Новый вирус?
 

Открыл сегодня ящик, а там валяется 6 писем примерно одного содержания.
Все выглядит примерно так:

От: Inet Delivery System
Тема: abort report
Размер: 72420

От: Technical Support
Тема: last internet critical pack
Размер: 84670

От: Postmaster
Тема: report
Размер: 72464

От: Admin
Тема: Returned Message: User unknown
Размер: 72376

От: Public Assistance
Тема: Security Patch
Размер: 85047

От: Microsoft Security Assistance
Тема: Current Internet Critical Pack
Размер: 85097

Вложения или *.bat или *.exe или *.scr
Т.к. все свалилось за выходные и примерно одного размера навевает определенные мысли. У кого-то такое было?

отнюдь не новый... ;) про scr не разу правда не слышал и не видел...
удаляй и не связывайся! может обычные трояны, но в тихом омуте....

hempsmoke
Не, я естесвенно и не думал открвывать. А почему "новый" написал, так потому, что свалились письма в эти выходные. Раньше такого не было.

Йохансон™
это тебе ктото один пишет, наверно ждет пока ты чонить да запустишь

Сохрани на винте в EML, Зайди и посмотри FAR-ом или чем любиш, без запуска. Если есть загрузчик - значит вирус, иначе - может кто прикалывается

Alex Dark
да можно по названиям понять что это за проги:ржать:

Да снес я уже все. Новых вроде нет.

Да понимать то и не надо
Если пришло письмо с вложением (актуально на Оутглюке) сохраняешь его и смотриш ID вложения и название.
А там к.л. файло безвредного содержание, а при этом под тем же ID еще лежит и загрузчик вируса.

При открытии "лапша" на ушах Вирус в компе :)

Добавлено через 1 минуту:
А по названию можно понять что за файло тама лежит

В нете небольшая эпидемия, я думаю это про это:

I-Worm.Tanatos.b (I-Worm.Bugbear Backdoor)

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Также заражает исполнительные (EXE) файлы Windows и содержит троянские процедуры удалённого управления зараженным компьютером (backdoor).

Червь является приложением Windows (PE EXE-файл), имеет размер около 72Kb (упакован UPX и зашифрован поверх UPX-сжатия). Распакованный размер - около 170Kb. Червь написан на Microsoft Visual C++.

В теле вируса содержатся строки:

w32shamur
W32.Shamur
tanatos

Инсталляция

При инсталляции червь копирует себя в директорию Windows под случайно выбранным именем. Новых ключей в реестре не создается. Кроме того, червь создает свою копию во временной директории Windows с названием "vba%rnd%.TMP" (здесь и далее %rnd% - случайно выбранная строка чисел). Эта копия затем запускается, работает в качестве активного системного сервиса (не отображается в списке задач).

Червь также создает:

в системной директории Windows:

gpflmvo.dll - перехватчик нажатий клавиш на клавиатуре (примерно 6K размером)
zpknpzk.dll - внутренний файл данных
shtchs.dll - внутренний файл данных
в директории Windows:

%rnd%.dat - внутренний файл данных

Распространение

Червь использует собственный встроенный SMPT-движок для рассылки зараженных писем. Червь ищет email-адреса на доступных дисках в следующих файлах:

*.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX
Поле "От" либо фальсифицируется (выбирается случайным образом из других найденных на зараженном компьютере адресов), либо оставляется оригинальным - вариант выбирается случайно.

Зараженные письма содержат самый разнообразный текст в теме и теле письма. Червь произвольно выбирает его из текстовых файлов на дисках или же использует одну из следующих строк в поле "Тема":

Greets!
Get 8 FREE issues - no risk!
Hi!
Your News Alert
$150 FREE Bonus!
Re:
Your Gift
New bonus in your cash account
Tools For Your Online Business
Daily Email Reminder
News
free shipping!
its easy
Warning!
SCAM alert!!!
Sponsors needed
new reading
CALL FOR INFORMATION!
25 merchants and rising
Cows
My eBay ads
empty account
Market Update Report
click on this! fantastic
wow!
bad news
Lost & Found
New Contests
Today Only
Get a FREE gift!
Membership Confirmation
Report
Please Help...
Stats
I need help about script!!!
Interesting...
Introduction
various
Announcement
history screen
Correction of errors
Just a reminder
Payment notices
hmm..
update
Hello!
Название вложенных файлов выбирается произвольно несколькими путями:

1. Червь ищет файлы с расширением *.INI в персональных папках пользователя. В случае обнаружения файла с названием "%filename%.INI", червь рассылает себя с названием "%filename%.%ext", где %ext% выбирается случайным образом из ".scr", ".pif", ".exe".

2. Червь выбирает название вложенного файла случайно из следующих вариантов:

readme, Setup, Card, Docs, news, image, images, pics, resume, photo, video, music, song, data
Расширение файла выбирается случайно из тех же вариантов: ".scr", ".pif", ".exe".

3. Червь ищет файлы *.BMP, *.DOC, *.GIF, *.JPG, *.RTF и пр., и использует их полные названия в качестве имени инфицированного вложения. В этом случае, вложенные файлы имею двойные расширения, например:

doc1.doc.exe euro.gif.scr table.xls.pif
4. Червь отсылает себя под названием "setup.exe".

Некоторые зараженные письма случайным образом содержат уязвимость IFrame, позволяющую запускать вложения при просмотре письма. В остальных письмах червь активизируется только после запуска вложенного файла пользователем.

Инфицирование файлов EXE

При заражении исполнительного файла червь записывает себя в конец файла. Копия червя "встраивается" в структуру заражаемого файла: добавляются "секции", модифицируется PE-заголовок, производятся необходимые изменения в секциях "Import" и "Fixup".

Червь использует "легкую" полиморфик-процедуру шифрации поверх своего упакованного UPX тела.

Червь заражает несколько файлов в системе:

"стандартные" EXE-файлы в директории "Program Files":

winzip\winzip32.exe
kazaa\kazaa.exe
ICQ\Icq.exe
DAP\DAP.exe
Winamp\winamp.exe
AIM95\aim.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
Trillian\Trillian.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
StreamCast\Morpheus\Morpheus.exe
QuickTime\QuickTimePlayer.exe
WS_FTP\WS_FTP95.exe
MSN Messenger\msnmsgr.exe
ACDSee32\ACDSee32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
CuteFTP\cutftp32.exe
Far\Far.exe
Outlook Express\msimn.exe
Real\RealPlayer\realplay.exe
Windows Media Player\mplayer2.exe
WinRAR\WinRAR.exe
adobe\acrobat 5.0\reader\acrord32.exe
Internet Explorer\iexplore.exe
и в директории Windows:

winhelp.exe
notepad.exe
hh.exe
mplayer.exe
regedit.exe
scandskw.exe

Заражение сети

Червь распознает сетевые ресурсы и затем копирует себя по ним в папки автозапуска со случайно выбранным именем и расширением ".exe" или же просто как "setup.exe". Червь также ищет "стандартные" EXE-файлы (см. выше) в общих папках и заражает их.

Удалённое управление (backdoor)

Червь открывает порт 1080 и ожидает запроса своего "владельца". Эта процедура позволяет осуществлять следующие операции:

просматривать информацию о дисках и файлах;
копировать и удалять файлы;
просматривать перечень запущенных приложений;
останавливать запущенное приложение;
запускать локальный файл по требованию "владельца" червя;
получать от "владельца" файл и запускать его;
вести логи нажатий клавиш на клавиатуре;
открывать HTTP-сервер для получения доступа к ресурсам дисков и сети.

Процедура PSW Trojan

Процедура активизируется только если используемый в системе по умолчанию SMTP-сервер принадлежит к одному из указанных в списке ниже. Большинство этих адресов используются коммерческими банками. В этом случае, червь отправляет кэшированные пароли и отслеженные нажатия на клавиатуру своему "владельцу" (на электронный адрес, выбираемый случайно из 10 вариантов).

Адреса серверов, на которых активизируется троянец (всего - 1376 адресов):

woodrow.mpls.frb.fed.us
ucpb.com
thebank.com
statebank-dillon.com
nettbank.fellesdata.no
netbanco.cpp.pt
inlineaweb.bpm.it
homebank.nbg.gr
guernseybank.com
firstfedamerica.portalvault.com
egnatiasite.egnatiabank.gr
dnb.no
bossa.pl
blcnet.com
banque-de-savoie.com
bancaakros.webank.it
antonveneta.it
anb.portalvault.com
ain.hangseng.com
1stnatbank.com
zionsbank.com
zhkb.ch
yosemitebank.com
yonkers.com
ykb.com
yesbank.com
yellowstonebank.com
и др.

Червь останавливает активные дебаггеры, антивирусы и сетевые экраны:

ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
LOCKDOWN2000.EXE

Червь также собирает кэшированные пароли и отправляет их своему "владельцу".

R!xon
я как всё прочёл так мандраж по телу
такое подхватить и спасёт только формат си :)

Что же ,на всякий пожарный, может нейтрализовать такую бяку кроме формат си? :eek:

sockets
дык думаю ничего ... не один антивирь не вскроет UPX + закодированый..
а если файл запцщен таки, то он копируется в TMP и там размножается... что само по себе плохо
удалив его из одного TMP он останется вдругом .. я лично реально вижу , жопа :)

KpNemo
В каспере я ненашел лечилово, только описание...То есть если под прицел попал, то готовь GHOST
А вот у симантека нарыл:
http://securityresponse.symantec.com...bear.b@mm.html

Макафи такую штуку мало того нелечит, даже неаходит в своей енциклопедии :(

1. McAfee w baze daleko ne wse soderjit, chto nahodit.
2. UPX sozdatelyam antivirei nikogda ne meshal.

А вот ЗДЕСЬ предупреждали

По идее вот-вот новые заплаты от Microsoft должны выйти, может исправят

хех айпи моего прова уже сканят на 1080 порт, потому как эта гадость на нем сидит

Tut bi i wspomnit frazu: wse nowoe - horosho zabitoe staroe ;-).

Причём ногами забитое...:biggrin: