Ines
Участник
It’s better to be a has-been than a never-was
|
отправлено: 13-12-2001 23:44:00 | |
инфо • правка • ссылка • сообщить модератору |
Почему-то когда некоторые сетевики залезают на мой комп, то сразу же бешено начинает вопить Касперский: в мыле автоматически появляется зараженный файл... Интересно, что на мыло при этом они залезают отнюдь не всегда.. что бы это значило? |
|
IP |
|
Maxx
Moderator
onetwonineseven
licq:1297
|
|
trozen
Рига-Москва
|
отправлено: 14-12-2001 08:33:00 | |
инфо • правка • ссылка • сообщить модератору |
To Ines вирусы раздают на халяву, вот что это значит. мне товарисчЬ ПуФ тоже упорно нимду пихал в почту вчера (хотя в shared resources я не видел, что ПуФ где-то конкретно в папке сидит). ладно бы толковый какой-нить троянец, а с нимды никакого толку, один геморрой... |
|
IP |
|
Ines
Участник
It’s better to be a has-been than a never-was
|
отправлено: 14-12-2001 09:00:00 | |
инфо • правка • ссылка • сообщить модератору |
To Maxx только что-то любовь невзаимная получается...
To trozen то же самое... только у меня не один Пуф... с ума сойти можно - 8 раз Касперским прогонять!....
|
|
IP |
|
Genius
Участник
1053
licq:1053
|
отправлено: 14-12-2001 13:38:00 | |
инфо • правка • ссылка • сообщить модератору |
To trozen To Ines Nimda помойму сама собой распространяется по локалке.Так что некоторые сетвики скорее всего в этом не виноваты. |
|
IP |
|
Mrdims
Moderator
LICQ - 2403, LICQ(ICEHARD) - 1097, ICQ - 107088139
|
|
Genius
Участник
1053
licq:1053
|
отправлено: 14-12-2001 21:43:00 | |
инфо • правка • ссылка • сообщить модератору |
Она ищет в сети папки с полным доступом и кладет туда свои копии, без участия пользователя. Где ты здесь видишь глупость? |
|
IP |
|
NoNaMe
Ухарь!
Burn in water!
|
отправлено: 14-12-2001 22:32:00 | |
инфо • правка • ссылка • сообщить модератору |
To Genius
сначала ищет потом как наложит туда.......
хотя некоторые пользователи тоже ищут и ложут..... |
|
IP |
|
DMX
Участник
1570
|
отправлено: 14-12-2001 22:33:00 | |
инфо • правка • ссылка • сообщить модератору |
я б даже это вирусом не стал называть! максимальный ущерб от него это были открыты скрытые ресурсы сидюка т.е E$.... СОВЕТ ВСЕМ УБРАТЬ ПАПКИ КОТОРЫЕ ПОЛНОМ ДОСТУПЕ У ВАС,НАПРИМЕР MAIL! |
|
IP |
|
DMX
Участник
1570
|
отправлено: 14-12-2001 23:09:00 | |
инфо • правка • ссылка • сообщить модератору |
БЛЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ:mad::mad::mad: он все скрытые ресурсы открывает C$ D$ E$ и т.д.. причём если даже их убрать то при следующей загрузке 10 или 20 минут всё ок..но потом вдруг неожидано начинает ЛОБАТЬ винт и вдруг все опять все скрытые ресурсы в доступе:(:(:( Где этот вирус себя прописывает хз ...я реестр пробовал заменить на тот который был неделю назад...всё равно он скрытые ресырсы поставил!:mad: |
|
IP |
|
PuF#13
I love this game...
AND 1
licq:1996
|
отправлено: 14-12-2001 23:14:00 | |
инфо • правка • ссылка • сообщить модератору |
TO ALL ЛЮДИ ПОСЛУШАЙТЕ ПОЖАЛУЙСТА ! Вирусы,которые приходят вам типа мол от меня , ето не я их посылаЮ! в данный момент у меня вирус ТРОЯН или что тама ещё ненаЮ !! У меня ща полная жопа с компом и от меня какой то хмырь залиет по компам и кидает вирусы !! но я етого не вижу ! Я не вижу как у меня щас инет жрёт меги :( не вижу как он по компам лазиет, но в данный момент щас мне ВСЕ пишут почему я вирус кидаю! а на самом деле то , меня не было за компом ! так что плохо дела :(( Пожалуйста поймите меня . что мне ето не надо! всех запарывать! у меня тута просто такое творится, не один антивирус не находит его!! и пожалуста на время уберите их доступа всё ! на пару дней ! просто хер нает что ща будит если я отойду и оставлЮ комп вклЮчёным ! не только я им управляЮ. пытаЮсь убить вирус ! Ну короче вы, думаЮ меня поймёте ! что ето из за вируса от меня шлёться вам всё :((
|
|
IP |
|
PuF#13
I love this game...
AND 1
licq:1996
|
|
PuF#13
I love this game...
AND 1
licq:1996
|
отправлено: 14-12-2001 23:17:00 | |
инфо • правка • ссылка • сообщить модератору |
во во !! у меня тоже при запуске открыты все сидюки тоетсь А С D E F G на полный доступ :(( а приходиться выклбчать включаешь опять :( |
|
IP |
|
Maxx
Moderator
onetwonineseven
licq:1297
|
|
DMX
Участник
1570
|
отправлено: 14-12-2001 23:39:00 | |
инфо • правка • ссылка • сообщить модератору |
на заметку :idea: как только он положил ваши скрытые ресурсы в доступ т.е C$ D$ E$ ,можно убрать С$ и D$ ,но обязательно нужно оставить какой нить один в доступе ,например E$. Если же не оставить в доступе не одного скрытого ресурса ,то он авторматически положит их в доступ! хз чо с ним делать Norton Antivirus 2002 и DrWeb ничего сделать не могут..они вообще не находят этот вирус! |
|
IP |
|
trozen
Рига-Москва
|
отправлено: 14-12-2001 23:43:00 | |
инфо • правка • ссылка • сообщить модератору |
To Genius To Mrdims про нимду. если она сама себя кладет, что естественно возможно - так она и распространятется, то это файлы копия1.eml и riched20.dll (за последний не отвечаю, не помню, но примернно так). а если eml-файлы называются иначе... то вряд ли это сам вирус действует.
у кого расшариваются ресурсы, запустить msconfig, далее win.ini, там в папке boot появляется нечто в виде ...=load.exe; этот параметр можно смело удалить. |
|
IP |
|
Genius
Участник
1053
licq:1053
|
отправлено: 14-12-2001 23:57:00 | |
инфо • правка • ссылка • сообщить модератору |
To trozen Согласно вируслисту Касперского,имя eml файла Nimda выбирает сама, по имени случайного файла из "Моих документов". |
|
IP |
|
!RUSH!
CheatMan
IceTrill: 1111
|
отправлено: 14-12-2001 23:58:00 | |
инфо • правка • ссылка • сообщить модератору |
Хе, а я ради прикола открыл... =) Правда при ней ДЛЛки не было... отделался лёгким испугом и вынужденой перезагрузкой :D
|
|
IP |
|
Maxx
Moderator
onetwonineseven
licq:1297
|
|
Ines
Участник
It’s better to be a has-been than a never-was
|
отправлено: 15-12-2001 10:45:00 | |
инфо • правка • ссылка • сообщить модератору |
To all проверьте комп нормальным антивирусом и уберите полный доступ с папок, тогда все ОК будет... у меня, например, ничего лишнего на доступ сейчас не выставляется...
ЗЫ Я Касперским пользуюсь
|
|
IP |
|
!RUSH!
CheatMan
IceTrill: 1111
|
отправлено: 15-12-2001 11:26:00 | |
инфо • правка • ссылка • сообщить модератору |
А ко мне на доступ без спросу ни одна тварь не влезет... :D ЗЫ Я Гемороем2000+АТ+LDM пользуюсь! :D |
|
IP |
|
trozen
Рига-Москва
|
отправлено: 16-12-2001 13:46:00 | |
инфо • правка • ссылка • сообщить модератору |
To Ines ну как же в доступ не выставлять, сеть ведь она на то и сеть... чтобы чего-нить для других расшарить... и кого-то что-то скачать
Dr.Web 4.26a спасет мир :)\n\nMessage edit by trozen |
|
IP |
|
Ines
Участник
It’s better to be a has-been than a never-was
|
|
СергейAlex
Участник
LICQ-1443 АйсАся-3777
|
отправлено: 16-12-2001 15:53:00 | |
инфо • правка • ссылка • сообщить модератору |
Описание червяка (взято из базы AVP):
I-Worm.Nimda
"Nimda" является Интернет-червем, распространяющимся по сети Интернет в виде вложенных файлов в сообщениях электронной почты, по ресурсам локальных сетей, а также проникающий на незащищенные IIS-серверы. Оригинальный файл-носитель червя имеет имя README.EXE и представляет собой программу формата Windows PE EXE, размером около 57 килобайт и написанную на языке программирования Microsoft C++.
Для активизации из писем электронной почты "Nimda" использует брешь в системе безопасности Internet Explorer, так что владелец незащищенного компьютера даже не заметит факта заражения. После этого червь инициирует процедуры внедрения в систему, распространения и запускает деструктивные функции.
В теле червя содержится строка:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
Внедрение в систему
В процессе внедрения червь "разбрасывает" свои копии в следующих местах:
Директория Windows под именем MMC.EXE Системная директория Windows под именем RICHED20.DLL (одновременно уничтожая оригинальный файл RICHED20.DLL, входящий в поставку Windows) Системная директория Windows под именем LOAD.EXE
Последний файл регистрируется в секции автозапуска конфигурационного файла SYSTEM.INI следующим образом:
[boot] shell=explorer.exe load.exe -dontrunold
Червь также копирует себя во временную директорию Windows со случайными именами MEP*.TMP и MA*.TMP.EXE. Например:
mep01A2.TMP mep1A0.TMP.exe mepE002.TMP.exe mepE003.TMP.exe mepE004.TMP
Файлы формата EXE этого типа, а также файл LOAD.EXE (см. выше) имеют атрубуты "скрытый" и "системный".
После этого "Nimda" запускает процедуру распространения. В зависимости от версии Windows червь использует для этого процесс EXPLORER.EXE и, таким образом, может маскировать свои действия под фоновым процессом EXPLORER.
Распространение по электронной почте
Для отправки с зараженных компьютеров писем электронной почты "Nimda" создает SMTP-соединение и с его помощью пересылает свои копии на другие адреса электронной почты.
Для получения целевых адресов электронной почты червь использует следующие уловки:
сканирует все файлы с расширением .HTM и .HTML и выбирает из них найденные адреса при помощи MAPI-функций получает доступ к почтовым ящикам MS Exchange и также считывает из них адреса.
Рассылаемые "Nimda" письма имеют формат HTML и выглядят следующим образом:
Тема письма: пустая или случайная Тело письма: пустое Вложенный файл: README.EXE
Тема письма выбирается случайным образом в соответствии с названием случайного файла из папки "Мои Документы" или любого другого файла на диске C:
Путь к папке "Мои Документы" червь берет из ключа системного реестра Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
Для внедрения в систему из зараженных писем электронной почты "Nimda" использует брешь в системе безопасности Internet Explorer которая позволяет автоматически выполнить вложенный исполняемый файл. Данная брешь была обнаружена в конце марта 2001 г. и описана в бюллетене Microsoft (http://www.microsoft.com/technet/security/bulletin/MS01-020.asp)
"Заплатка". устраняющая данную брешь доступна для загрузки по адресу: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Распространение по локальной сети
Для распространения по локальной сети червь сканирует локальные и установленные сетевые диски и заражает их следующими способами:
1) Создает файлы со случайными именами и расширениями .EML (в 95% случаев) или .NWS (в 5% случаев) и "разбрасывает" их на найденных дисках. Эти расширения являются стандартными для писем электронной почты. В результате, компьютеры (как зараженный, так и подключенные к локальной сети) могут содержать тысячи подобных файлов, в которых содержится копия червя.
Эти файлы являются электронными письмами в формате HTML, содержащими копию "Nimda" в виде вложенного объекта. При запуске таких файлов срабатывает описанная выше брешь в защите Intrenet Explorer и на компьютер немедленно внедряется копия червя.
2) Червь ищет файлы, в именах и расширениях которых присутствуют следующие комбинации:
Имена: *DEFAULT* , *INDEX* , *MAIN* , *README* Расширения: .HTML, .HTM, .ASP
Если такой файл найден, червь создает в одной папке с ним файл README.EML (аналогичный создаваемым в п.1). Затем он модифицирует найденный файл, добавляя в него короткую JavaScript-программу. При просмотре модифицированной страницы JavaScript-программа загружает README.EML, что приводит к заражению червем.
В результате червь заражает существующие Web-сайты и может проникать на компьютеры посетителей сайтов.
Внедрение на IIS-серверы
Атака IIS-серверов происходит способом, примененном в IIS-черве "BlueCode". Для внедрения на удаленные IIS-серверы червь использует команду "tftp", активизирует временный TFTP-сервер на зараженном компьютере и с его помощью загружает на целевую машину свою копию (ADMIN.DLL). Далее, специальным запросом эта копия активизируется.
Деструктивные функции
"Nimda" имеет опасный побочный эффект, который может допустить утечку конфиденциальной информации с зараженных компьютеров. Червь добавляет пользователя под именем "Guest" в группу пользователей "Администраторы". Таким образом, "Guest" имеет полный доступ к ресурсам компьютера.
Помимо этого "Nimda" незаметно открывает все локальные диски для полного доступа всех желающих.
Известно несколько модификаций червя "Nimda".
Практически все из них полностью повторяют первоначальную версия червя и отличаются только "перебитыми" тектовыми строками.
Nimda.b
Является первоначальной версией червя, упакованной компрессором PCShrink (упаковщик выполняемых файлов Win32). В коде червя строки: README.EXE , README.EML заменены на: PUTA!!.SCR , PUTA!!.EML
Nimda.c
Является первоначальной версией червя, упакованной компрессором UPX. Более никаких отличий нет.
Nimda.d
Был разослан по сетям Интернет в конце октября 2001. Распространялся в упакованном виде (компрессор PECompact), размер файла - около 27K.
Основное отличие от первоначальной версии червя - измененная строка-"копирайт", которая в этом варианте червя выглядит следующим образом:
HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain
Nimda.e
Перекомпилированный вариант червя. Есть незначительные изменения в коде (некоторые процедуры слегка подправлены или соптимизированы). Был обнаружен в "живом виде" в конце октября 2001.
"Видимыми" отличиями от первоначальной версии червя являются следующие изменения:
Имя файла-вложения: SAMPLE.EXE(вместо README.EXE)
Имя DLL-библиотек: HTTPODBC.DLL или COOL.DLL (вместо ADMIN.DLL)
Строка-"копирайт" в этой версии выглядит так:
Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)
|
|
IP |
|
Maxx
Moderator
onetwonineseven
licq:1297
|
|
MrDims
Moderator
LICQ - 2403, LICQ(ICEHARD) - 1097, ICQ - 107088139
|
|
Иргиз
Участник
страшный зануда
|
|
Maxx
Moderator
onetwonineseven
licq:1297
|
|
!RUSH!
CheatMan
IceTrill: 1111
|
отправлено: 18-12-2001 21:55:00 | |
инфо • правка • ссылка • сообщить модератору |
Народ, никто из вас ниразу на компе ФМЛ не был? =) 201.193.10.66 Там в каждой папке по ЕМЛ файлу лежит... :lol:
|
|
IP |
|
Иргиз
Участник
страшный зануда
|
отправлено: 18-12-2001 22:30:00 | |
инфо • правка • ссылка • сообщить модератору |
To ABBESS Это важная ПОЧТА! Ее надо немедленно переслать всем знакомым! :) \n\nMessage edit by Иргиз |
|
IP |
|
Snip
Участник
snip@fryazino.net
|
|
Nelson
Нильс
1705
|
отправлено: 18-12-2001 23:32:00 | |
инфо • правка • ссылка • сообщить модератору |
To !RUSH! Я был там три или четыре дня назад... Предупредил хозяев о вирусах. На что мне был дан приблизительно такой ответ: "А тебе какое дело? Типа наш компьютер - что хотим, то и делаем!"
Если так будет рассуждать каждый второй сетевик, сеть ещё долго не оправится от вируса :( |
|
IP |
|
!RUSH!
CheatMan
IceTrill: 1111
|
отправлено: 19-12-2001 02:02:00 | |
инфо • правка • ссылка • сообщить модератору |
To Nelson Я им неделю это уже вдалбливаю!!! =) Девушки, которые там сидят, ясное дело ничего не понимают, но когда появился некий Алексей под ником FML произошёл следующий диалог:
03.10.01 21:48 Stranger™ не... у меня уже истерический смех =) айпишник 201.193.10.66 твой?
03.10.01 21:49 Stranger™ ты хоть чуть-чуть в компах шаришь? =) 03.10.01 21:50 Stranger™ бля........ =) я просто катаюсь :lol: вы там люди ваще озверели? =) комп с ип адресом 201.193.10.66 весь заражён НИМДОЙ!!!! это твой ип?
03.10.01 21:51 FML ага
03.10.01 21:51 Stranger™ ну ты знаешь чё Нимда делает? =)
03.10.01 21:51 FML да
03.10.01 21:51 Stranger™ ну удали ты её!!!!!
Ответа не последовало...
А файлы всё ещё там лежат... :(
Сетевеки, предлагаю отрубить этих ФМЛОВЦЕВ от сети за намеренное нарушение правила 1го (Распространение троянов, вирусов.) т.к. их компьютер является открытым источником заразы! :mad:
|
|
IP |
|
!RUSH!
CheatMan
IceTrill: 1111
|
|
burik
Участник
|
отправлено: 19-12-2001 02:25:00 | |
инфо • правка • ссылка • сообщить модератору |
:-)))) Да их не отключать надо а помоч людям просто у них уверености выше крыши :-)) Я так понимаю вируснягу схватили всё кто вабще никогда незадумывался овирусах как таковых !!! Которые установив себе стреникий нортон и доктор веб, забыли что обновлять надо хотябы раз в 2-3 месяца !! У меня так вобще нет никаких антивирусов скока сижу ничего несхватил както :-) Потомучто нелапаю то что ненравится и почту хотьиногда да просматриваю !!! |
|
IP |
|
!RUSH!
CheatMan
IceTrill: 1111
|
|
Иргиз
Участник
страшный зануда
|
|
Иргиз
Участник
страшный зануда
|
отправлено: 19-12-2001 11:44:00 | |
инфо • правка • ссылка • сообщить модератору |
To !RUSH! Либо бита, либо диск с нортоном - что-то одно. Или ты сначала нортоном все вылечишь, а потом битой разобьешь? :) |
|
IP |
|
!RUSH!
CheatMan
IceTrill: 1111
|
отправлено: 20-12-2001 06:44:00 | |
инфо • правка • ссылка • сообщить модератору |
To Иргиз нет... сначала поработать битой, чтобы стали сговорчивыми... :D
ну а потом дядя Нортон... =)
|
|
IP |
|
|