Коллеги, я сегодня получил сразу пять писем инфицированных Win32.HLLM.Reteras (точнее НЕ получил, поскольку SpiderMail такие вещи удаляет "на лету").
Это значит, что кто-то, у кого есть мой адрес в адресной книге почтового клиента, плохо следит за безопасностью компьютера. Поскольку обратный адрес, естественно, подставляется фальшивый -- определить человека трудно.
Короче говоря -- проверьте свои машины на всякий случай. Ниже официальный релиз ДиалогНауки по поводу этого червя.

==========
[20.08.2003]
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о катастрофически быстром распространении новой разновидности почтового червя массовой рассылки семейства Win32.HLLM.Reteras, известного также под названием Sobig.F. По состоянию на утро 20 августа по московскому времени, доля этого почтового червя в вирусной статистике ЗАО "ДиалогНаука" составляет 89% - таких цифр не было уже давно, со времени безраздельного господства червя Win32.HLLM.Klez.4.

Новый вариант червя Reteras - Sobig во многом повторяет своих предшественников. Он рассылается в виде приложения к письму, которое имеет в качестве имени одно из нескольких достаточно неброских слов, которые, тем не менее, побуждают большинство получателей открывать их:

your_document.pif
document-all.pif
your_details.pif
details.pif
и некоторых других.
При поражении компьютера он помещает в систему троянский компонент, который может превратить зараженную машину в прокси-сервер, используемый для спам-рассылок.

Пользователи антивирусных продуктов семейства Dr.Web® во всеоружии встретили новую вирусную угрозу. Dr.Web® определяет новый вирус без дополнительных вирусных записей.
==========

Jacky
сразу пять писем
щасливый...
всего пять...
а вот 34 за день на 8 ящиков это как?

revinski
всего пять...
Да, причем не сами письма (с аттачами и т.д.) а только квитанции спайдера по 1 кб каждое.

а вот 34 за день на 8 ящиков это как?
А вот не свети свои мэйлы по интернету. :)

Это, кстати, эпидемии все эти, хорошая иллюстрация к вопросу об отношении народа к безопасности своих компьютеров -- хотя бы на минимальном уровне (не в твой адрес реплика).
Я вообще не понимаю, как можно к интернету подходить даже близко без:
а) Антивируса со свежими базами
б) Файрвола
в) Антишпиона (типа Ad-Aware)

Добавлено


Да, забыл сказать -- пять писем только по личным ящикам. На работу не ходил сегодня, завтра посмотрю, что там интересного пришло. :D

Jacky
Я вообще не понимаю, как можно к интернету подходить даже близко без:
а) Антивируса со свежими базами
б) Файрвола
в) Антишпиона (типа Ad-Aware)
насчет первых двух всё ясно, а вот третий-то зачем?

revinski
насчет первых двух всё ясно, а вот третий-то зачем?
Из чрезмерной склонности к порядку. :) Чтобы не лежал у меня на диске всякий лишний мусор, и чтобы файрвол не напрягать лишней работой. :) В общем, опция, конечно.

Это, кстати, эпидемии все эти, хорошая иллюстрация к вопросу об отношении народа к безопасности своих компьютеров -- хотя бы на минимальном уровне (не в твой адрес реплика).
Я вообще не понимаю, как можно к интернету подходить даже близко без:
а) Антивируса со свежими базами
б) Файрвола
в) Антишпиона (типа Ad-Aware)
а я на 3 ящика ни одного не получила. И вообще я письма с аттачами сразу удаляю, если только человек меня заранее не предупредил, что шлет.

Но вот антивируса со свежими базами у меня нет, а кто такие файрвол и антишпион (типа Ad-Aware) я и знать не знаю. Если кто-то может нормальным русским языком (безо всякого компьютерного жаргона) объяснить, что это такое и для чего нужно - буду очень признательна. Только не надо меня на ру борд посылать - не пойду все равно! :)

heilig
нормальным русским языком (безо всякого компьютерного жаргона)
ок, пробую :)

файервол - это специальная программа, отслеживающая все сетевые соединения, которые устанавливаются между твоим компьютером и другими компьютерами (как серверами, так и другими личными компьютерами).
каждая программа (Интернет Эксплорер, Бат или Аутлук, фтп-клиент и проч.) устанавливает свое отдельное соединение - а чаще не одно, а несколько
и поэтому, когда с твоим компьютером пытаются установить нежелательное соединение (например, чтобы установить тебе троян), то файервол эту попытку блокирует.

кроме того, файервол умеет блокировать ненужную тебе при брожении по интернету графику/рекламу - чтобы общий трафик уменьшить

Немного добавлю. Для более четкого понимания самого слова "файрвол", если оно в таком русифицированном виде не идентифицировано, приведу его оригинальное написание -- firewall (т.е. огненная стена). Иногда его еще называют брандмауэром. Кроме того, что написал Ревинский, файрвол должен блокировать не только нежелательные соединения с твоим компьютером извне, но и нежелательные попытки соединения твоего компьютера с "внешним миром" -- например, если к тебе пролез-таки троянец, который теперь пытается выйти в интернет и передать какую-то информацию.

Что касается AdAware -- посмотри, например, здесь:
http://daily.sec.ru/dailypblshow.cfm?rid=45&pid=5856 Только учитывай, что статья довольно старая, соответственно на указанные там версии программ ориентироваться не стоит, но общий принцип понятен. Как я уже написал выше, при наличии хорошего антивируса и файрвола это скорее опция -- но довольно полезная.

Елки! Люди! Сколько у вас получилось? 35 на 8 ящиков? А мне больше 800 на один ящик!!!! Конечно, это мне не доставляется, но оно на сервак то дошло!!!!!!!

Бедный сервак :( Пошла разбираться с остальным...

Кстати, тема для компов, где модер? Кинь в компы - там совсем скучно бо.

Это, кстати, эпидемии все эти, хорошая иллюстрация к вопросу об отношении народа к безопасности своих компьютеров

я сегодня получил сразу пять писем
вот 34 за день на 8 ящиков это как?
А мне больше 800 на один ящик!
а я на 3 ящика ни одного не получила.
Ура!!! Я лучше всех забочусь о безопасности своего компьютера!!

revinski
Jacky
Как и обещала, премного благодарна. Оказывается, и о компьютерах можно говорить нормальным языком :)

Ладно, скачаю сегодня этот файервол и антишпион, раз уж без них нельзя к интернету и близко подходить :)

heilig

А мне больше 800 на один ящик!

Цитата:
а я на 3 ящика ни одного не получила.

Ура!!! Я лучше всех забочусь о безопасности своего компьютера!!

лолллллллллллл Давай я тебе 800 вирей перешлю и ты все их получишь. А я не получила ни одного ;)

Jacky
насчет первых двух всё ясно, а вот третий-то зачем?

Из чрезмерной склонности к порядку.

Во-во. В жизни не было. Грамотно настроенный файер - рулез форева и в принципе и и вири даже не страшны. Мой дак еще и баннеры прямо в почте режет - я балдею просто :)

heilig
Ура!!! Я лучше всех забочусь о безопасности своего компьютера!!
В данном случае от твоего компьютера мало что зависело. :) Причины другие.
lynx
Грамотно настроенный файер - рулез форева и в принципе и и вири даже не страшны.
Я предпочитаю, чтобы каждый работал по своей основной специальности. Для проверки почты "на лету" спайдер мэйл, для мониторинга спайдер гард, для общей проверки -- собственно доктор веб, против шпионов ad aware, ну и файрвол типа против хакеров. :)

Ура!!! Я лучше всех забочусь о безопасности своего компьютера!!
Я тоже.
Я не знаю нипро какие файерволы и мэйкфайеры. Мне кажется, что если не запускаешь сам всякую дрянь, что шлют, то и вирус не подцепишь. Чай не 2000 год.
Вот тут меня одолели идиоты из АмериканЛэнгвичЦентра. Кто бы сказал, как от них избавиться, а?

И еще про это вирус, а как конкретно он пролезает?
Ну, я помню, что прошлый массовый вирус лез через дырку в ИЕ5 и писал себя в реестр, а потом рассылал. Без моего клика. А этот что, тоже без ведома получателя влезает в реестр?
Расскажите, кто грамоте обучен, плиз.
Вобще про вирусы - это интересно, лучше, чем про советскую власть.

А я в обмен могу показать вирус БольшойБилл. Я его почти сам написал. Но он безвредный. Детей пугать только и ламеров. Но неприятный.
Полезно бывает всяких спамеров учить.


Добавлено


О... Сам нашел.
Делюсь впечатлениями:
========

Воздействие
Распространяется через открытые порты RPC. Компьютер пользователя перезапускается, или в его системе появляется файл msblast.exe.

Техническая информация
Червь выполняет сканирование порта TCP 135 произвольного диапазона IP-адресов в поисках уязвимой системы. Червь пытается воспользоваться уязвимостью DCOM RPC, для защиты от которой было выпущено исправление MS03-026.

Отправленный в систему пользователя код злоумышленника загружает и запускает файл MSBLAST.EXE с удаленного компьютера по протоколу TFTP. После запуска червь создает в реестре следующий раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Симптомы заражения вирусом
Некоторые пользователи могут вообще не заметить никаких симптомов. Основной признак заражения — перезагрузка системы с интервалом в несколько минут без участия пользователя. Кроме того, пользователи могут обнаружить следующее:

наличие необычных файлов TFTP;
наличие файла msblast.exe в каталоге WINDOWS\SYSTEM32.
Чтобы обнаружить вирус, попытайтесь найти в каталоге WINDOWS\SYSTEM32 файл msblast.exe или загрузите последние версии описаний вирусов с веб-узла своего поставщика антивирусных программ и выполните сканирование компьютера.

========
Это все с сайта дырявого Микрософта:
http://www.microsoft.com/rus/news/blast.asp?&SD=GN&LN=RU&gssnb=1
Так что надо посмотреть этот бласт и в реестре его посмотреть. И удалить, если что. Вот и весь файервол.
Спасибо.
Правда, так и не сказали, умники дырявые, сам червь запускается или пользователь запускает из приложенного файла.


Обновление для 4:21 воскресенья

Привет, Ревинский!
Чего не спишь?
Черви гложат?


Добавлено


А это мой "вирус":

http://mclaud.by.ru/BigBill/index.html
Он называется Большой Билл. Никаких троянов там нет и ничего он не пишет на винч. Но о-о-о-очень страшный!
Кто боится - ни в коем случае не кликать!
Но кто скажет, как защититься - буду благодарен, поскольку сам не знаю.

McLaud

Мне кажется, что если не запускаешь сам всякую дрянь, что шлют, то и вирус не подцепишь. Чай не 2000 год.

А про скан портов ничего не слышал? А про удаленное подключение к твоей машине через 139 порт? А про ДОС-атаки ничего не слышал?
мхо, работать без файервола не в локальной сети - убийство. В локальной тоже, в общем-то, но опасность от своих только.

я помню, что прошлый массовый вирус лез через дырку в ИЕ5 и писал себя в реестр, а потом рассылал. Без моего клика.

Во! Надо во время патчить систему и браузер, а лучше из браузеров юзать Оперу.

А я в обмен могу показать вирус БольшойБилл. Я его почти сам написал. Но он безвредный. Детей пугать только и ламеров. Но неприятный.
Полезно бывает всяких спамеров учить.

Давай исходник. На чем написан?


Распространяется через открытые порты RPC. Компьютер пользователя перезапускается, или в его системе появляется файл msblast.exe.

лол, вот все про него, включая фотку баги, исходник, методы профилактики и лечения:
http://forum.ru-board.com/topic.cgi?forum=8&topic=4299#1

Добавлено


лол

document.body.onmousedown=new Function("if (event.button==2||event.button==3)alert('No! You don not able!')");


и все что ли? Опера рулит ;)

и все что ли? Опера рулит
Не... Это как раз для отмазки, чтоб все так думали. Эта строчка только в ИЕ работает.
Опера рулит лучше, чем ИЕ как раз из-за нее, но тоже как умная Маша отрывает сто окон. В ИЕ бывает часто, что и перезагружаться надо, поскольку "Системе существенно не хватает ресурсов!". На том суть и основана. НетКаптор со второго окна понимает, что фигня в файле и не дает больше открывать.
Только все одно 90% юзеров и я с ними юзают ИЕ, и впредь юзать будут. Потому на них и расчет. Это на любой сайт с тыщей народу в день сходить и посмотреть статистику юзеров: http://top.mail.ru/stat?id=7753;what=sys;period=1
Давай исходник. На чем написан?
Ни на чем. На динамическом HTML, если так можно сказать.
А суть файла простая и в таких словах:
<body
onLoad=&#34;full(&#39;menu.html&#39;)&#34;
onUnLoad=&#34;full(&#39;menu.htm&#39;)&#34;
onMouseOver=&#34;full1(&#39;menu.htm&#39;)&#34;>
(Эти слова в трех одинаковых файлах index.htm, menu.htm,menu.html в папке BigBill.)
то есть по всем мыслимым событиям юзера окно открывается в полный рост и загружает свои дубли. Ну, и файлик должен быть маленький, чтобы завгрузиться успеть.
В файлик тоже для отмазки пару строчек full1(&#39;menu.htm&#39;) вставить.
А full1(&#39;menu.htm&#39;) - это такая штука:
function full1(x){
window.open(x, &#39;&#39;, &#39;fullscreen=yes&#39;);
if (document.all) document.body.onmousedown=new Function(&#34;if (event.button==2&#0124;&#0124;event.button==3)alert(&#39;No! You don not able!&#39;)&#34;);
//сюда вот как раз можно фигню всякую вставить для попсы
//типа не alert, а confirm(&#34;Форматировать диск A или не надо?&#34;)
// или full1(&#39;VIRUS_BIG_BILL.EXE&#39;)&#34; или чередовать
}

Короче парение мозгов натуральное.
Но психологически работает неплохо. Проверял неоднократно.
Добрая такая шутка.
Я ее Джеку пошлю в письме потом. Он самый продвинутый, мне кажется. И Хильге, чтобы не скучала.

А про скан портов ничего не слышал? А про удаленное подключение к твоей машине через 139 порт? А про ДОС-атаки ничего не слышал?
Никогда реально не видел, только слова слышал. Был бы премного благодарен, если кто бы пример привел реального скана какого-нибюудь компа или атаки, вот по типу, как я ссылку вставил. А потом бы так же и рассказал, где собака зарыта.
Могу свой комп на такой эксперимент отдать. А то чего тут философию разводить.

McLaud

Могу свой комп на такой эксперимент отдать. А то чего тут философию разводить.

Не интересно - ты с диалапа входишь, каждый раз IP разный.

Можешь сам себя нюкнуть. Возми Shadow Securiry Scaner, настрой на скан портов и скорми ему свой текущий IP-шник. После синего экрана поймешь, что такое ДОС-атака и как она выглядит :)

McLaud
Я ее Джеку пошлю в письме потом.
Ну, пошли, как же. Обязательно.

Про дос-атаки:


Направленный шторм запросов на 21, 25, 80, 11О и 139 порты

Эксперимент осуществлялся следующим образом. На соответствующий порт атакуемого сервера в цикле TCP SYN отправлялось 9 500 запросов в секунду, что составляет около 50% от максимально возможного количества сообщений при пропускной способности канала 10 Мбит/с. В результате было выведено пороговое значение, определяющее число запросов в секунду, при превышении которого удаленный доступ к серверу становится невозможным.

Во время шторма TCP-запросов на указанные порты наблюдалась следующая реакция системы:
замедлялась работа локального пользователя (нажатия на клавишу обрабатывались 1-10 секунд, менеджер задач показывал 100-процентную загрузку процессора);
удаленный доступ но сети к атакуемому серверу на любой порт оказывался невозможным;
на сервере из-за нехватки памяти переставали запускаться любые процессы (появлялись сообщения &#34;Нет системных ресурсов&#34;);
при шторме на 139-й порт с довольно большой вероятностью (около 40%) система через некоторое время &#34;зависала&#34; (&#34;синий экран&#34;);
после перезагрузки сервера при постоянно идущем шторме на 139-й порт сервер, как правило, &#34;зависал&#34; (вероятность более 50%);
при попытке обращения с консоли сервера в сеть возникали многочисленные ошибки (пакеты не передавались, система &#34;зависала&#34;).

После прекращения шторма запросов TCP SYN у атакуемого NT-сервера наблюдалась следующая реакция:
из-за нехватки памяти переставали запускаться любые процессы (появлялись сообщения &#34;Нет системных ресурсов&#34;). Удаленный пользователь не всегда мог получить необходимую ему информацию, даже если удаленный доступ к портам сервера был возможен (HTTP-сервер при попытке обращения к ссылке возвращал ошибку);
при попытке вызова Менеджера задач на локальной консоли система &#34;зависала&#34;;
иногда наблюдались отказы в обслуживании при любом удаленном доступе.


Тут посложнее про технику удаленного подключения с использованием открытого 139 порта:

http://mirny.yakutia.ru/vrem/lit/computer/win/warnt.html

Возми Shadow Securiry Scaner, настрой на скан портов и скорми ему свой текущий IP-шник
Круто, млин... Умные, млин, все, как на партсобрании.
Нашел &#34;Shadow Securiry Scaner&#34;
Скачал кряк.
Буду разбираться сам, если вы такие неэкспериментальные все тут.
Только вот словари паролей где брать, не знаю?
Везде написано, что их много, а я не видел.

Ссылку почтал...
Но это уже не по мне. Это надо крутым сисадмином быть.

banned