ОФФ. ВНИМАНИЕ, ВИРУС! (ни разу не шутка)...

IKnow · 12-05-2004, 15:38

...
Если вам пришло письмо с уведомлением об открытке и указанием адреса а-ля [ввв.postcardsplanet.ком], стирайте его от греха подальше и не вздумайте заходить на этот сайт! Я, сидя за обновленным вчера антивирем, патченной сегодня осью и активным файрволлом, получил геморрой по отлову букета вирусов на пол дня.

Не испытывайте судьбу, чесслово.

Отдельное спасибо компании Майкрософт, благодаря которой жизнь пользователя никогда не будет серой, скучной и однообразной.

Штурмовик · 12-05-2004, 15:52

Прочитал это сообщение...все понял. и через минуту приходит такая открытка...
Мистика,млин.
Спасибо....удалено.

Telepuz · 12-05-2004, 15:56

Наверное ОФФ, но все же в тему:
----
I-Worm.Wallon.a

Вирус-червь, распространяющийся через интернет в виде ссылки на зараженный веб-сайт.

Зараженные письма содержат в себе HTML-ссылку:

<HTML><HEAD></HEAD><BODY bgColor=#ffffff><DIV><FONT face=Arial size=2><BR><A href="http://drs.yahoo.com/[домен получателя]/NEWS/*/[домен получателя]/NEWS</A></FONT></DIV></BODY></HTML>При обращении по данной ссылке происходит использование уязвимости в Internet Explorer в результате чего в системе исполняется скриптовый "троянец". Данная троянская программа извлекает из себя и перезаписывает файл "wmplayer.exe" (размер около 36 КБ, упакован ASPack) своим файлом, который является троянской программой класса Downloader.

Данный файл загружает из интернета основной файл червя и устанавливает его в корневой каталог диска C: с именем "alpha.exe". Также "троянец" изменяет стартовую страницу Internet Explorer на сайт .

---

удалил ссылки на всякий случай

IKnow · 12-05-2004, 16:16

Ну если разбирать конретно текущий случай, то происходит так:
1. При загрузке "зараженной" страницы используется дыра Exploit/MIE.CHM
2. Загружается "дроппер" JS/что-то там, который протаскивает на себе трояна(ов)
3. Троян активируется и... понеслось.

Антивирус Panda не распознал пункт 1., разнес вдребезги 2. и пропустил (видимо, как легальный даунлоад) 3. Спас положение файрволл, отрапортовавший о сетевой активности "левых" файлов.

Гадость можно опознать по наличию в системе файлов:
1. zeja.exe - в C:\WINDOWS\Downloaded Program Files\ или в C:\Program Files\Internet Explorer\
2. tcpservs.exe - C:\WINDOWS\System32\

и по сетевой активности:
1. zeja.exe - TCP на ввв.postcardsplanet.ком
2. tcpservs.exe - TCP на ввв.bd.piz.org.ру (ру!!!)
3. rundll32.exe - SMTP на mail.zipmail.ком

Telepuz · 12-05-2004, 16:29

Значит это наверное новое раз эта пакость отсутствует в новостях на сайте касперского или наоборот старое...

IKnow · 12-05-2004, 16:53

Старое. Непосредственно вирусу около года. А вот эскплойт - новый. Заплатки пока нет.

Опции темы	Поиск в этой теме
Версия для печати Отправить на email	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Нитяной вид Древовидный вид

Последние сообщения с Пейджера.	Показать все
За последнее время сообщений нет.

Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)