W tym dziale zamieszczane będą informacje o wirusach i szczepionkach itp

Wirus Korgo szuka ofiar w Internecie

Trzy odmiany wirusa Korgo skanują Internet w poszukiwaniu komputerów, których właściciele nie zainstalowali dawno dostępnej łaty. Pomimo, iż Microsoft udostępnił poprawkę w połowie kwietnia, Korgo a, b i c wciąż znajduje nowe ofiary.

Wirus nie rozprzestrzenia się za pośrednictwem poczty elektronicznej. Wybiera przypadkowe adresy IP i szuka komputerów, które wciąż wykorzystują wadliwy LSASS.

Po wykryciu „dziury” wirus instaluje się na zaatakowanym komputerze. Otwiera liczne porty TCP - między innymi 113, 445, 2041, 3067 i 6667 - a następnie łączy się z licznymi serwerami IRC oczekując dalszych poleceń. Korgo pozwala hakerowi na całkowite przejęcie kontroli nad zainfekowanym systemem. Fińska firma F-Secure uważa, iż twórcami wirusa jest rosyjska grupa „Hangup Team”. Osobom, które jeszcze nie zaktualizowały swojego systemu zaleca się pobranie odpowiedniej łaty.

Korgo.D - robak internetowy

• 1/6/2004

Korgo.D jest robakiem internetowym, który do rozprzestrzeniania się wykorzystuje tą samą dziurę w systemie Windows co robak Sasser.

Robak tworzy swoją kopię na dysku w pliku o losowej nazwie i rozszerzeniu exe, a także modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak wyszukuje komputery w Internecie losowo wybierając ich adresy IP. Jeżeli odnaleziony komputer nie ma załatanej dziury (opisanej w biuletynie MS04-011, robak tworzy na nim swoją kopię. W ten sposób następuje rozprzestrzenianie.

Dodatkowo robak oczekuje na komendy na portach 113, 3067 i innych losowych portach oraz łączy się z kilkoma serwerami IRCa.

Komputery zabezpieczone wcześniej odpowiednią łatą Microsoftu nie są automatycznie infekowane.

Tekst: MKS Sp. z o.o.

Nowy robak - Lovegate by spiral

2004-05-26 16:46:27 ::

Zaobserwowano nowego robaka - Lovegate’a. Rozprzestrzenia się rozsyłając mass-maile ze swoją kopią. Obecnie robak robi rundę dookoła Internetu nie tylko za pomocą kontaktów w skrzynce, ale także odpowiadając na nieprzeczytane listy - powiadomili w ubiegłą środę eksperci.

“Obydwa mechanizmy są całkiem agresywnym atakiem. To jest naprawdę sprytne.”, “Następny przykład pomysłowych metod do rozprzestrzeniania złośliwego kodu, z którymi przychodzą hackerzy” - powiedział Alfred Huger zastępca szefa grupy wykrywania wirusów z korporacji Symantec.

Najnowsza wersja robaka ochrzczona przez Symantec’a mianem - Lovegate.w, oraz Lovegate.ab przez Network Associates, potrafi wykrywać nieprzeczytane wiadomości w takich programach jak Outlook i Outlook Express, a następnie wysyłać siebie samego jako odpowiedź.

Implementacja auto-odpowiedzi w robaku nie jest czymś nowym - powiedział Jimmy Kuo - badacz z McAree - robak Klez z roku 2001 używał takiej samej techniki, jednak kombinacja mas-listów, oraz auto-odpowiedzi może doprowadzić do szybkiego rozprzestrzeniania się Lovegate’a, oraz kłopotów w zidentyfikowaniu go przez użytkowników. Na przykład Klez panował na wykresie wirusów przez blisko rok.

Lovegate używa również wszechstronnych kierunków w ataku. Nie tylko poprzez e-mail, ale także zasoby sieciowe. Używa tak więc różnych taktyk włącznie z wyłączaniem antywirusów znalezionych w systemie, oraz ukrywaniem archiwum ZIP.

Obecnie w rankingu Symantec’a w skali 1-5 jego zagrożenie określane jest jako 2.

Źródło: Informationweek

Szczepionka do usuwania Worm.Win32.Sasser.A-F.

Pojawił się kolejny uciążliwy wirus o nazwie Worm.Win32.Sasser.A-F, rozpowszechniający się poprzez lukę w zabezpieczeniach systemów Windows. Robak umieszcza swój plik w folderze Windows i modyfikuje rejestr, tak aby uruchamiać się z każdym uruchomieniem komputera.

Atakuje komputery nie zabezpieczone poprawką opisaną w biuletynie bezpieczeństwa Microsoft o numerze MS 04-011 http://www.microsoft.com/technet/securi … 4-011.mspx

Polski producent oprogramowania komputerowego - firma G DATA Software udostępnił szczepionkę do usuwania tego robaka oraz niezbędne poprawki krytyczne dla systemów Windows.

adres szczepionki

http://programy.onet.pl/download.html?u … xe&id=9577

Szczepionka do usuwania Worm.Win32.Sasser.A-F.

Netsup.A - robak internetowy

• 31/5/2004

Netsup.A jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz poprzez popularne programy do wymiany plików w Internecie.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [jeden z poniższych]

NetworkSupport@

Temat: [jeden z poniższych]

Tragedy

Protecting your PC

This pic of you is funny

W32.Netsky and W32.Beagle protection

Finances for the week

Mail Delivery Subsystem Error

Careful

Undeliverable Message

Mail Delivery Failed

Treść:

A message sent could not be delivered to one

or more of its recipients correctly.

This is a permanent error.

Attached is a copy of the original message.

Załącznik: message.eml.pif

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku msnmsgs.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows, wykorzystując do tego własny silnik SMTP.

Na koniec robak tworzy swoje kopie w katalogach współdzielonych popularnych programów do wymiany plików w Internecie - KaZaA i Shareaza w plikach o nazwach:

The Sims Family Alien Skins.exe

Britney Spears Dance Beat cheat.exe

The Sims Christina Aguilera Skin.exe

The Sims Britney Spears Skin.exe

BitTorrent_Upload_Capper_DonaTellO.exe

MaxPayne 2 1.01 patch crack.exe

MSN_Messenger_6_Ad_Remover_fRankO.exe

CDRWin.v5.0.Keygen-ORiON.ShareReactor.exe

VMware-KEYGEN-workstation-4.0.0-4460.exe

Winzip_password_cracker.Nero_4_Ultra_Keygen_deviance.exe

winrar.3.2x.dosrar.3.2x.crack-tsrh.exe

Adobe_Photoshop_7_keygen_Dimitri.exe

Opera_v7.20 crack.exe

NwN_v161_NoCD_patch-unpatch.exe

flashfxp.2.1.build.824.crack-tsrh.exe

Tekst: MKS Sp. z o.o.

BLASTER I SASSER

sasser usuwanie artykuł z forum http://www.forum.dobreprogramy.pl/viewt … ght=sasser

http://www.error.xp.pl/ - szczepionki i łaty , opis usuwania Blastera i Sassera

http://www.microsoft.com/downloads/deta … 0354449117 - łata do 2000 pl na blastera

opis blastera http://www.microsoft.com/poland/securit … aster.mspx

szczepionka na blastera - http://securityresponse.symantec.com/av … .tool.html

http://www.microsoft.com/downloads/deta … laylang=pl

• łata do xp pl na blastera

Panda szczepionki http://www.pogotowie.pspolska.pl/tools.php

Symantec szczepionki http://securityresponse.symantec.com/av … .list.html

Mks_vir szczepionki http://www.mks.com.pl/pobierz-narzedzia.html

GDATA Software - http://www.gdata.pl/pl/download/index.html

Wirus "Brissa "

Jest to koń trojański instalujący bez wiedzy użytkownika oprogramowanie “szpiegujące” (spyware). Ponieważ nie niszczy niczego na dysku, ani nie powoduje niepokojących objawów - jest trudny do zauważenia. Po zarażeniu komputera wirus instaluje pliki:

a.exe

jao.dll

bridge.dll

i zmienia rejestry tak, aby wirus uruchamiał się przy każdym starcie komputera. Włamywacz może dzięki temu szperać po naszym komputerze. Może także uaktualniać wersje wirusa bez naszej wiedzy. Usunięcie Brissa jest proste. Wystarczy uruchomić najnowsze uaktualnienie programów antywirusowych.

Wirus I-Worm.Plexus.a

I-Worm.Plexus.a Jest to robak internetowy rozprzestrzeniający się na trzy sposoby: jako załącznik zainfekowanych wiadomości e-mail, poprzez sieci P2P, a także za pośrednictwem luk w zabezpieczeniach systemów Windows - LSASS oraz RPC DCOM (podobnie jak Sasser oraz Lovesan).Szkodnik wyposażony jest w potencjalnie niebezpieczną funkcję dodatkową. Plexus zawiera zmodyfikowany kod robaka Mydoom. Powstał przy użyciu środowiska programistycznego MS Visual C++, a jego rozmiar to 16 208 bajtów (kompresja FSG, rozmiar po rozpakowaniu - około 57 856 najtów).

Instalacja

Po uruchomieniu robak kopiuje się do folderu systemowego Windows z nazwą upu.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvClipRsv”=[ścieżka dostępu do pliku wykonywalnego]

W celu oznaczenia zainfekowanego komputera szkodnik tworzy unikatowy identyfikator expletus.

Rozprzestrzenianie - sieci P2P

Robak kopiuje się z następującymi nazwami do folderów współdzielonych przez aplikacje służące do wymiany plików:

AVP5.xcrack.exe

hx00def.exe

ICQBomber.exe

InternetOptimizer1.05b.exe

Shrek_2.exe

UnNukeit9xNTICQ04noimageCrk.exe

YahooDBMails.exe

Rozprzestrzenianie - luki w zabezpieczeniach systemów Windows

Plexus wykorzystuje lukę w usłudze LSASS (opisaną w biuletynie MS04-011 firmy Microsoft). Firma Microsoft opublikowała łatę usuwającą tę lukę 13 kwietnia 2004.

Dodatkowo robak atakuje komputery za pośrednictwem luki RPC DCOM opisanej w biuletynie MS03-026 firmy Microsoft.

Rozprzestrzenianie - zainfekowane wiadomości e-mail

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia:

HTM

HTML

PHP

TBB

TXT

Zainfekowane wiadomości e-mail mogą wyglądać następująco:

Wariant 1

Temat:

RE: order

Treść:

Hi. Here is the archive with those information, you asked me.

And don’t forget, it is strongly confidencial!

Seya, man. P.S. Don’t forget my fee

Nazwa załącznika: SecUNCE.exe

Wariant 2

Temat:

For you

Treść:

Hi, my darling Look at my new screensaver.

I hope you will enjoy… Your Liza

Nazwa załącznika: AtlantI.exe

Wariant 3

Temat:

Hi, Mike

Treść:

My friend gave me this account generator

for http://www.pantyola.com I wanna share it

with you And please do not distribute it.

It’s private.

Nazwa załącznika: Agen1.03.exe

Wariant 4

Temat:

Good offer

Treść:

Greets! I offer you full base of accounts

with passwords of mail server yahoo.com.

Here is archive with small part of it.

You can see that all information is real.

If you want to buy full base, please reply me…

Nazwa załącznika: demo.exe

Wariant 5

Temat:

RE:

Treść:

Hi, Nick. In this archive you can find

all those things, you asked me. See you.

Steve

Nazwa załącznika: release.exe

Funkcja dodatkowa

Plexus usiłuje zapobiec pobraniu antywirusowych baz danych programu Kaspersky Anti-Virus nadpisując poniższym tekstem zawartość jego plików zapisanych w folderze systemowym Windows:

We recommend that users delete this file in cases of infection

Backdoor

Robak otwiera port 1250, co pozwala hakerowi na zapisywanie oraz uruchamianie dowolnych plików w zainfekowanym komputerze.

Zafi.B - robak internetowy

Erkez.B jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz na rozprzestrzenianiu się poprzez programy do wymiany plików w Internecie. Robak blokuje również dostęp do niektórych aplikacji.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. List ten może mieć jedną z poniższych postaci:

Temat: [pusty]

Treść: [pusta]

Załącznik:: [losowa nazwa] .[com, exe, pif]

Temat: Ingyen SMS!

Treść:

------------------------ hirdet=E9s -----------------------------

A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra

indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan

korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.

K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt

regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5!

B=F5vebb inform=E1ci=F3t a http://www.777sms.hu oldalon tal=E1lsz, de siess,

mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes

nyerem=E9nyeket sorsolunk ki!

------------------------ axelero.hu ---------------------------

Załącznik:: regiszt.php?3124freesms.index777.pif

Temat: Importante!

Treść:

Informacion importante que debes conocer, -

Temat: oKatya

Załącznik:: view.link.index.image.phpV23.sexHdg21.pif

Temat: E-Kort!

Treść: Mit hjerte banker for dig!

Załącznik:: link.ekort.index.phpV7ab4.kort.pif

Temat: Ecard!

Treść:

De cand te-am cunoscut inima mea are un nou ritm!

Załącznik:: link.showcard.index.phpAv23.ritm.pif

Temat: E-vykort!

Treść: Till min Alskade…

Załącznik:: link.vykort.showcard.index.phpBn23.pif

Temat: E-Postkort!

Treść: Vakre roser jeg sammenligner med deg…

Załącznik:: link.postkort.showcard.index.phpAe67.pif

Temat: E-postikorti!

Treść: Iloista kesaa!

Załącznik:: link.postikorti.showcard.index.phpGz42.pif

Temat: Atviruka!

Treść: Linksmo gimtadieno! ha

Załącznik:: link.atviruka.showcard.index.phpGz42.pif

Temat: E-Kartki!

Treść: W Dniu imienin…

Załącznik:: link.kartki.showcard.index.phpVg42.pif

Temat: Cartoe Virtuais!

Treść: Content: Te amo… ,

Załącznik:: link.cartoe.viewcard.index.phpYj39.pif

Temat: Flashcard fuer Dich!

Treść:

Hallo!

hat dir eine elektronische Flashcard geschickt.

Um die Flashcard ansehen zu koennen, benutze in

deinem Browser einfach den nun folgenden link:

http://flashcard.de/interaktiv/viewcard … =267BSwr34

Viel Spass beim Lesen wuenscht Ihnen ihr…

Załącznik:: link.flashcard.de.viewcard34.php.2672aB.pif

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoje kopie w plikach o losowych nazwach i rozszerzeniach exe, dll oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Dodatkowo robak tworzy swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie w plikach o nazwach: winamp 7.0 full_install.exe, Total Commander 7.0 full_install.exe.

Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej na adresy odnalezione w książce adresowej systemu Windows oraz te znajdujące się w plikach z rozszerzeniami: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr. Do wysyłania listów robak korzysta z własnego silnika SMTP.

Dodatkowo robak blokuje dostęp do uruchamiania programów zawierających w nazwie ciągi: regedit, msconfig, task .

Paps.A - robak pocztowy

• 15/6/2004

Paps.A jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. List ten może mieć dwie różne treści oraz kilka nazw załącznika. Szczegóły poniżej:

Temat: The subject will be one of following:

RE: RE: FWD:

Re: Message Error

Re: Ihre Informationen

Re: Bad Request

Anzeige wegen illegalem Mp3-Tausch

du hast einen Trojaner auf deinem PC

Du Idiot!

ups, Ich habe Ihre Mail bekommen

Ich hasse dich!!

Achtung: Neuer Virus!

MailerDaemon: Mail Delivery Failure

Treść: The message body will be one of the following:

Hi du! Hab mal schnell ein paar Fotos mit Meikes Webcam geschossen.

Sind echt lustig geworden

Hab dir die Fotos angehngt! Wir sehen uns…

ESMTP [secure Mail System #334]: Secure message is attached.

++++ Attachment: No Virus found ++++ Norton AntiVirus -

http://www.symantec.com

Guten Tag! Die angeforderten Informationen befinden sich

im Anhang. MfG

++++ Attachment: No Virus found +++ Kaspersky AntiVirus

• http://www.kaspersky.com

Bad Gateway: The message has been attached.

++++ Attachment: No Virus found ++++ Norton AntiVirus

• http://www.symantec.com

Sie tauschen illegal mp3-files aus! Ein Gerichtsverfahren

gegen Sie wurde eingeleitet.

Nhere Informationen entnehmen Sie bitte dem Anhang.

Hallo, ich bin aus sterreich. Ich hab gerade mal kurz deinen

Computer gescannt und festgestellt, das du einen Trojaner

drauf hast. Ich konnte mir deine komplette Festplatte angucken.

Ich hab dir mal nen Removal tool an die Mail angehngt.

Warum machen sie das? Sie Idiot! Sie haben mein Geld gestolen!

ICH WERDE SIE BEI DER POLIZEI ANZEIGEN!

den Anhang an!

Das muss wohl ein Fehllufer sein. Irgendjemand hat eine Mail,

die fr Sie bestimmt war an meine Mail Adresse geschickt.

Ich leite die Mail einfach mal weiter. Der Anhang ist sehr

interessant

Ich hab dir gesagt, das ich dich liebe…und du?? Du…du hast

garnichts gesagt!

Verschwinde…du Schuft … Ich hasse dich!! Du kannst deine

Dateien zurck haben!

Achtung: An alle Online-Spieler!! Ein neuer Wurm verbreitet

sich ber Online-Spiele!

Installiert euch den Patch im Anhang so schnell wie mglich

damit ihr das nicht auch kriegt!!

Mail transaction failed. Partial message is available

++++ Attachment: No Virus found ++++ Norton AntiVirus -

http://www.symantec.com

lub

Temat: The subject will be one of following:

RE: RE: FWD:

Re: Message Error

Re: Mail Authentification

Re: Bad Request

illegal file sharing

a trojan horse is on your PC

you are an idiot

ups, i’'ve got your mail

I hate you

hi, its me

MailerDaemon: Mail Delivery Failure

Treść: The message body will be one of the following:

Here, the DigiCam photos. A few are overexposed…

ESMTP [secure Mail System #334]: Secure message is attached.

++++ Attachment: No Virus found ++++ Norton AntiVirus -

http://www.symantec.com

Please read the attachment to get the message.

++++ Attachment: No Virus found +++ Kaspersky AntiVirus -

http://www.kaspersky.com

Bad Gateway: The message has been attached.

++++ Attachment: No Virus found ++++ Norton AntiVirus -

http://www.symantec.com

You are sharing illegal mp3-files. A legal investigation

has been startet. For details read the attachment.

hi, I am from austria and youll dont believe me, but

a trojan horse in on your PC.

I’'ve scanned your Computer and discovered that the trojan

horse subseven is running on Port 1234. I have

attached a removal tool for you to this mail

why did you do that? idiot! You stole my money!

I`LL REPORT YOU TO THE POLICE!

i`m very very sorry, but anybody have sent your mail

to my address. The attachment is very surprising

I said, I love you…and you said NOTHING And now…

Go Away From Me … I hate you!!

You can have your documents back!! I`ve attached them…

Caution: To all gamers A new worm spread via online gaming!

Install the attached patch as soon as possible!!

Mail transaction failed. Partial message is available

++++ Attachment: No Virus found ++++ Norton AntiVirus -

http://www.symantec.com

Załącznik: [jeden z poniższych]

Pics.JPG.exe

MailMessage.Msg.exe

Filesharing_details.DOC.exe

Trojan_removal_tool.exe

Report.DOC.exe

Documents.DOC.exe

Removal_tool.exe

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku następujące pliki: Win32config.exe, Win32apps3.txt, Kernel32.dll, Ntbtlog.txt, iphist.dat oraz tak modyfikuje rejestr, by jego kopia w pliku win32config.exe była automatycznie uruchamiana przy każdym starcie systemu Windows.

Następnie robak rozsyła swoje kopie za pomocą poczty elektronicznej do adresatów, których adresy odnajdzie na dysku w plikach z następującymi rozszerzeniami: doc, txt, wab, rtf, htm, html, dbx, xml, msg, php, cgi, pst, nk2

Zestaw darmowych szczepionek do usuwania wszelkiego robactwa (wirusy typu worm) a szczególnie (mydoom, klez, sobig, beagle, netsky, bugbear, nimda, czernobyl i innych) do pobrania ze strony G DATA Software:

http://www.gdata.pl/pl/download/index.html#AVKCS

z życzeniami oby nie trzeba było ich wcale stosować

Zafi.B

Również znany jako: Worm.Zafi.B

Typ: robak

Długość: 12800

Niszczący dyski: nie

Niszczący pliki: nie

Efekty wizualne: nie

Efekty dźwiękowe: nie

Zafi.B jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz na rozprzestrzenianiu się poprzez programy do wymiany plików w Internecie. Robak blokuje również dostęp do niektórych aplikacji.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego. List ten może mieć jedną z poniższych postaci:

Temat: [pusty]

Treść: [pusta]

Załącznik:: [losowa nazwa] .[com, exe, pif]

Temat: Ingyen SMS!

Treść:

------------------------ hirdet=E9s -----------------------------

A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra

indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan

korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.

K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt

regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5!

B=F5vebb inform=E1ci=F3t a http://www.777sms.hu oldalon tal=E1lsz, de siess,

mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes

nyerem=E9nyeket sorsolunk ki!

------------------------ axelero.hu ---------------------------

Załącznik:: regiszt.php?3124freesms.index777.pif

Temat: Importante!

Treść:

Informacion importante que debes conocer, -

Temat: oKatya

Załącznik:: view.link.index.image.phpV23.sexHdg21.pif

Temat: E-Kort!

Treść: Mit hjerte banker for dig!

Załącznik:: link.ekort.index.phpV7ab4.kort.pif

Temat: Ecard!

Treść:

De cand te-am cunoscut inima mea are un nou ritm!

Załącznik:: link.showcard.index.phpAv23.ritm.pif

Temat: E-vykort!

Treść: Till min Alskade…

Załącznik:: link.vykort.showcard.index.phpBn23.pif

Temat: E-Postkort!

Treść: Vakre roser jeg sammenligner med deg…

Załącznik:: link.postkort.showcard.index.phpAe67.pif

Temat: E-postikorti!

Treść: Iloista kesaa!

Załącznik:: link.postikorti.showcard.index.phpGz42.pif

Temat: Atviruka!

Treść: Linksmo gimtadieno! ha

Załącznik:: link.atviruka.showcard.index.phpGz42.pif

Temat: E-Kartki!

Treść: W Dniu imienin…

Załącznik:: link.kartki.showcard.index.phpVg42.pif

Temat: Cartoe Virtuais!

Treść: Content: Te amo… ,

Załącznik:: link.cartoe.viewcard.index.phpYj39.pif

Temat: Flashcard fuer Dich!

Treść:

Hallo!

hat dir eine elektronische Flashcard geschickt.

Um die Flashcard ansehen zu koennen, benutze in

deinem Browser einfach den nun folgenden link:

http://flashcard.de/interaktiv/viewcard … =267BSwr34

Viel Spass beim Lesen wuenscht Ihnen ihr…

Załącznik:: link.flashcard.de.viewcard34.php.2672aB.pif

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoje kopie w plikach o losowych nazwach i rozszerzeniach exe, dll oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Dodatkowo robak tworzy swoje kopie w katalogach współdzielonych programów do wymiany plików w Internecie w plikach o nazwach: winamp 7.0 full_install.exe, Total Commander 7.0 full_install.exe.

Następnie robak rozsyła własne kopie za pomocą poczty elektronicznej na adresy odnalezione w książce adresowej systemu Windows oraz te znajdujące się w plikach z rozszerzeniami: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr. Do wysyłania listów robak korzysta z własnego silnika SMTP.

Dodatkowo robak blokuje dostęp do uruchamiania programów zawierających w nazwie ciągi: regedit, msconfig, task .

Boxed.A - koń trojański

• 17/6/2004

Boxed.A jest koniem trojańskim, którego działanie polega na przeprowadzaniu ataku typu Denial of Service (DoS) w stosunku do wybranych serwisów www.

Aktywny trojan wyłącza usługi systemowe niektórych programów antywirusowych (monitor mks_vir nie zostaje wyłączony), których usługi mają następujące nazwy:

wuauserv

navapsvc

Symantec Core LC

SAVScan

kavsvc

Network Client

Network Client Monitor

Trojan przeprowadza atak typu Denial of Service (DoS) w stosunku do poniższych serwisów internetowych, mający na celu zablokowanie dostępu do nich:

images.gamemaniacs.org

secure.bootcom.com

pop3.bootcom.com

mail.bootcom.com

ftp.bootcom.com

http://www.bootcom.com

Trojan modyfikuje również plik hosts, dodając do niego poniższe wpisy, czego efektem będzie brak dostępu do stron, których dotyczą wpisy.

127.0.0.1 ids.kaspersky-labs.com

127.0.0.1 downloads2.kaspersky-labs.com

127.0.0.1 downloads1.kaspersky-labs.com

127.0.0.1 downloads3.kaspersky-labs.com

127.0.0.1 downloads4.kaspersky-labs.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 update.symantec.com

127.0.0.1 download.mcafee.com

127.0.0.1 http://www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 http://www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 http://www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 http://www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 http://www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 http://www.avp.com

127.0.0.1 http://www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 http://www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 http://www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 http://www.my-etrust.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 nai.com

127.0.0.1 http://www.nai.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 customer.symantec.com

127.0.0.1 rads.mcafee.com

127.0.0.1 trendmicro.com

127.0.0.1 http://www.trendmicro.com

127.0.0.1 http://www.grisoft.com

Darmowe narzędzia Panda QuickRemovers do usuwania:

Badtrans.B, Bagle.A.worm

Bagle.B, Bagle.C

Bagle.D, Bagle.E

Bagle.J, Bagle.N

Bagle.O, Bagle.U

Blaster, Blaster.B

Blaster.C, Blaster.E

Blaster.F, Bride

Bride.B, Bugbear.B

Dadinu, Datom

Disemboweler, Doomjuice.A.worm

Fizzer, FunLove.4096

FunLove.4099, Gaobot.BK.worm

Gaobot.L.worm, Gaobot.M.worm

Gaobot.S.worm, Gibe.C.worm

Goner.A@mm, Help.C

Hybris, Klez.C

Klez.F , Klez.I

Lentin.E, Lentin.L

Lentin.R, Lirva

Lirva.C, LoveLetter.AS

Lovgate.A, Lovgate.C

Lovgate.G, Lovgate.J

Magistr.B@mm, Mapson.D

Mapson@MM, Mimail

Mimail.C.worm, Mydoom.A

Mydoom.B.worm, Nachi.A

Nachi.B, Nachi.C

Netsky.B.worm, Netsky.C

Netsky.D, Netsky.E

Netsky.P, Netsky.Q

NiceHello, Nimda.D

Opaserv, Opaserv.D

Opaserv.E, Opaserv.F

Opaserv.G, Opaserv.H

Opaserv.J, Opaserv.Y

Parite.B, PSW.Bugbear.B

Qaz, Redlof.A

Redlof.B, Sasser.A

Sasser.B, Sasser.C

Sasser.D, Sasser.E

Sircam, Sober.A.worm

Sobig, Sobig.C

Sobig.D, Sobig.E

Sobig.F

Są to wygodne narzędzia, które można zapisać na dyskietce.

http://www.pogotovie.pl/tools.php

Anisc - wirus makrowy

• 21/6/2004

Anisc jest wirusem makr Worda 97, który poza infekowaniem kolejnych dokumentów zawiera również procedury destrukcyjne.

Wirus pojawia się w komputerze ofiary w momencie zamykania zainfekowanego dokumentu w Wordzie. Wirus infekuje globalny szablon normal.dot i od tego momentu wszystkie tworzone i edytowane dokumenty zostają zainfekowane. Dodatkowo, dla ukrycie swego działania, wirus obniża poziom zabezpieczeń w makrach Worda.

Ponadto wirus posiada procedurę destrukcyjną działającą jedynie w systemach Windows 95/98/Me, polegającą na dodaniu w pliku autoexec.bat wpisu powodującego formatowanie dysku C przy ponownym uruchomieniu komputera. Procedura ta jest uruchamiana w 2005 roku.

"Nowy, niezwykle niebezpieczny, wirus “Scob” zaczął atakować komputery na całym świecie.

W odróżnieniu od poprzednich, nie wykorzystuje on do rozprzestrzeniania się programów pocztowych, ale popularne i często odwiedzane strony internetowe.

Aby się nim zarazić wystarczy odwiedzić stronę internetową, dotychczas uważaną za bezpieczną i godną zaufania przy pomocy przeglądarki Microsoft Internet Explorer. Wirus, określany również jako “download. ject.”. “toofer” lub “webber”, umożliwia hakerom dostęp do poufnych danych znajdujących się na twardym dysku zaatakowanego komputera, takich jak hasła, numery kart kredytowych czy numery PIN.

Liczba zarażonych stron WWW zwiększa się w bardzo szybko.

Stephen Toulouse, szef programów zabezpieczających koncernnu Microsoft, ujawnił, że hakerzy dokonali już dwóch prób wprowadzenia wirusa do sieci, ale Microsoftowi udało się rozesłać do użytkowników jego programów odpowiednie uaktualnienia oprogramowania.

Jednak hakerzy dokonali ostatnio trzeciej próby z nową odmianą wirusa, na którą na razie nie ma antidotum. Toulouse zalecił jednak użytkownikom komputerów niezwłoczne zainstalowanie ostatnich wersji antywirusowych programów zabezpieczających oraz programów typu “firewall”.

Wirus nie atakuje wersji Internet Explorera opracowanych przez Macintosha ani nie rozprzestrzenia się poprzez przeglądarki nie mające związków z Microsoftem, takie jak Opera, czy Mozilla.

Toulouse powiedział, że podejrzane są pliki oznaczone jako “Kk32.dll” lub “Surf.dat”. W przypadku ich znalezienia na dysku swojego komputera należy bezwględnie sprawdzić je przy pomocy programu antywirusowego."

Źródło: http://www.onet.pl

Feat - internetowy koń trojański

• 25/6/2004

Feat jest koniem trojańskim instalującym się w systemie w czasie przeglądania stron www.

Aktywny trojan modyfikuje tak rejestr by był uruchamiany przy każdym starcie przeglądarki Internet Explorer wykorzystując do tego wpisy Browser Helper Object. Efektem jego działania jest zmieniona strona startowa przeglądarki oraz pojawianie się innych stron niż te, których adresy wpisuje użytkownik w przeglądarce.

Dodatkowo trojan blokuje możliwość zmian strony startowej w przeglądarce.

Aby usunąć trojana i odblokować opcje przeglądarki należy skorzystać z bezpłatnego narzędzia: MksClean.exe.

http://www.mks.com.pl/files/pomoc/MksClean.exe

adres MKS forum http://forum.mks.com.pl/forum/ wrazie problemów mozna je przejrzec i u nich napisac o wirusowych problemach

Prawdopodobnie na skutek używania przeglądarki Internet Explorer do przeglądania podejrzanych stron na przestrzeni ostatnich kilku dni doszło do wielokrotnego zarażeniarobakami internetowymi serwerów IIS. Jednym z częstszych zagrożeń był robak JS.Troofer dodający do wszystkich stron serwowanych przez IIS kod JavaScript łączący się z rosyjskim serwisem balamut.com i próbujący zarazić komputery klienckie. Ciągle powstają wirusy propagujące się podobnym sposobem, których skutki mogą być bardzo groźne (jak widać chociażby po tym przykładzie). Korzystają one z nieinstalowania isniejących aktualizacji systemu (w szczególności opisanych w biuletynach bezpieczeństwa firmy Microsoft MS04-011 i MS04-013)Warto przecztać nowo wydaną informacje Microsoftu na tematCo powinieneś wiedzieć o Download.Ject (ang.)oraz nie używać przeglądarki Internet Explorer do przeglądania niezaufanych stron, mogących zawierać robaki w kodzie HTML/JS.

Informacje dotyczące virusów z MKS

>> Trojan.Downloader.Feat <<

Darmowe programy. http://www.asbit.pl/antywirusy/pliki.html#free

STINGER Darmowe narzędzie firmy Network Associates do usuwania wirusów.

Program jest na bieżąco aktualizowany w celu wykrywania najnowszych wirusów.

Program działa na systemach Windows 9x/ME/NT/2000/XP.

fix mimail Darmowy program usuwający z plików wirusa Mimail

fix bugbearb Darmowy program usuwający z plików wirusa Bugbear.B

fix_sqlex Darmowy program usuwający z plików wirusa SQL Explorer

fix_sobig Darmowy program usuwający z plików wirusa Sobid

fix_lirva Darmowy program usuwający z plików wirusa Lirva

fix_brid Darmowy program usuwający z plików wirusa Brid i Funlove

fix_bugbear Darmowy program usuwający z plików wirusa Bugbear

fix_badtrans Darmowy program usuwający z plików wirusa Badtrans

fix_mylife Darmowy program usuwający z plików wirusa MyLife

fix_myparty Darmowy program usuwający z plików wirusa MyParty

fix_klez Darmowy program usuwający z plików wirusa Klez (uruchamiać Windows w trybie Safe Mode)

fix_nimda Darmowy program usuwający z plików wirusa Nimda

antimagistr Darmowy program usuwający z plików wirusa Magistr

fix-cih Darmowy program odtwarzający partycję po działaniu wirusa CIH

Outpost Personal Firewall Darmowy osobisty firewall [2.8 MB]

Tiny Personal Firewall 2.013 Darmowy osobisty firewall [1.3 MB]

Zone Alarm 2.6 Darmowy osobisty firewall [2.8 MB]

Sygate Personal Firewall Darmowy osobisty firewall [3.6 MB]

eSafe Desktop Darmowy osobisty firewall [10 MB]

Free tools Darmowe narzędzia firmy Symantec