Внимание, вирус!!

аналогично:((( у нас даже под sinn.ru и под mts-nn.ru подделались.....нам ся запретили с почтой работать....мля...:((((

А нефига рабочий ящик светить везде :-)
Вот ссылка на более подробную информацию:
securityresponse.symantec.com/avcenter/

а у нас вот свети- не свети....а на все поголовно корпоративные ящики (более 100) вирусы наприходили.....:(((((

Значит кто-то свой "подцепил".

Не секрет, что по Нижнему почтой обмениваются все, поэтому без преувеличения скажу, что вирус распространился широко и попал во все корпоративные сети, мне из нашей сети приходит где-то 1 письмо в минуту... пора б уже заткнуть это дело

Мне пока ни разу не пришел. Ни на "рабочий" ящик, ни на "публичный".

Да пожалуй тут не сотней а тыщей (а може и боле) меряется.

Между 11 и 12-ю свалилось около 30 писем с 10 разными заголовками и вложениями.

Касперский ругается на вложения только с сегодняшним обновлением.

Адрес From: и адрес To: подставляются, видимо, случайно из какого-то списка.

непонятно как он работает - я на своем компе вложения не запускал, а мне уже от касперского ругань на мои письма с вирусом пришли, 2 штуки. как же так? по какому принципу?

Это не от тебя ушло, это вирь твой адрес в поле From поставил, когда себя к кому-то посылал.

Как говорит дядька Симантек, надо искать вот что:

Creates the following files:

"shimgapi.dll" in %System%
"Message" in %temp%. This file is full of random letters and is displayed via Notepad.
"taskmon.exe" in %System%. If a copy of taskmon.exe exists in the %System%, it is overwritten and replaced by this copy of the worm.


Shimgapi.dll acts as a proxy server. It opens TCP ports in the range of 3127 to 3198 for listening. This will potentially allow a hacker to connect to the machine via these ports and utilize it as a proxy to gain access to it's network resources. In addition, the backdoor has the ability to download and execute arbitrary files.


Shimgapi.dll is loaded by EXPLORER.EXE via the registry key:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %System%\shimgapi.dll


Adds the value

TaskMon = %System%\taskmon.exe

to the registry keys

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
or
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


Can perform a Denial of Service against www.sco.com using a direct connection to port 80. Creates 64 threads which send GET requests. The DoS is active between February 1, 2004 and February 12, 2004.


Creates the following registry keys:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
and
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

The email will have the following characteristics:


выделено мной. СХ -==-

Subject:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Message:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Attachment:
document
readme
doc
text
file
data
test
message
body

with one of the following suffixes:
.pif
.scr
.exe
.cmd
.bat
.zip

это я и так прочитал на securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
каким образом он н.. а! ну правильно.... он же у других из адресной книги генерит и шлет...

ну и что? у меня в ящике полторы тыщи писем от майл.ннов.ру, а точнее от drweb'а который там крутицца. drweb говорит мне что многие письма содержат в себе MyDoom и он такие письма просто прибил... так что на майл.ннов.ру то как раз и ok все :)

Да, конечно, то-то мне за полчаса два письма с вирусом пришло...

а вы уверены что с вирусом? :)

Я-нет, но Касперский-да:)

что, пас отыскала? =)

а прикиньте....сеня утром по НТВ говорили- типа вчера на все ящики России вирус напал.....типа жутко пострадали административные бездари:((

www.newsinfo.ru/?a=radio&sa=view_new&id=47180&y=x

и не такое скажут =)