Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Мне целых 3 э-майла с вирусом (W32.Novarg)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

kopchik



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто- нибудь знает о таком вирусе что- нибудь:
 
приходит файл от ''Received: from unkonwn'' (откуда), текст пустой, е-майл эккаунт (название э-майла) наверняка выдуманное, а в e-mailе только приаттаченный файл с навзанием document.zip
 
Кто- нибудь знает что- нибудь об этом?
 
Мне сегодня пришлы уже 3 э- майла.
 
Извините, что не то место, где следует постить- может кто- чего знает?
Всего записей: 131 | Зарегистр. 23-01-2004 | Отправлено: 14:19 27-01-2004 | Исправлено: lynx, 23:29 27-01-2004
ooptimum



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
W32.Novarg.A@mm [Symantec], W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]
http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
 
С утра уже пережил маленькую эпидемию.
Всего записей: 2898 | Зарегистр. 30-05-2002 | Отправлено: 15:26 27-01-2004
kopchik



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я сегодня получил УЖЕ за 5 часов: 14 э-майлов с вирусом!
Всего записей: 131 | Зарегистр. 23-01-2004 | Отправлено: 16:56 27-01-2004
target76



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
"Novarg" распространяется по интернету двумя способами: через электронную почту и файлообменные сети KaZaA. Зараженные электронные письма имеют произвольный фальсифицированный адрес отправителя, 8 вариантов строки тема, 4 варианта текста письма, 18 возможных названий и 5 вариантов расширений вложенных файлов. В сети KaZaA "Novarg" присутствует под различными именами (например winamp5, icq2004-final) и различными расширениями (bat, exe, scr, pif). Если пользователь имел неосторожность запустить зараженный файл, присланный по электронной почте или загруженный из сети KaZaA, то червь начинает процедуру внедрения на компьютер и дальнейшего распространения.  Одновременно он создает в директории Windows два файла под именами TASKMON.EXE (файл-носитель червя) и SHIMGAPI.DLL (троянская компонента для удаленного управления компьютером) и регистрирует их в ключе автозапуска системного реестра для обеспечения активации вредоносной программы при каждой последующей загрузке компьютера. Затем "Novarg" начинает процедуру дальнейшего распространения. Для рассылки по электронной почте он сканирует диск (файлы с расширениями HTM, WAB, TXT и др.), находит e-mail-адреса и незаметно для владельца компьютера рассылает по ним зараженные письма. Кроме того, червь проверяет факт подключения компьютера к сети KaZaA и копирует себя в публичный каталог обмена файлами. "Novarg" имеет весьма опасные побочные эффекты. Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы. Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др. В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный веб-сайт, что может привести к его отключению.
 
Всего записей: 103 | Зарегистр. 12-08-2003 | Отправлено: 17:43 27-01-2004
kopchik



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А как от него избавится? Просто удалить файлы
Цитата:
TASKMON.EXE  
и  

Цитата:
SHIMGAPI.DLL
и все?
Всего записей: 131 | Зарегистр. 23-01-2004 | Отправлено: 18:16 27-01-2004 | Исправлено: kopchik, 18:17 27-01-2004
PropellerHead

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
В моей сети делал так:
 
1. Найти на машине taskmon.exe
 если нашлось - значит юзверю по башке, а машину лечить так:
 
2. Убить процесс taskmon.exe
3. Удалить файл taskmon.exe
4. Удалить в реестре ссылку на SHIMGAPI.DLL
5. Перезагрузиться
6. Удалить SHIMGAPI.DLL
 
Всё.
Можно ещё хвосты в реестре остальные почистить, но не принципиально.
Всего записей: 67 | Зарегистр. 24-06-2003 | Отправлено: 18:31 27-01-2004
FoxHunter



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
From www.norman.com
http://www.norman.com/virus_info/w32_mydoom_a_mm.shtml
 
Detection and removal
This worm is detected and removed using defs from Jan 27th 2004 and newer.
To completely remove the worm from infected systems you should work through the following procedure:
 
   1. On Windows Me and Windows XP, deactivate System Restore.
 
   2. Download and run MyDoomFix.com.
 
   3. Restart the computer. The reboot is necessary to delete infected file(s) that cannot be deleted without a reboot.
 
http://www.norman.com/public/MyDoomFix.com
Всего записей: 306 | Зарегистр. 06-01-2003 | Отправлено: 20:57 27-01-2004
Zmey



Strangled by Lynx		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Не знаю туда написал или не совсем, это на усмотрение модератора:
 
Как облегчить участь почтовому антивирусу на сервере и частично прекратить прием вирусов через почтовик Postfix:
 
    В конфиге main.cf добавляем строчки:
 
header_checks = pcre:/usr/local/etc/postfix/pcre/headers.chk
body_checks = pcre:/usr/local/etc/postfix/pcre/body.chk
 
    В файликах прописываем примерно так:
 
##body.chk
 
/The message contains Unicode characters and has been sent as a binary attachment/      REJECT
/The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment/    REJECT
/Mail transaction failed\. Partial message is available/        REJECT
 
##headers.chk
 
 /^\s*Content-(Disposition|Type).*name\s*=\s*"?(.message\.(zip|exe\??))(\?=)?"?\s*(;|$)/x REJECT Attachment name "$2" indicate Win32.HLLM.MyDoom virus
/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.document\.(zip|exe\??))(\?=)?"?\s*(;|$)/x REJECT Attachment name "$2" indicate Win32.HLLM.MyDoom virus
/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.file\.(zip|exe\??))(\?=)?"?\s*(;|$)/x REJECT Attachment name "$2" indicate Win32.HLLM.MyDoom virus
/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.doc\.(zip|exe\??))(\?=)?"?\s*(;|$)/x REJECT Attachment name "$2" indicate Win32.HLLM.MyDoom virus
/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.body\.(zip|exe\??))(\?=)?"?\s*(;|$)/x REJECT Attachment name "$2" indicate Win32.HLLM.MyDoom virus
/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.data\.(zip|exe\??))(\?=)?"?\s*(;|$)/x REJECT Attachment name "$2" indicate Win32.HLLM.MyDoom virus
 
   Вот примерно так имена файлов не все, полностью нужно смотреть в описании вируса и статистике антивируса (если такой имеется)
   На моем хосте за 6 часов этими правилами было отброшено около 9000 гадостных сообщений.
   
   ps. Надеюсь кому-то будет в пользу
   pps. Заодно и фильтровать по контенту научитесь
     
 
Добавлено
Ну и естественно нужно сделать postfix reload
Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 10:26 28-01-2004
tankistua

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zmey

Цитата:
Как облегчить участь почтовому антивирусу на сервере и частично прекратить прием вирусов через почтовик Postfix:

 
гы :) я знаю другой способ.
 
открываеться The Bat!, в нем есть список расширений , запрещенных к открыванию без сохранения. Берем список и используем для блокирования расширений файлов-атачментов
 
Сначала все бесяться , но потом привыкают :)
Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 13:54 28-01-2004
Cheery



.:МордератоР:.		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua

Цитата:
Берем список и используем для блокирования расширений файлов-атачментов  

Который в данном случае может не помочь, так как он шлется еще и в зипах..

----------
Away/DND
Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 17:30 28-01-2004
little



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А вот утилитка от McAfee для его убиения. И некоторых других засранцев. )
http://download.nai.com/products/mcafee-avert/stinger.exe
Всего записей: 31 | Зарегистр. 06-11-2003 | Отправлено: 22:57 02-02-2004
kopchik



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можете ли ответить на вопрос:
 
может ли  этот вирус (при том, что я не открывал ни одного приложенного файла из присланных мне с вирусом, но открывал некоторые из э- майлов смотрел из содержание) берет из моего аккаунта в бесплатной почтовой системе типа майл.ру (написаная на PHP) из присланных мне э-майлов адреса и посылает по ним инфицированные письма как будто от моего имени?
Всего записей: 131 | Зарегистр. 23-01-2004 | Отправлено: 10:09 05-02-2004
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Мне целых 3 э-майла с вирусом (W32.Novarg)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru