avva: (Default)
avva ([personal profile] avva) wrote2003-09-19 03:19 pm
  • Add Memory
  • Share This Entry

вирусы

Сегодня какой-то особенно плотный поток то ли вируса, то ли трояна — разнообразные "Newest Net Security Upgrade" и прочее фуфло, и везде внутри файл .exe размером в 140kb, один и тот же, видимо (лень проверять). Что-то новенькое?

Update: ага, судя по всему, это вот какое солнышко. Я его через strings пропустил, он даже не зашифрованный. С одной стороны, описание впечатляет: много всяких гитик умеет. С другой стороны... 140kb! — совсем разленились авторы вирусов ;)

P.S. Среди строк, найденных в этом файле, например, такие:

Try to pull my legs?
<BR>This is the qmail program<BR>
GET http://[некий.длинный.урл.cz] HTTP/1.0 (гм. чехи?)
NEWNEWS %s %02u%02u%02u %02u%02u%02u
Magic Mushrooms Growing
Cooking with Cannabis
Hallucinogenic Screensaver
My naked sister
Flat | Top-Level Comments Only

[identity profile] igors.livejournal.com 2003-09-19 05:27 am (UTC)(link)
From: Russ <russ.cooper@rc.on.ca>
To: NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM
Date: Friday, September 19, 2003, 1:18:44 AM
Subject: New version of GIBE, or Swen as some call it

-

FYI, a new virus masquerading as a Cumulative Update for IE from Microsoft came out today. Not to make too big a deal of it, but AV updates were being pushed today to cover it, some still haven't received those updates, so there's some noise being made ("Hey, I got this false update from Microsoft").

Its flashier than previous versions, using HTML to make it look more like a fancy MS advisory.

Just remember, Microsoft doesn't push update executables attached to email to anyone en-masse (even though they recommend you do!)

Cheers,
Russ - NTBugtraq Editor

Только хотел сказать, что пока тихо -

[identity profile] andreev.livejournal.com 2003-09-19 05:59 am (UTC)(link)
свалился в ящик первый. Но уже порезаный на каком-то прмежуточном сервере, без заразы.

[identity profile] kievbear.livejournal.com 2003-09-19 06:12 am (UTC)(link)
вот подробное описание на русском.
http://www.viruslist.com/viruslist.html?id=2848362

урл в Чехии

[identity profile] meshko.livejournal.com 2003-09-19 08:19 am (UTC)(link)
это счетчик заражений. Вчера еще работал. Сегодня уже выключили, а жаль. Я с интересом наблюдал как он рос. Примерно 50 в секунду, но результат не чистый, т.к. это было уже после того, как прошла информация в списках рассылки.

[identity profile] vzaliva.livejournal.com 2003-09-19 10:18 am (UTC)(link)
мне их с утра штук 30 уже пришло. Нету ли у кого
скрипта чтобы вставить в procmail чтобы отфильтровать?

procmail script

[identity profile] vzaliva.livejournal.com 2003-09-19 06:05 pm (UTC)(link)
ftp://ftp.crocodile.org/pub/w32swenAmm.pl
Flat | Top-Level Comments Only