|
Нижегородский АвтоПортал (Архив) | Справка | Галереи | Участники | Автовзаимопомощь | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
Последние сообщения с Пейджера. | Показать все |
За последнее время сообщений нет. |
12-05-2004, 15:38 | ОФФ. ВНИМАНИЕ, ВИРУС! (ни разу не шутка)... #1 |
Человек с юмором
|
...
Если вам пришло письмо с уведомлением об открытке и указанием адреса а-ля [ввв.postcardsplanet.ком], стирайте его от греха подальше и не вздумайте заходить на этот сайт! Я, сидя за обновленным вчера антивирем, патченной сегодня осью и активным файрволлом, получил геморрой по отлову букета вирусов на пол дня. Не испытывайте судьбу, чесслово. Отдельное спасибо компании Майкрософт, благодаря которой жизнь пользователя никогда не будет серой, скучной и однообразной.
__________________
Знатный Еретик IRA conjurado |
12-05-2004, 15:56 | #3 |
Мелкий лавочник
|
Наверное ОФФ, но все же в тему:
---- I-Worm.Wallon.a Вирус-червь, распространяющийся через интернет в виде ссылки на зараженный веб-сайт. Зараженные письма содержат в себе HTML-ссылку: <HTML><HEAD></HEAD><BODY bgColor=#ffffff><DIV><FONT face=Arial size=2><BR><A href="http://drs.yahoo.com/[домен получателя]/NEWS/*/[домен получателя]/NEWS</A></FONT></DIV></BODY></HTML>При обращении по данной ссылке происходит использование уязвимости в Internet Explorer в результате чего в системе исполняется скриптовый "троянец". Данная троянская программа извлекает из себя и перезаписывает файл "wmplayer.exe" (размер около 36 КБ, упакован ASPack) своим файлом, который является троянской программой класса Downloader. Данный файл загружает из интернета основной файл червя и устанавливает его в корневой каталог диска C: с именем "alpha.exe". Также "троянец" изменяет стартовую страницу Internet Explorer на сайт . --- удалил ссылки на всякий случай |
12-05-2004, 16:16 | #4 |
Человек с юмором
|
Ну если разбирать конретно текущий случай, то происходит так:
1. При загрузке "зараженной" страницы используется дыра Exploit/MIE.CHM 2. Загружается "дроппер" JS/что-то там, который протаскивает на себе трояна(ов) 3. Троян активируется и... понеслось. Антивирус Panda не распознал пункт 1., разнес вдребезги 2. и пропустил (видимо, как легальный даунлоад) 3. Спас положение файрволл, отрапортовавший о сетевой активности "левых" файлов. Гадость можно опознать по наличию в системе файлов: 1. zeja.exe - в C:\WINDOWS\Downloaded Program Files\ или в C:\Program Files\Internet Explorer\ 2. tcpservs.exe - C:\WINDOWS\System32\ и по сетевой активности: 1. zeja.exe - TCP на ввв.postcardsplanet.ком 2. tcpservs.exe - TCP на ввв.bd.piz.org.ру (ру!!!) 3. rundll32.exe - SMTP на mail.zipmail.ком
__________________
Знатный Еретик IRA conjurado |