Обсуждение www.nnov.ru
Внимание, вирус!!
Сегодня ночью началась эпидемя нового червя I-Worm.Novarg
подробнее читайте www.viruslist.com/alert.html?id=144487727
Моя рабочая почта просто завалена письмами с mail.nnov.ru
надо что-то предпринять
подробнее читайте www.viruslist.com/alert.html?id=144487727
Моя рабочая почта просто завалена письмами с mail.nnov.ru
надо что-то предпринять
аналогично:((( у нас даже под sinn.ru и под mts-nn.ru подделались.....нам ся запретили с почтой работать....мля...:((((
SneG сказал(а):
Сегодня ночью началась эпидемя нового червя I-Worm.Novarg
подробнее читайте www.viruslist.com/alert.html?id=144487727
Моя рабочая почта просто завалена письмами с mail.nnov.ru
надо что-то предпринять
Сегодня ночью началась эпидемя нового червя I-Worm.Novarg
подробнее читайте www.viruslist.com/alert.html?id=144487727
Моя рабочая почта просто завалена письмами с mail.nnov.ru
надо что-то предпринять
А нефига рабочий ящик светить везде :-)
Вот ссылка на более подробную информацию:
securityresponse.symantec.com/avcenter/
а у нас вот свети- не свети....а на все поголовно корпоративные ящики (более 100) вирусы наприходили.....:(((((
Bruksa сказал(а):
а у нас вот свети- не свети....а на все поголовно корпоративные ящики (более 100) вирусы наприходили.....:(((((
а у нас вот свети- не свети....а на все поголовно корпоративные ящики (более 100) вирусы наприходили.....:(((((
Значит кто-то свой "подцепил".
Не секрет, что по Нижнему почтой обмениваются все, поэтому без преувеличения скажу, что вирус распространился широко и попал во все корпоративные сети, мне из нашей сети приходит где-то 1 письмо в минуту... пора б уже заткнуть это дело
Bruksa сказал(а):
а у нас вот свети- не свети....а на все поголовно корпоративные ящики (более 100) вирусы наприходили.....:(((((
а у нас вот свети- не свети....а на все поголовно корпоративные ящики (более 100) вирусы наприходили.....:(((((
Да пожалуй тут не сотней а тыщей (а може и боле) меряется.
Между 11 и 12-ю свалилось около 30 писем с 10 разными заголовками и вложениями.
Касперский ругается на вложения только с сегодняшним обновлением.
Адрес From: и адрес To: подставляются, видимо, случайно из какого-то списка.
Касперский ругается на вложения только с сегодняшним обновлением.
Адрес From: и адрес To: подставляются, видимо, случайно из какого-то списка.
непонятно как он работает - я на своем компе вложения не запускал, а мне уже от касперского ругань на мои письма с вирусом пришли, 2 штуки. как же так? по какому принципу?
Это не от тебя ушло, это вирь твой адрес в поле From поставил, когда себя к кому-то посылал.
Как говорит дядька Симантек, надо искать вот что:
Creates the following files:
"shimgapi.dll" in %System%
"Message" in %temp%. This file is full of random letters and is displayed via Notepad.
"taskmon.exe" in %System%. If a copy of taskmon.exe exists in the %System%, it is overwritten and replaced by this copy of the worm.
Shimgapi.dll acts as a proxy server. It opens TCP ports in the range of 3127 to 3198 for listening. This will potentially allow a hacker to connect to the machine via these ports and utilize it as a proxy to gain access to it's network resources. In addition, the backdoor has the ability to download and execute arbitrary files.
Shimgapi.dll is loaded by EXPLORER.EXE via the registry key:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %System%\shimgapi.dll
Adds the value
TaskMon = %System%\taskmon.exe
to the registry keys
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
or
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Can perform a Denial of Service against www.sco.com using a direct connection to port 80. Creates 64 threads which send GET requests. The DoS is active between February 1, 2004 and February 12, 2004.
Creates the following registry keys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
and
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Как говорит дядька Симантек, надо искать вот что:
Creates the following files:
"shimgapi.dll" in %System%
"Message" in %temp%. This file is full of random letters and is displayed via Notepad.
"taskmon.exe" in %System%. If a copy of taskmon.exe exists in the %System%, it is overwritten and replaced by this copy of the worm.
Shimgapi.dll acts as a proxy server. It opens TCP ports in the range of 3127 to 3198 for listening. This will potentially allow a hacker to connect to the machine via these ports and utilize it as a proxy to gain access to it's network resources. In addition, the backdoor has the ability to download and execute arbitrary files.
Shimgapi.dll is loaded by EXPLORER.EXE via the registry key:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %System%\shimgapi.dll
Adds the value
TaskMon = %System%\taskmon.exe
to the registry keys
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
or
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Can perform a Denial of Service against www.sco.com using a direct connection to port 80. Creates 64 threads which send GET requests. The DoS is active between February 1, 2004 and February 12, 2004.
Creates the following registry keys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
and
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
The email will have the following characteristics:
Subject:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Message:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Attachment:
document
readme
doc
text
file
data
test
message
body
with one of the following suffixes:
.pif
.scr
.exe
.cmd
.bat
.zip
-=-
From: may be a spoofed from address
выделено мной. СХ -==-From: may be a spoofed from address
Subject:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Message:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Attachment:
document
readme
doc
text
file
data
test
message
body
with one of the following suffixes:
.pif
.scr
.exe
.cmd
.bat
.zip
это я и так прочитал на securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
каким образом он н.. а! ну правильно.... он же у других из адресной книги генерит и шлет...
каким образом он н.. а! ну правильно.... он же у других из адресной книги генерит и шлет...
ну и что? у меня в ящике полторы тыщи писем от майл.ннов.ру, а точнее от drweb'а который там крутицца. drweb говорит мне что многие письма содержат в себе MyDoom и он такие письма просто прибил... так что на майл.ннов.ру то как раз и ok все :)
а прикиньте....сеня утром по НТВ говорили- типа вчера на все ящики России вирус напал.....типа жутко пострадали административные бездари:((