=============================================================================== > GothicDarkKnight (11-Feb-2004 02:21) "VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- попал я под раздачу вчера %-)))))) Гремлины %) эта зарраза %-))))) не дала мене посидеть в инете симптомы: 1.связь есть, инфа качается (довольно активно) но ниодин сайт не грузится (опера6, ИЕ6, Гетрайт5, система Win98) 2.после перезагрузки перестают подключаться к сети мирк6 и вАська(миранда), (сайты тож не грузятся) но дозванивается нормально 3.в блевотине (ака три пальца) висит два internat`a где сидит: 1.sync-src-1.00.tbz (28 кб) C:\WIN98 C:\WIN98\SYSTEM C:\WIN98\TEMP C:\WIN98\recent (ярлык) D:\ 2.msconfig (автозагрузка) появляется строка: Gremlin C:\WIN98\SYSTEM\intrenat.exe (36 kb) при уже существующей: internat.exe internat.exe (28 kb) 3.в реестре: +HKEY_LOCAL_MACHINE +SoftWare +Microsoft +Windows +CurrentVersion +RUN сидит соответственно: Gremlin C:\WIN98\SYSTEM\intrenat.exe 4.в реестре: +HKEY_CURRENT_USER +SOFTWARE +Microsoft +Windows +CurrentVersion +Explorer +Doc Find Spec MRU строка: e "Gremlin" 5.время создания intrenat.exe и sync-src-1.00.tbz одинаковое 6.DrWeb 4.30, обновление 14.12.2003 - не ловит способ заражения: успел посидеть в инете всего мин 10-ть был всего на нескольких сайтах, в мирке и вАське (возможно подцепил раньше) что делает: видимо, использует машину для пересылки инфы ... при этом не позволяя работать в инете N.P.: archon satani =============================================================================== > Hadd (11-Feb-2004 02:21) "Отв[1]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- Установи себе Касперского самой последней версии - миогом вылечит. =============================================================================== > 5th Horseman (11-Feb-2004 02:21) "Отв[2]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- This memory-resident Trojan sets keyboard hooks and steals passwords from target systems. It sends all the gathered information via email, using its own SMTP engine, to a remote malicious user. http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=TROJ_QQPASS.AK http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.lemir.e.html http://www.hacksoft.com.pe/virus/w32_qqpass_ak.htm N.P.: H A T E F O R E S T =============================================================================== > pacman (11-Feb-2004 02:21) "Отв[3]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- Гы, ещё пару дней назад обнаружили doomjuice... сиквел mydoom'a. =)) =============================================================================== > Balrog (11-Feb-2004 02:21) "Отв[4]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- А у меня стоит Norton Antivirus 2003, я его регулярно обновляю, и уже давно не помню, чтобы у меня был вирь. =============================================================================== > RunningFree (11-Feb-2004 02:21) "Отв[5]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- Norton.. ну-ну... и скока он у тя мегов в оперативке занимает? 50? А главное окно скока открывается? секунд 20, да? А ещё меня дико прёт то, что сразу после установки Нортон предлагает вытянуть зи инета 100-200 мегов обновлений (без этого отказывается обновлять БД вирусов, собственно). Dr.Web? В принципе неплох, но с БД вирусов проблемы. Про Касперского я лучше помолчу... Кривее антивируса я в жизни не видел... Кстати, знаю не один случай, когда эта гадость насмерть роняла систему ( а чё - идеальный способ защиты от вирусов: нет системы - нет вирусов :) ) Короче, чтобы не было таких проблем, как у ГДК, рекомендую всем скачать AntiVir Personal Edition: http://www.free-av.com/index.htm Весит 3 Мега, бесплатен, оперативки жрёт мало, никаких нортоновских "украшательств" и прочего дерьма - интерфейс прост как две копейки. Пользуюсь им уже год - ни одного вируса (это при том, что я его тока раз в 2 недели обновляю...) Можете после этого снести все свои Нортоны с Касперскими нафиг ;) =============================================================================== > 5th Horseman (11-Feb-2004 02:21) "Отв[6]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- у меня стоит NOD32, и я довольен. отзывы тоже хорошие о нем вот так :) N.P.: Ecthalion =============================================================================== > (11-Feb-2004 02:21) "Отв[7]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- подробности тут http://inasound.ru/forum/viewtopic.php?t=137 N.P.: молотов =============================================================================== > Balrog (11-Feb-2004 02:21) "Отв[6]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- //////Norton.. ну-ну... и скока он у тя мегов в оперативке занимает? 50? А главное окно скока открывается? секунд 20, да? А ещё меня дико прёт то, что сразу после установки Нортон предлагает вытянуть зи инета 100-200 мегов обновлений (без этого отказывается обновлять БД вирусов, собственно)////// Окошко открывается 3 секунды. NPROTECT.EXE 1 340 KB NAVAPSVC.EXE 776 KB NVSVC32.EXE 256 KB Скачивает при установке ~4 MB БД вирусов. Тачка: Athlon 1700+, 256 MB DDR 2700 У меня ни разу не было проблем с вирусами за последние два года. Всё остальное меня как-то мало волнует. =============================================================================== > RunningFree (11-Feb-2004 02:21) "Отв[7]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- 2 Balrog Хм, неужто такой прогресс со времён 2002ого? Помню, что когда пробовал Нортон 02 всё было именно так, как описано выше. Ну да ладно, всё равно у него сейчас одна тока БД вирусов весит больше, чем весь AntiVir :) Так что отстой ;) =============================================================================== > GothicDarkKnight (11-Feb-2004 02:21) "Отв[8]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- KasperskyLab Гость Добавлено: Ср Фев 11, 2004 9:36 am Заголовок сообщения: -------------------------------------------------------------------------------- Worm.Win32.Doomjuice Вирус-червь. Распространяется по глобальным сетям, используя для размножения компьютеры, зараженные червем I-Worm.Mydoom (версий a и b). Имеет размер 35KB, упакован UPX. Размер распакованного файла - около 43KB. Инсталляция При запуске червь копирует себя в системный каталог Windows с именем "intrenat.exe" и регистрирует данный файл в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gremlin" = "%system%\intrenat.exe" Червь извлекает из себя файл с именем "sync-src-1.00.tbz" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги в Documents and Settings. Данный файл представляет собой архив TAR, содержащий полные исходные тексты I-Worm.Mydoom.a. Червь создает уникальный идентификатор "sync-Z-mtx_133" для определения своего наличия в памяти. Размножение Червь использует для своего размножения компьютеры зараженные червем Mydoom (версии a и b). Он осуществляет обращения к порту TCP 3127, который открыт "бэкдор"-компонентой (shimgapi.dll) Mydoom для приема команд. Если зараженный компьютер отвечает на запрос, то Doomjuice создает соединение и пересылает туда свою копию. "Бэкдор"-компонента Mydoom принимает данный файл и запускает его на исполнение. Для выбора атакуемого IP-адреса (A.B.C.D) червь использует следующий алгоритм: Первые цифры адреса (A) выбираются из списка: 3 4 6 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 61 62 63 64 65 66 67 68 80 81 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 193 194 195 196 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 Вторая (B) и третья (C) цифры генерируются червем произвольно. После этого червь начинает последовательно перебирать все адреса (D) от 0 до 254. DoS-атака Червь определяет системную дату, и если день месяца меньше 12, то DoS-атака на сайт www.microsoft.com производится в "легком" режиме: червь отсылает на 80 порт данного сайта один запрос GET, повторяя его через произвольное время. Если день месяца больше или равен 12, то запросы начинают отсылаться в бесконечном цикле. =============================================================================== > GothicDarkKnight (11-Feb-2004 02:21) "Отв[9]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- bid Гость Добавлено: Ср Фев 11, 2004 9:43 am Заголовок сообщения: -------------------------------------------------------------------------------- Worm.Win32.Doomjuice [ 09.02.2004 19:26, GMT +03:00, Москва ] Опасность : средняя Вирус-червь. Распространяется по глобальным сетям, используя про размножения компьютеры, зараженные червем I-Worm.Mydoom.a или I-Worm.Mydoom.b. Имеет размер 35KB, упакован UPX. Размер распакованного файла - около 43KB. Размножение При запуске червь копирует себя в системный каталог Windows с именем "intrenat.exe" и регистрирует данный файл в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gremlin" = "%system%\intrenat.exe" Червь извлекает из себя файл с именем "sync-src-1.00.tbz" и копирует его в корневой каталог, каталог Windows, системный каталог Windows, а также в пользовательские каталоги в Documents and Settings. Данный файл представляет собой архив TAR, содержащий полные исходные тексты I-Worm.Mydoom.a. Прочее Червь обладает функцией DoS атаки на сайт www.microsoft.com. Подробное описание сетевого червя Doomjuice уже доступно в "Вирусной энциклопедии". Процедуры детектирования и удаления Doomjuice уже добавлены в базу данных "Антивируса Касперского". В связи с многочисленными случаями заражения сетевым червем "Mydoom" ("Novarg"), "Лаборатория Касперского" разработала бесплатную утилиту для обнаружения и удаления данной вредоносной программы. Утилита CLRAV производит поиск и нейтрализацию червя в оперативной памяти и жестком диске зараженного компьютера, а также восстанавливает оригинальное содержимое системного реестра Windows. Помимо "Mydoom" ("Novarg") данная утилита эффективно борется с другими вредоносными программами, в том числе "Klez", "Lentin", "Opasoft", "Tanatos", "Welchia", "Sobig", "Dumaru", "Swen". CLRAV будет особенно полезен пользователям других антивирусных программ, которые могут некорректно обнаруживать и удалять "Mydoom". При запуске данной утилиты "Лаборатория Касперского" рекомендует закрыть все активные приложения. По окончании ее работы необходимо перезагрузить компьютер и запустить антивирусный сканер для полномасштабной проверки компьютера. Вы можете загрузить утилиту CLRAV по адресу: ftp://ftp.kaspersky.com/utils/clrav.zip =============================================================================== > GothicDarkKnight (11-Feb-2004 02:21) "Отв[10]: VIRTUALCYBERWARS !!!" ------------------------------------------------------------------------------- утилиту CLRAV - я проверял - работает - трёт всё %-))) ===============================================================================