BugTraq.Ru
Русский BugTraq
http://www.bugtraq.ru/rsn/archive/2004/01/38.html

Эпидемия вируса Novarg
ZloyShaman // 27.01.04 12:46
Новый почтовый вирус активно распространяется по сети.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2004/01/38.html]
Рассылается он в присоединенных файлах с расширением .exe, .scr, .zip или .pif. В заголовке письма часто стоят слова "test" или "status." Запущенный вирус рассылает себя по всем e-mail-адресам, содержащимся в компьютере жертвы. Последствия его деятельности - сбои в работе почтовых серверов и резкому увеличению сетевого трафика, особенно - в сетях крупных корпораций.

Источник: lenta.ru    
предложить новость  |  обсудить  |  все отзывы (8) [6202]
назад «  » вперед

последние новости
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Doom на газонокосилках // 28.02.24 17:19
Умер Никлаус Вирт // 04.01.24 14:05
С наступающим // 31.12.23 23:59
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Google Drive находит файлы // 07.12.23 01:46
Google Drive теряет файлы // 27.11.23 20:02

Комментарии:

кто просветит!? 30.01.04 13:52  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
пришел он мне на почту (Майкрософт аутлук), я его открыл - знакомый обратный адрес был.. Там зип приаттачен. Я его каспером - ничего.. распаковал :) там пиф - я его тоже каспером - тоже ничего.. пиф трогать не стал, удалил все в корзину (вин98). параллельно по телеку услышал про вирус, полез каспера обновлять (моим текущим обновлениям было два-три дня..), так мне файрволл аутпост показал, что просится удаленное соединение (не одно, сотни.. всем отказываю), куча попыток соединения с адресами, начинающимися на 33 (я так понял, это сервер майкрософт или sco), обновляю каспера, отрубаюсь от инета, начинаю сканить. Находит он в корзине этого виря, корзину очищаю, смотрю реестр - taskmon, ctfmon и что там еще было - все чисто. При соединением с инетом все "подозрительные" попытки соединений пропали.. Было мнение, что у виря аутпост "предусмотрен", но оказалось нет. короче, все чисто (напомню, что pif я не запускал). вопрос - почему наблюдались попытки соединения только в один сеанс?
Куда просится? На какой порт(ы)? 30.01.04 14:10  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
> полез каспера обновлять (моим текущим обновлениям было
> два-три дня..), так мне файрволл аутпост показал, что
> просится удаленное соединение (не одно, сотни.. всем
Куда просится? На какой порт(ы)?

> отказываю), куча попыток соединения с адресами,
> начинающимися на 33 (я так понял, это сервер майкрософт или
> sco), обновляю каспера, отрубаюсь от инета, начинаю
Откуда такая уверенность? айпишники можешь показать?
Может, это как раз сайт с апдейтами Касперского был?-)

> сканить. Находит он в корзине этого виря, корзину очищаю,
> смотрю реестр - taskmon, ctfmon и что там еще было - все
> чисто. При соединением с инетом все "подозрительные"
> попытки соединений пропали.. Было мнение, что у виря
> аутпост "предусмотрен", но оказалось нет. короче, все чисто
Что ты имеешь ввиду под словом "предусмотрен"?
Описание "I-Worm.Mydoom.a"
http://www.viruslist.com/viruslist.html?id=144488783

> (напомню, что pif я не запускал). вопрос - почему
> наблюдались попытки соединения только в один сеанс?
ХЗ, информации маловато....
вот и лог.. 31.01.04 11:23  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
21:50:27 SYSTEM TCP 38.115.4.217 4872 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 38.115.4.151 3981 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 65.95.118.118 4117 Отклонить соединение на порт, открытый системой
21:50:25 SYSTEM TCP 38.115.4.132 2176 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.62 1808 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.204 2996 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.31 2293 Отклонить соединение на порт, открытый системой
21:50:23 SYSTEM TCP 38.115.4.205 2087 Отклонить соединение на порт, открытый системой
21:50:21 SYSTEM TCP 38.115.4.60 3951 Отклонить соединение на порт, открытый системой
21:50:21 SYSTEM TCP 38.115.4.217 3912 Отклонить соединение на порт, открытый системой
21:50:20 SYSTEM TCP 38.115.4.163 WINS Отклонить соединение на порт, открытый системой
21:50:19 SYSTEM TCP 38.115.4.76 4189 Отклонить соединение на порт, открытый системой
21:50:18 SYSTEM TCP 38.115.2.110 2710 Отклонить соединение на порт, открытый системой
21:50:18 SYSTEM TCP 38.115.4.38 1386 Отклонить соединение на порт, открытый системой
21:50:17 SYSTEM TCP 38.115.2.105 1508 Отклонить соединение на порт, открытый системой
21:50:17 SYSTEM TCP 38.115.4.13 4618 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.2.101 4783 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 69.37.121.56 4122 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.4.64 1239 Отклонить соединение на порт, открытый системой
21:50:16 SYSTEM TCP 38.115.4.207 2691 Отклонить соединение на порт, открытый системой
21:50:15 SYSTEM TCP 38.115.4.86 4606 Отклонить соединение на порт, открытый системой

...и тд.)
Куда просится? На какой порт(ы)? 30.01.04 14:44  
Автор: Гоша Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > полез каспера обновлять (моим текущим обновлениям было
> > два-три дня..), так мне файрволл аутпост показал, что
> > просится удаленное соединение (не одно, сотни.. всем
> Куда просится? На какой порт(ы)?
тисипишные свыше тысячи.. разные, четырех- и пятизначные.

> > отказываю), куча попыток соединения с адресами,
> > начинающимися на 33 (я так понял, это сервер
> майкрософт или
> > sco), обновляю каспера, отрубаюсь от инета, начинаю
> Откуда такая уверенность? айпишники можешь показать?
> Может, это как раз сайт с апдейтами Касперского был?-)
могу показать лог аутпоста (только через пять-шесть часов, нахожусь не дома%( ) айпи по большей части отличаются последними цифрами, но попадаются и одинаковые.. были и начинающиеся на 64..

> > сканить. Находит он в корзине этого виря, корзину
> очищаю,
> > смотрю реестр - taskmon, ctfmon и что там еще было -
> все
> > чисто. При соединением с инетом все "подозрительные"
> > попытки соединений пропали.. Было мнение, что у виря
> > аутпост "предусмотрен", но оказалось нет. короче, все
> чисто
> Что ты имеешь ввиду под словом "предусмотрен"?
> Описание "I-Worm.Mydoom.a"
> http://www.viruslist.com/viruslist.html?id=144488783
спасибо, ссылку читал.. предусмотрен - как предусмотрен вирусом (посредством изменения файла hosts) отказ в доступе к апдейту того же каспера и им подобным в случае с модификацией червя
http://www.viruslist.com/viruslist.html?id=144497704

>
> > (напомню, что pif я не запускал). вопрос - почему
> > наблюдались попытки соединения только в один сеанс?
> ХЗ, информации маловато....
вот и я задумался..:)
а мне дак нравится этот микроорганизм, нравится в чистоте,... 30.01.04 09:18  
Автор: Fatal Acid Статус: Незарегистрированный пользователь
<"чистая" ссылка>
а мне дак нравится этот микроорганизм, нравится в чистоте, лаконичности и идей вложенных авторами в данный шедевр.... хотя хорошего он ничего не несет (красота наблюдается кады смотриш на его внутренности, в асмом коде, ну просто конфетка, а как скрывается от трайсеров, и с шифрайцией нехило, а про то как юзает винсок ваше клево). Жаль что такие умы выкладывают свои таланты в такие немного неприятные веши
Да ну, обычный червяк, каких сейчас сотни. 01.02.04 12:04  
Автор: :-) <:-)> Статус: Elderman
<"чистая" ссылка>
Да ну, обычный червяк, каких сейчас сотни.
Klez и тот был поинтереснее.
А шумиха, которая поднялась - заслуга спамеров, его разославших, а не авторов-программеров.
"Нехилого шифрования" я что-то там не увидел. Надеюсь, ты не имел ввиду rot13 и xor =)
Насчет лаконичности кода тоже можно поспорить. Не думаю, что это очень лаконично писать
if (strchr("ABCDEFGHIJKLMNOPQRSTUVWXYZ", c))
вместо
if (c >= 'A' && c <= 'Z')
заколебал меня этот Novarg за сегодняшнее утро 27.01.04 15:22  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Около 500 писем пришло от него за утро и от антивирей которые ругались что мол я его слал комуто. Ща вроде стихло - видно на почтовике антивирус обновили.
угу. 500 контактов в час. млин, спасибо касперу на почтовике 28.01.04 10:42  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach