[kt315]

[Перемещено из рубрики `monitor` 2004-01-28 10:06:23]
яКСФАЮ ЛНМХРНПХМЦЮ БХПСЯМНИ ЮЙРХБМНЯРХ гюн «дХЮКНЦмЮСЙЮ» ЯННАЫЮЕР Н ЛНКМХЕМНЯМНЛ ПЮЯОПНЯРПЮМЕМХХ ОН ЯЕРХ хМРЕПМЕР МНБНИ БХПСЯМНИ СЦПНГШ - ОНВРНБНЦН ВЕПБЪ ЛЮЯЯНБНИ ПЮЯЯШКЙХ Win32.HLLM.MyDoom.32768 (ОН ЙКЮЯЯХТХЙЮЖХХ ДПСЦХУ ЮМРХБХПСЯМШУ БЕМДНПНБ - Mydoom, Shimg, Novarg). б ОЕПБШЕ ФЕ ВЮЯШ ЯБНЕЦН ЯСЫЕЯРБНБЮМХЪ БН БЯЕЛХПМНИ ЯЕРХ ЩРНР ВЕПБЭ ЯСЛЕК ГЮПЮГХРЭ ДЕЯЪРЙХ РШЯЪВ ЙНЛОЭЧРЕПНБ МЮ БЯЕУ ЙНМРХМЕМРЮУ.

оПНЦПЮЛЛМШИ ЛНДСКЭ ВЕПБЪ ХЛЕЕР ДКХМС 22 528 АЮИР, СОЮЙНБЮМ ЙНЛОПЕЯЯХНММНИ СРХКХРНИ UPX Х ЛНФЕР АШРЭ ОПХ ПЮЯЯШКЙЕ ОН ОНВРЕ СОЮЙНБЮМ Б ZIP-ЮПУХБ. оНВРНБНЕ ЯННАЫЕМХЕ, Я ЙНРНПШЛ ПЮЯЯШКЮЕРЯЪ ВЕПБЭ, ЛНФЕР ХЛЕРЭ ЯКЕДСЧЫХЕ РЕЛШ:

Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test

оПХ ЩРНЛ ЯНДЕПФЮМХЕ ОНВРНБНЦН ЯННАЫЕМХЪ ЛНФЕР АШРЭ КХАН ОПНХГБНКЭМШЛ ЛСЯНПНЛ, КХАН ЯНЯРНЪРЭ ХГ ЯКЕДСЧЫХУ ТПЮГ:
The message contains Unicode characters and
has been sent as a binary attachment.

The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment.

оПХКНФЕМХЕ, ЯНДЕПФЮЫЕЕ МЕОНЯПЕДЯРБЕММН ОПНЦПЮЛЛМШИ ЛНДСКЭ ВЕПБЪ, ЛНФЕР ХЛЕРЭ НДМН ХГ ПЮЯЬХПЕМХИ, ЯБНИЯРБЕММШУ ХЯОНКМЪЕЛШЛ ТЮИКЮЛ (*.scr, *.bat, *.exe, *.pif), Ю РЮЙФЕ ЛНФЕР АШРЭ ОПЕДЯРЮБКЕМН Б БХДЕ ZIP-ЮПУХБЮ.
вЕПБЭ, АСДСВХ ГЮОСЫЕММШЛ МЕНЯРНПНФМШЛ ОНКЭГНБЮРЕКЕЛ, ЙНОХПСЕР ЯЕАЪ Б ЯХЯРЕЛМСЧ ДХПЕЙРНПХЧ Windows ОНД ХЛЕМЕЛ taskmon.exe, ОНЯКЕ ВЕЦН ЯНГДЮЕР ЯННРБЕРЯРБСЧЫСЧ ЯЯШКЙС Б ЯЕЙЖХХ ЮБРНГЮОСЯЙЮ ЯХЯРЕЛМНЦН ПЕЕЯРПЮ ДКЪ НАЕЯОЕВЕМХЪ ЯНАЯРБЕММНЦН ГЮОСЯЙЮ ОПХ ЙЮФДНЛ ЯРЮПРЕ Windows-ЯЕЯЯХХ. нДМНБПЕЛЕММН ВЕПБЭ ЯНГДЮЕР БН БПЕЛЕММНИ ДХПЕЙРНПХХ РЕЙЯРНБШИ ТЮИК, ЯНЯРНЪЫХИ ХГ ЯКСВЮИМНЦН МЮАНПЮ ЛСЯНПЮ, ЙНРНПШИ НРЙПШБЮЕР Я ОНЛНЫЭЧ ОПНЦПЮЛЛШ Notepad.exe. рЮЙХЛ НАПЮГНЛ С ОНКЭГНБЮРЕКЪ ЯНГДЮЕРЯЪ ХККЧГХЪ, ВРН НМ ДЕИЯРБХРЕКЭМН НРЙПШК ХЯОНПВЕММШИ РЕЙЯРНБШИ ТЮИК.

б ЩРН ФЕ БПЕЛЪ ВЕПБЭ МЮВХМЮЕР ЯБНЧ ЛЮЯЯНБСЧ ПЮЯЯШКЙС ОН ЮДПЕЯЮЛ, МЮИДЕММШЛ Б ОНПЮФЕММНИ ЯХЯРЕЛЕ. оПХ ЩРНЛ НМ ХЯОНКЭГСЕР ЯБНИ ЛЕУЮМХГЛ ПЕЮКХГЮЖХХ SMTP-ОПНРНЙНКЮ, ОНДАХПЮЪ БНГЛНФМШЕ ХЛЕМЮ ОНВРНБШУ ЯЕПБЕПНБ ДКЪ ОЕПЕДЮВХ ХМТХЖХПНБЮММШУ ОХЯЕЛ Б ЯННРБЕРЯРБСЧЫХЕ ДНЛЕМШ. еЯКХ ОНОШРЙЮ ОНДАНПЮ relay-ЯЕПБЕПЮ НЙЮГШБЮЕРЯЪ МЕСДЮВМНИ, ВЕПБЭ НРЯШКЮЕР ЯБНХ ЙНОХХ ВЕПЕГ SMTP-ЯЕПБЕП, ЪБКЪЧЫХИЯЪ НЯМНБМШЛ ДКЪ ХМТХЖХПНБЮММНИ ЯХЯРЕЛШ. пЮЯЯШКЙЮ НЯСЫЕЯРБКЪЕРЯЪ ВЕПБЕЛ НДМНБПЕЛЕММН Б МЕЯЙНКЭЙН ОНРНЙНБ, ВРН НАЗЪЯМЪЕР ЕЕ ЛЮЯЯНБШИ УЮПЮЙРЕП.

дПСЦНИ ЯОНЯНА, ХЯОНКЭГСЕЛШИ ВЕПБЕЛ - ЩРН ПЮЯОПНЯРПЮМЕМХЕ ОН ТЮИКННАЛЕММНИ ЯЕРХ KaZaA. я ЩРНИ ЖЕКЭЧ ВЕПБЭ ЙНОХПСЕР ЯЕАЪ Б ДХПЕЙРНПХХ, ХЯОНКЭГСЕЛШЕ ДКЪ ОЕПЕДЮВХ ТЮИКНБ ОН ЩРНИ ЯЕРХ.

оНЛХЛН ЯОНЯНАМНЯРХ ЛЮЯЯНБН ПЮЯЯШКЮРЭ ЯБНХ ЙНОХХ, ВЕПБЭ МЕЯЕР Б ЯЕАЕ ЦНПЮГДН АНКЕЕ НОЮЯМСЧ ТСМЙЖХЧ - НМ НРЙПШБЮЕР ДНЯРСО РПЕРЭХЛ КХЖЮЛ Й ОНПЮФЕММНЛС ЙНЛОЭЧРЕПС, ОНГБНКЪЪ ГКНСЛШЬКЕММХЙЮЛ ДНОНКМХРЕКЭМН ГЮЦПСФЮРЭ Х ГЮОСЯЙЮРЭ МЮ МЕЛ ДПСЦХЕ ОПНЦПЮЛЛШ. вЕПБЭ НРЙПШБЮЕР ОНПРШ Я 3127 ОН 3198 Х ФДЕР ОНЯРСОКЕМХЪ МЮ МХУ ЙНЛЮМД НР СДЮКЕММНЦН ОНКЭГНБЮРЕКЪ. оПЕДОНКЮЦЮЕРЯЪ, ВРН 1 ТЕБПЮКЪ ЯН БЯЕУ ЙНЛОЭЧРЕПНБ, ЙНРНПШЕ АСДСР Й РНЛС БПЕЛЕМХ ГЮПЮФЕМШ Х АСДСР ХЛЕРЭ ДНЯРСО Б ХМРЕПМЕР, АСДЕР НЯСЫЕЯРБКЕМЮ DoS-ЮРЮЙЮ МЮ ЯЮИР ЦПСООШ SCO, ХГБЕЯРМНИ ЯБНХЛХ ЯСДЕАМШЛХ ХЯЙЮЛХ ОН ОНБНДС ЮБРНПЯЙХУ ОПЮБ МЮ НОЕПЮЖХНММСЧ ЯХЯРЕЛС UNIX.

яЙНПНЯРЭ ПЮЯОПНЯРПЮМЕМХЪ МНБНЦН ВЕПБЪ РЮЙНБЮ, ВРН ЯОЕЖХЮКХЯРШ НЖЕМХБЮЧР ЩРС ЩОХДЕЛХЧ ЦНПЮГДН ЯЕПЭЕГМЕЕ, ВЕЛ ДЮФЕ ЩОХДЕЛХЧ ВЕПБЪ Reteras Б ЮБЦСЯРЕ 2003 ЦНДЮ.

оНКЭГНБЮРЕКЪЛ ЮМРХБХПСЯМШУ ОПНЦПЮЛЛ ЯЕЛЕИЯРБЮ Dr.Web ПЕЙНЛЕМДСЕРЯЪ МЕЛЕДКЕММН НАМНБХРЭ ЯБНХ БХПСЯМШЕ АЮГШ ДКЪ ГЮЫХРШ ЯНАЯРБЕММШУ ЙНЛОЭЧРЕПНБ Х ОПЕДНРБПЮЫЕМХЪ ПЮЯОПНЯРПЮМЕМХЪ ВЕПБЪ ОН ЯЕРХ ХМРЕПМЕР.

[kt315]

внимание - вирус!
[Перемещено из рубрики `monitor` 2004-01-28 10:06:23]
Служба мониторинга вирусной активности ЗАО `ДиалогНаука` сообщает о молниеносном распространении по сети Интернет новой вирусной угрозы - почтового червя массовой рассылки Win32.HLLM.MyDoom.32768 (по классификации других антивирусных вендоров - Mydoom, Shimg, Novarg). В первые же часы своего существования во всемирной сети этот червь сумел заразить десятки тысяч компьютеров на всех континентах.

Программный модуль червя имеет длину 22 528 байт, упакован компрессионной утилитой UPX и может быть при рассылке по почте упакован в ZIP-архив. Почтовое сообщение, с которым рассылается червь, может иметь следующие темы:

Server Report
Mail Delivery System
hi
status
hello
HELLO
Hi
test
Test

При этом содержание почтового сообщения может быть либо произвольным мусором, либо состоять из следующих фраз:
The message contains Unicode characters and
has been sent as a binary attachment.

The message cannot be represented in
7-bit ASCII encoding and has been sent as a binary attachment.

Приложение, содержащее непосредственно программный модуль червя, может иметь одно из расширений, свойственных исполняемым файлам (*.scr, *.bat, *.exe, *.pif), а также может быть представлено в виде ZIP-архива.
Червь, будучи запущенным неосторожным пользователем, копирует себя в системную директорию Windows под именем taskmon.exe, после чего создает соответствующую ссылку в секции автозапуска системного реестра для обеспечения собственного запуска при каждом старте Windows-сессии. Одновременно червь создает во временной директории текстовый файл, состоящий из случайного набора мусора, который открывает с помощью программы Notepad.exe. Таким образом у пользователя создается иллюзия, что он действительно открыл испорченный текстовый файл.

В это же время червь начинает свою массовую рассылку по адресам, найденным в пораженной системе. При этом он использует свой механизм реализации SMTP-протокола, подбирая возможные имена почтовых серверов для передачи инфицированных писем в соответствующие домены. Если попытка подбора relay-сервера оказывается неудачной, червь отсылает свои копии через SMTP-сервер, являющийся основным для инфицированной системы. Рассылка осуществляется червем одновременно в несколько потоков, что объясняет ее массовый характер.

Другой способ, используемый червем - это распространение по файлообменной сети KaZaA. С этой целью червь копирует себя в директории, используемые для передачи файлов по этой сети.

Помимо способности массово рассылать свои копии, червь несет в себе гораздо более опасную функцию - он открывает доступ третьим лицам к пораженному компьютеру, позволяя злоумышленникам дополнительно загружать и запускать на нем другие программы. Червь открывает порты с 3127 по 3198 и ждет поступления на них команд от удаленного пользователя. Предполагается, что 1 февраля со всех компьютеров, которые будут к тому времени заражены и будут иметь доступ в интернет, будет осуществлена DoS-атака на сайт группы SCO, известной своими судебными исками по поводу авторских прав на операционную систему UNIX.

Скорость распространения нового червя такова, что специалисты оценивают эту эпидемию гораздо серьезнее, чем даже эпидемию червя Reteras в августе 2003 года.

Пользователям антивирусных программ семейства Dr.Web рекомендуется немедленно обновить свои вирусные базы для защиты собственных компьютеров и предотвращения распространения червя по сети интернет.

[Pauk]

Уже приходило подобное. Удаляю без разговоров.
[Перемещено из рубрики `monitor` 2004-01-28 10:06:23]