Эффективный Интернет.

Выпуск 23.

Вирусы, Вирусы, Вирусы...

Руссификация.

Уникальные CD. Школа Своего Дела. Партнерская программа.

Здравствуйте!

Привет zork,

Большое спасибо Уважаемый,
благодаря вам всё-таки удалось меня спасти вроде бы, когда проверял
почту вместе с рассылками получил около десяти писем с подобными
аттачментами, одно оставил но другие решил удалить захотелось
посмотреть как поведёт себя мой NAV запусти атачмент запустился
блокнот ну думаю текстовуха какая-то ну и ладно, пошел на улицу,
провожать подругу вернулся решил плотнее почитать почту, дошел до
вашей рассылки, прочитал обалдел (а у меня еще Zone Alarm ругнулся
когда я этот аттач открыл говорит taskmon.exe хочеш в что-то сделать
разрешить или нет ну в принципе имя стандартное разрешил.) сразу
нашёл его в процессах убил, файл удалил, реестр почистил.

Спасибо большое за вовремя доставленную информацию.

--
С Уважением, GEckO

К сожалению, без обновления вирусной базы антивирусов, они не замечают его, лучший способ - не открывать никаких вложений. Никаких.

Здравствуйте, Zork!

Хочу поблагодарить вас в начале за предупреждение о вирусе-черве
Mydoom в рассылке. За день мне пришло несколько писем с признаками
указанными вами в рассылке, и если бы не вы я бы сейчас сидел бы с
червем в системе... Бат вытянул письма с почтовых серверов, и будучи в
режиме офф-лайн, я не открывая архивы, прикрепленные к зараженным
письмам, удалил их, как в папке Инбокса, так и в корзине. Надеюсь
ничего плохого не произошло.

Но меня беспокоит и другая вещь... Я вчера получил одно письмо на
другой ящик, с которого тот же Бат вытянул письмо. Писала какая-то
Elena с fuckensuicide@hotmail.com  Там было написано на английском, что мол она
высылает мне фото, которое я якобы за день до этого попросил. Лично я
был удивлен этому, т.к. я не знаю никакую Елену с таким оригинальным
почтовым ящиком. К письму был прикреплен архив (но признаки всего
письма были не те, что вы раскрыли в рассылке насчет Mydoom) с
названием Myphoto. Там был файл myphoto.jpg.exe. Он так и не
открылся.... Разве бывает файл одновременно имеющий расширение .jpg
и .exe? И тут я затревожился, а вдруг это был вирус?.....
Вот теперь у меня возник вопрос, знаете ли вы что-нибудь про вирус с
таким названием Myphoto?
Я ответил на письмо. Думал, если сервер примет письмо, значит имя
почтового ящика не было взято с потолка. Мне пришло уведомление, что
такого почтового ящика нет... Теперь меня терзают смутные сомнения...

Заранее благодарен!

--
С наилучшими пожеланиями!
Jonathan.

Да, парень, ты попал.

Вот она, информация

I-Worm.Dumaru.j

Один из червей семейства Dumaru. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь содержит в себе функции "бэкдора" и троянской программы для кражи информации.

Червь является приложением Windows (PE EXE-файл), упакован утилитой FSG, размер упакованного файла около 17KB, распакованного - около 43KB.
Инсталляция
При инсталляции червь копирует себя с именами "l32x.exe" и "vxd32v.exe" в системный каталог Windows, а также в %startup% каталог, с именем "dllxw.exe".

Регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"load32" = "%windir%\%system%\l32x.exe"
На компьютерах, работающих под управлением операционной системы Windows 95/98/ME червь изменяет секцию в файле "system.ini":

[boot]
shell=explorer.exe %System%\vxd32v.exe
Рассылка писем
Червь ищет файлы *.HTM, *.WAB, *.HTML, *.DBX, *.TBB, *.ABD во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами зараженные письма. Для этого червь создает ZIP-архив с именем "zip.tmp" во временном каталоге Windows, который в дальнейшем добавляется в качестве вложения к письмам.

Червь также создаёт файл "winload.log" в каталоге Windows и записывает в него обнаруженные адреса электронной почты, по которым ведется рассылка зараженных писем.
Содержание зараженных писем
Адрес отправителя:

"Elene" <******SUICIDE@HOTMAIL.COM>
Тема письма:

Important information for you. Read it immediately !
Текст письма:

Hi !
Here is my photo, that you asked for yesterday.
Вложение:

myphoto.zip
Для рассылки писем червь использует прямое обращение к SMTP-серверу, подставляя в качестве обратного адреса "address@dyandex.ru". Таким образом все сообщения почтовых сканеров об обнаруженных в письмах экземплярах червя будут направляться на этот адрес.
Прочее
Червь открывает на зараженном компьютере порт 10000 для приема команд, что позволяет удаленно управлять зараженной системой. Также червь обладает функцией клавиатурного шпиона и способен сохранять всю вводимую с клавиатуры информацию в отдельном файле.

Есть еще один похожий вирус, получал недавно.

I-Worm.Mimail.q

Зашифрованный вариант почтового червя семейства Mimail. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Состоит из двух компонентов - "дроппера" и непосредственно червя. Файл "дроппера" в каждом письме имеет уникальный ключ шифрования.
Дроппер
Приложение Windows (PE EXE-файл), размером около 32KB. Содержит в себе в упакованном виде главный компонент червя, файл "outlook.exe".

При запуске выводит на экран ложное сообщение об ошибке:



Копирует себя в каталог Windows с именем "sys32.exe" и регистрирует данный файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"System" = "%Windir%\sys32.exe"
Извлекает из себя главный компонент червя, файл "outlook.exe", который также копируется в каталог Windows.

"Дроппер" имеет функцию самошифрования своего тела при запуске и таким образом код вложений, разосланных с данного компьютера в ходе текущего сеанса работы Windows, будет идентичным. После перезагрузки Windows ключ шифрования будет изменен на новый.
Главный компонент
Приложение Windows (PE EXE-файл), размером около 50KB. Осуществляет рассылку по электронной почте своего "дроппера", а также содержит в себе backdoor-функцию и функцию кражи информации.

Создает в системном реестре Windows несколько ключей, для идентификации своего присутствия на машине:

[Software\Microsoft\Windows\CurrentVersion\Explorer]
Explorer2
Explorer3
Explorer4
Explorer5
Explorer
Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь исключает из проверки файлы, с расширениями com, wav, cab, pdf, rar, zip, tif, psd, ocx, vxd, mp3, mpg, avi, dll, exe, gif, jpg и bmp.

Адреса электронной почты, найденные в прочих файлах, сохраняются в файле "outlook32.cfg", и по ним производится рассылка зараженных писем.

Зараженные письма формируются из нескольких десятков различных вариантов и параметров, например:
Адрес отправителя:

[произвольный]
Тема письма:

very cool picture only for you
Текст письма:

Good evening my dearest [произвольное имя],
I wondered
My brother had best sex I ever seen last night togather with the boss of [произвольное имя] %-)
I switched on my samsung camera and make excellent images!
Please don't show pictures to your bro, okay?
или, например:
Тема письма:

sexy photo
Текст письма:

Good evening Lora
I shocked
My brother had best sex last evening with the sister of Jim %-)))
But I turned on panasonic cam and create good pictures %-)
And do not show photos anybody else, I trust you.
Имя вложения:

prv_photos.gif.pif [произвольное]
Размер вложения - 32KB. При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Для отсылки писем напрямую на smtp-сервер получателя, червь использует DNS сервер 212.5.86.163 (аналогично варианту I-Worm.Mimail.p).
Прочее
Червь содержит в себе backdoor-функцию, открывающую на зараженном компьютере порт 6667 TCP для приема команд.

Запускает на порту 3000 командную оболочку cmd.exe для приема и выполнения команд.

Пытается открыть порты 80, 1433, 1434 и если попытка оказалась успешной, отсылает информацию на адрес advokat_2000@mail15.com с сообщениями mssql2 open и mssql open.

Пытается установить соединение с www.google.com и если попытка оказалась успешной, отсылает информацию на адреса:

hodorkovsky@mail15.com
avp@mail15.com
Также, в случае успешного доступа к www.google.com, червь запускает функцию кражи информации пользователей системы PayPal, полностью аналогичную примененной в I-Worm.Mimail.p. Собранная информация отсылается на адреса:

kaspersky_av@mail15.com
kasperskyeee@mail15.com
kaspersky_av@hotbox.ru
kaspersky_eee@pochta.ru
Eugene.Kaspersky@gmx.net
boris@berezovsky.cjb.net
just-for-fun@ziplip.com
Аналогично версиям Mimail.a, Mimail.b, Mimail.c и Mimail.p, червь обладает функцией кражи информации пользователей платежной системы E-Gold. Собранная информация сохраняется в файле "c:\tmpgld.txt" и отсылается на адреса из списка:

E.Kaspersky@gmx.net
kaspersky_eugene@hotbox.ru
kaspersky_eugene@mail15.com
eugene@kaspersky.com
Червь содержит в себе текстовое обращение следующего содержания:

*** GLOBAL WARNING: if any free email company or
hosting company will close/filter my email/site accounts,
it will be DDoS'ed in next version. WARNING: centrum.cz
will be DDoS'ed in next versions, coz they have closed my
mimail-email account. Who next? ***
visit our friendly site www.blackgate.us

И, наконец, модификация нашего нового друга

I-Worm.Mydoom.b

Модифицированный вариант червя I-Worm.Mydoom.a. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa.

Червь является приложением Windows (PE EXE-файл), имеет размер 29184 байта, упакован UPX и PE-Patch. Размер распакованного файла около 49KB.

Червь активизируется только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайты www.microsoft.com и www.sco.com.

Часть тела вируса зашифрована.

В распакованном файле имеется текстовая строка:

(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
Инсталляция
После старта червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.

При инсталляции червь копирует себя с именем "explorer.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = "%System%\explorer.exe"
Червь создает в системном каталоге Windows файл "ctfmon.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"
Таким образом данная DLL будет запускаться как дочерний процесс Explorer.exe.

Также червь создает файл "Body" во временном каталоге системы (обычно, %windir%\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "sync-v1.01__ipcmtx0".

Червь заменяет стандартный файл "hosts" в каталоге Windows на свой собственный, измененный таким образом, чтобы пользователь зараженной машины не мог получить доступ через интернет к следующим доменам:


ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com

office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
Рассылка писем
Функция рассылки писем идентична примененной в варианте Mydoom.a, с небольшими изменениями.

Тело письма выбирается произвольно из списка:

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received

The message contains Unicode characters and
has been sent asa binary attachment.

The message contains MIME-encoded graphics and
has been sent as a binary attachment

Mail transaction failed. Partial message is available.
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
с расширением из списка:

bat
exe
scr
pif

Если Вас интересует  вопрос защиты от вирусов подробнее, рекомендую CD "Секреты Супер Хакера. Бесплатный Интернет".

У него несколько претензионное название, но оно оправдывает себя на все 100%. Отличная подборка информации, в том числе и по программированию вирусов, и защите от них.

Подробно об этом диске  смотрите здесь.

Далее, есть такая проблема, парень имеет (по нескольку раз в ДЕНЬ:) операционку Windows XP, французскую.

Очень хочется ему читать письма по -русский. Но не получается их прочитать. А написать ему подобные письма получается.

Кто хорошо разбирается в этом вопросе - напишите.

У меня есть пара советов, но я их пока приберегу, послушаю спецов.


Уникальные CD. Школа Своего Дела. Партнерская программа.

Если кого-то мучает вопрос "как бросить курить?", то вам можно посоветовать заглянуть на этот сайт: http://www.stopsmoke.ru, посвященный именно этой проблеме. Если вам сейчас приходят в голову мысли, что вот, опять, будет рассказываться как курение вредно, как это губит здоровье, как воздействует на окружающих, и вообще, каким надо быть волевым человеком, чтобы избавиться от пагубной привычки и т.п. ... вы ошибаетесь. Автор сайта, Тимур Мамедов (который сам был заядлым курильщиком, и, поэтому знает, что это такое), разработал собственную уникальную методику, использующую особые психологические механизмы избавления от курения. И это не пустые слова. Ведь, если подумать, таких методик было уже тысячи. Но, наверное, такого подхода к курящему человеку, который использует система, разработанная Т. Мамедом, еще не применялась. Ведь, по сути, никто не задумывается, почему я начал курить, зачем мне это, что меня к этому привело, вообще - чем курение хорошо? Проанализировав это, избавиться от курения не так уж сложно (обещается, что период ломки пройдет через 3 дня). Читая отзывы людей и сообщения на форуме (коих количество уже больше 2000) сомнений в действенности методики не возникает. Насчет сайта - очень приятный дизайн, и, что очень радует - автор не скрывает своих координат - значит, ему нечего скрывать, и каждый, кто хочет, может с ним связаться и задать вопросы. На сайте можно подписаться на Краткий Курс - в нем подробная информация о методике, а также немного методических материалов. По отзывам - некоторым удается бросить курить при помощи только лишь Краткого Курса.

 

Если Вы желаете, чтобы Ваши адреса публиковались в Рассылке, указывайте это в своих письмах.

Принимаются Ваши статьи для публикации.

До скорой встречи!

Валерий zork@pochtamt.ru