IMHO.WS - Червь Novarg (Mydoom)!!!!

IMHO.WS (http://www.imho.ws/index.php)

- Безопасность (http://www.imho.ws/forumdisplay.php?f=19)

- - Червь Novarg (Mydoom)!!!! (http://www.imho.ws/showthread.php?t=49836)

Червь Novarg (Mydoom)!!!!

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового опасного интернет-червя "Novarg" (также известный как "Mydoom"). Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Этот инцидент является крупнейшим в этом году и имеет все шансы побить рекорды распространения в 2003 г.

Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F.

Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.
http://www.kaspersky.ru/news.html?id=145335904
==============================================
Сегодня на работе челы подцепили эту шнягу.

Glоок
данные немного не верны, и Web и Касперский его перехватывает

http://www.imho.ws/showthread.php?s=&threadid=49823
Rollers
не берет.. :( вируса нет, а письма все отсылаются...

На работе у чела такая ж фигня, приходят иногда ответы от мейлера, типа письмо невозможно доставить. Просканили каспером диски - всё тихо...

На данный момент появился только один борец с этим червем:
от McAfee - Stinger v 1.9.8 от 27 янв.2004г.

Подробнее можно обо всем прочитать здесь и на русском вот тут

Цитата:

Первоначальное сообщение от OldPen
На данный момент появился только один борец с этим червем:
от McAfee -

Зачем дезу давать? за 2 часа до твоего поста я обновил касперского - все он обнаружил без проблем (в почтовой базе).
Так что не McAfee единым....;)

Информация на русском тут

Петя и компания выпустили специальную тулзу по удалению этой бяки

LeMure

Подскажи где и как взять.

B]aramis@atos[/B]
Описание ремувера
_http://securityresponse.sym***ec.com/avcenter/venc/data/w32.novarg.a@mm.removal.tool.html
Программа:
_http://securityresponse.sym***ec.com/avcenter/FxNovarg.exe

2 vovik - если вы, товарищи Ученые, все такие умные, то что же это вы строем не ходите?

Очень рад, что у тебя все хорошо.
Только ты ведь не поделился информацией ни с кем за 2 часа до моего поста. Кстати, и потом тоже - ссылок на утилиты, которые оперативно помогли бы народу, что-то не видно в твоем посте (наверное, мы все невнимательно смотрели?). А о том, что Проги от Касперского знают всё о новых вирусах вообще "ещё вчера" - так давно уже (со времен СССР) бродило нехорошее подозрение в соответствующих кругах, что ситуация у них здорово похожа на того стекольщика, перед которым по улице почему-то всегда пробегал мальчишка с камнями :p .
Естественно, потом герой получает награды за оперативное реагирование:dance:

Кстати, компьютерный мир пока пришел к выводу, что этот червь родом из России ;)

Конечно, все это гнусные слухи и происки империалистов:biggrin:

P.S. Уже днем появились в доступе еще несколько утилит от разных разработчиков:
от F-secure
от AlWil Software (Avast...)
и от Касперского - отдельная утилитка

и будут еще, несомненно

Во-первых, не офтопь. :)
Во-вторых, чем надо делиться? Тем, что антивирусные базы надо регулярно обновлять?:biggrin:
В-третьих, Rollers за 12 часов до тебя написал

Цитата:

данные немного не верны, и Web и Касперский его перехватывает

Какой еще инфой я должен был делиться? :confused: :biggrin:

ВСЕМ!!!!!!!!
Во-первых, Касперский ловит эту штуку (я тут давеча отсылал в лабораторию экземплярчик).
А во-вторых, я не понимаю: на фига вы тут шухер подняли? Мы теперь из-за каждого виря темы открывать будем? НЕТ В НЁМ НИЧЕГО НОВОГО!!! Да и чего помогать тем, кто открывает что-попало?:mad:

Shanker
какой злой однако! :biggrin:
вирь ловится без проблем, если он (вирь) на компутере есть, а если нет? =) ничего в нет не ломится, а передача данных идеть.... outpost не видит... антивирь нет... письма приходят, что я мол вонючий рассыльщик вирусов! :) странно,...

PS^ но это было вчера - седня все ок! ;)

hempsmoke
Да просто бесит: как Каспер вы**нется, так сразу сюда описалово к этим вирям кидают... нефиг здесь флейм разводить!

Цитата:

письма приходят, что я мол вонючий рассыльщик вирусов! странно,...

Чего странного? Подставили твой адрес обратный

Цитата:

Shanker:
Во-первых, Касперский ловит эту штуку

Теперь ловит. А раньше (днём во вторник) не ловил! База была обновлена в понедельник, после многократного сканирования файлов каспер выдавал отрицательный результат, то есть не обнаруживал червя, после обновления утром в среду, всё обнаруживает. Во вторник пытался обновить базу, но наверное из-за наплыва посетителей добиться этого было невозможно...

Glоок

Цитата:

Теперь ловит. А раньше (днём во вторник) не ловил!

Этот топ был начат в среду. Так что непонятно о чем разговор.:confused:
В среду уже ловил!

Новые подробности разрушающего действия вируса MyDoom.B

Цитата:

Независимый исследователь Juari Bosnikovich juarib@m-net.arbornet.org опубликовал в списке рассылки новые подробности разрушающего действия вируса MyDoom.B, которые не были опубликованы антивирусными компаниями.
Антивирусные компании говорят, что код вируса написан на ассемблере, однако при дизассемблировании, он выглядит как написанный на c++. Оказалось, что антивирусные компании скрывают основную информацию о действии вируса, например как тот факт, что в действительности 12 февраля он не остановит свое распространение. На самом деле после 12 февраля MyDoom перейдет в новую фазу и будет еще более опасным поскольку появится новая обновленная и мутировавшая версия. Известно, что MyDoom посредством shimgapi.dll оставляетоткрытыми порты 3127-3189, но это используется только для скрытия реальных намерений MyDoom.B.

До сих пор не было известно, что вирус заражает BIOS компьютера. По словам исследователя, вирус записывает в BIOS код длиной 624 байта, который будет управляться по TCP протоколу после 12 февраля. Также нет возможности вылечить вирус записанный в BIOS, кроме как перезаписать в флеш память BIOS заново

http://www.securitylab.ru/42467.html

Да смотрите не откройте вот эти письма. : MAILER-DAEMON@freemail.hu Я уже ступил, и попал. Так что вот эти письма, невкоем случае не читайте.

Цитата:

Shanker:
Чего странного? Подставили твой адрес обратный

какие плохие.. :)

Добавлено через 2 минуты:
PonoP
а что в них страшного? это ответ антивируса о том, что в теле письма вирус... ничего страшного в нем нет.

PonoP
Мда... ну и навёл ты тут шухеру:p Ты по-больше этих неуловимых Касперов слушай! Они умеют лапшу на уши вешать! Одна круче другой!!!
Говорят, что из-за этого вируса скоро инет развалится и останутся от него админы да ламеры... а хакеры по лесу разбегутся прятаться от ФСБ:biggrin:
Так что ничего страшного, если ты прочитаешь пару строчек из такого письма!:ooh:

сколько пользуюсь касперским - ниразу не одного вируса не словил. и в этот раз удалил всю ботву вирусов. хороший антивирь

Вирусы - инструмент естественного отбора, как хищники в природе :)

Цитата:

Первоначальное сообщение от Shanker
PonoP
Мда... ну и навёл ты тут шухеру:p Ты по-больше этих неуловимых Касперов слушай! Они умеют лапшу на уши вешать! Одна круче другой!!!
Говорят, что из-за этого вируса скоро инет развалится и останутся от него админы да ламеры... а хакеры по лесу разбегутся прятаться от ФСБ:biggrin:
Так что ничего страшного, если ты прочитаешь пару строчек из такого письма!:ooh:

Shanker ti ne prav.. (kak vsegda...) virus h*****... a vot mail serveri on valit p***** kak.. traff raz v 10 uvelichivaetsya.. a to i bolshe..

ps: dlya postfix'a nikakogo filtra net sluchayno?

InstaneX

Цитата:

a vot mail serveri on valit

А я разве говорил, что-то про мыльные серваки? Я говорил, что если прочитать пиьмо - вирем не заразищься! Вот и всё!!!

Цитата:

virus h*ynya

Это верно: то, что он за три дня поразил 600 000 компов прекрасно показывает скока в сети ламеров!!!!!!

cd19

Цитата:

Вирусы - инструмент естественного отбора, как хищники в природе

Полностью согласен!:yees: Держи http://www.imho.ws/images/5stars.gif

watson

Цитата:

хороший антивирь

Во-первых, речь идёт не об этом, а во-вторых, чем это он хорош? Посмотри из чего его база состоит!:rolleyes: И обрати внимание на его гнилую эвристику!!!

INSANEX: Ya poproshu tebya otredaktirowat swoe soobschenie i ubrat mat. W protiwnom sluchae ya budu winujden dat preduprejdenie.

Не понял из-за чего шум? Вирус примитивный, на идиота. Летучий мышь, который у меня мылом заведует, позволяет такие письма отстреливать на подлете (идиоту видно, что сообщение "Не могу доставить письмо..." с приаттаченным .exe файлом кроме вируса ничем быть не может.
А насчет УЖАСНОЙ новости о модификации BIOS - есть вопрос: Как это можно управлять BIOS'ом по TCP? Кто желает - могу дать свой IP, и поуправляте на здоровье!

SinClaus

Цитата:

Не понял из-за чего шум?

И я тоже: развели тут флейм из-за такой ерунды!!!

Цитата:

Вирус примитивный, на идиота

Согласен! и его стремительное распространение показывает скока в сети ламеров:rolleyes:

Цитата:

идиоту видно, что сообщение "Не могу доставить письмо..." с приаттаченным .exe файлом кроме вируса ничем быть не может.

Ты мыслишь как и я!:yees: Но беда в том, что ламеры уверены, что если письмо с их обратным адресом не дошло - это ихнее, даже если они это не посылали!

Цитата:

А насчет УЖАСНОЙ новости о модификации BIOS - есть вопрос: Как это можно управлять BIOS'ом по TCP

Я тоже об этом задумался...

Цитата:

Кто желает - могу дать свой IP, и поуправляте на здоровье!

У тебя IP фиксированный? Я могу попробовать;)

Короче, тебе от меня http://www.imho.ws/images/5stars.gif

Добавлено через 3 минуты:
Glook

Цитата:

....но сегодня на работе челы подцепили эту шнягу

На сколько они "умные" мона посмотреть из моего последнего поста

Цитата:

Ни касперски ни drweb не отлавливают червь на сегодняшнее число

Я уберу это из шапки: нефиг юзеров пугать:cool:

SinClaus
Shanker
:yees:

Цитата:

InsaneX:
Shanker ti ne prav.. (kak vsegda...) virus h*****...

по-моему последние несколько дней он(Shanker)-то и пытается это всем доказать(что само тело вируса-h****)....

У меня вопрос (немного может не в тему): не кажется ли вам,что новые вирусы создают те же люди, которые пишут проги по борьбе с ними. Та же,например, команда касперского....

>Glоок

Почему-то не кажется. Кашперек сам по себе не хуже вируса, и пользуется социальной инженерией для того, что бы его не просто устанавливали на машины, но еще и покупали :p . У меня исторически стоит NAV от дяди Пети, вот к нему я претензий не имею вообще (машинку не вешает, ненужными сканами не занимается, почтовых вирусов вирусов отстреливает влет). В связи с эпидемией идиотской заразы они выпустили аж ТРИ обновления базы за неделю.
А вообще как говорят на родине этого форума, На Аллаха надейся, а верблюда привязывай!

Цитата:

А вообще как говорят на родине этого форума, На Аллаха надейся, а верблюда привязывай!

В пакистане чтоли форум создан :confused:

Glook

Цитата:

Хм... если тока отдельные личности команды.... А так - нет! Нафиг им это? Во-первых, за день создаётся около 20 новых вирей, а во-вторых, как тока появляется эпидемия, та компания, которая первой найдёт способ борьбы с ним сразу же поделится этим и с другими антивирусными лабораториями (вопреки их соперничества)! Так что версия создания виря для возможности повысить свой статус отпадает.

развели тут флейм из-за такой ерунды!!! (c) Shanker

nu ya dumayu admini www.sco.com s toboy ne soglasyatsya :) na danniy moment sco.com v daune.. a vinovati lameri kotorie otkrivayut vsyakie attached files ot neznakomih mil... ddos udalsya =)

InstaneX

Цитата:

nu ya dumayu admini www.sco.com s toboy ne soglasyatsya na danniy moment sco.com v daune.. a vinovati lameri kotorie otkrivayut vsyakie attached files ot neznakomih mil... ddos udalsya =)

Дык, я и говорю: если DDoS-атака удалась, это явно показывает скока в сети ламеров (ИМХО: ламеры - вот кто настаящая проблема инета!!!)
А ничего нового в этом вире нет! Значит, и говорить особо не о чем:rolleyes:

Разделяю точку зрения о том что самый злобный вирус это пользователь, который думать не умеет что делает.
А про TCPIP это оригинально даже... :) И откуда это сетефой протокол про БИОС прознал и наоборот? Видимо кто-то не очень себе представляет как все это работает... Ну записаться в БИОС это еще млжно стерпеть а вот про сеть - вряд-ли... БРЕД!
Как всегда развели СМИ шумиху, а остальные и рады поддерживать.. Бабок просто кому-то захотелось. Не будем показывать пальцами.... :)

ВСЕМ
Кину пару ссылочек по теме:

Цитата:

Появившийся в Интернет 26 января вирус Mydoom, также известный как NovaRG, не только поразил систему электронной почты, но и спровоцировал начало яростных (и, порой, бессмысленных) споров о том, кто именно стоит за этой напастью. Как известно, компьютеры, зараженные Mydoom, в "час "Д" должны начать атаку на сервер компании SCO Group для того, чтобы вывести его из строя, напоминает BusinessWeek. Расположенная в американском штате Юта, компания SCO Group известна тем, что именно она заявляет о своих правах на основу кода "открытой" операционной системы Linux. Из-за этого к ней предъявляют достаточно серьезные претензии другие создатели "открытых" компьютерных программ, настаивающие на том, что этот код не принадлежит никому. В подобных условиях было бы логично предположить, что инициатором атаки на сервер SCO Group, и, соответственно, создателем вируса Mydoom мог бы быть кто-то, причастный к спорам между этой компанией и ее оппонентами из числа программистов-любителей "открытого" кода, говорится в материале Worldeconomy. По данным компании MessageLabs, занимающейся исследованием компьютерных вирусов, Mydoom впервые появился в России, что, правда, вовсе не означает, что он был создан именно в этой стране. Единственная подсказка, оставленная автором, состоит из английской фразы "синк-1.01; энди; Я просто делаю мою работу, ничего личного, извини", зашифрованной в программном коде вируса. Относительно мотивации автора Mydoom поползло еще больше слухов после того, как 28 января в Сети появился новый вариант этого вируса, нацеленный не только на сайт SCO Group, но и на сайт самой Microsoft. Отсутствие четкой информации об авторе (или авторах?) Mydoom породило множество спекуляций на эту тему. "Мы не знаем, где кроются корни этой атаки, хотя у нас есть определенные подозрения по этому поводу", – говорит генеральный директор SCO Group Дарл МакБрайд: "Это преступная деятельность, и ее необходимо остановить. SCO предлагает вознаграждение в размере $250 000 за информацию, которая приведет к аресту и осуждению лиц, ответственных за это преступление". Более подробные комментарии от SCO Group нам пока получить не удалось. Гораздо менее сдержанны в высказываниях адепты программного обеспечения с "открытым" кодом, многие из которых и без того просто помешаны на всевозможных конспирологических "теориях заговора". На сайте Slashdot.org, на котором собираются "открытокодники", можно найти десятки версий истории появления Mydoom. Многие посетители сайта считают, что руку к этому приложила сама SCO Group. Так, по словам посетителя под именем "Герцог-теней", становясь жертвой получившей широкую огласку вирусной атаки, в организации которой можно обвинить "адептов открытого кода", SCO Group только выигрывает. "Кто еще может получить преимущества от вируса, который был выявлен на столь раннем этапе?", – говорит он. Ему вторит Брюс Перенс, гуру сторонников "открытого" программного кода. По его мнению, у SCO Group может быть веская причина попытаться "подставить" "открытокодников" для того, чтобы спасти свою собственную репутацию. "Мы дали явно понять, что они [SCO Group] солгали под присягой на суде. Такая компания не остановится перед тем, чтобы атаковать свой собственный сайт для того, чтобы представить своих оппонентов в черном свете", – заявляет он в статье, вывешенной на его собственном сайте. Другой потенциальный претендент на звание создателя Mydoom, по мнению Перенса – это спэммеры, т.е. организаторы назойливых рекламных почтовых рассылок, недовольные тем, как с ними борются программисты-"открытокодники". "Вполне вероятно, что этот вирус был создан с целью очернить создателей Linux спэммерами, SCO или кем-то еще. И, только ваше поведение может повлиять на то, преуспеют ли эти люди в своей миссии", – обращается Перенс к своим последователям. Вместе с тем, пока эти и другие обвинения не подкреплены хотя бы сколько-нибудь существенными доказательствами. По мнению профессиональных борцов с компьютерными вирусами, создателем Mydoom, скорее всего, был один из членов "сообщества "открытого" кода", который в этом своем начинании руководствовался "скорее чувствами, чем разумом". Вместе с тем, по мнению экспертов, на данном этапе вычислить автора вируса можно только в том случае, если он сам совершит какую-то ошибку, например, начнет хвастаться своим "подвигом". Эксперты считают, что сейчас программистам стоит уделить больше внимания минимизации возможного ущерба от Mydoom и предотвращению новых атак, а не бессмысленным спорам о том, кто именно написал этот вирус.

http://www.securitylab.ru/42548.html

www.sco.com – оружие массового уничтожения: http://www.securitylab.ru/42530.html

А вот ещё что по рассылке от Касперов пришло:

Цитата:

31 января на множестве сайтов компьютерного андеграунда была опубликована якобы новая, сенсационная информация (http://lists.netsys.com/pipermail/fu...ry/016353.html) о черве Mydoom (http://www.viruslist.com/viruslist.html?id=144488783) от некоего "независимого исследователя" по имени Юари Босникович (Juari Bosnikovich). Согласно высказываниям "исследователя", антивирусные компании скрывают правду о ряде функций, присутствующих в коде вируса. Так, по словам Юари, вирус написан на ассемблере, но таким образом, чтобы выглядеть написанным на языке C++. Из этого факта Юари делает смелый вывод: раз он написан на ассемблере, значит, бОльшая часть его функциональности осталась нераспознанной экспертами антивирусных компаний. Господин Босникович предупреждает, что на самом деле вирус отнюдь не прекратит свою активность 12 февраля 2004 года, как сообщают антивирусные эксперты, а "будет обновлен" и "мутирует" в версию Mydoom.c. Затем следуют заявления о заражении червем BIOS компьютера, куда, якобы, записывается код длиной в 624 байта. Этот код открывает TCP-порт, если системная дата превышает 12 февраля 2004 года. В качестве заключения своих "исследований" г-н Босникович выдвигает предположение о всемирном заговоре антивирусных компаний, которые "пытаются что-то скрыть", и обвиняет ведущие антивирусные лаборатории в некомпетентности. Давайте разберем заявление "независимого исследователя" на составные части. Во-первых, для настоящих антивирусных исследователей не существует разницы между ассемблером и C++, ведь они изучают вовсе не исходные коды вредоносной программы, а результаты работы дизассемблера, которые всегда показывают все заложенные в коде функциональные возможности вне зависимости от языка программирования, при помощи которого этот код был создан. Во-вторых, встроенный в семейство червей Mydoom механизм удаленного администрирования, продолжающий свою работу и после 12 февраля 2004 года, позволяет злоумышленникам загружать на зараженные компьютеры любые программы на свое усмотрение. Это может быть и новая модификация вируса Mydoom, которая, что совершенно логично, будет иметь версию "c". Однако в данный момент этой версии в интернете не существует, и никаких выводов о её чрезмерной опасности сделать невозможно - особенно исходя из анализа кода существующих версий червя. В-третьих, нельзя записать вредоносный код в 624 байта длиной в BIOS компьютера. Причин здесь сразу несколько. Для начала придется что-то стереть из существующей прошивки BIOS, после чего компьютер попросту откажется запускаться. Далее: на свете существует несметное множество BIOS от разных производителей, которые изменяются от версии к версии и от материнской платы к другой материнской плате настолько, что предусмотреть наличие места даже для 624 байт во всех компьютерах и всех версиях прошивок представляется совершенно нереальным. На практике это означает, что если бы Mydoom что-то записывал в BIOS, почтовые ящики службы технической поддержки "Лаборатории Касперского" были бы переполнены письмами от пользователей, у которых попросту перестали включаться компьютеры. Но этого нет. Можно в силу разных причин не верить экспертам антивирусных компаний, но нельзя отрицать существование здравого смысла. Кроме того, г-н Босникович (кстати, нет никакой уверенности, что подобный человек вообще существует) допустил грубейшую ошибку, написав в своей провокации об открытии некоего TCP-порта из BIOS компьютера теми самыми 624 байтами зловредного кода. Опытному пользователю ПК должно быть известно, что для открытия порта TCP/IP требуется хотя бы наличие на компьютере соответствующего сетевого протокола, который управляется вовсе не из BIOS, а только из операционной системы. Другими словами, "открыть TCP-порт из BIOS" невозможно. Окончательно "независимого исследователя" обличают обвинения во всеобщем заговоре и некомпетентности. Подумайте сами, какой смысл антивирусным компаниям скрывать подробности об особенно опасных функциях Mydoom? Должны же тому быть логические обоснования! Но логика утверждает, что всё как раз наоборот - нет и никогда не было у производителей антивирусного ПО причин скрывать подробности о вирусе, эпидемия которого уже захлестнула весь интернет. Сложно сказать, кому понадобилась подобная провокация. Возможно, г-н Босникович занимается самопиаром? Но больше всего эта история напоминает чью-то злую шутку.

Rollers
Зачем дублировать то, что написано на 2 поста выше?:confused: