


Скачать
Вы конечно уже читали правила тусовки

Igor6661
Сообщения: 1518
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Israel Ашкелон

Сообщение Igor6661 » Пн июл 31, 2006 8:17 pm

У меня это говно с пакетом кодеков пролезло. Касперский 6 его снес. Так что, осторожнее, это чудо гуляет в кодек-пакетах даже на мнгоих серьезных сайтах.
УЛЫБАЙТЕСЬ... завтра будет хуже.

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Пт окт 20, 2006 12:26 am

Уязвимость в Microsoft Word

Как и следовало ожидать, после выхода серии патчей от Microsoft появились описания уязвимостей в ПО, выпускаемом этой компанией. Chen Xiao Bo из McAfee Avert Labs сообщает о наличии уязвимости в процедуре обработки файлов формата Word при вызове системной функции memmove, в качестве третьего параметра которой задаётся размер передаваемых данных. Задав значение этого параметра больше выделенного можно вызвать переполнение буфера в стеке и выполнить произвольный код в системе, создав для этого специальный Word-файл и вынудив жертву каким-либо образом открыть подобный файл. Уязвимым является следующее ПО: Microsoft Word 2000/2002/2003, Microsoft Word 2004 и v. X для платформы Mac. Для устранения уязвимости необходимо загрузить патч, описанный в MS06-060.
Вы конечно уже читали правила тусовки

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Пт окт 20, 2006 12:28 am

Уязвимость в Internet Explorer

Сообщаетcя об обнаружении уязвимости во вновь выпущенной версии браузера Internet Explorer 7.0. Уязвимость связана с некорректной обработкой перенаправлений URL с использованием URI вида "mhtml:". Атакующий в подобном случае может получить доступ к документам с другого сайта в структуре контекста безопасности текущего сайта. На сайте Secunia предлагается ссылка, посетив которую можно убедиться в существовании уязвимости. Для устранения уязвимости рекомендуется отключить активный скриптинг.
Вы конечно уже читали правила тусовки

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Пт окт 20, 2006 12:31 am

Червь Stration маскируется под патч безопасности

Червь W32/Stratio-AN агрессивно распространяется своим создателем, начиная с раннего утра понедельника. Он распространяется по электронной почте и маскируется различными способами, в том числе, в виде письма с фальшивым предупреждением о том, что компьютер получателя был инфицирован червем.


Тема: Отчет почтового сервера.
Текст сообщения:
Отчет почтового сервера.
Наш брандмауэр обнаружил, что электронные письма, содержащие копии червей, рассылаются с вашего компьютера. На настоящий момент это довольно часто происходит с различными компьютерами, т.к. это новый тип вирусов (сетевые черви). Используя новый дефект в Windows, данные вирусы незаметно инфицируют компьютер. После проникновения внутрь компьютера вирус собирает все адреса электронной почты и рассылает копии самого себя на эти адреса электронной почты. Пожалуйста, установите обновления для удаления червя и восстановления функциональности вашего компьютера.
С уважением, Служба поддержки пользователей

Вложенный файл: Update-KB7859-x86.zip (который содержит файл Update-KB7859-x86.exe). Эксперты из Sophos полагают, что этот червь использует прикрытие в виде предупреждения о якобы уже свершившемся заражении компьютера для того, чтобы сыграть на озабоченности многих пользователей той уязвимостью в программном обеспечении Microsoft, для которой пока еще не выпущен патч безопасности.

"Многие пользователи операционной системы Windows с нетерпением ждут решения дефекта VML в ПО от Microsoft, который уже реально эксплуатируется хакерами в сети, - продолжил Клули. - Возможно, люди, стоящие за червем Stration, играют на повышенной озабоченности интернет-сообщества в связи с существующей незащищенностью ПО Microsoft, и при этом им удается обманывать невинных пользователей и заставлять их запускать вредоносное обновление. Урок заключается в том, что вам следует загружать патчи безопасности только с официального сайта продавца патчей, а не из незапрашиваемого электронного письма".
Вы конечно уже читали правила тусовки

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Пт окт 20, 2006 12:32 am

Появились новые вирусы, действующие через "Internet Explorer"

В Интернете появились несколько новых вирусов, эксплуатирующих уязвимости "Internet Explorer".

Согласно недельному отчету "Panda Software", одним из новых вирусов является червь "Wapplex.C", который, несмотря на отсутствие вредоносных эффектов, выделяется рядом способов распространения. В частности, чтобы распространяться по сетям, этот червь способен копировать себя на различные ресурсы общего пользования.

Как сообщают в "PandaLabs", "Wapplex.C" способен заражать подключенные сетевые диски. Он также может распространяться в различных типах файлов, таких как: исполняемые файлы, сжатые в формате ZIP, файлы изображений JPG, сжатые или несжатые.

Второй червь в нынешнем отчете - "Sohanat.A", чьей целью является изменение различных элементов: домашней страницы "Internet Explorer" и адресной строки браузера, веб-страницы, отображаемой при открытии пользователем "Yahoo Messenger", и т.д. Червь распространяется через программу обмена мгновенными сообщениями "Yahoo Messenger", отправляя сообщения с некоторой ссылкой. При клике на ссылку открывается веб-страница с эксплойтом, который устанавливает червя на компьютер.

Кроме того, в сети действует рекламная программа "Ajax", проникающая на компьютеры в тот момент, когда пользователь посещает специально разработанные для скачивания этой программы сайты. После установки, кроме частого отображения рекламы, она вызывает значительное замедление компьютера, что вызывает массу дополнительных проблем.

И, наконец, уязвимость VML была классифицирована как критическая и влияет на "Windows XP" и "Windows Server 2003". Эта уязвимость кроется в способе, которым "Internet Explorer" обрабатывает графику VML (Vector Markup Language). В результате хакер способен создать специальную веб-страницу, при посещении которой незаметно скачиваются и запускаются вредоносные файлы на компьютере пользователя. По состоянию на 25 сентября, компания "Microsoft" не выпустила обновление для исправления этой уязвимости. Тем временем, пользователям рекомендуют отключить выполнение сценариев "Java" в настройках "Internet Explorer".
Вы конечно уже читали правила тусовки

orange
Сообщения: 562
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: Иерусалим
Контактная информация:

Сообщение orange » Ср дек 06, 2006 5:29 pm

Win32.HLLM.Limar.based

Сегодня меня удивило несколько сообщений по icq от моей знакомой,типа она мне прислала ссылку на своё фото.Посмотрел я на ссылку,непонравилась она мне что то,решил я позвонить своей знакомой и спросить у неё.Позвонил ей,спросил что она делает и если она дома.Говорит что она не дома,и вообще дома никого нет,но комп включенный.
Короче рассказал я ей всё это,а она мне в ответ, "у меня комп со вчерашнего дня глючить стал что то"!!!
Короче мне стало всё ясно,пошел я на сайт каспера и нефига не нашел,Решил проверить через DrWeb.Открыл ссылку через сканер DrWeb и УПС,червь

Поделюсь с Вами что я откапал про это

Win32.HLLM.Limar.based

(Email-Worm.Win32.Warezov.ab, Email-Worm.Win32.Warezov.aj, Email-Worm.Win32.Warezov.y, Generic.Stration.897DECD2, Generic.Stration.C3436AB9, Generic.Stration.CD715647, Generic.Stration.D070A9FB, Generic.Stration.E440BC60, Generic.Stration.F061257B, I-Worm/Generic.PT, I-Worm/Generic.QJ, W32/Stration@MM, W32/Warezov.AA@mm, W32/Warezov.AB@mm, W32/Warezov.S@mm, W32/Warezov.Y@mm, WORM_STRATION.BC, WORM_STRATION.BL, Win32/Stration!generic, Win32/Stration.AQ, Win32/Stration.AT, Win32/Stration.Variant!Worm)

Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 130 - 148 Кбайт, 10-30 Кбайт
Упакован: Upack, UPX


Техническая информация

Распространяется в виде писем с вложениями.

Тема письма может быть следующей:
Server Report
Status
Error
Test
Mail Delivery System
Mail server report.
Mail Transaction Failed
Good day
picture
Hello

Вложение может быть в виде ZIP-архива, EXE-файла или файла с двойным расширением.
Имя вложения может быть следующим:

1.Update-KB[число]-х86 с расширением ZIP или EXE.


2. test, body, docs, doc, test, text, readme, file, document, data



Тело письма содержит текст:
------------------------------------
Mail server report.


Our firewall determined the e-mails containing worm copies are being sent from your computer.


Nowadays it happens from many computers, because this is a new virus type (Network Worms).


Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.


Best regards,
Customers support service
--------------------------------------
Mail transaction failed. Partial message is available.
--------------------------------------
The message contains Unicode characters and has been sent
as a binary attachment.
---------------------------------------
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
---------------------------------------


В зависимости от типа вложения в письме при своём запуске червь выпоняет:
1. Выводит на экран "Update successfully installed" (при запуске вложения Update-KB[число]-х86).
2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением).


В зависимости от своей модификации при своём запуске червь создаёт следующие файлы:
%WinDir%\serv.exe (148 621 байт)
%WinDir%\serv.s (148 621 байт)
%WinDir%\system32\serv.dll (7 680 байта)
%WinDir%\system32\e1.dll (8 704 байта)
%WinDir%\system32\jgmdmsxm.dll (28 672 байта)
%WinDir%\system32\netacdmo.dll (20 480 байт)
%WinDir%\system32\tsd3rasd.exe (16 384 байта)
%WINDIR%\System32\wupstInt.dll (28672 байт)
%WINDIR%\System32\cssewmpd.exe (16384 байт)
%WINDIR%\System32\regaufat.dll (24576 байт)


Причём имена файлов динамических библиотек (*.dll) подставляются разные - в зависимости от модификации червя.


Червь маскирует свои процессы.

Червь завершает процессы некоторых антивирусных продуктов и межсетевых экранов. В частности, червь автоматически устанавливает приложение serv.exe в число "Доверенных" в списке приложений Agnitum Outpost Firewall, если используется политика "Режим обучения".

Червь создаёт файл с расширением *.wax, в который записывает почтовые адреса, зарегистрированные в поражённой системе.

Для своего последующего запуска червь прописывает себя в автозагрузке, модифицируя секции в реестре:
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
"serv" = C:\Windows\serv.exe s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = wupstInt.dll e1.dll


Рассылает свои многочисленные копии, соединяясь по протоколу SMTP с разными серверами.

Рекомендации по восстановлению системы

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).

2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".

3. Восстановить реестр из резервной копии.

Удачи Вам и смотрите осторожно с Вашими ОСами
Вы конечно уже читали правила тусовки

Anna07
Сообщения: 1
Зарегистрирован: Чт янв 01, 1970 2:00 am
Откуда: IL
Контактная информация:

Сообщение Anna07 » Пт май 04, 2007 1:27 am

orange писал(а):Бесплатная лечащая утилита Dr.Web CureIt!

Изображение
Подскажите, пожалуйста, нужен ли этот антивирус, если уже есть AVG и Ad-Avare?
:)

Закрыто