Внимание ВИРУС

[is_alex]

Сегодня пришло письмо с вложением файла .html с сухого.ру (фрагмент одной из тем ИЛ2-Штурмовик) и загадочным файлом skem.pif.
Письмо пришло с wizardmask@mail.ru

[From wizardmask <wizardmask@mail.ru>][Date Thu, 28 Mar 2002 12:55:21 +0300]/html подозрение на вирус типа Exploit.IFrame.FileDownload
[From wizardmask <wizardmask@mail.ru>][Date Thu, 28 Mar 2002 12:55:21 +0300]/skem.pif обнаружен вирус I-Worm.Klez.e

Свежий AVP выдал подозрение .... и вообще реагировал как-то странно.

Осторожней с почтой, до вирпилов сволочи добрались.

[ 28-03-2002, 15:25: Сообщение отредактировано: =FPS=Is_alex ]

[SilverFox]

Я на у себя на Postfix настроил, что бы вообще запускаемых файлов в открытом виде не проходило. Выдает он:
Out: 552 Error: 550 file attachment *.exe REJECTED May be virus? Send in
*.zip, *.rar or other arch.

И так-же со всеми pif scr ...

[is_alex]

У всех членов Сухой.ру, надо понимать, Postfix стоит

Мало ли у кого антивируса не стоит, просто предупредил о прецеденте (не первый и не последний) для меня с Сухого.ру

Мой адрес похоже с Сухого взят.

[Freddie]

сухой.ру к этому совершенно никакого отношения не имеет. Разве что только тем, что вирус взял кусок содержимого этого сайта. Возможно, что даже wizardmask@mail.ru не виноват в этом. Этот адрес мог быть взят вирусом из адресной книги владельца зараженного компьютера (или из другого ресурса на его компьютере), который посещает этот форум, и подставлен в качестве адреса отправителя в письмо, пришедшее тебе. Судя по написанию адреса, это скорее всего так и есть.

[DRAKULA]

quote:

Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит

Мало ли у кого антивируса не стоит, просто предупредил о прецеденте (не первый и не последний) для меня с Сухого.ру

Мой адрес похоже с Сухого взят.

Привет!
А ты не в курсе, NortonAntivirus2002 (свежее обновление) на это что выдает?

[is_alex]

2 Freddie
Согласен полностью !!! Так оно и есть.
Никаких претензий к кому-либо не имею.

[ 28-03-2002, 16:07: Сообщение отредактировано: =FPS=Is_alex ]

[SilverFox]

quote:

Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит

Ну у крупных контор антивир не грех на мэйлсервере запустить, а для небогатого бюджетного архива и такой способ на своем серваке сгодится

[is_alex]

quote:

Originally posted by SilverFox:

quote:

Originally posted by =FPS=Is_alex:
У всех членов Сухой.ру, надо понимать, Postfix стоит

Ну у крупных контор антивир не грех на мэйлсервере запустить, а для небогатого бюджетного архива и такой способ на своем серваке сгодится

Imho, оффтопик.
В личное pls. (Хотя пока тема антивирусной защиты крупных контор, тем паче небогатых бюджетных мне в данный момент неинтересна. Я то тут причём 8-)

[ 28-03-2002, 16:14: Сообщение отредактировано: =FPS=Is_alex ]

[Klop]

А еще кто -то базу регистраций на сухом.ру для всяких лохотронов юзает- мне приходило предложение "кликнуть и заработать миллион баксав!"

[Martin_Viktor]

Ага! Мне такая байда тоже пришла, html-файл и какой-то исполняемый файл. У исполняемого файла я только имя смог посмотреть, т.к. Norton Antivirus 2002 его ни в каком виде на комп не допускает, блин, не помню, что там было точно, но буквы 4 и все гласные, что-то типа "Aouo.exe". А html-файл не запускался, выдавал ошибку, но в Dreamweaver`е открылся, и там было что-то типа таблицы с перечнем ников, е-мейлов и пр. информации. Причем 3-4 ника, которые я встречал и в этом форуме. А страница была явно с какого-то "летательного" сайта. Я не стал заострять особое внимание на этом, просто стер нафиг и все.

[<skif>]

А мне после попытки зарегистрироваться на FPS- троянчик пришел, кстати ответс FPS прочитать я не смог

[Meccep]

После регистрации в VEF, приходит всякая фигня практически каждый день.

Кто-нить юзал http://www.fcenter.ru/softnews.shtml#material_id=2988 антивирус ?

[Artem_7]

Поймал я ентот вирус, сегодня и вчера лечился. В итое обнаружил, что там их 3:
1) Win32.HLLM.Klez1
2) I-worm.Klez-E (модификация первого)
3) Aliz (whatever.exe) (используется первым для собственного распространение по все адресам из адресной книги)

Упарился я их отлавливать.

З.Ы. Если кто-нибудь что-нибудь от меня получал - удалите от греха

[Yakovetc]

quote:

Originally posted by =FPS=Artem_7:
Поймал я ентот вирус, сегодня и вчера лечился. В итое обнаружил, что там их 3:
1) Win32.HLLM.Klez1
2) I-worm.Klez-E (модификация первого)
3) Aliz (whatever.exe) (используется первым для собственного распространение по все адресам из адресной книги)

Упарился я их отлавливать.

З.Ы. Если кто-нибудь что-нибудь от меня получал - удалите от греха

1 и 2 - это один и тот же вирус-червь, просто разные антивирусы имеют разные названия классов, поэтому и названия отличаются. Подробнее про него можно прочитать здесь: http://www.dials.ru/inf/win32_klez.htm

3 - это самостоятельный червь, не имеющий никакого отношения к Klez'у. Подробности здесь: http://www.dials.ru/inf/aliz.htm

Общего у этих двух зверей только одно - они пролезают в систему через одну и ту же дыру в движке Internet Explorer, позволяющую без ведома пользователя запустить вложение просто при прочтении письма в Outlook Express.

Единственное что можно к этому добавить: не используйте Internet Explorer и Outlook Express, а если используете, то ставьте последние версии и раз в неделю наведывайтесь на сайт Microsoft на предмет новых заплаток, закрывающих найденные дыры. Если есть вопросы, лучше задавать их в привате, так как мы уже скатились в безнадежный оффтопик.

[Meccep]

Мой антивирус выловил письмо содержащее вирус от kotov_alex@rambler.ru .

Кто бы это мог быть ?

Будьте осторожны !

[is_alex]

Связь с Сухой.ру ?

PS. У меня в день по несколько штук приходит.
Сегодня какой-то glass.exe с майл.ру приплыл без опознавательных знаков - к ^%$&*%^ матери удалил.

[Rudolf]

Да БАТом надо пользоваться. Эти почтовые вирусы все на Аутглюк рассчитаны.

[Paramon]

Только что с http://www.kaspersky.ru/ , так там как раз предупреждают про эпидемию именно этого червя.
Для тех кто не является пользователем AVP это тоже полезно - дают бесплатное лекарство и объясняют как узнать заразную почту.

[is_alex]

quote:

Originally posted by Парамон:
[/QB]

Сенькс, погнали к AVP.

[Jameson]

Это вообще баг винды, если exe переименовать в pif, оно выполняется!
А у меня тишина. У провайдера Каспер стоит на почтовом серваке. И тишина.. Вчера только узнал, месяц был не в понятках, чего это, все на эпидемию жалуются.. А меня тишина. Хотя вот например один раз пришел файл, точно вирус, и только на следующий день база вышла. Если бы запустил..

[rgreat]

Баг не винды а оутлука.
пользуйтесь http://www.ritlabs.com/ru/the_bat Rudolf дело говорит

[ 25-04-2002, 17:45: Сообщение отредактировано: rgreat ]

[Demjan]

quote:

Originally posted by rgreat:
Баг не винды а оутлука.
пользуйтесь http://www.ritlabs.com/ru/the_bat Rudolf дело говорит

Дело не в бате!!!!!!!
Пользую Бата -- получил такое письмецо правда не с сухого при открытии произошло то, что и положено -- вся тачка в де..ме -- два дня рабочих убил переставляясь -- лечится отключением в реестре возможности запуска VisualBasicScript'a

[Demjan]

Вдогон:
По поводу Касперского - ИМХО гадость еще та, кстати из-за нее и переставлялся после того как поймал вирусняк решил подлечить тачку так этот урод по умолчанию файлы зараженные и нелечимые удаляет -- в итоге на системном диске ниодного ехе-шника, низкий поклон Касперскому .
Тока DR.WEB!!!!!!!!!!!!

[rgreat]

Demjan, каким это образом ты добился запуска визуал скрипта через бат?! Или сам запустил?
У него (бата) даже ХТМЛ движек и то свой а не из эксплорера!
Или он у тебя версии 0.01 ?

Можно и мне такое письмо на rgreat@yogik.org ?
Оч. Интересно!

[ 25-04-2002, 22:17: Сообщение отредактировано: rgreat ]

[Jameson]

Именно баг винды, переименуйте любой файл с расширени EXE в файл с расширением PIF и запустите через проводник.