Просмотр полной версии : Внимание ВИРУС
Сегодня пришло письмо с вложением файла .html с сухого.ру (фрагмент одной из тем ИЛ2-Штурмовик) и загадочным файлом skem.pif.
Письмо пришло с wizardmask@mail.ru
[From wizardmask <wizardmask@mail.ru>][Date Thu, 28 Mar 2002 12:55:21 +0300]/html подозрение на вирус типа Exploit.IFrame.FileDownload
[From wizardmask <wizardmask@mail.ru>][Date Thu, 28 Mar 2002 12:55:21 +0300]/skem.pif обнаружен вирус I-Worm.Klez.e
Свежий AVP выдал подозрение .... и вообще реагировал как-то странно.
Осторожней с почтой, до вирпилов сволочи добрались.
[ 28-03-2002, 15:25: Сообщение отредактировано: =FPS=Is_alex ]
SilverFox
28.03.2002, 15:45
Я на у себя на Postfix настроил, что бы вообще запускаемых файлов в открытом виде не проходило. Выдает он:
Out: 552 Error: 550 file attachment *.exe REJECTED May be virus? Send in
*.zip, *.rar or other arch.
И так-же со всеми pif scr ...
У всех членов Сухой.ру, надо понимать, Postfix стоит :)
Мало ли у кого антивируса не стоит, просто предупредил о прецеденте (не первый и не последний) для меня с Сухого.ру
Мой адрес похоже с Сухого взят.
сухой.ру к этому совершенно никакого отношения не имеет. Разве что только тем, что вирус взял кусок содержимого этого сайта. Возможно, что даже wizardmask@mail.ru не виноват в этом. Этот адрес мог быть взят вирусом из адресной книги владельца зараженного компьютера (или из другого ресурса на его компьютере), который посещает этот форум, и подставлен в качестве адреса отправителя в письмо, пришедшее тебе. Судя по написанию адреса, это скорее всего так и есть.
quote:
Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит :)
Мало ли у кого антивируса не стоит, просто предупредил о прецеденте (не первый и не последний) для меня с Сухого.ру
Мой адрес похоже с Сухого взят.
Привет!
А ты не в курсе, NortonAntivirus2002 (свежее обновление) на это что выдает?
2 Freddie
Согласен полностью !!! Так оно и есть.
Никаких претензий к кому-либо не имею. :)
[ 28-03-2002, 16:07: Сообщение отредактировано: =FPS=Is_alex ]
SilverFox
28.03.2002, 16:08
quote:
Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит :)
Ну у крупных контор антивир не грех на мэйлсервере запустить, а для небогатого бюджетного архива и такой способ на своем серваке сгодится :)
quote:
Originally posted by SilverFox:
quote:
Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит :)
Ну у крупных контор антивир не грех на мэйлсервере запустить, а для небогатого бюджетного архива и такой способ на своем серваке сгодится :)
Imho, оффтопик.
В личное pls. (Хотя пока тема антивирусной защиты крупных контор, тем паче небогатых бюджетных мне в данный момент неинтересна. Я то тут причём 8-)
[ 28-03-2002, 16:14: Сообщение отредактировано: =FPS=Is_alex ]
А еще кто -то базу регистраций на сухом.ру для всяких лохотронов юзает- мне приходило предложение "кликнуть и заработать миллион баксав!"
Martin_Viktor
29.03.2002, 00:57
Ага! Мне такая байда тоже пришла, html-файл и какой-то исполняемый файл. У исполняемого файла я только имя смог посмотреть, т.к. Norton Antivirus 2002 его ни в каком виде на комп не допускает, блин, не помню, что там было точно, но буквы 4 и все гласные, что-то типа "Aouo.exe". А html-файл не запускался, выдавал ошибку, но в Dreamweaver`е открылся, и там было что-то типа таблицы с перечнем ников, е-мейлов и пр. информации. Причем 3-4 ника, которые я встречал и в этом форуме. А страница была явно с какого-то "летательного" сайта. Я не стал заострять особое внимание на этом, просто стер нафиг и все.
А мне после попытки зарегистрироваться на FPS- троянчик пришел, кстати ответс FPS прочитать я не смог
После регистрации в VEF, приходит всякая фигня практически каждый день.
Кто-нить юзал http://www.fcenter.ru/softnews.shtml#material_id=2988 антивирус ?
Поймал я ентот вирус, сегодня и вчера лечился. В итое обнаружил, что там их 3:
1) Win32.HLLM.Klez1
2) I-worm.Klez-E (модификация первого)
3) Aliz (whatever.exe) (используется первым для собственного распространение по все адресам из адресной книги)
Упарился я их отлавливать.
З.Ы. Если кто-нибудь что-нибудь от меня получал - удалите от греха
Yakovetc
30.03.2002, 09:44
quote:
Originally posted by =FPS=Artem_7:
Поймал я ентот вирус, сегодня и вчера лечился. В итое обнаружил, что там их 3:
1) Win32.HLLM.Klez1
2) I-worm.Klez-E (модификация первого)
3) Aliz (whatever.exe) (используется первым для собственного распространение по все адресам из адресной книги)
Упарился я их отлавливать.
З.Ы. Если кто-нибудь что-нибудь от меня получал - удалите от греха
1 и 2 - это один и тот же вирус-червь, просто разные антивирусы имеют разные названия классов, поэтому и названия отличаются. Подробнее про него можно прочитать здесь: http://www.dials.ru/inf/win32_klez.htm
3 - это самостоятельный червь, не имеющий никакого отношения к Klez'у. Подробности здесь: http://www.dials.ru/inf/aliz.htm
Общего у этих двух зверей только одно - они пролезают в систему через одну и ту же дыру в движке Internet Explorer, позволяющую без ведома пользователя запустить вложение просто при прочтении письма в Outlook Express.
Единственное что можно к этому добавить: не используйте Internet Explorer и Outlook Express, а если используете, то ставьте последние версии и раз в неделю наведывайтесь на сайт Microsoft на предмет новых заплаток, закрывающих найденные дыры. Если есть вопросы, лучше задавать их в привате, так как мы уже скатились в безнадежный оффтопик.
Мой антивирус выловил письмо содержащее вирус от kotov_alex@rambler.ru .
Кто бы это мог быть ? :)
Будьте осторожны !
Связь с Сухой.ру ?
PS. У меня в день по несколько штук приходит.
Сегодня какой-то glass.exe с майл.ру приплыл без опознавательных знаков - к ^%$&*%^ матери удалил.
Да БАТом надо пользоваться. Эти почтовые вирусы все на Аутглюк рассчитаны.
Только что с http://www.kaspersky.ru/ , так там как раз предупреждают про эпидемию именно этого червя.
Для тех кто не является пользователем AVP это тоже полезно - дают бесплатное лекарство и объясняют как узнать заразную почту.
quote:
Originally posted by Парамон:
[/QB]
Сенькс, погнали к AVP.
Это вообще баг винды, если exe переименовать в pif, оно выполняется!
А у меня тишина. У провайдера Каспер стоит на почтовом серваке. И тишина.. Вчера только узнал, месяц был не в понятках, чего это, все на эпидемию жалуются.. А меня тишина. Хотя вот например один раз пришел файл, точно вирус, и только на следующий день база вышла. Если бы запустил..
Баг не винды а оутлука.
пользуйтесь http://www.ritlabs.com/ru/the_bat Rudolf дело говорит :)
[ 25-04-2002, 17:45: Сообщение отредактировано: rgreat ]
quote:
Originally posted by rgreat:
Баг не винды а оутлука.
пользуйтесь http://www.ritlabs.com/ru/the_bat Rudolf дело говорит :)
Дело не в бате!!!!!!!
Пользую Бата -- получил такое письмецо правда не с сухого при открытии произошло то, что и положено -- вся тачка в де..ме -- два дня рабочих убил переставляясь -- лечится отключением в реестре возможности запуска VisualBasicScript'a
Вдогон:
По поводу Касперского - ИМХО гадость еще та, кстати из-за нее и переставлялся после того как поймал вирусняк решил подлечить тачку так этот урод по умолчанию файлы зараженные и нелечимые удаляет -- в итоге на системном диске ниодного ехе-шника, низкий поклон Касперскому :) .
Тока DR.WEB!!!!!!!!!!!!
Demjan, каким это образом ты добился запуска визуал скрипта через бат?! Или сам запустил? :)
У него (бата) даже ХТМЛ движек и то свой а не из эксплорера!
Или он у тебя версии 0.01 ? :)
Можно и мне такое письмо на rgreat@yogik.org ? :)
Оч. Интересно! :)
[ 25-04-2002, 22:17: Сообщение отредактировано: rgreat ]
Именно баг винды, переименуйте любой файл с расширени EXE в файл с расширением PIF и запустите через проводник.
quote:
... by rgreat:
У него (бата) даже ХТМЛ движек и то свой а не из эксплорера!
Или он у тебя версии 0.01 ? :)
Можно и мне такое письмо на rgreat@yogik.org ? :)
Оч. Интересно! :) [/QB]
Версия 1.49 - а инициировать выполнение скрипта как я понимаю можно простым открытием письма или так сильно заблуждаюся
А насчет письма я тебе ничем не помогу :) -- вон у Парамона попроси :)
2 Demjan
С правильно настроенным и обновленным AVP-монитором никакой порносайт не страшен. Эх, где я только не таскался... :)
quote:
Originally posted by Парамон:
2 Demjan
С правильно настроенным и обновленным AVP-монитором никакой порносайт не страшен. Эх, где я только не таскался... :)
А McAfee все равно круче :)
Парни, кто словил таки ету фигню... Шагайте прямиком на сайт http://www.symantec.com (Это Norton Antivirus, если кто не знает), там на первой же страничке есть програмка, которая специально создана для удаления ентого гада с компа, запускается в режиме "Защиты от сбоев". Сегодня комп вылечили на работе за 10 мин.
А вот тут ее качать можно - http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.tool.html
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved. Перевод: zCarot