14 ноября, среда 04:19
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вирус из рассылки Bankir.ru

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вирус из рассылки Bankir.ru

    Получил от ella@mprombank.ru (42885 байт) письмо, адресованное всем подписчикам Bankir.Ru, которое DrWeb идентифицирует, как Win32.HLLM.MyParty.

    Вирус замаскирован под URL: www.myparty.yahoo.com

    Subject: new photos from my party!

    Про деструктивное действие пока ничего не знаю - выловил на входе.
    Вологодская область
    -------------------
    Лень - двигатель прогресса. Особенно в автоматизации...

  • #2
    Я получил то же самое! Но вчера я читал новости от Касперского, поэтому уже был в курсе:

    Не все, что начинается с WWW и заканчивается COM - Web-сайты
    "Лаборатория Касперского", ...>,сообщает об обнаружении нового
    Интернет-червя "Myparty", распространяющегося по электронной почте. На
    данный момент уже зарегистрировано несколько инцидентов заражения данной
    вредоносной программой.

    Червь доставляется на целевой компьютер в виде файла, вложенного в
    письмо электронной почты. Данный файл является Windows-приложением
    размером около 30 килобайт, написанным на языке программирования
    Microsoft Visual C++ и упакованным утилитой сжатия UPX.

    Зараженные письма выглядят следующим образом:

    Заголовок: new photos from my party! Текст: Hello! My party... It
    was absolutely amazing! I have attached my web page with new photos! If
    you can please make color prints of my photos. Thanks!

    Имя вложения: www.myparty.yahoo.com

    Как видно, файл-носитель искусно замаскирован под адрес Web-сайта.
    Тонкий расчет сделан на уверенность пользователя, что при двойном щелчке
    на вложении он попадет на некий адрес с сети Интернет. Однако на самом
    деле, при его запуске на компьютере активизируется вредоносная
    программа.

    "Это действительно новая техника манипуляции сознанием пользователя,
    исключительно благодаря которой "Myparty" вызвал ряд заражений. В
    остальном - это классический Интернет-червь, ничем не отличающийся от
    сотен себе подобных созданий, - комментирует Денис Зенкин, руководитель
    информационной службы "Лаборатории Касперского", - Этот случай еще раз
    подтверждает, что не все, что начинается с www и заканчивается com -
    Web-сайты".

    Если системная дата компьютера попадает в период 25-29 января 2002
    г., то "Myparty" запускает процедуры инсталляции и распространения.
    Кроме того, червь проверяет наличие поддержки русского языка и, если
    таковая обнаружена, завершает свою работу и самоустраняется из системы.

    Для обеспечения своего присутствия в памяти при каждой перезагрузке
    зараженного компьютера, червь создает свои копии в различных директориях
    диска и регистрирует их в разделе автозапуска программ системного
    реестра.

    Для рассылки своих копий по электронной почте "Myparty" сканирует
    базы данных Адресной Книги Windows (WAB-файлы) и DBX-файлы (также
    используются в Outlook Express), и считывает из них все найденные
    адреса. После этого червь устанавливает прямое подключение с удаленным
    SMTP-сервером и незаметно, якобы от имени владельца зараженного
    компьютера, рассылает по этим адресам свои копии. Для подтверждения
    факта заражения также отсылается пустое письмо на адрес
    "napster@gala.net".

    "Myparty" имеет опасное побочное действие. На компьютерах с Windows
    NT/2000/XP червь устанавливает программу-шпиона для удаленного
    несанкционированного управления. Таким образом, злоумышленник может
    получить полный контроль над компьютером жертвы. Кроме того, в
    зависимости от ряда условий "Myparty" открывает Web-сайт
    http://www.disney.com в окне текущего Интернет-браузера.
    В темном лесе... В темном лесе...

    Комментарий


    • #3
      http://dom.bankir.ru/showthread.php?s=&threadid=12708
      там тоже обсуждают!
      В темном лесе... В темном лесе...

      Комментарий


      • #4
        /гордо неся звание "Третего админа"/

        Чуствую необходимость оправдаться.

        Заметил первым(или почти первым), позвонил админам сервака. Но было уже поздно.
        Сам доступ до почтовика не имею.

        Приношу извенения.

        ЗЫЖ "червь проверяет наличие поддержки русского языка и, если таковая обнаружена, завершает свою работу и самоустраняется из системы." - очень патриотично.
        Подавая сигналы в рог будь всегда справедлив, но строг. ©

        Комментарий


        • #5
          Господа Модераторы!
          У нас на фирме есть двое зарегистрированных посетителей нашего портала. Сегодня, 29.02 примерно в 14 часов по обоим адресам пришел файл с вирусом с темой про "фотки с моего пати". Естественно, что мы вирусы сразу убили не раскрывая, тем более, что они сопровождались системным сообщением о вирусной атаке и о том, что соответствующие аттачменты были удалены. Обратный адрес отправителя (в Банке!!!) могу дать в привате или Romsanу по АСьКе.
          Но!! Самое удручающее в том, что адрес получателя там был что-то вроде full_list@bankir.ru .
          Что это? Случайность? Или чья-то халатность? Или - злонамеренная атака?
          Заранее прошу прощения у уважаемых модераторов и администраторов портала, но ответ хотелось бы получить.
          Если эта тема техническая и попала "не по адресу", то ее можно и перенести. Просто, если это - действительно "местная эпидемия", то именно здесь тему увидят админы в Банках и ... помогут своим юзерам... За что, собственно, и боремся
          Да пребудет с Тобою Великая Сила! ©

          Комментарий


          • #6
            Да ладно, Вам, Константин, народ-то пугать Тему уже обсосали

            Комментарий


            • #7
              dd!! Где произошло это самое действо? обсосали ???
              Модераторы! или dd: киньте адресочек, а этот постинг можно и пристрелить, чтобы народ не пугался...
              Пойду сам поищу...
              Да пребудет с Тобою Великая Сила! ©

              Комментарий


              • #8
                http://forum.bankir.ru/showthread.php?s=&threadid=12708

                Комментарий


                • #9
                  Примерно там и нашел... Спасибо... Закрывайте тему...
                  Да пребудет с Тобою Великая Сила! ©

                  Комментарий


                  • #10
                    Еще с пролшого раза(када рассылка глюкнула) было понятно, что построена она из рук-вон-плохо. Однако админы сервера(не путать с админами форума) не приняли надлежащих мер.
                    Что это? Случайность? Или чья-то халатность? Или - злонамеренная атака? ...

                    Еще раз извиняюсь.
                    Подавая сигналы в рог будь всегда справедлив, но строг. ©

                    Комментарий


                    • #11
                      Romsan Однако админы сервера (не путать с админами форума) не приняли надлежащих мер
                      Жаль, что не приняли! ПРИНЯТЬ-ТАКИ НАДО!!!! МЕРЫ!!!
                      А уж то, что админы сервера и админы форума (они же - модераторы) "не муж и жена, а четыре разных человека", это мы, как раз, знаем...
                      Классическое объявление в салуне помните "Не стреляйте в пианиста, он играет, как умеет"? Так вот, мы бы не стреляли, но из самого пианина кто-то тоже постреливает ... из мелкашки.
                      Да пребудет с Тобою Великая Сила! ©

                      Комментарий

                      Пользователи, просматривающие эту тему

                      Свернуть

                      Присутствует 1. Участников: 0, гостей: 1.

                      Обработка...
                      X