ОФФ. ВНИМАНИЕ, ВИРУС! (ни разу не шутка)...
...
Если вам пришло письмо с уведомлением об открытке и указанием адреса а-ля [ввв.postcardsplanet.ком], стирайте его от греха подальше и не вздумайте заходить на этот сайт! Я, сидя за обновленным вчера антивирем, патченной сегодня осью и активным файрволлом, получил геморрой по отлову букета вирусов на пол дня. Не испытывайте судьбу, чесслово. Отдельное спасибо компании Майкрософт, благодаря которой жизнь пользователя никогда не будет серой, скучной и однообразной. |
Прочитал это сообщение...все понял. и через минуту приходит такая открытка...
Мистика,млин. Спасибо....удалено. |
Наверное ОФФ, но все же в тему:
---- I-Worm.Wallon.a Вирус-червь, распространяющийся через интернет в виде ссылки на зараженный веб-сайт. Зараженные письма содержат в себе HTML-ссылку: <HTML><HEAD></HEAD><BODY bgColor=#ffffff><DIV><FONT face=Arial size=2><BR><A href="http://drs.yahoo.com/[домен получателя]/NEWS/*/[домен получателя]/NEWS</A></FONT></DIV></BODY></HTML>При обращении по данной ссылке происходит использование уязвимости в Internet Explorer в результате чего в системе исполняется скриптовый "троянец". Данная троянская программа извлекает из себя и перезаписывает файл "wmplayer.exe" (размер около 36 КБ, упакован ASPack) своим файлом, который является троянской программой класса Downloader. Данный файл загружает из интернета основной файл червя и устанавливает его в корневой каталог диска C: с именем "alpha.exe". Также "троянец" изменяет стартовую страницу Internet Explorer на сайт . --- удалил ссылки на всякий случай |
Ну если разбирать конретно текущий случай, то происходит так:
1. При загрузке "зараженной" страницы используется дыра Exploit/MIE.CHM 2. Загружается "дроппер" JS/что-то там, который протаскивает на себе трояна(ов) 3. Троян активируется и... понеслось. Антивирус Panda не распознал пункт 1., разнес вдребезги 2. и пропустил (видимо, как легальный даунлоад) 3. Спас положение файрволл, отрапортовавший о сетевой активности "левых" файлов. Гадость можно опознать по наличию в системе файлов: 1. zeja.exe - в C:\WINDOWS\Downloaded Program Files\ или в C:\Program Files\Internet Explorer\ 2. tcpservs.exe - C:\WINDOWS\System32\ и по сетевой активности: 1. zeja.exe - TCP на ввв.postcardsplanet.ком 2. tcpservs.exe - TCP на ввв.bd.piz.org.ру (ру!!!) 3. rundll32.exe - SMTP на mail.zipmail.ком |
Значит это наверное новое раз эта пакость отсутствует в новостях на сайте касперского или наоборот старое...
|
Старое. Непосредственно вирусу около года. А вот эскплойт - новый. Заплатки пока нет.
|
Часовой пояс GMT +4, время: 05:34. |
vBulletin v3.5.4, Copyright ©2000-2024, Jelsoft Enterprises Ltd.