wirusy i robaki - nowe i stare - jak z nimi walczyć

[Pawel1986]

powiem wam tyle od robali jest dobry program Ad-Aware SE Personal tak ona sie nazywa wszystkie robale usówa.

[rolaj]

Polećcie jakiś program do usówania rootkit'ów zwłaszcza backdoor hexdoor

I własnie się zmagałem z backdoor hexdoor. Wykrył to skaner a-squared Free, ale nie dawało się usunąc. Przeszedłem w awaryjny i to samo, ale zostawała już tylko jedna lokalizacja: pasksa.dll w system32. Początkowo nie dawało się tego usunąć, standard: "odmowa...sprawdź czy nie jest chronione i czy nie jest aktualnie używane". O dziwo dawało się zmienić rozszerzenie, ale dalej nic. Zmieniłem więc na ".jpg" ( ) i przeniosłem na pulpit. Ponownie uruchomiłem w awaryjnym i wiwaliłem do kosza! Ponowne skanowanie wykazało brak backdoor hexdoor!!

[rolaj]

To post pod postem, dotyczy jednak czegoś innego. Wykryłem w necie interesujący serwis skanujący darmowo podejrzane pliki:

http://www.virustotal.com/en/indexx.html

Virustotal offers a free service for scanning suspicious files using several antivirus engines.

Use the upper textbox to select and send any suspicious file to Virustotal for a scan. If you wish, you can also send files using your email client. In that case, please follow these steps:

Create a new message with scan@virustotal.com as destination address of your email.
Write SCAN in the Subject field (write SCAN- if you do not want to distribute your sample to any AV company).
Attach the file to be scanned. Such file must not exceed 10 MB in size. If the attached file is larger, the system will reject it automatically.
You will receive an email with a report of the file analysis. Response time will vary depending on the load of the system at the time of placing your request.

[alec]

Uwaga na robaka "Happy New Year!"!
Verisign ostrzega użytkowników Internetu przed nowym robakiem e-mail. Jest to poczta zawierająca w polu Temat wyrażenie "Happy New Year!".

Wiadomości (rozsyłanej aktualnie przez 160 domen e-mail) towarzyszy załącznik o nazwie "postcard.exe". Gdy użytkownik otworzy załącznik, instaluje on na komputerze kilka odmian szkodliwych programów (takich jak Tibs, Nwar, Banwarum i Glowa), które zaczynają wysyłać w sieć duże ilości zarażonych wiadomości pocztowych (atak typu mass mailing).

jak komuś by się przydał to właśnie dostałem

[pytonss]

Również znany jako: Worm.Beagle.DB
Długość: 90624
Beagle.DB jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej oraz na udostępnianiu nieautoryzowanego dostępu do zainfekowanej maszyny.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Od: [fałszywy adres]

Temat: [jeden z poniższych]

Kod:

New Year's
 New Year's Day.
 Happy New Year
 We congratulate happy New Year
 New 2006

Treść: [jedna z poniższych]

 Password: 
 The password is 

Załącznik: [jeden z poniższych]

 Ales.zip
 Alice.zip
 Alyce.zip
 Andrew.zip
 Androw.zip
 Androwe.zip
 Ann.zip
 Anna.zip
 Anne.zip
 Annes.zip
 Anthonie.zip
 Anthony.zip
 Anthonye.zip
 Avice.zip
 Avis.zip
 Bennet.zip
 Bennett.zip
 Christean.zip
 Christian.zip
 Constance.zip
 Cybil.zip
 Daniel.zip
 Danyell.zip
 Dorithie.zip
 Dorothee.zip
 Dorothy.zip
 Edmond.zip
 Edmonde.zip
 Edmund.zip
 Edward.zip
 Edwarde.zip
 Elizabeth.zip
 Elizabethe.zip
 Ellen.zip
 Ellyn.zip
 Emanual.zip
 Emanuel.zip
 Emanuell.zip
 Ester.zip
 Frances.zip
 Francis.zip
 Fraunces.zip
 Gabriell.zip
 Geoffraie.zip
 George.zip
 Grace.zip
 Harry.zip
 Harrye.zip
 Henrie.zip
 Henry.zip
 Henrye.zip
 Hughe.zip
 Humphrey.zip
 Humphrie.zip
 Isabel.zip
 Isabell.zip
 James.zip
 Jane.zip
 Jeames.zip
 Jeffrey.zip
 Jeffrye.zip
 Joane.zip
 Johen.zip
 John.zip
 Josias.zip
 Judeth.zip
 Judith.zip
 Judithe.zip
 Katherine.zip
 Katheryne.zip
 Leonard.zip
 Leonarde.zip
 Margaret.zip
 Margarett.zip
 Margerie.zip
 Margerye.zip
 Margret.zip
 Margrett.zip
 Marie.zip
 Martha.zip
 Mary.zip
 Marye.zip
 Michael.zip
 Mychaell.zip
 Nathaniel.zip
 Nathaniell.zip
 Nathanyell.zip
 Nicholas.zip
 Nicholaus.zip
 Nycholas.zip
 Peter.zip
 Ralph.zip
 Rebecka.zip
 Richard.zip
 Richarde.zip
 Robert.zip
 Roberte.zip
 Roger.zip
 Rose.zip
 Rycharde.zip
 Samuell.zip
 Sara.zip
 Sidney.zip
 Sindony.zip
 Stephen.zip
 Susan.zip
 Susanna.zip
 Suzanna.zip
 Sybell.zip
 Sybyll.zip
 Syndony.zip
 Thomas.zip
 Valentyne.zip
 William.zip
 Winifred.zip
 Wynefrede.zip
 Wynefreed.zip
 Wynnefreede.zip

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku plik wind2ll2.exe oraz modyfikuje tak rejestr by jego kopia była automatycznie uruchamiana przy każdym starcie systemu Windows.

Robak nasłuchuje na porcie 80 w oczekiwaniu na połączenia, umożliwiając w ten sposób nieautoryzowany dostęp do zainfekowanej maszyny.

Na koniec robak rozsyła swoje kopie za pomocą poczty elektronicznej

[lowak]

Uwaga na robaka "Happy New Year!"!
Verisign ostrzega użytkowników Internetu przed nowym robakiem e-mail. Jest to poczta zawierająca w polu Temat wyrażenie "Happy New Year!".

Wiadomości (rozsyłanej aktualnie przez 160 domen e-mail) towarzyszy załącznik o nazwie "postcard.exe". Gdy użytkownik otworzy załącznik, instaluje on na komputerze kilka odmian szkodliwych programów (takich jak Tibs, Nwar, Banwarum i Glowa), które zaczynają wysyłać w sieć duże ilości zarażonych wiadomości pocztowych (atak typu mass mailing).

jak komuś by się przydał to właśnie dostałem

Jak Ci się nudzi to weź mi podeślij ;-)

[alec]

za późno sorrki już wykasowałem dzieciaki mają dostęp do kompa i jak to mówią strzeżonego i .....

[alec]

coś takiego mi kaspersky wykrył czy ktoś się z czymś takim spotkał ??
wykryto: riskware Invader (loader) Uruchomiony proces: C:\Program Files\Gadu-Gadu\gg.exe

[pytonss]

To tylko nadgorliwość Twego antyvira, ja bym się nie przejmował!!!
Proponuję zapodać Hijackthisa, a później:
- jest stronka bodajże niemiecka, którą ULM@N podawał na forum, tam sprawdzisz to co pokazuje Hijackthis.


pozdrawiam
pytonss

[occultus]

Atak na Skype'a

Skype został zaatakowany przez nową odmianę konia trojańskiego Stration. Szkodliwy kod rozprzestrzenia się za pośrednictwem odnośnika rozsyłanego do posiadaczy Skype'a. Gdy użytkownik kliknie na link, jego lista kontaktów wysyłana jest na zdalny serwer.

Użytkownicy Skype'a otrzymują wiadomość z informacją ‘sprawdź to'. Dołączony jest do niej odnośnik. Po kliknięciu połączenie przekierowywane jest na serwer, który przechowuje plik o nazwie file_01.exe - czytamy w komunikacie firmy Websense.

Plik ten pobiera i uruchamia inne pliki, które otwierają w systemie użytkownika tylne drzwi, dając atakującemu dostęp do komputera.

źródło: ZDNet

[pytonss]

Alcarys


Jest robakiem internetowym rozsyłającym swoje kopie za pomocą poczty elektronicznej oraz nadpisującym pliki o określonych rozszerzeniach.Zwykle robak pojawia się w komputerze ofiary w postaci pliku załącznika do listu elektronicznego o następujących parametrach:

Temat: sounds of sex and other stuffs

Treść: ....Hear me and my girlfriend moan...
We spent yesterday's night having sex...
I've also included a list of haiku,
a cool talking screensaver and a link
to a site offering cheap ecstasy pills..
enjoy..

Załączniki:
readme.txt
http:/ /www.EcstasyRUs.com
syra.scr
SexSound.exe

Po uruchomieniu przez użytkownika pliku załącznika robak aktywizuje się wykonując następujące działania:
rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows.

nadpisuje pliki z rozszerzeniami scr, com, exe odnalezione na dysku, tak że stają się kopiami robaka.

tworzy na dysku plik c:\xxxpasswords.doc zawierający w sobie wirusa makr Worda 97.

nadpisuje waszystkie pliki z rozszerzeniem html, tak by zawierały kod uruchamiający kopię robaka.

tworzy kopie w plikach:

c:\windows\system\inet.exe
c:\windows\tmp.tmp
c:\windows\cmd.com
c:\windows\opme.co_
c:\sexsound.exe
c:\autorun.com
c:\syra.scr
c:\www.ecstasyrus.com

modyfikuje rejestr tak by jego kopia była uruchamiana przy każdym starcie systemu Windows.

zmienia nazwę zarejestrowanego użytkownika systemu Windows.

rozprzestrzenia się poprzez IRCa nadpisując skrypt startowy programu mIRC.

Na koniec swego działania robak wyświetla okienko dialogowe z następującym tekstm: you've been hit by, you've been struck by the smooth criminal, AW!.


Wanor

Cytat:
Wanor jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczt elektronicznej oraz poprzez popularne systemy wymiany plików.

Po uruchomieniu przez użytkownika pliku robaka tworzy on na dysku swoje kopie w plikach Winscr.scr, Winm.exe, a także tworzy swoje kopie w udostępnionych katalogach systemów wymiany plików KaZaA, Grokster, Morpheus, Bearshare, ICQ.

Następnie robak modyfikuje rejestr tak by jego kopia w pliku Winm.exe była uruchamiana przy każdym starcie systemu Windows. Dodatkowo robak rozsyła swoje kopie za pomocą poczty elektronicznej w postaci dwóch listów elektronicznych (jeden z nich jest wysyłany do prezydenta USA):

Temat: See content!

Treść: WAR ([Yes?] | [Not?]), see file

Załącznik: Winscr.scr

To: president@whitehouse.go

Temat: NOT WAR! ARE YOU THE ONLY DANGER FOR THE WORLD,
FOR THE HUMANITY AND FOR THE HUMAN BEING

Treść: You show us every day the danger that you
represent for the world. Leave us in peace.

http://www.punchdown.org/rvb/F15/
http://www.sundayherald.com/28224/

Załącznik: Winscr.scr

Hart

Cytat:
Hart jest prostym robakiem internetowym napisanym w języku Visual Basic Script, którego działanie polega na rozsyłaniu swoich kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:

Temat:
Britney Erotic Photos
This you phoros why this make
Hi My Friend !
Symantec New Update

Treść:

Britney New Photo
you bad
This e-card for you
New Update

Załącznik:
Britney.pif
You_bad.pif
E-card.eml
Update_Symantec.pif

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku kilka plików:

C:\Windows\E-card.eml
C:\Windows\E_card.zip
C:\Windows\By-BR3AK-H3ART.vbs
C:\Windows\Dystem32.dli
C:\Windows\decode.dll
C:\Windows\Britney.pif
C:\Windows\You_bad.pif
C:\Windows\Update_Symantec.pif
C:\Runwin.bat
C:\a.bat
C:\Ultima.vbs

oraz modyfikuje rejestr dodając do niego wywołanie pliku by-BR3AK-H3ART.vbs, a także w pliku win.ini wpisuje wywołanie pliku C:\WINDOWS\SYSTEM32.DlI, czego efektem jest uruchamianie kopii robaka przy każdym starcie systemu Windows.

W kolejnym etapie działania robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows oraz modyfikuje skrypt startowy popularnego klienta IRCa - mIRCa - tak by wysyłał automatycznie kopie robaka do wszystkich uczestników kanału na który wejdzie zainfekowany użytkownik.

Na koniec robak tworzy własne kopie na dyskach lokalnych i sieciowych w katalogach, gdzie odnajdzie pliki z rozszerzeniami gif, bmp, wav, w taki sposób, że jego kopia nosi nazwę oryginalnego pliku, z dodatkowym rozszerzeniem pif lub eml.

[np15]

W internecie pojawił się kolejny wariant wirusa Gpcode, który szyfruje pliki użytkowników i żąda pieniędzy za ich przywrócenie - alarmuje firma Kaspersky Lab.


Szkodnik ochrzczony jako Virus.Win32.Gpcode.ai został wykryty w ubiegłym tygodniu. Wykorzystuje on złożony algorytm szyfrujący pliki i archiwa użytkownika, uniemożliwiając ich otworzenie. Wirus na zaatakowanym komputerze umieszcza również plik o nazwie read_me.txt.

Komunikat zawarty w pliku jest napisany w języku angielskim. Można się z niego dowiedzieć, że pliki zostały zaszyfrowane przy użyciu algorytmu RSA-4096. Autor wirusa żąda 300 USD za oprogramowanie, które pozwoli je odszyfrować. Aby sfinalizować transakcję trzeba wysłać wiadomość na adres e-mail podany w pliku.

Oryginalny tekst zawarty w pliku przedstawia się następująco:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: [tu podany e-mail - red.] and provide us your personal code [tu podany kod - red.]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team


W rzeczywistości, najnowsza wersja tego programu-szantażysty wykorzystuje algorytm szyfrujący RC4, a nie RSA-4096, jak twierdzi autor tekstu. Firmie Kaspersky Lab udawało się już znaleźć klucz deszyfrujący pliki zaszyfrowane przez poprzednie Gpcode'y i nowa wersja nie jest w tej kwestii wyjątkiem.

Przedstawiciele firmy Kaspersky Lab apelują do wszystkich osób, aby nie spełniały żądań twórców tego wirusa, ponieważ pieniądze zachęcą ich tylko do kolejnych przestępstw. Rozwiązania antywirusowe potrafią poradzić sobie z tym szkodnikiem i przywrócić zaszyfrowane dane do pierwotnej postaci.

[pytonss]

Najbardziej charakterystyczne szkodniki

Kaspersky Lab, opublikował interesującą listę 10 najbardziej charakterystycznych szkodliwych programów czerwca 2007. Zestawienie wskazuje na niezwykłą różnorodność szkodników jakie mogą nas zaatakować, warto stale o tym pamiętać.

* Najbardziej pazerny trojan atakujący banki - w czerwcu tytuł ten przypadł trojanowi Trojan-Spy.Win32.Small.cz, który atakował 84 organizacji finansowych.
* Najbardziej pazerny trojan atakujący systemy płatności online – w czerwcu był nim Backdoor.Win32.VB.bck, który śledził użytkowników trzech różnych systemów płatności online.
* Najbardziej pazerny trojan atakujący karty płatnicze - tytuł ten zdobył majowy zwycięzca w tej kategorii Trojan-PSW.Win32.VB.kq, który "rozkręca się" coraz bardziej. W czerwcu został wykryty nowy wariant atakujący pięć różnych systemów kart płatniczych.
* Najbardziej ukradkowy program – w czerwcu tytuł ten powędrował do backdoora Backdoor.Win32.Amutius.143, który został spakowany osiem razy przy pomocy różnych kompresorów.
* Najmniejszy szkodliwy program - na miano to zasłużył w czerwcu program o rozmiarze zaledwie 14 bajtów - Trojan.BAT.DelTree.d. Mimo niewielkiego rozmiaru, szkodnik ten potrafi nieźle "narozrabiać", ponieważ usuwa wszystkie foldery z dysku.
* Największy szkodliwy program - w czerwcu był to Trojan-Spy.Win32Banbra.ha o rozmiarze prawie 30 MB.
* Najbardziej szkodliwy program - w tym miesiącu zwycięzcą w tej kategorii jest Trojan.Win32.AddUser.k, który usuwa rozwiązania antywirusowe i usługi z dysku, pamięci RAM i wszystkie związane z nimi klucze rejestru.
* Najbardziej rozpowszechniony szkodliwy program w ruchu pocztowym – w czerwcu na miano to zasłużył Email-Worm.Win32.NetSky.q, który stanowił ponad 16% całego szkodliwego ruchu pocztowego.
* Najbardziej rozpowszechniona rodzina trojanów - w kategorii tej wyraźnie prowadzi Trojan-Downloader.Win32.Agent - w czerwcu pojawiło się 501 nowych wariantów tego szkodnika.
* Najbardziej rozpowszechniona rodzina wirusów/robaków - w tym miesiącu jest to Zhelatin - w czerwcu pojawiło się 49 modyfikacji tego robaka.

?ródło: Kaspersky Lab Polska

[mit]

Właśnie dostałem maila od administratora naszego IT o treści:
"Uwaga,
jeśli otrzymacie skypem chat z linkami do zdjęć erotycznych proszę nie otwierać ich ponieważ w ten sposób rozpowszechnia się wirus.
Proszę zignorować takie linki."

I faktycznie jak patrzę tak wszystkie komputery w całej Polsce (mówię o sieci naszej firmy) zainfekowane. Całe szczęście że ja jestem nadwrażliwy i wolę w ogóle nie klikać w odnośniki bo to cholera wie co z tego może być.

Dla ciekawych podaję link (RADZę NIE KLIKAć SZCZEGÓLNIE JEŚLI KTOŚ UŻYWA SKYPE)

Kod:

http://www[kropka]fakme[kropka]org/erotic-gallerys/usr5d8c/dsc027.jpg

[pscager]

mam takiego wirusa Brr34000.exe&&000WormC.s . Sam go wykryłem bo antrywirus wskazywał go na spyware ale mi sie wydaje ze to wirus. Pomocy jak go usunąc?

[Ogorek]

Jeśli masz adres do niego to uruchom w awaryjnym i skasuj, jeśli nie to w awaryjnym jakimś antywirusem przeskanuj dokładnie kompa i zaznacz żeby skasował wszystko co znajdzie

[wyyzy]

Spróbuj też uaktualinić bazę wirusów w swoim programie - może posiadasz jakąś 'przedwojenną' nie radzącą sobie z tego typu szkodnikiem - lub po prostu przesiądź się na innego antywira [osobiście polecam NOD32].