IMHO.WS - Червь Novarg (Mydoom)!!!!

IMHO.WS (http://www.imho.ws/index.php)

- Безопасность (http://www.imho.ws/forumdisplay.php?f=19)

- - Червь Novarg (Mydoom)!!!! (http://www.imho.ws/showthread.php?t=49836)

vovik
О том же хотел написать утром, но соединение херовое было:blin:

Rollers
Ай, доиграешься ты! Кажется, ShooTer тебя простил один раз, но его терпение кончалось! Как бы оно не закончилось на твоём последнем посте!

Добавлено через 40 минут:
Glook
Я подправалю шапку... а то не все знают, что Novarg и Mydoom - одно и то же! А Хеллу и Shooter'у проблем прибавляется с копиями постов...:ooh:

Прчел в еще одной побликации (поскольку многое в статье повторяет по смыслу приведенные выше выдержки, привожу только 1 абзац):

Обнаружили в McAfee и другую особенность Mydoom.B. Как выяснилось, в коде червя имеется ошибка, из-за которой в атаке на сайт Microsoft будут участвовать далеко не все зараженные компьютеры, а всего около 7% из них.

Полностью статья здесь:

_http://www.compulenta.ru/2004/2/3/44876/

Goryn
Да... по телеку про это говорили...
Кстати, нафиг ты перед ссылкой чёрточку ставишь? Это актуально только для крэков!!!

Shanker
Здесь где-то в рекомендациях читал, что не стоит всяким индекс цитирования поднимать;)

ВСЕМ
Анекдот в тему:
Приходит к юзеру почтальон:
Почтальон: Извините, но письмо, которое вы недавно отправляли, не доставлено из-за ошибки в адресе...
Юзер: Чёрт! Опять MyDooM!! - сказал юзер и застрелил бедного почтальона...

Rollers
Предупреждение заработал. VIP снят.

Добавлено в ту же минуту:
Shanker
Будь внимателен-тормознись в выражениях.

Цитата:

Shanker:
Кстати, нафиг ты перед ссылкой чёрточку ставишь? Это актуально только для крэков!!!

это нужно чтоб скрыть http_referer, чтоб скрыть адрес сайта с которого зашли по ссылке, и причем тут крекеры?

Добавлено через 8 минут:

Цитата:

SinClaus:
Почему-то не кажется. Кашперек сам по себе не хуже вируса, и пользуется социальной инженерией для того, что бы его не просто устанавливали на машины, но еще и покупали . У меня исторически стоит NAV от дяди Пети, вот к нему я претензий не имею вообще (машинку не вешает, ненужными сканами не занимается, почтовых вирусов вирусов отстреливает влет).

зря ты так про каспера, имхо NAV сакс, я тебе за 5 секунд зделаю чистяк (недетектабельность) любого виря или троя, которого NAV не будет видеть а каспер увидит. вот выдет 5-я версия каспа поставлю её себе :ooh:

Добавлено через 1 минуту:
могу зделать кстати бесплатно, чисто в азнакомительных целях чистяк, кому надо

Цитата:

Первоначальное сообщение от R!xon
зря ты так про каспера, имхо NAV сакс, я тебе за 5 секунд зделаю чистяк (недетектабельность) любого виря или троя, которого NAV не будет видеть а каспер увидит. вот выдет 5-я версия каспа поставлю её себе :ooh:

Добавлено через 1 минуту:
могу зделать кстати бесплатно, чисто в азнакомительных целях чистяк, кому надо [/B]

Дело в том, что вся эта пакость до антивиря не доходит ;) . Я вроде уже писал, что у меня стоит тихо-тихо почтовая мышка и ВСЮ почту предъявлет мне на предмет решения - брать или убивать не качая. Так что все твои усилия пропадут втуне. Вот если я решаю сохранить чью-нибуд поделку на предмет исследования, забыв по рассеянности отключить NAV, тогда он злорадно рапортует, что поубивал кучу всякой бяки.

А KAV периодически вешал мою рабочую машинку (2хPIII 1GHz, 512 Mb RAM), и отключать его не так просто, когда нужно, так что я на него малость в обиде. Я не говорю про ламеров, но для программера/админа и т.д. NAV более подходящая штука.

R!xon

Цитата:

могу зделать кстати бесплатно, чисто в азнакомительных целях чистяк, кому надо

Ну если токо для ознакомительных целей, то я не против, токо запакуй и пароль поставь ;) Можешь не один, мне антивири потестить надо

SinClaus
R!xon
Вообще-то, здесь говорят о другом!

Ещё инфа:
MyDoom заставил задуматься о будущем антивирусного ПО

Цитата:

Вирус MyDoom, удачно сочетающий в себе несколько известных методов атаки, в первые часы своего взрывного распространения оказался не по зубам антивирусным программам. «До сих пор интернет не знал ничего подобного, — говорит генеральный директор производителя антивирусного ПО Finjan Software Шломо Тоубоул. — Очевидно, что для защиты в первые часы атаки нужен еще один уровень (ПО)». Несмотря на глубокое понимание процесса распространения подобных вирусов, эксперты, похоже, не знают, как их остановить. Популярные антивирусные технологии обычно начинают действовать только после того, как пользователь загрузит соответствующее обновление. И хотя антивирусные программы — самая популярная технология защиты (по данным Computer Security Institute, их применяют около 99% корпораций), многие домашние пользователи не устанавливают их. Начав распространение неделю назад, MyDoom заразил 2 млн компьютеров. Например, сервис-провайдер MessageLabs изолировал свыше 17 млн почтовых сообщений. По данным, собранным в начале эпидемии, MessageLabs определил, что одному из клиентов компании с каждого интернет-адреса, за которым стоит зараженный ПК, было отправлено в среднем по восемь сообщений с вирусом. Компании все еще получают огромное количество вирусоносной почты, но распространение MyDoom замедлилось, так как круг неосторожных пользователей, избежавших заражения, сузился. Быстро распространяющиеся вирусы вновь ставят вопрос о том, как пользователям и компаниям защищаться от них. Новое ПО здесь вряд ли поможет. Скорее всего, придется пересмотреть баланс между удобством и безопасностью. И считать возможность исполнять вложенные программы прямо из сообщений в Outlook не полезной функцией, а ошибкой. Если угрозу не предотвратить, то может пострадать гораздо больше компьютеров, подключенных к интернету. Раз MyDoom превращает зараженные ПК в плацдармы для атаки на другие компьютеры и для рассылки спама, то опасности подвергаются все веб-сайты. SCO это уже почувствовала. Веб-сайт компании пал первой жертвой атаки на отказ в обслуживании со стороны ПК, зараженных оригинальной версией вируса MyDoom. Попытавшись было удержать сайт в рабочем состоянии, SCO вскоре отключила свой адрес от системы доменных имен. Теперь она переадресует посетителей на новый веб-сайт. То же может произойти и с главным веб-сайтом Microsoft, на который нацелен второй вариант вируса. Microsoft говорит, что она подготовилась к атаке, но не рассказывает, как именно. Эксперты надеются, что защита Microsoft будет эффективнее, чем у SCO. «Она покажет, что здесь можно сделать, — говорит вице-президент антивирусной компании Network Associates Винсент Джаллотто. — Во всяком случае в прошлом году Microsoft, по-моему, удалось найти лучший выход из подобной ситуации».

Ссылка: http://www.securitylab.ru/42562.html

Вот ещё статья в тему:
Автор MyDoom заметает следы?
Червь Doomjuice поражает ПК, уже зараженные оригинальным вирусом MyDoom или вариантом MyDoom.B, и в числе прочих действий помещает в компьютеры жертв несколько копий исходного кода MyDoom.A, сообщает Zdnet.ru.

Возможно, автор использует эту тактику для создания массы пользователей ПК, в которой легко затеряться, или же распространяет код в надежде, что другие писатели вирусов создадут варианты MyDoom, считает старший консультант антивирусной компании Sophos Грэм Клали. «Если он распространил свой код по сети в надежде затеряться в толпе, то этот человек коварнее среднего писателя вирусов», — говорится в заявлении Клали.

Doomjuice — одна из двух программ-паразитов (вторая называется Deadhat), начавших распространяться на этой неделе. Оба вируса заражают компьютеры, уже ставшие жертвой одного из двух вирусов MyDoom. Doomjuice пытается также заставить зараженный ПК атаковать веб-сайт Microsoft.

Включение в Doomjuice исходного кода оригинального вируса MyDoom предполагает, что нового червя создал автор оригинального вируса. Имя andy, встречающееся в обоих вирусах MyDoom, дало некоторым исследователям повод предположить, что оригинальный MyDoom и вариант MyDoom.B тоже созданы одним и тем же лицом или одной и той же группой.

Другие эксперты согласны, что целью последней вредоносной программы может быть заметание следов. SCO Group и Microsoft предложили по 250 тыс. долл. за информацию, которая приведет к аресту и осуждению лица или группы лиц, виновных в распространении соответственно вирусов MyDoom.A и MyDoom. Если оба вируса вышли из одного источника, награда составит 500 тыс. долл.

Ссылка: http://www.securitylab.ru/42708.html

MYDOOM СМОГУТ КЛОНИРОВАТЬ

В Интернете появились исходники вируса MyDoom. Не трудно предположить в связи с этим, что скоро в сети появятся многочисленные клоны известного вируса. Более того, похоже кто-то решил специально разослать код нашумевшего червя по как можно большому числу адресов. Новый вирус Worm.Win32.Doomjuice закачивает на зараженный компьютеры текст программы вируса MyDoom. Теперь любой желающий может запустить новую эпидемию червя, подправив по своему усмотрению пару строк.

Ссылка: http://www.silversoft.biz/

Вот статейка по-поводу того, кому выгодно писать виряки:
=================================

Можно продолжить размышления и все-таки ответить честно на прямой вопрос: кому выгодны вирусные эпидемии? Ответ прост: в первую очередь — антивирусным компаниям, и против этого утверждения сложно что-либо возразить.

=================================
Очевидно, не только у меня возникают сомнения, что это делают безбашенные хакеры, которым некуда девать энергию....

Glook
Я могу возразить: после того, как найдено лечилово к вирю, создавшему эпидемию, антивирусные компании друг друга снабжают полученной инфой, невзирая на соперничество!!! Так что это им не очень то и выгодно: виря, вызвавшего эпидемию примерно с одинаковой эффективностью будут обезоруживать все популярные антивирусы!!!

Обнаружен новый вариант червя MyDoom
В конце прошлой недели сразу несколько антивирусных компаний сообщили об обнаружении нового варианта червя MyDoom. Вредоносная программа MyDoom.F пока не получила широкого распространения, однако эксперты не исключают возможности начала новой эпидемии.

Оригинальная версия MyDoom появилась в конце января нынешнего года. Скорость распространения вируса была настолько высокой, что червь практически сразу был охарактеризован как один из самых опасных за все время существования интернета. По различным оценкам, MyDoom инфицировал от нескольких сотен тысяч до двух миллионов компьютеров по всему миру. Более того, вредоносная программа вывела из строя сайт компании SCO.

Что касается MyDoom.F, то он, также как и его предшественники, распространяется по электронной почте в виде файлов-вложений. Тема письма, текст и название вложения выбираются произвольным образом из заложенного в код вируса списка. После неосторожного запуска присланного файла червь копирует себя в системную директорию Windows и регистрируется в ключе автозапуска реестра операционной системы. Кроме того, MyDoom.F пытается закрыть ряд запущенных процессов (в том числе и антивирусы), уничтожить файлы с расширениями .bmp, .avi, .jpg, .sav, .xls, .doc и .mdb и разослать свои копии по найденным на ПК адресам электронной почты. Наконец, если системная дата лежит в пределах между 17 и 22 числом месяца, червь организует DoS-атаку на сайты корпорации Microsoft и Американской ассоциации звукозаписывающих компаний (RIAA).

networkdoc.ru

Вопрос про это

Цитата:

(в том числе и антивирусы), уничтожить файлы с расширениями .bmp, .avi, .jpg, .sav, .xls, .doc и .mdb и разослать

Он совсем их убивает или можно попробовать восстановить (программно/людям отнести)?

edinstvennoje chem etot virus dostal tak eto v pik svojei "popularnosti" postojanno zabival pochtovyi jashik, po poltora mega v den' prihodilos' udalat':)

a vot traffik v setke znachitelno vyros i plus kuchu ne stabilnyh mail serverov pouronal!

eshe takoi vopross: KAK na takoje mozhno povestis'?????

Цитата:

Shanker:
червь организует DoS-атаку на сайты корпорации Microsoft и Американской ассоциации звукозаписывающих компаний (RIAA).

от клева, чишо себе червя поставить gigi

В интернете появился Mydoom.R

В интернете появился Mydoom.R

Panda Software обнаружила появление новой версии R широко известного червя Mydoom. Эта новая версия уже начала распространяться по интернету.

Mydoom.R распространяется по электронной почте со следующими характеристиками:

Отправитель: Mydoom.R подделывает адрес. Таким образом, получатель считает, что носитель инфекции — отправитель. В качестве адреса отправителя сообщения могут быть следующие имена: adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, claudia, dan, dave, david, debby, fred, george, helen, jack, james, jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, maria, mary, matt, michael, mike, peter, ray, robert, sam, sandra, serg, smith, stan, steve, ted и tom.

Тема письма — «photos» (фотографии), в теле письма — «LOL!;))))». Приложение носит имя «PHOTOS_ARC.EXE», имеет размер 27 KB и написано в 6-й версии Visual C.

Компьютер инфицируется, когда пользователь запускает зараженный файл. Mydoom.R также включает поиск электронных адресов в файлах с определенным расширением и посылает свои копии на все найденные адреса.