Vrijedna i pravovremena informacija.
Poz.
16 febr. 2004
Exploit na rupu u biblioteci ASN.1 (MS04-007) zasad radi "samo" atak DoS ubija proces lsass.exe (Local Security Authority Service), poslije minut-dva nastupa reboot servera.
Efektivnost za sad verifikovana na engleskim verzijama Windows 2000
Professional, Windows 2000 Server, Windows XP Professional. Ta rupa je vec opisana (MS04-007) na http://www.microsoft.com/technet/sec...n/MS04-007.asp.
A pojavio se i plugin besplatnog skanera koji testira osjetljivost sistema.
http://cgi.nessus.org/plugins/dump.php3?id=12054
*************
Symantec informise o novom, izuzetno destruktivnom "crvicu"- VBS.Laske@mm. Po infekciji "insekt" pokusava izbrisati podatke svih diskova oznacenih od A do P.
Osjetljvi su narocito kompjuteri sa OS (od Windows 98 do Windows Server 2003). VBS.Laske@mm raznosi se zakacen za postu naslova Kysymys -
a naziv "zakacenoga" fajla je LASKELMAT.HTML.
Vrijedna i pravovremena informacija.
Poz.
virtuality is under construction.
18 februar 2004
Na Internetu se pojavio prvi exploit koji koristi rupu u kodu Windows-a
koji je nedavno "procurio" iz Microsofta. Tice se Internet Explorera, a greska se ogleda u tome na neadekvatnom tretiranju bit-map-a od strane Internet Explorer i Outlook Express.
Efekt exploita moze biti atak DoS ili totalno preuzimanje vlasti nad kompjuterom. Zasad se cini da IE spasava 6.0 SP1 pa ako nijeste vec
"zakrpili" uradite sad. Ovo javlja securitycetinje , a detaljnije mozete vidjeti na http://securityfocus.com/news/8060
***********
Netsky.B
poznat i kao Moodown.B prenosi se postom
Od: [bezvezna adresa]
Tema: [bilo kakva]
Sadrzaj: [slucajno stvorena od donjih rijeci]
take it easy
reply
do you?
that's funny
here, the cheats
here, the introduction
here, the serials
from the chatter
about me
information about you
something is going wrong!
stuff about you?
greetings
see you
here it is
that is bad
yes, really?
i found this document about you
your name is wrong
i hope it is not true! ........i slicno
Zakaceni fajl: [slucajno stvoren naziv od donjih rijeci].kao [com, exe, pif, scr, zip]
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
note
object
part2
party
post.........
Zarazeni kompjuter ima na c:\windows\services.exe ili c:\winnt\services.exe iz registra kljuc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
brise Taskmon, Explorer, KasperskyAV, System, a na disku stvara kopije
final.zip
found.zip
friend.zip
information.zip
jokes.zip
location.zip
mail2.zip
mails.zip
me.zip
message.zip
misc.zip
msg.zip
note.zip
object.zip
part2.....................
Poslednja faza je stvaranje kopije skoro svuda i "ustupanje" cijelog diska za razmjenu fajlova. Kopije su kao na primjer:
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe........ i slicno
ima li jos kakva alatkica poput McAfee Stinger koja trazi samo najnovije i najaktuelnije viruse a da je bolja i da nije glomazna,jer ipak i ovako mi konfiguracija jedva da dise,a valja imat vazda neku predostroznost.
zakrpe redovno skidam.[/url]
No Attitude, Just Music !
...mogao bih biti i bolji.
20.februar.2004
Stari Macro.Word97.Saver dobio je svog imenjaka koji se salje pod imenom: Worm.Saver. Po infekciji virus pravi kopije saver.dll inficira globalni sablon normal.dot i od tog momenta svi otvoreni dokumenti Worda na tom kompjuteru su zarazeni.
Dovoljno je izbrisati oba fajla, a normal dot se sam "obnovi".
Evo dokaz ovoga, sta se desava kad otvarate svasta. Malo paznje nije na odmet.
Inace nije sa mog compa
22.02.2004
Aktivan je MyDoom.F a sta sve moze informise Panda Software (http://www.pandasoftware.com)
Virus na zarazenom kompjuteru brise:AVI, BMP, DOC, JPG, MDB, SAV i XLS. Instalira biblioteke DLL, otvara "zadnja vrata" hakerima i blokira zastitu od virusa.
Po instalaciji Mydoom.F pocinje se pokazivati tekst: File is corrupted, File cannot be opened ili Unable to open specified file.
Mozda ce nekoga zainteresovati i sudbina Miss Gigabyte koja je vec par dana u zatvoru. Belgijska policija uhapsila je tu 19-to godisnju djevojku iz Mechelena koja je sa 6 godina pocela pisati kompjuterske programe, a prvi virus kad je imala 14 godina.
Za narusavanje cyberprostranstva prijeti joj kazna do tri godine zatvora i novcana do 100,000 eura. Tvrde da je bas ona jedna od dvije osobe na svijetu koja virus moze napisati u svakom trenutku, a pise u C-sharp. Posto nemaju dokaza da je slala viruse vec svaki napisani stavljala na svoju www stranu zasad joj je konfiskovan kompjuter i zatvorena strana WWW.
24.02.2004 - Welchia.D
Welchia.D je crvic koja se siri kroz istu rupu sistema Windows kao Blaster. Ako nijeste ocistili Mydoom.A i Mydoom.B ili Doomjuice to ce uradit Welchia.D, skinuti i zainstalirati sve zakrpe da sistem ne pusta crvece slicne njoj.
c:\windows\system32\drivers\svchost.exe
ili c:\winnt\system32\drivers\svchost.exe
ostaju na lokalnom disku a kopija se registruje kao usluga sistema, automatski startuje startovanjem sistema Windows.
Automatski ce se takodje deaktivirati 1 juna ili 180 dana od infekcije.
Ako ste danas (26.02.2004) u vremenu od 6-8 culi dosadno pistanje iz kompjutera to je bio efekat Netsky.C crvica slicnog kao i prethodnim iz te grupe osim sto na lokalnom disku ostavlja: c:\windows\winlogon.exe ili c:\winnt\winlogon.exe.
Iz registra kljuc: (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n) brise i KasperskyAV pa ako imate taj AV provjerite kompjuter nekim online skanerom.
Trojan.Loonbot na disku ostavlja kopiju Wstat32.exe ponekad se pojavi i prozorcic sa natpisom A valid data link was not found, deleting file, ali i pored toga trojan se povezuje sa serverom IRCa i ocekuje da autor preuzme komande zarazenog kompjutera.
1 mart 2004
Netsky.D je slican i prenosi se kao klon C. Tokom marta 2004, svakog utorka u 6,7 i 8 ujutro, crvic izaziva dosadno pistanje kompjutera.
Aktivni su takodje Beagle.G.T,.E,.C salje se sa laznih adresa, tema proizvoljna kao:
^_^ meay-meay!
^_^ mew-mew (-:
Aline
Anna
Audra
Bad girl
Barbi
beautiful
Caitie
caroline
ello! =))
Fotograf
Gallery photos
groom
Hey, dude, it's me ^_^ :P
Hey, ya! =))
Hi! :-)
Hokki =
tekst poruke je kao:
-Hey people whats goin on? If there is anything you want to know about me ask me...
-Fell free to chat with me I accept all ages.Don''''t worry I don''''t bite.....
- I am from Taiwan but I study in Camden, New Jersey now....
Zakaceni fajl (exe, scr, zip) Gallery, It_I ,Jammie , Juli , Julie, kate, Katrina, Kelley......
Na disku ostavlja i1ru54n4.exe,ggo54o.exe, ii5nj4.exe, i1ru54n4.exeopen
Blokira ili proba blokirati, aktualizaciju novih baza popularnih AV:
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avltmain.exe
avpupd.exe
avwupd32.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
outpost.exe
update.exe
Virusi obeležili početak marta
----------------------------------------------------------------------
Više antivirusnih kompanija izvestilo je početkom ove nedelje o pojavi novih varijanata crva Bagle i Netsky.
Kao i ranije varijante, varijanta crva Netsky.D koristi "društveno inženjerstvo" da bi zavarala neoprezne primaoce elektronske pošte i navela ih da aktiviraju virus. Crv pretražuje napadnute računare i krade sa njih adrese elektronske pošte na koje šalje sopstvenu kopiju. Poruke e pošte nose nasumice odabrane naslove, a priložena datoteka koja sadrži virus obično je sa nastavkom .pif i takođe ima slučajno odabrano ime. Za razliku od prethodnih, nova varijanta se ne širi mrežama za razmenu datoteka, niti priloženu datoteku predstavlja kao arhivu da bi sakrila svoju pravu nameru.
Krajem prošle nedelje pojavilo se i više varijanata virusa Bagle koje, osim
sličnih trikova kao i Netsky.D, koriste i neke nove tehnike. Varijante C, D,
E, F i G virusa Bagle napadaju računare s Windowsom, otvaraju TCP priključak i kradu adrese e-pošte. Prema rečima Grejama Klulija, stručnjaka antivirusne kompanije Sophos, najopasnija među njima je varijanta C koja se predstavlja Excelovom ikonicom da bi zavarala primaoce. Varijante F i G koriste .zip arhivu zaštićenu lozinkom da bi zaobišle antivirusni softver instaliran na napadnutom računaru.
Antivirusni stručnjaci smatraju da su, uprkos izmenama, nove varijante
virusa Bagle i Netsky delo autora originalnih verzija. Većina antivirusnih
kompanija označila je opasnost od novih virusa oznakom "kritično", ponudila zakrpe za njihovo uklanjanje i pozvala korisnike da ažuriraju svoj
antivirusni softver.
If you make people think they're thinking, they'll love you.
If you really make them think, they'll hate you.
03-03-2004
Od danas su aktivni virusi koji se prenose slicno prethodnim klonovima, a u zagradi je navedeno koji fajl ostavljaju na lokalnom disku.
Beagle.I(go154o.exe, i1i5n1j4.exe, i11r54n4.exeopen), Beagle.J( irun4.exe ), Netsky.F (c:\windows\svchost.exe ili c:\winnt\svchost.exe
Mydoom.G
Slican prethodnim i omogucava neautorizovan dostup do lokalnog diska ocekujuci vezu preko portova 80 i 1080. Procedura provodi DoS atak na stranu www.symantec.com.
Kod virusa sve monotono doslo je do Netsky.M a od novih je aktivan Sober.D i Cone.Dkoji na lokalni disk ostavlja: c:\windows\tasks\svchost.exe ili c:\winnnt\tasks\svchost.exe
Kod Microsoft Outlooka 2002 otkrivena je i sljedeca rupa ali o tome na http://www.microsoft.com/technet/sec.../ms04-009.mspx
Danas je aktivan Bugbear.E - napisan u Microsoft Visual C++ i spakovan UPX'em.
- kopira sam sebe u c:\windows\system ili c:\windows\system32 ili c:\winnt\system32 zavisno od sistema, a ime je slucajno izabrano.
- registar mijenja: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
Internet Settings\EnableAutodial
- ukljucuje:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run da bi se startovao pri svakom ukljucunje kompjutera.
- iskljucuje puno sistemskim procesa izmedju ostalih i:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE......
- pretrazuje: ODS, MMF, NCH, MBX, EML, TBB, DBX i salje se po adresama
iz adresara.
Randex je crvic koji napada Windows NT/2000/XP, stvarajuci na disku svoju kopiju u fajlu LanNSvc.exe a poslije po slucajno odabranim IP pokusava se povezati sa nekim kompjuterom pogadjajuci jednostavnije lozinke administratora. Ako uspije ostavlja kopiju u fajlu GT.exe i povezuje se sa odgovarajucim kanalom IRC-a.
Usput "pokupi" i serijne brojeve igrica:
FIFA 2003
BioWare NWN Neverwinter
Need For Speed Hot Pursuit 2
Soldier of Fortune II
Rainbow Six III Ravenshield
Battlefield 1942 Road To Rome
Battlefield 1942
Battlefield Vietnam
IGI 2 .......
Novi crv na Internetu
----------------------------------------------------------------------
Više antivirusnih kompanija izvestilo je krajem prošle nedelje o pojavi
novog Internet crva Sasser.
Sasser zloupotrebljava propust u Windowsu koji se odnosi na autorizaciju
bezbednosti lokalnih podsistema (Local Security Authority Subsystem Service, LSASS). Koristeći komunikacione priključke 9996 i 5554, Sasser skenira Mrežu u potrazi za računarima na kojima nije instalirana bezbednosna zakrpa, a nakon toga se širi bez znanja i intervencije korisnika. Crv preuzima napadnute računare da bi pomoću protokola FTP na njima snimio sopstvenu kopiju.
Sasser prekida vezu inficiranog računara sa Internetom i restartuje računar. Sistem se podiže nakon čekanja od 60 sekundi, a svaki pokušaj povezivanja na Internet izaziva ponovno rušenje sistema.
Antivirusne kompanije još uvek analiziraju pojavu novog virusa, a opasnost od zaraze uglavnom su označile kao umerenu.
Kompanija Microsoft je objavila uputstva za otklanjanje virusa:
http://www.microsoft.com/security/incident/sasser.asp
If you make people think they're thinking, they'll love you.
If you really make them think, they'll hate you.
Eto Marfi i njegovi zakoni nikad ne spavaju. Prije praznika ostavim koleginicu na kompjuteru da nesto odradi, podjem ranije s posla i pogodite sto nadjem poslije praznika))
virtuality is under construction.
06.05.2004 - Welchia.K crvic koji se siri kroz istu rupu kao Blaster.
Dodatno radi dobru stvar i cisti sistem od Mydoom.A i B kao i Doomjuice.
Nas dobrotvor Microsoft daje dzabe oruzje protiv sassera na http://www.microsoft.com/security/incident/sasser.asp i zamislite kazu da ce razmisliti
hoce li to dati kao automat i sastavni dio WindowsUpdate.
nauk- nikad se ne ide ranije sa posla )))Originally Posted by NAGUAL
7 maj 2004
Arcam je virus, koji inficira fajlove *.exe, scr, cpl, a osim toga na lokalnom disku stvara dodatnu kopiju C:\Secret.txt.exe i C:\plaeCBBNV.vbs.
Siri se preko IRCa modifikujuci skript starta, programa mIRC mirc.ini.
Nibu je trojanski konj koji krade informacje sa inficiranog kompjutera. Na disku nastaju fajlovi: netda.exe, netdb.exe, netdc.exe, prntsvr.dll
Dodatno trojan mijenja i fajl Hosts, onemogucavajuci povezivanje sa stranama:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
..............
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com ....
MASALA MASALA...Originally Posted by alien
..TO JE ONO NEZNALIZA 8)
[17.05.2004]
- Sober.G slican prethodnicima
- Dabber.A crvic koji "dotuce" kompjutere zarazene Saser-om i siri se na isti nacin. Vjerujem da su svi "skinuli zakrpe".
Strucnjaci predvidjaju da ce se poslije stavljanja WTL (Windows Template Library) na stranu servisa SourceForge poceti pojavljivati i noviji virusi, a to je razlog vise da pratite ovaj forum
There are currently 1 users browsing this thread. (0 members and 1 guests)
Bookmarks