Сегодня пришло письмо с вложением файла .html с сухого.ру (фрагмент одной из тем ИЛ2-Штурмовик) и загадочным файлом skem.pif.
Письмо пришло с wizardmask@mail.ru

[From wizardmask <wizardmask@mail.ru>][Date Thu, 28 Mar 2002 12:55:21 +0300]/html подозрение на вирус типа Exploit.IFrame.FileDownload
[From wizardmask <wizardmask@mail.ru>][Date Thu, 28 Mar 2002 12:55:21 +0300]/skem.pif обнаружен вирус I-Worm.Klez.e

Свежий AVP выдал подозрение .... и вообще реагировал как-то странно.

Осторожней с почтой, до вирпилов сволочи добрались.

[ 28-03-2002, 15:25: Сообщение отредактировано: =FPS=Is_alex ]

Я на у себя на Postfix настроил, что бы вообще запускаемых файлов в открытом виде не проходило. Выдает он:
Out: 552 Error: 550 file attachment *.exe REJECTED May be virus? Send in
*.zip, *.rar or other arch.

И так-же со всеми pif scr ...

У всех членов Сухой.ру, надо понимать, Postfix стоит :)

Мало ли у кого антивируса не стоит, просто предупредил о прецеденте (не первый и не последний) для меня с Сухого.ру

Мой адрес похоже с Сухого взят.

сухой.ру к этому совершенно никакого отношения не имеет. Разве что только тем, что вирус взял кусок содержимого этого сайта. Возможно, что даже wizardmask@mail.ru не виноват в этом. Этот адрес мог быть взят вирусом из адресной книги владельца зараженного компьютера (или из другого ресурса на его компьютере), который посещает этот форум, и подставлен в качестве адреса отправителя в письмо, пришедшее тебе. Судя по написанию адреса, это скорее всего так и есть.

quote:

Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит :)

Мало ли у кого антивируса не стоит, просто предупредил о прецеденте (не первый и не последний) для меня с Сухого.ру

Мой адрес похоже с Сухого взят.

Привет!
А ты не в курсе, NortonAntivirus2002 (свежее обновление) на это что выдает?

2 Freddie
Согласен полностью !!! Так оно и есть.
Никаких претензий к кому-либо не имею. :)

[ 28-03-2002, 16:07: Сообщение отредактировано: =FPS=Is_alex ]

quote:

Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит :)

Ну у крупных контор антивир не грех на мэйлсервере запустить, а для небогатого бюджетного архива и такой способ на своем серваке сгодится :)

quote:

Originally posted by SilverFox:

quote:

Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит :)

Ну у крупных контор антивир не грех на мэйлсервере запустить, а для небогатого бюджетного архива и такой способ на своем серваке сгодится :)

Imho, оффтопик.
В личное pls. (Хотя пока тема антивирусной защиты крупных контор, тем паче небогатых бюджетных мне в данный момент неинтересна. Я то тут причём 8-)

[ 28-03-2002, 16:14: Сообщение отредактировано: =FPS=Is_alex ]

А еще кто -то базу регистраций на сухом.ру для всяких лохотронов юзает- мне приходило предложение "кликнуть и заработать миллион баксав!"

Ага! Мне такая байда тоже пришла, html-файл и какой-то исполняемый файл. У исполняемого файла я только имя смог посмотреть, т.к. Norton Antivirus 2002 его ни в каком виде на комп не допускает, блин, не помню, что там было точно, но буквы 4 и все гласные, что-то типа "Aouo.exe". А html-файл не запускался, выдавал ошибку, но в Dreamweaver`е открылся, и там было что-то типа таблицы с перечнем ников, е-мейлов и пр. информации. Причем 3-4 ника, которые я встречал и в этом форуме. А страница была явно с какого-то "летательного" сайта. Я не стал заострять особое внимание на этом, просто стер нафиг и все.

А мне после попытки зарегистрироваться на FPS- троянчик пришел, кстати ответс FPS прочитать я не смог

После регистрации в VEF, приходит всякая фигня практически каждый день.

Кто-нить юзал http://www.fcenter.ru/softnews.shtml#material_id=2988 антивирус ?

Поймал я ентот вирус, сегодня и вчера лечился. В итое обнаружил, что там их 3:
1) Win32.HLLM.Klez1
2) I-worm.Klez-E (модификация первого)
3) Aliz (whatever.exe) (используется первым для собственного распространение по все адресам из адресной книги)

Упарился я их отлавливать.

З.Ы. Если кто-нибудь что-нибудь от меня получал - удалите от греха

quote:

Originally posted by =FPS=Artem_7:
Поймал я ентот вирус, сегодня и вчера лечился. В итое обнаружил, что там их 3:
1) Win32.HLLM.Klez1
2) I-worm.Klez-E (модификация первого)
3) Aliz (whatever.exe) (используется первым для собственного распространение по все адресам из адресной книги)

Упарился я их отлавливать.

З.Ы. Если кто-нибудь что-нибудь от меня получал - удалите от греха

1 и 2 - это один и тот же вирус-червь, просто разные антивирусы имеют разные названия классов, поэтому и названия отличаются. Подробнее про него можно прочитать здесь: http://www.dials.ru/inf/win32_klez.htm

3 - это самостоятельный червь, не имеющий никакого отношения к Klez'у. Подробности здесь: http://www.dials.ru/inf/aliz.htm

Общего у этих двух зверей только одно - они пролезают в систему через одну и ту же дыру в движке Internet Explorer, позволяющую без ведома пользователя запустить вложение просто при прочтении письма в Outlook Express.

Единственное что можно к этому добавить: не используйте Internet Explorer и Outlook Express, а если используете, то ставьте последние версии и раз в неделю наведывайтесь на сайт Microsoft на предмет новых заплаток, закрывающих найденные дыры. Если есть вопросы, лучше задавать их в привате, так как мы уже скатились в безнадежный оффтопик.

Мой антивирус выловил письмо содержащее вирус от kotov_alex@rambler.ru .

Кто бы это мог быть ? :)

Будьте осторожны !

Связь с Сухой.ру ?

PS. У меня в день по несколько штук приходит.
Сегодня какой-то glass.exe с майл.ру приплыл без опознавательных знаков - к ^%$&*%^ матери удалил.

Да БАТом надо пользоваться. Эти почтовые вирусы все на Аутглюк рассчитаны.

Только что с http://www.kaspersky.ru/ , так там как раз предупреждают про эпидемию именно этого червя.
Для тех кто не является пользователем AVP это тоже полезно - дают бесплатное лекарство и объясняют как узнать заразную почту.

quote:

Originally posted by Парамон:
[/QB]

Сенькс, погнали к AVP.

Это вообще баг винды, если exe переименовать в pif, оно выполняется!
А у меня тишина. У провайдера Каспер стоит на почтовом серваке. И тишина.. Вчера только узнал, месяц был не в понятках, чего это, все на эпидемию жалуются.. А меня тишина. Хотя вот например один раз пришел файл, точно вирус, и только на следующий день база вышла. Если бы запустил..

Баг не винды а оутлука.
пользуйтесь http://www.ritlabs.com/ru/the_bat Rudolf дело говорит :)

[ 25-04-2002, 17:45: Сообщение отредактировано: rgreat ]

quote:

Originally posted by rgreat:
Баг не винды а оутлука.
пользуйтесь http://www.ritlabs.com/ru/the_bat Rudolf дело говорит :)

Дело не в бате!!!!!!!
Пользую Бата -- получил такое письмецо правда не с сухого при открытии произошло то, что и положено -- вся тачка в де..ме -- два дня рабочих убил переставляясь -- лечится отключением в реестре возможности запуска VisualBasicScript'a

Вдогон:
По поводу Касперского - ИМХО гадость еще та, кстати из-за нее и переставлялся после того как поймал вирусняк решил подлечить тачку так этот урод по умолчанию файлы зараженные и нелечимые удаляет -- в итоге на системном диске ниодного ехе-шника, низкий поклон Касперскому :) .
Тока DR.WEB!!!!!!!!!!!!

Demjan, каким это образом ты добился запуска визуал скрипта через бат?! Или сам запустил? :)
У него (бата) даже ХТМЛ движек и то свой а не из эксплорера!
Или он у тебя версии 0.01 ? :)

Можно и мне такое письмо на rgreat@yogik.org ? :)
Оч. Интересно! :)

[ 25-04-2002, 22:17: Сообщение отредактировано: rgreat ]

Именно баг винды, переименуйте любой файл с расширени EXE в файл с расширением PIF и запустите через проводник.

quote:

... by rgreat:
У него (бата) даже ХТМЛ движек и то свой а не из эксплорера!
Или он у тебя версии 0.01 ? :)

Можно и мне такое письмо на rgreat@yogik.org ? :)
Оч. Интересно! :) [/QB]

Версия 1.49 - а инициировать выполнение скрипта как я понимаю можно простым открытием письма или так сильно заблуждаюся
А насчет письма я тебе ничем не помогу :) -- вон у Парамона попроси :)

2 Demjan
С правильно настроенным и обновленным AVP-монитором никакой порносайт не страшен. Эх, где я только не таскался... :)

quote:

Originally posted by Парамон:
2 Demjan
С правильно настроенным и обновленным AVP-монитором никакой порносайт не страшен. Эх, где я только не таскался... :)

А McAfee все равно круче :)

Парни, кто словил таки ету фигню... Шагайте прямиком на сайт http://www.symantec.com (Это Norton Antivirus, если кто не знает), там на первой же страничке есть програмка, которая специально создана для удаления ентого гада с компа, запускается в режиме "Защиты от сбоев". Сегодня комп вылечили на работе за 10 мин.

А вот тут ее качать можно - http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.tool.html