Че за вирус, мля??? Короче штука распространяется сама по всем email-ам, внесенным в адресную книгу!!! К нам на фирму пришло от китайцев, мать их На всякий случай сообщаю, если кому от "RECEPTION" или EVITA@ELMIR.RU че-нить придет я не виновата, Он сам себя рассылает
У нас сотруднице пришло письмо, без темы...с прикрепленным файлом: "посмотрите пожалуйста". Затем все ее письма стали активно куда-то уходить....
Re: Че за вирус, мля??? Да таких много. http://www.kaspersky.ru/news.html?id=1238971 Например этот. I-Worm.Sobig Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Также скачивает и устанавливает Backdoor программу на компьютере пользователя. Червь является приложением Windows (PE EXE-файл), имеет размер около 64Kб (упакован TeLock), написан на Microsoft Visual C++. Зараженные письма содержат: От: big@boss.com Заголовок письма выбирается из четырех вариантов: Re: Movies Re: Sample Re: Document Re: Here is that sample Имя вложения, один из вариантов: Movie_0074.mpeg.pif Document003.pif Untitled1.pif Sample.pif Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция При инсталляции червь копирует себя с именем WINMGM32.EXE в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run "WindowsMGM" = (windir)\winmgm32.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run "WindowsMGM" = (windir)\winmgm32.exe Рассылка писем При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу ищет файлы *.WAB, *.DBX, *.HTM, *.HTML, *.EML, *.TXT, сканирует их и выделяет строки, являющиеся электронными адресами. Рассылка по сети Для рассылке по сети червь перебирает сетевые ресурсы и копирует себя в один из каталогов с именем WINMGM32.EXE. Windows\All Users\Start Menu\Programs\StartUp\ Documents and Settings\All Users\Start Menu\Programs\Startup\ Установка Backdoor программы Червь скачивает из интернет текстовый файл в котором содержится ссылка на выполняемый PE файл. Червь скачивает этот PE файл в каталог Windows с именем DWN.DAT и запускает его. Червь содержит строки текста: B.ROOT-SERVERS.NET A.ROOT-SERVERS.NET a+ \ %s big@boss.com [A-Za-z0-9]+[A-Za-z0-9_.-]+@(([A-Za-z0-9\-])+[.])+[A-Za-z]+ *.* x:\ From (%s) "%s" To Subject Date %s %s %c%4.4d H:mm:ss ddd, d MMM yyyy Importance Microsoft Outlook Express 6.00.2600.0000 X-Mailer Normal X-MSMail-Priority 3 (Normal) X-Priority ; filename=" attachment inline Content-Disposition: Content-Transfer-Encoding: %s ; name="%s" Content-Type: %s Content Type application/octet-stream --%s --%s-- Content-ID: (%s) Content-Transfer-Encoding: ; charset="%s" text/ Content-Type: -- --%s Content-Type: multipart/alternative; boundary="%s" CSmtpMsgPart123X456_001_%8.8X %s This is a multipart message in MIME format %s: %s Message-ID 1.0 MIME-Version " ; boundary=" mixed alternative related multipart/ CSmtpMsgPart123X456_000_%8.8X Content- Type = =%2.2X -;.,?! Encoding took %dms ... 7bit 8bit quoted-printable base64 SMTP tcp text/plain iso-8859-1 QUIT EHLO %s %s Password: Username: AUTH LOGIN MAIL FROM: (%s) RCPT TO: (%s). DATA http://www.geocities.com/reteras/reteral.txt 0 Hello Attached file: Movie_0074.mpeg.pif Document003.pif Untitled1.pif Sample.pif Re: Movies Re: Sample Re: Document Re: Here is that sample 2003.1.23 Ret code: %d sntmls.dat dwn.dat r Windows\All Users\Start Menu\Programs\StartUp\ Documents and Settings\All Users\Start Menu\Programs\Startup\ $\ @pager.icq.com mail@mail.com Notify pager.icq.com start WindowsMGM SOFTWARE\Microsoft\Windows\CurrentVersion\Run wab dbx htm html eml txt Worm.X winmgm32.exe Worm.X
Re: Че за вирус, мля??? А нефиг пользоваться старыми дырявыми версиями аутглюка. Если уж без него никак нельзя, то обязательно нужно поставить последнюю версию Internet Explorer'а (аутглюк встает вместе с ним) и регулярно заглядывать на сайт мелкомягких на предмет появления новых заплаток для вновь обнаруженных дыр. Если же геморроя со слежением за обновлениями не хочется, то лучше послать эксплорер вместе с отглюком куда подальше (к сожалению, полностью снести их нельзя) и перейти на Mozilla или Opera для лазанья по www, а для почты лучше поставить The BAT. А также взять тетрадку (желательно на 48 листов, но пойдет и на двенадцать), ручку и разборчивым почерком исписать все листы тетрадки фразой "Я НИКОГДА НЕ БУДУ ОТКРЫВАТЬ ИСПОЛНЯЕМЫЕ ВЛОЖЕНИЯ В ПИСЬМАХ, ДАЖЕ ЕСЛИ В ПИСЬМЕ ЗА ЭТО ПРЕДЛАГАЮТ МИЛЛИОН ДОЛЛАРОВ!", после чего пойти и оформить подписку на какой-нибудь антивирус: например, DrWeb, если машина не очень быстрая, или KAV, если машина слишком шустрая и хочется ее притормозить. Но только не надо ставить два антивируса с резиденными мониторами сразу - это может привести к полной неработоспособности системы. Главное - не забывать регулярно (хотя бы раз в день) обновлять антивирус и ставить на систему заплатки по мере их появления, так как ни один антивирус не может дать 100% защиту. Подходить к защите надо комплексно...
the_bat рулит всегда и везде! ни разу не поймал никакого вируса от него. Хотя нет, один раз пришел ехе-шник с трояном. а я как раз машину переставлять решил. Ну и посмотрел, что и куда прописывается Прикольно было. Я его расковырял и по аське, которая в трояне была прописана устроил icq-бомбинг.
А причем тут Бат? У меня стоит, постоянно приходили вирусы, только их антивирус сразу после получения засекал и кричал матом. А сейчас не идут, то ли из-за того, что антивирус лень починить, то ли из-за того, что провайдер антивирус на почту поставил.
UP Да просто БАТ не имеет привычки автоматично запускать приложения из присобаченного файла. В отличии от OE... Правда если пропатчить OE ндцать раз, то говорят он тоже разучивается...
IMHO более правильный вариант это все же drwebd прикрученный к sendmail или чего там стоит. Лицензия не такая уж и дорогая. А выгода...... С начала года - перехват более 1200 писем с вирусами. Как раз была какая-то атака. Ни одного зараженного письма не пропущено туда или обратно. Обычная картина, с мака пытаются отправить доковский файл на РС, а файл заражен. Маку пофиг, а РС - мяу. А так как послать мыло с мака через Эксчендж-сервер нельзя, то обязательная проверка обеспечена. За сегодня уже 4 вируса схвачено и отх#ячено.
