Эпидемия вируса Novarg ZloyShaman // 27.01.04 12:46
Новый почтовый вирус активно распространяется по сети. [Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2004/01/38.html] Рассылается он в присоединенных файлах с расширением .exe, .scr, .zip или .pif. В заголовке письма часто стоят слова "test" или "status." Запущенный вирус рассылает себя по всем e-mail-адресам, содержащимся в компьютере жертвы. Последствия его деятельности - сбои в работе почтовых серверов и резкому увеличению сетевого трафика, особенно - в сетях крупных корпораций.
пришел он мне на почту (Майкрософт аутлук), я его открыл - знакомый обратный адрес был.. Там зип приаттачен. Я его каспером - ничего.. распаковал :) там пиф - я его тоже каспером - тоже ничего.. пиф трогать не стал, удалил все в корзину (вин98). параллельно по телеку услышал про вирус, полез каспера обновлять (моим текущим обновлениям было два-три дня..), так мне файрволл аутпост показал, что просится удаленное соединение (не одно, сотни.. всем отказываю), куча попыток соединения с адресами, начинающимися на 33 (я так понял, это сервер майкрософт или sco), обновляю каспера, отрубаюсь от инета, начинаю сканить. Находит он в корзине этого виря, корзину очищаю, смотрю реестр - taskmon, ctfmon и что там еще было - все чисто. При соединением с инетом все "подозрительные" попытки соединений пропали.. Было мнение, что у виря аутпост "предусмотрен", но оказалось нет. короче, все чисто (напомню, что pif я не запускал). вопрос - почему наблюдались попытки соединения только в один сеанс?
Куда просится? На какой порт(ы)?
30.01.04 14:10 Автор: JINN <Sergey> Статус: Elderman
> полез каспера обновлять (моим текущим обновлениям было > два-три дня..), так мне файрволл аутпост показал, что > просится удаленное соединение (не одно, сотни.. всем Куда просится? На какой порт(ы)?
> отказываю), куча попыток соединения с адресами, > начинающимися на 33 (я так понял, это сервер майкрософт или > sco), обновляю каспера, отрубаюсь от инета, начинаю Откуда такая уверенность? айпишники можешь показать?
Может, это как раз сайт с апдейтами Касперского был?-)
> сканить. Находит он в корзине этого виря, корзину очищаю, > смотрю реестр - taskmon, ctfmon и что там еще было - все > чисто. При соединением с инетом все "подозрительные" > попытки соединений пропали.. Было мнение, что у виря > аутпост "предусмотрен", но оказалось нет. короче, все чисто Что ты имеешь ввиду под словом "предусмотрен"?
Описание "I-Worm.Mydoom.a"
http://www.viruslist.com/viruslist.html?id=144488783
> (напомню, что pif я не запускал). вопрос - почему > наблюдались попытки соединения только в один сеанс? ХЗ, информации маловато....
вот и лог..31.01.04 11:23 Автор: Гоша Статус: Незарегистрированный пользователь
21:50:27 SYSTEM TCP 38.115.4.217 4872 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 38.115.4.151 3981 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 65.95.118.118 4117 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 38.115.4.132 2176 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.62 1808 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.204 2996 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.31 2293 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.205 2087 Отклонить соединение на порт, открытый системой
21:50:21 SYSTEM TCP 38.115.4.60 3951 Отклонить соединение на порт, открытый системой
21:50:21 SYSTEM TCP 38.115.4.217 3912 Отклонить соединение на порт, открытый системой
21:50:20 SYSTEM TCP 38.115.4.163 WINS Отклонить соединение на порт, открытый системой
21:50:19 SYSTEM TCP 38.115.4.76 4189 Отклонить соединение на порт, открытый системой
21:50:18 SYSTEM TCP 38.115.2.110 2710 Отклонить соединение на порт, открытый системой
21:50:18 SYSTEM TCP 38.115.4.38 1386 Отклонить соединение на порт, открытый системой
21:50:17 SYSTEM TCP 38.115.2.105 1508 Отклонить соединение на порт, открытый системой
21:50:17 SYSTEM TCP 38.115.4.13 4618 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.2.101 4783 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 69.37.121.56 4122 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.4.64 1239 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.4.207 2691 Отклонить соединение на порт, открытый системой
21:50:15 SYSTEM TCP 38.115.4.86 4606 Отклонить соединение на порт, открытый системой
...и тд.)
Куда просится? На какой порт(ы)?30.01.04 14:44 Автор: Гоша Статус: Незарегистрированный пользователь
> > полез каспера обновлять (моим текущим обновлениям было > > два-три дня..), так мне файрволл аутпост показал, что > > просится удаленное соединение (не одно, сотни.. всем > Куда просится? На какой порт(ы)? тисипишные свыше тысячи.. разные, четырех- и пятизначные.
> > отказываю), куча попыток соединения с адресами, > > начинающимися на 33 (я так понял, это сервер > майкрософт или > > sco), обновляю каспера, отрубаюсь от инета, начинаю > Откуда такая уверенность? айпишники можешь показать? > Может, это как раз сайт с апдейтами Касперского был?-) могу показать лог аутпоста (только через пять-шесть часов, нахожусь не дома%( ) айпи по большей части отличаются последними цифрами, но попадаются и одинаковые.. были и начинающиеся на 64..
> > сканить. Находит он в корзине этого виря, корзину > очищаю, > > смотрю реестр - taskmon, ctfmon и что там еще было - > все > > чисто. При соединением с инетом все "подозрительные" > > попытки соединений пропали.. Было мнение, что у виря > > аутпост "предусмотрен", но оказалось нет. короче, все > чисто > Что ты имеешь ввиду под словом "предусмотрен"? > Описание "I-Worm.Mydoom.a" > http://www.viruslist.com/viruslist.html?id=144488783 спасибо, ссылку читал.. предусмотрен - как предусмотрен вирусом (посредством изменения файла hosts) отказ в доступе к апдейту того же каспера и им подобным в случае с модификацией червя
http://www.viruslist.com/viruslist.html?id=144497704
> > > (напомню, что pif я не запускал). вопрос - почему > > наблюдались попытки соединения только в один сеанс? > ХЗ, информации маловато.... вот и я задумался..:)
а мне дак нравится этот микроорганизм, нравится в чистоте,...30.01.04 09:18 Автор: Fatal Acid Статус: Незарегистрированный пользователь
а мне дак нравится этот микроорганизм, нравится в чистоте, лаконичности и идей вложенных авторами в данный шедевр.... хотя хорошего он ничего не несет (красота наблюдается кады смотриш на его внутренности, в асмом коде, ну просто конфетка, а как скрывается от трайсеров, и с шифрайцией нехило, а про то как юзает винсок ваше клево). Жаль что такие умы выкладывают свои таланты в такие немного неприятные веши
Да ну, обычный червяк, каких сейчас сотни.
01.02.04 12:04 Автор: :-) <:-)> Статус: Elderman
Да ну, обычный червяк, каких сейчас сотни.
Klez и тот был поинтереснее.
А шумиха, которая поднялась - заслуга спамеров, его разославших, а не авторов-программеров.
"Нехилого шифрования" я что-то там не увидел. Надеюсь, ты не имел ввиду rot13 и xor =)
Насчет лаконичности кода тоже можно поспорить. Не думаю, что это очень лаконично писать
if (strchr("ABCDEFGHIJKLMNOPQRSTUVWXYZ", c))
вместо
if (c >= 'A' && c <= 'Z')
заколебал меня этот Novarg за сегодняшнее утро27.01.04 15:22 Автор: Killer{R} <Dmitry> Статус: Elderman
Около 500 писем пришло от него за утро и от антивирей которые ругались что мол я его слал комуто. Ща вроде стихло - видно на почтовике антивирус обновили.
угу. 500 контактов в час. млин, спасибо касперу на почтовике28.01.04 10:42 Автор: RazDolBai Статус: Member
подробно о проекте
Анализ криптографических сетевых...
