Первый Нижегородский АвтоФорум (Архив)

Первый Нижегородский АвтоФорум (Архив) (http://old.autoforum.pro/forum/index.php)
-   Основной (http://old.autoforum.pro/forum/forumdisplay.php?f=2)
-   -   ОФФ. ВНИМАНИЕ, ВИРУС! (ни разу не шутка)... (http://old.autoforum.pro/forum/showthread.php?t=774)

IKnow 12-05-2004 15:38
ОФФ. ВНИМАНИЕ, ВИРУС! (ни разу не шутка)...
 
...
Если вам пришло письмо с уведомлением об открытке и указанием адреса а-ля [ввв.postcardsplanet.ком], стирайте его от греха подальше и не вздумайте заходить на этот сайт! Я, сидя за обновленным вчера антивирем, патченной сегодня осью и активным файрволлом, получил геморрой по отлову букета вирусов на пол дня.

Не испытывайте судьбу, чесслово.

Отдельное спасибо компании Майкрософт, благодаря которой жизнь пользователя никогда не будет серой, скучной и однообразной.

Штурмовик 12-05-2004 15:52
Прочитал это сообщение...все понял. и через минуту приходит такая открытка...
Мистика,млин.
Спасибо....удалено.

Telepuz 12-05-2004 15:56
Наверное ОФФ, но все же в тему:
----
I-Worm.Wallon.a





Вирус-червь, распространяющийся через интернет в виде ссылки на зараженный веб-сайт.

Зараженные письма содержат в себе HTML-ссылку:

<HTML><HEAD></HEAD><BODY bgColor=#ffffff><DIV><FONT face=Arial size=2><BR><A href="http://drs.yahoo.com/[домен получателя]/NEWS/*/[домен получателя]/NEWS</A></FONT></DIV></BODY></HTML>При обращении по данной ссылке происходит использование уязвимости в Internet Explorer в результате чего в системе исполняется скриптовый "троянец". Данная троянская программа извлекает из себя и перезаписывает файл "wmplayer.exe" (размер около 36 КБ, упакован ASPack) своим файлом, который является троянской программой класса Downloader.

Данный файл загружает из интернета основной файл червя и устанавливает его в корневой каталог диска C: с именем "alpha.exe". Также "троянец" изменяет стартовую страницу Internet Explorer на сайт .

---

удалил ссылки на всякий случай

IKnow 12-05-2004 16:16
Ну если разбирать конретно текущий случай, то происходит так:
1. При загрузке "зараженной" страницы используется дыра Exploit/MIE.CHM
2. Загружается "дроппер" JS/что-то там, который протаскивает на себе трояна(ов)
3. Троян активируется и... понеслось.

Антивирус Panda не распознал пункт 1., разнес вдребезги 2. и пропустил (видимо, как легальный даунлоад) 3. Спас положение файрволл, отрапортовавший о сетевой активности "левых" файлов.

Гадость можно опознать по наличию в системе файлов:
1. zeja.exe - в C:\WINDOWS\Downloaded Program Files\ или в C:\Program Files\Internet Explorer\
2. tcpservs.exe - C:\WINDOWS\System32\

и по сетевой активности:
1. zeja.exe - TCP на ввв.postcardsplanet.ком
2. tcpservs.exe - TCP на ввв.bd.piz.org.ру (ру!!!)
3. rundll32.exe - SMTP на mail.zipmail.ком

Telepuz 12-05-2004 16:29
Значит это наверное новое раз эта пакость отсутствует в новостях на сайте касперского или наоборот старое...

IKnow 12-05-2004 16:53
Старое. Непосредственно вирусу около года. А вот эскплойт - новый. Заплатки пока нет.


Часовой пояс GMT +4, время: 05:34.

vBulletin v3.5.4, Copyright ©2000-2024, Jelsoft Enterprises Ltd.