ВНИМАНИЕ!
Наша конференция посвящена космической тематике и компьютерным играм.
Политические вопросы и происходящие в мире события в данный момент на нашем сайте не обсуждаются!
|
| » Вирусная диагностика... | страница 1 |
|
|
|
|
Канал сайта: «Вирусная диагностика...» |
|
|
|
Ranger
 9580 EGP
  
Репутация: 199
Сообщения: 1338
Откуда: Москва
Зарегистрирован: 05.02.2001
   |
|
Итак, товарищи пилоты, мы с вами выяснили, что страдаем мы от интернет-червя. Лечить это можно с помощью самой последней версии антивируса. Предотвратить распространение (но не вылечить компьютер!) можно почистив адресную книгу. Вирус на почтовый клиент The Bat!, похоже, не действует, а вот Аутлуком достаточно просто открыть письмо - даже файлы запускать не надо.
Суть моей проблемы и вопроса в следующем. Откуда есьм быть пошла зараза? Дело в том, что не все так просто. Во всяком случае, мой почтовый ящик атакуют не только вирусные письма. Вот и хотелось бы разобраться, кто это такой добрый, что запустил нам всю эту гадость?
Итак, суть расследования и вопроса состоит в следующем: приходили ли вам непонятные письма с адресов @elite-russia.net? И, если приходили, не могли бы вы их (адреса) назвать и привести тексты писем?
Почему я это спрашиваю? Как я уже писал в новостях, мне самому приходили письма, написанные тогда, когда их не то чтобы никто самостоятельно не писал - когда вообще даже сам компьютер, если бы он и был заражен, сделать не мог! Это точно и это проверено. Значит, под общий шумок, кто-то еще "развлекается". Нам с Брэнвен приходят письма, к которым прикреплены картинки, причем не какие-нибудь, а с сайта! Самым веселым было письмо, якобы от самой Брэнвен, к которому была прикреплена HTML-ка со страницей темы "Квесты в X-Tension" из Главного канала. "Прямо сейчас" в HTML-ке запечатлел дату 11:01, 16.04.2002, а само письмо было создано в такое время, когда компьютер не был включен. Следовательно, письмо точно было создано и отправлено не с компьютера Брэнвен (вирус тут не причем). Письмо было послано через сервер ns.zp.ukrtel.net (наверное, какой-нибудь анонимный).
В общем, когда приходит "нормальный спам" - тут особо волноваться нечего. "Сходите на наш сайт" или "Купите нашу продукцию" безболезненно отправляются в корзину. А вот когда начинают приходить непонятные письма, без вирусов, но с аттачами, свидетельствующими о явной связи с Elite Games, становится неприятно из-за того, что у нас на сайте завелись настоящие черви: подлые ползучие твари, которые пытаются разрыхлить почву наших отношений и подорвать взаимное доверие. Вот таких червей нужно ДАВИТЬ прежде всего. Так давайте же выясним: приходили ли вам письма от @elite-russia.net с непонятным содержанием?
|
|
|
|
Horrowl
590 EGP
Репутация: 69
Сообщения: 5751
Откуда: Москва
Зарегистрирован: 12.01.2002
|
|
Ко мне приходил, какой-то кадр рекламировал свою игру. Я у него вроде, первым игроком был. Подумал - ерунда какая-то и стёр.
|
|
|
|
NIK
135 EGP
Репутация: 4
Сообщения: 478
Откуда: Blagoveschensk
Зарегистрирован: 04.01.2002
|
|
Вчера пришло письмо якобы от ренджера.
По скоку письмо я стер, текст примерный:
Неожиданный сенсационный патч к ХТ, никто о нем не знал до сегодняшнего дня. В связи с тех. проблемами не могу выложить его на сайт поэтому высылаю его почтой.
В письио я естественно не поверил, потому-что изрезав сайт егософта я ничего не нашел, также как и на елите.
|
|
|
|
VRus
 647 EGP
 
Репутация: 247
Сообщения: 5276
Откуда: Москва
Зарегистрирован: 24.06.2001
|
|
quote:
Отправил: NIK:
Вчера пришло письмо якобы от ренджера.
По скоку письмо я стер, текст примерный:
Неожиданный сенсационный патч к ХТ, никто о нем не знал до сегодняшнего дня. В связи с тех. проблемами не могу выложить его на сайт поэтому высылаю его почтой.
В письио я естественно не поверил, потому-что изрезав сайт егософта я ничего не нашел, также как и на елите.
Хм... А письмо на русском? Тогда это точно не интернет червь, а "пилот-червь" (хотя этот человек называться пилотом недостоин) 
|
|
|
|
Ion Blade
200 EGP
Репутация: 4
Сообщения: 1523
Откуда: Saint-Petersburg
Зарегистрирован: 11.12.2001
|
|
Сорри за оффтопик в такой важной теме.
quote
| Цитата: |
|
Откуда есьм быть пошла зараза?
|
"есьм" - это просто глагол "есть" во множительном числе! 
|
|
|
|
Corund
|
|
Непонятных писем без вирусов мне точно не приходило, а если приходит с вирусом - оно отлавливается на входном гейте и отправителю отправляется письмо с сообщением, что в его письме был вирус и оно уничтожено - письмо во внутреннюю сеть не пускается - если кому надо - перешлет еще раз, проверившись на вирусы. А логи я и не смотрю обычно... других дел полно.
|
|
|
|
Medikus
 835 EGP
Рейтинг канала: 1(1)
Репутация: 207
Сообщения: 2612
Откуда: Терь Москва :)
Зарегистрирован: 17.08.2001
|
|
Пока ничего не было, тьфу, тьфу, тьфу. Хотя я вообще почтовыми прогами не пользуюсь. Смотрю почту прямо с сервера, а там проверка антивирусная стоит. Так что от этой заразы я избавлен...
|
|
|
|
Jon
670 EGP
  
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
У меня несколько дней назад, ктото с public proxy на сервак ломился, причем прямо на моих глазах. Я минут десять это наблюдал с огромным интересом (всеж не каждый день такое увидеш), а потом мне надоело и я отрубил этого хаЦкера . Удивительно, хакер оказался довольно настойчивым, и проделал свою попытку еще несколько раз. В конце концов, толи ему надоело, тольи суперхакающая прога сломалась Вобщем он успокоился.
Но самое удивительное произошло на следующуе утро... На сколько это связано с @elite-russia.net судите сами.
Мне пришло письмо приблезительно следующего содержания (к сожалению оно не сохранилось) - вобщем не очень многословное, и большая часть из этих слов в газетах не печатаеться  Но поразило меня не содержание письма, а его окончание... Оно было таким
-=Ну ничего пилот, скоро ты у меня долетаешся, гарантирую!!!=-
Чесно говоря я весь день проходил с тяжелой головой. Переберая в мыслях, ктобы из моих знакомых мог так глупо пошутить. Так вот к сожалению (скорее к счастью) мне так и неудалось вспомнить человека который обладает такой возможностью.
А именно, для совершения подобных действий необходимы следующие условия
1. человек длжен иметь доступ к сети
2. должен знать мой IP
3. он должен знать именно этот почтовый адрес (это важно, поскольку для переписки не связаной с EG я использую другой)
4. человек должен знать что мне интересны космосимы (а звание пилот, вобще настораживает)
Так вот, сколько я не думал, но у меня нет ни одного знакомого который обладал бы всей этой информацией. Тоесть ктото знает, что я играю в ХТ но понятия не имеет что такое компьюьер ктото наоборот знает и адрес и IP и еще много чего но ничего не знает о EG. Вобщем и тд.
Вывод напрашиваеться сам собой - есть только одно место где всю (почти всю) эту информацию можно получить. И соответственно мой "друг" тоже гдето здесь.
Хотя не настаиваю, может это действительно дурацкое совпадение.
|
|
|
|
VRus
647 EGP
Репутация: 247
Сообщения: 5276
Откуда: Москва
Зарегистрирован: 24.06.2001
|
|
quote:
Отправил: Jon:
А именно, для совершения подобных действий необходимы следующие условия
1. человек длжен иметь доступ к сети
2. должен знать мой IP
3. он должен знать именно этот почтовый адрес (это важно, поскольку для переписки не связаной с EG я использую другой)
4. человек должен знать что мне интересны космосимы (а звание пилот, вобще настораживает)
IP твой знать обязательно? Тогда это кто-то из модераторов...  Точно, это  !!! 
|
|
|
|
Jon
670 EGP
Репутация: 163
Сообщения: 4279
Откуда: Запорожье, Украина
Зарегистрирован: 22.07.2001
|
|
To VRus:
Уважил.
Для того чтобы ломиться на сервак, а не для того чтобы письма писать. Вполне может быть, что это не связанные между собой события. Да и потом яж сказал, что почти всю информацию можно получить
Кстати, я вот только, что посмотрел ns.zp.ukrtel.net Так это никакой не анонимный сервер, это Запоржская дирекция укртелекома 
Чето мне так неудобно вдруг стало
|
|
|
|
Ion Blade
200 EGP
Репутация: 4
Сообщения: 1523
Откуда: Saint-Petersburg
Зарегистрирован: 11.12.2001
|
|
quote:
Отправил: Medikus:
Хотя я вообще почтовыми прогами не пользуюсь. Смотрю почту прямо с сервера, а там проверка антивирусная стоит. Так что от этой заразы я избавлен...
Я - аналогично, да еще через мой Palm смотрю, но против собсвенной глупости это не помогло...
|
|
|
|
Delta_Q
245 EGP
Репутация: 46
Сообщения: 1722
Откуда: Русь
Зарегистрирован: 07.02.2001
|
|
Народ, че вы ерундой занимаетесь? Черьв на то и черьв что заражает машины сам, вне зависимолсти че это за машина! Этих Ай_Вормсов около нескольких сотен разновидностей, пол года назад я с один тамки м змеем боролся у себя на работе! РАботают эти серви следующим образом:
Приходит письмо, затем при прочтении писма активизируется скрипт который быстренько активизирует модуль который собирает все почтовые адреса, случайным образом прикрепляет файлы писем и начинает рассылку собственного тела в виде таких доков. Когда закончит все это самолеквидирует модул рассылки и заражает Корзину своим ЕХЕ, Выкидывает свой ДЛЛ файл в Виндоус/Ситем / И еще пару файлов в Корень виндов , затем делает две записи в реестр для самоактивизации при запуске компа.
Это стандартная последовательность инфицирования вирусами такого класса, есть отдельные модификайции которые может чтото не делают из выше перечисленного. или набоборот делают дюолее того! Так вот тот с которым я боролся еще увел самостоятельно лазить по расшаренным ресурсам локально сети и заражать фалы через эти ресурсы! А также с Вероятностью 2% при запуске компа мог стиреть лбой файл на жечстком диске.
Т.ч. н кто специально не зарожал! Эти вирусы разработаны таким образом чтобы гденть один раз запуститься и затем как волна начать заражать сеть Хотя может и есть прирученые черви! Которые делают узко заданные задаи но я не думаю, что это ткой червь!
|
|
|
|
Ranger
9580 EGP
Репутация: 199
Сообщения: 1338
Откуда: Москва
Зарегистрирован: 05.02.2001
|
|
Нда... Оригинально... Точно среди нас завелся червь. Мне вон сегодня письмо якобы от Joker_SE пришло... Совсем того. Будьте бдительны.
|
|
|
|
Shurk
385 EGP
 
Репутация: 106
Сообщения: 1512
Откуда: из конуры
Зарегистрирован: 25.01.2001
|
|
Я тоже получил одно письмо от ns.zp.ukrtel.net с какой-то херью...
Хотя Касперский не матерился, но там был якобы *.pif , а на самом деле *.exe (ну типа так)... убил я его... а отправителем был якобы scar
|
|
|
|
Shurk
385 EGP
Репутация: 106
Сообщения: 1512
Откуда: из конуры
Зарегистрирован: 25.01.2001
|
|
да, точно, файл назывался price (1).pif и содержал в себе I-Worm.Klez.h
|
|
|
|
Atamanishe
370 EGP
Репутация: 117
Сообщения: 864
Откуда: Иркутск
Зарегистрирован: 17.04.2001
|
|
У меня по возможности самые свежие обновления всего, червяки приходили, я их в ручную удалял, практически по почте не пишу, 1-3 в месяц. Если от меня что - то странное приходило, то скажите, уже становится интересно
|
|
|
|
Thorn
620 EGP
Репутация: 83
Сообщения: 4452
Зарегистрирован: 23.02.2002
|
|
У маны был не I-worm.Klez, но тоже червяк. По крайней мере он так назывался  . Отправлял он себя людям из моей аськи, причем находившимся в онлайне (или это совпадение было ) Хранила эта падла себя в каталоге windows/system32 в двух видах: в виде экзешника и в виде зипа. Как тока я стал заморачиваться с тем, шобы его уже найти наверняка да показать ему кузькину мать, всякими там продуктми из лаборатории дяди Касперского, у меня сразу полетела моя ВиндоузаХП,... тут и сказки конец и червю тоже. Раз мой компик мне подсказал что с ним делать, так я ж не буду упираться. Скрипя зубами я сохранил всю свою важную инфу, сэйвы там всякие от ХТ да музон от sVGA, так и форматнул я винчик. Почикали значит мы инфу. А потом я взпомнил: типа при форматировании инфа то никуда не деется, тока таблица размещения файлов чикается. Тогда я еще для порядку поудалял свои разделы, да заново понасаздавал fdisk`ом. Тут то червю крышка и настала  (хотя это я так думаю, трупа то не видел). Вот значит, моя, история, мда....
|
|
|
|
Delta_Q
245 EGP
Репутация: 46
Сообщения: 1722
Откуда: Русь
Зарегистрирован: 07.02.2001
|
|
I-Worm.Klez
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер от 57K до 65K (в зависимости от своей версии), написан на Microsoft Visual C++.
Заголовки и имена вложений в зараженных письмах не фиксированы (см. ниже). Для запуска из заражённых сообщений червь использует брешь в защите Internet Explorer (IFRAME-брешь), что может привести к автоматической активизации червя при обычном просмотре сообщения.
Помимо распространения по сети и в письмах электронной почты, червь также создаёт во временном каталоге Windows EXE-файл со случайным именем, начинающимся на букву "K" (например, KB180.exe), записывает в этот файл код вируса "Win32.Klez" и запускает его на выполнение, что приводит к заражению
большинства Win32 PE EXE файлов на дисках компьютера.
Запуск вируса
При запуске зараженного файла червь копирует себя в системную папку Windows с именем krn132.exe. Затем он записывает в реестр следующий ключ, чтобы стартовать автоматически при запуске Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Krn132 = %System%\Krn132.exe
где %System% является именем системного каталога Windows.
Затем вирус ищет активные приложения (антивирусы, см. ниже) и пытается выгрузить их командой Windows "TerminateProcess":
_AVP32, _AVPCC, _AVPM, ALERTSVC, AMON, AVP32, AVPCC, AVPM, N32SCANW, NAVAPSVC, NAVAPW32, NAVLU32, NAVRUNR, NAVW32, NAVWNT, NOD32, NPSSVC, NRESQ32, NSCHED32, NSCHEDNT, NSPLUGIN, SCAN, SMSS
Распространение: e-mail
Для отсылки сообщений червь использует протокол SMTP. Он ищет почтовые адреса в базе данных WAB и отсылает заражённые сообщения по этим адресам.
Тема отсылаемых червём сообщений случайно выбирается из списка:
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
Тело сообщения следующее:
I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?
Присоединённый файл: Win32 PE EXE - файл со случайным именем и расширением ".exe" или с двойным расширением:
name.ext.exe
Для выбора имени (name.ext) вложения червь использует оригинальный метод. Он сканирует все доступные диски, ищет на них файлы с расширением имени:
.txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg
и берет имя найденного файла (name.ext) как "базу" имени вложения, и затем добавляет второе расширение ".exe". Например: "Ylhq.htm.exe", "If.xls.exe" и т.п.
В заражённых письмах червь самостоятельно подставляет поле "From:". В зависимости от случайного счетчика червь либо подставляет туда реальный адрес отправителя, либо случайным образом генерирует фиктивный адрес.
Интересной особенностью червя является то, что при рассылке писем он записывает в свой EXE-файл список найденных адресов электронной почты.
Все строки в теле вируса (тексты сообщений и адреса) хранятся в зашифрованном виде.
Распространение: локальные и сетевые диски
Червь перебирает все локальные диски, сетевые диски с правом доступа и копируется туда под случайным именем name.ext.exe (имя файла генерируется так же, как и имя вложения в заражённых письмах, см. выше). После копирования файла на сетевой ресурс червь регистрирует свои копии на заражённых компьютерах
как системные приложения-сервисы.
Проявления
По 13-м числам чётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Другие версии
Известны несколько модификаций данного червя. Версии I-Worm.Klez.a-d практически идентичны.
Klez.e
Запуск вируса
Червь устанавливает себя в системную папку Windows со случайным именем, которое начитается на "Wink", например, "Winkad.exe".
Заражение
Червь ищет ссылки на EXE-файлы в следующем ключе реестра:
Software\Microsoft\Windows\CurrentVersion\App Paths
Затем, червь пытается заразить найденные приложения. При заражении EXE файла, червь создаёт файл с оригинальным именем файла и случайным расширением, а также атрибутами скрытый+системный+только чтение. Этот файл используется червём для запуска оригинального (заражённого) файла. При запуске заражённого файла червь записывает оригинальное приложение во
временный файл с тем же именем + "MP8" и запускает его.
Червь заражает RAR архивы, записывая в них свои копии со случайным именем. Имя файла выбирается из списка:
setup
install
demo
snoopy
picacu
kitty
play
rock
К имени файла вирус добавляет два или одно расширения, последнее из которых это - ".exe", ".scr", ".pif" или ".bat".
Распространение: e-mail
Тема отсылаемых червём сообщений выбирается из следующего списка, или генерируется случайно:
Hi,
Hello,
Re:
Fw:
how are you
let's be friends
darling
don't drink too much
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
Червь также может сгенерировать тему сообщения, используя строки из списка:
Undeliverable mail--%%
Returned mail--%%
a %% %% game
a %% %% tool
a %% %% website
a %% %% patch
%% removal tools
Где %% выбирается из списка:
new
funny nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez
Тело заражённых сообщений: пустое, или содержит случайный текст.
Присоединённый файл: Win32 PE EXE файл со случайным именем и расширением ".exe" или с двойным расширением.
Червь использует брешь в защите IFrame, чтобы запускаться автоматически при просмотре заражённых сообщений.
Проявления
По 6-м числам нечётных месяцев червь ищет на всех дисках заражённого компьютера все файлы и заполняет их случайным содержимым. Такие файлы не подлежат восстановлению и должны быть заменены с резервных копий.
Другое
Червь ищет среди активных процессов те, которые содержат строки из следующего списка, и принудительно закрывает их:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32
Klez.h
Практически полностью совпадает с вариантом "Klez.e". Отличия:
Этот вариант червя не портит файлы (в коде червя данная процедура
отсутствует). Расширен список вариантов полей Тема и Текст зараженных писем Subject/Body). Одним из вариантов писем является следующий текст:
Worm Klez.E immunity
Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select "continue".
If you have any question,please mail to me.
Червь также содержит текст:
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus,Win32 Foroux
2,No significant change.No bug fixed.No any payload.
About Win32 Foroux (plz keep the name,thanx)
1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
2,With very interesting feature.Check it!
3,No any payload.No any optimization
4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing
Как вылечить компьютер, заражённый вирусом I-Worm.Klez?
1) отключите зараженный компьютер от локальной сети (если он в сети)
2) запустите утилиту clrav.com
Если утилита говорит "nothing to clean" (нечего удалять), запустите её в режиме сканирования командных файлов: из командной строки с параметром /scanfiles
4) перегрузите машину в режиме Safe Mode
5) запустите утилиту clrav.com еще раз
6) переустановите антивирусный пакет и обновите антивирусные базы
7) запустите антивирусный сканер и проверьте все диски
Все машины в локальной сети следует пролечить отдельно.
ДАнные от лаборатории Касперского.
|
|
|
|
Ion Blade
200 EGP
Репутация: 4
Сообщения: 1523
Откуда: Saint-Petersburg
Зарегистрирован: 11.12.2001
|
|
quote:
Отправил: Thorn:
У маны был не I-worm.Klez, но тоже червяк. По крайней мере он так назывался . Отправлял он себя людям из моей аськи, причем находившимся в онлайне (или это совпадение было ) Хранила эта падла себя в каталоге windows/system32 в двух видах: в виде экзешника и в виде зипа. Как тока я стал заморачиваться с тем, шобы его уже найти наверняка да показать ему кузькину мать, всякими там продуктми из лаборатории дяди Касперского, у меня сразу полетела моя ВиндоузаХП,... тут и сказки конец и червю тоже. Раз мой компик мне подсказал что с ним делать, так я ж не буду упираться. Скрипя зубами я сохранил всю свою важную инфу, сэйвы там всякие от ХТ да музон от sVGA, так и форматнул я винчик. Почикали значит мы инфу. А потом я взпомнил: типа при форматировании инфа то никуда не деется, тока таблица размещения файлов чикается. Тогда я еще для порядку поудалял свои разделы, да заново понасаздавал fdisk`ом. Тут то червю крышка и настала (хотя это я так думаю, трупа то не видел). Вот значит, моя, история, мда....
Можешь сказать, какие там в виндоус/сюстем32 файлы? А то Доктор-замотанный-в-Паутину у меня ничего не нашел...
|
|
|
|
Thorn
620 EGP
Репутация: 83
Сообщения: 4452
Зарегистрирован: 23.02.2002
|
|
2Ion Blade
worms.exe
и
worms.zip
но учти, что простым удалением ты вирусятину не убъешь! он где-то себя еще хранит.
|
|
|
|
| Быстрый ответ |
|
|
|
|
Канал сайта: «Вирусная диагностика...» |
|
|
|
