Niste prijavljeni

Dragi posjetioče, Dobrodošli na Otvoreni Forum - Novi Pazar. Ukoliko je ovo Vaša prva posjeta molimo vas pročitajte Pomoć. U pomoći je objašnjeno kako ovaj forum radi. Morate biti registrirani kako bi vidjeli sve teme i sve forume. Molimo vas da se registrirate ili da ovdje pročitate kako se registrirati. Ukoliko ste već registrirani molimo ulogirajte se ovdje.

hobbes

Profesionalac

(10)

  • »hobbes« je muško

Postovi: 1.679

Datum registracije: 21.08.2002

Lokacija: izbegavam

  • Poruku poslati

41

Ponedjeljak, 25. August 2003

Sobig.F je nastao na Usenetu

Internet crv Sobig.F, o kome se toliko priča ovih dana, zarazio je više od 100.000 računara i generisao na desetine miliona poruka e-pošte. Ovih dana pojavile su se tvrdnje da se virus po prvi put pojavio maskiran kao pornografska slika poslata u nekoliko diskusionih grupa Useneta.

Davalac Usenet usluga, kompanija Easynews iz Finiksa u Arizoni, saopštila je da je od Saveznog istražnog biroa (FBI) dobila zvaničan poziv za saslušanje u vezi s virusom Sobig. Istražitelje su zanimali podaci o nalogu za pristup Internetu na koji se sumnja da je upotrebljen za slanje virusa.

Podaci koje je Easynews dostavio islednicima pokazuju da je u ponedeljak 18. avgusta, u šest Usenet grupa (alt.binearies.amp, alt.binearies.boneless, alt.binearies.ni, alt.binearies.pictures.chimera, alt.binearies.pictures.erotica i alt.binearies.pictures.erotica.amateur.female) poslata istovetna poruka sa naslovom "Nice, who has more of it? DSC-00465.jpeg" (Lepo, ko ima još od ovoga). Uz poruku je bila priložena i slika. Kada bi primalac pokušao da otvori sliku, virus bi se aktivirao i zarazio računar.

Za otvaranje naloga za pristup Internetu upotrebljena je ukradena kreditna kartica, kaže se u saopštenju kompanije Easynews. Nalog je otvoren neposredno pre slanja virusa i korišćen samo u tu svrhu.

Pretraživanje Googleove Usenet arhive potvrđuje ovu pretpostavku. Nekoliko minuta pre slanja poruke sa virusom u Usenet grupe kompanije Easynews, sa istog naloga – misiko@dot.com – poslata je probna poruka u grupu alt.alt.test.newsgroup.

Davalac Internet usluga Realtime Communications, iz Ostina u Teksasu, vlasnik domena dot.com, tvrdi da se radi o lažnom nalogu. "Domen dot.com ima samo tri e-adrese, a adresa misiko@dot.com nikada nije ni postojala", tvrde odgovorni iz kompanije.

"Za Usenet grupe slanje sa lažnih adresa je uobičajeno. Većina korisnika to radi da bi sakrili sopstvenu adresu od pošiljalaca neželjene e-pošte", kažu u kompaniji.



DjordjeRd

Profesionalac

(10)

  • »DjordjeRd« je muško

Postovi: 854

Datum registracije: 26.07.2002

Lokacija: Novi Pazar, 43.1370N, 20.5120E

  • Poruku poslati

42

Srijeda, 27. August 2003

RPC DCOM

Narode, sve mi se čini da sam malopre kod prijatelja naleteo na nešto revolucionarno. Pošto je moje znanje ograničeno, evo vam malo materijala pa da vidimo šta će biti...

1. sigurno je nešto iz RPC DCOM porodice (klasika, imam samo 60 sekundi...)
2. Ne dozvoljava da se instalita q823980
3. ne dozvoljava da se instalira bilo koji firewall (srećom, ovo kroz servise može da se zaobiđe)
4. Baš kao što Welchia crv ubija Blastera, ovaj ubija i njega i Blastera...(!)
5. ... ali je 'malo mudriji': nekako premapira 135. port, pa kad skenirate 135 (recimo sa ShieldsUp), firewall vidi pokušaj upada na 137. portu!!!!!!! Ovo verovatno sprečava upade budućih RPC crva pošto je konkurencija trenutno vrlo jaka!

Kad odes na

https://grc.com/x/portprobe=135

firewall (kad se posle puno muka podigne) vidi ovo:

[26/Aug/2003 22:11:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:137, flags: SYN , seq:46542599 ack:0, win:8192, tcplen:0

dok, verovatno, pravi potpis crva izgleda ovako:

[26/Aug/2003 22:53:32] DROP "Default traffic rule" packet from Dial-Up, proto:UDP, len:78, ip/port:64.32.95.212:61249 -> 195.252.84.144:137, udplen:50

bez obzira što je paket najverovatnije došao na 135. port!!!

Pogledajte ovaj filter.log posle redom skeniranih portova:

...
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:132, flags: SYN , seq:942885913 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:133, flags: SYN , seq:3618945222 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:134, flags: SYN , seq:1100580514 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:136, flags: SYN , seq:1803804537 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:137, flags: SYN , seq:4221705909 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:138, flags: SYN , seq:46542599 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:139, flags: SYN , seq:3848466283 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:140, flags: SYN
...

204.1.226.228 je grc.com, a skenirani su:
...
132
133
134
135
136
137
138
139
140
...

Ima li iko od vas slično iskustvo ili (još bolje) neko uputstvo?
Ovaj član foruma želi da se, ovim putem, javno odrekne prava i obaveza čitanja i komentarisanja tema u forumima 'Politika' i 'Religija', i možete smatrati da nije kompetentan za takvu vrstu sadržaja u javnom mediju kakav je Internet. Svaka aluzija ili komentar na gornje rečenice će biti ignorisana od strane autora. Hvala na razumevanju.

P.S. 37!

Administrator

Urednik foruma

(121)

  • »Administrator« je muško

Postovi: 2.598

Datum registracije: 21.07.2002

Lokacija: Frankfurt

  • Poruku poslati

43

Srijeda, 27. August 2003

Citirano

2. Ne dozvoljava da se instalira q823980


Ne razumem, kako ne dozvoljava? Dok racunar nije povezan na internet onda radi "normalno" tj. ne gasi se svakih 60 sec. te imas vremena da instaliras patch sa diskete ili CD-a. Posle toga najnovije definicije virusa takodje sa diskete ili CD-a. Zatim se pocisti virus i racunar "ozdravio".
Sve je ovo samo igra! Nema tog foruma koji je vrijedan Vasih zivaca! / Dokoni umovi - Sejtanska igralista

PaZaRaC

Profesionalac

(26)

  • »PaZaRaC« je muško

Postovi: 1.291

Datum registracije: 21.07.2002

Lokacija: Frankfurt

  • Poruku poslati

44

Srijeda, 27. August 2003

mala informacija ili pomoc kako hocete.

kad kompjuter krene da se ugasi, onda odete u commandline i utipate shutdown /a , to zaustavi taj proces gasenja...

PaZaRaC

Profesionalac

(26)

  • »PaZaRaC« je muško

Postovi: 1.291

Datum registracije: 21.07.2002

Lokacija: Frankfurt

  • Poruku poslati

45

Srijeda, 27. August 2003

edit:

pokusaj prvo sa ovim, traje jedno 10-15 minuta...

http://securityresponse.symantec.com/avcenter/FixBlast.exe

pa posle pokusaj da instaliras taj windows update:)


DjordjeRd

Profesionalac

(10)

  • »DjordjeRd« je muško

Postovi: 854

Datum registracije: 26.07.2002

Lokacija: Novi Pazar, 43.1370N, 20.5120E

  • Poruku poslati

46

Srijeda, 27. August 2003

Citirano

Orginalno od Administrator

Citirano

2. Ne dozvoljava da se instalira q823980


Ne razumem, kako ne dozvoljava? Dok racunar nije povezan na internet onda radi "normalno" tj. ne gasi se svakih 60 sec. te imas vremena da instaliras patch sa diskete ili CD-a. Posle toga najnovije definicije virusa takodje sa diskete ili CD-a. Zatim se pocisti virus i racunar "ozdravio".


Lepo, startuješ Microsoftov patch, on se automatski raspakuje, i to je otprilike sve što se desi. Nema instalacije patcha, 'I agree' i ostalih gluposti. Jednostavno se ne instalira, a mašina ostaje ranjiva!!! Horor.

Kažem vam, ovo je neki novi i vrlo nezgodan član porodice RPC DCOM crvića... Čuće se za njega.
Ovaj član foruma želi da se, ovim putem, javno odrekne prava i obaveza čitanja i komentarisanja tema u forumima 'Politika' i 'Religija', i možete smatrati da nije kompetentan za takvu vrstu sadržaja u javnom mediju kakav je Internet. Svaka aluzija ili komentar na gornje rečenice će biti ignorisana od strane autora. Hvala na razumevanju.

P.S. 37!

DjordjeRd

Profesionalac

(10)

  • »DjordjeRd« je muško

Postovi: 854

Datum registracije: 26.07.2002

Lokacija: Novi Pazar, 43.1370N, 20.5120E

  • Poruku poslati

47

Srijeda, 27. August 2003

Ne pomaže ni FixBlast ni FixWelchia!

Welchia je mlađa sestra Blastera koja kad stigne u mašinu prvo ukoka Blastera a onda tera dalje.

U ovom slučaju je upalilo 'shutdown -a'. To je valjda isto, ipak hvala, dobro je da ljudi znaju šta pali kao prva pomoć...

Može da se napravi mali 'bat' koji nacrtaš na desktop i...
Ovaj član foruma želi da se, ovim putem, javno odrekne prava i obaveza čitanja i komentarisanja tema u forumima 'Politika' i 'Religija', i možete smatrati da nije kompetentan za takvu vrstu sadržaja u javnom mediju kakav je Internet. Svaka aluzija ili komentar na gornje rečenice će biti ignorisana od strane autora. Hvala na razumevanju.

P.S. 37!

PaZaRaC

Profesionalac

(26)

  • »PaZaRaC« je muško

Postovi: 1.291

Datum registracije: 21.07.2002

Lokacija: Frankfurt

  • Poruku poslati

48

Srijeda, 27. August 2003

nesto mi je poznat taj problemcic sto nece da instalira patch, greska koju sam ja napravio je bila da sam pokuso da instaliram engleski patch na nemacki OS, pri tome je instalacija prekinuta bez ikakve informacije...

Da nisi slucajno kliknuo na pogresni link pa skinuo pogresan patch? moze da se desi... :]

49

Srijeda, 27. August 2003

Ja sam vec poslao bio post u kom sam kopirao rezultat od fixWelch... kod mene je uspesno bio uklonjen taj virus spomenutim orudjem. Nesto su ovde uradili za ova dva tri dana posto su nas sve otkacili sa servera dok svim kompovima ne ubiju zakrpe i dok en rekofigurisu firewall. Sta su uradili pojma nemam, vidim da sad sve radi kako treba (osim mog kompa u sobi). A sto se tice svega, meni pocinje da izgleda istinito, izmedju ostalog i ovo sto procitah malocas:

ZDNet, autoritet među informatičkim medijima prenosi zanimljivu spekulaciju antivirusnog stručnjaka Petera Simpsona, menadžera ThreatLaba, koji upozorava kako su antivirusne tvrtke i mediji toliko opsjednuti opsegom zaraze crvom Sobig, da su skrenuli pažnju s prave prijetnje. "Ovo je šesti u seriji kontroliranih eksperimenata. Ovdje se ne radi o nekim klincima koji pišu viruse za kompjuterom u spavaćoj sobi - ovo je zaista vrlo sofisticirani primjer organiziranog zločina", tvrdi on i dodaje: "Ovdje se radi o skrivenim motivima". Svrha unošenja Sobiga na kompjuter nije uzrokovanje štete ili veliko i brzo širenje, već ovladavanje strojevima downloadanjem trojanca i pristup informacijama kao što su bankovni podaci u svrhu prijevare.


A kazu da stize i novi tako veliki (SoBig) virus...
mogu ja da se potpisem i bolje...

DjordjeRd

Profesionalac

(10)

  • »DjordjeRd« je muško

Postovi: 854

Datum registracije: 26.07.2002

Lokacija: Novi Pazar, 43.1370N, 20.5120E

  • Poruku poslati

50

Četvrtak, 28. August 2003

Citirano

Orginalno od PaZaRaC
nesto mi je poznat taj problemcic sto nece da instalira patch, greska koju sam ja napravio je bila da sam pokuso da instaliram engleski patch na nemacki OS, pri tome je instalacija prekinuta bez ikakve informacije...

Da nisi slucajno kliknuo na pogresni link pa skinuo pogresan patch? moze da se desi... :]


Ma jok. Isti fix je prošao na desetakračunara koje sam dosad sredio, pokušao sam i automatski update. Ne pali ni on.

Upravo Fingers lepo izlaže ono što je očigledno. Ovo je napisao neki majstor koji se dobro zamislio nad problemom.

1. Crv se pojavio na vreme da zarazi ogroman broj nezakrpljenih računara.
2. Efikasno se oslobađa konkurencije. Na toj mašini nisam našao nijednog drugog aktivnog RPC crva. To nije slučajnost.
3. I najvažnije: ovaj crv imunizira računar na ostale RPC crve! Znači konkurencija je pobeđena i naslednici neće biti u stanju da lako dođu u već zaraženog računara domaćina i ugroze našeg šampiona.

Sad vi meni recite šta mislite o ovome: na 135. port se pošalje sledeći UDP:

[26/Aug/2003 22:53:32] DROP "Default traffic rule" packet from Dial-Up, proto:UDP, len:78, ip/port:64.32.95.212:61249 -> 195.252.84.144:135, udplen:50

a OS i firewall vide 137:

[26/Aug/2003 22:53:32] DROP "Default traffic rule" packet from Dial-Up, proto:UDP, len:78, ip/port:64.32.95.212:61249 -> 195.252.84.144:137, udplen:50

Pazite, ovo je 100% tačno. Provereno sa par različitih skenera sa provereno zdravih mašina... Čini me se da se pravi udar tek sprema.
Ovaj član foruma želi da se, ovim putem, javno odrekne prava i obaveza čitanja i komentarisanja tema u forumima 'Politika' i 'Religija', i možete smatrati da nije kompetentan za takvu vrstu sadržaja u javnom mediju kakav je Internet. Svaka aluzija ili komentar na gornje rečenice će biti ignorisana od strane autora. Hvala na razumevanju.

P.S. 37!

51

Petak, 29. August 2003

vid ovo

Mi pricasmo o ovom virusu dosta, a vidite ovo sad:

FBI je kao autora virusa Blaster, koji je, prema procjeni Symanteca, zarazio pola milijuna kompjutera, identificirao 18-godišnjaka! FBI još ne želi otkriti identitet i prebivalište osumnjičenog tinejdžera, a glasnogovornik ureda državnog tužitelja u Seattleu rekao je da "još nije došlo do uhićenja"...

o|

A sto se tice Sobiga, verovali ili ne danas sam na yahoo bulk mailu imao poruke koje ga nose. Poslao mi se iz adressara ljudi koji imaju moju adressu. Extension .pif u svim porukama. Dobro te je yahoo stavio alert na strani koja se prva otvara na mailu, inace bi puno neupucenih stradalo....... a verujem da i pored toga ima onih koji ne obracaju paznu i ne znaju za to. Savet svima koji imaju vecu razmenu elektronske poste da obrate paznju kakvi im attachmenti stizu. Kao sto se govori (i meni je slucaj bio), poruka moze biti od nekog koga dobo znate, ko vam stalno pise, pa u brzini necete nista ni posumnjati. Ovo sve je nimalo bezazleno definitivno.. .
mogu ja da se potpisem i bolje...

52

Utorak, 02. Septembar 2003

vid ovo

Američki stručnjaci za bezbednost računara i vladini zvaničnici sumnjaju da je Internet crv Blaster odgovoran za prošlomesečni džinovski nestanak električne energije u severoistočnom delu SAD-a i Kanade. Geri Sajfert, istraživač u Nacionalnoj inženjersko-ekološkoj laboratoriji u Ajdahu, koja pripada američkom Ministarstvu energije, tvrdi da je virus na dan nestanka energije oštetio više komunikacionih linija koje povezuju operacione centre elektroenergetskih kompanija. "Virus nije napao kontrolni sistem u kompanijama, ali je sigurno izazvao zagušenje u mreži kojom se podaci razmenjuju", kaže Sajfert.
mogu ja da se potpisem i bolje...

DjordjeRd

Profesionalac

(10)

  • »DjordjeRd« je muško

Postovi: 854

Datum registracije: 26.07.2002

Lokacija: Novi Pazar, 43.1370N, 20.5120E

  • Poruku poslati

53

Srijeda, 03. Septembar 2003

Ovo mi zvuči kao žešća ''šuplja priča''...
Ovaj član foruma želi da se, ovim putem, javno odrekne prava i obaveza čitanja i komentarisanja tema u forumima 'Politika' i 'Religija', i možete smatrati da nije kompetentan za takvu vrstu sadržaja u javnom mediju kakav je Internet. Svaka aluzija ili komentar na gornje rečenice će biti ignorisana od strane autora. Hvala na razumevanju.

P.S. 37!

54

Ponedjeljak, 08. Septembar 2003

Novi virus: "It´s Near 9/11"

Antivirusni stručnjaci otkrili su novi virus – prvi od grupe virusa koji se očekuju uoči 11. septembra. Erik Kvon, predsednik i glavni izvršni rukovodilac kompanije Hauri iz San Hozea u Kaliforniji, kaže da se novi virus širi na sličan način kao i zloglasni crv Sobig, mada još uvek nije izvesno kakvu štetu bi mogao napraviti. Virus stiže u poruci elektronske pošte pod naslovom "It´s Near 9/11" (Jedanaesti septembar je blizu) ili sličnim, a priložena datoteka nosi naziv "911.jpg".

Kao i većina drugih, i ovaj virus krade adrese iz adresara napadnutog računara da bi na njih poslao sopstvenu kopiju. Virus zloupotrebljava povećanu radoznalost primalaca e-pošte uoči 11. septembra, godišnjice napada na Svetski trgovački centar. Mnogi antivirusni stručnjaci očekuju u sledeće dve nedelje pravu navalu virusa i crva vezanih za godišnjicu napada.
Antivirusna kompanija Symantec je registrovala novi virus Neroma, koji se takođe širi elektronskom poštom.
mogu ja da se potpisem i bolje...

hadalj

Profesionalac

(10)

  • »hadalj« je muško

Postovi: 1.445

Datum registracije: 26.07.2002

Lokacija: Paris

  • Poruku poslati

55

Subota, 27. Septembar 2003

upozorenje

evo sta sad dobi na mail


From: "Microsoft" <security@microsoft.com> | This is spam | Add to Address Book
To: bekim1976@yahoo.com
Subject: Use this patch immediately !

Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!


Attachment

patch.exe
.exe file Scan with Norton AntiVirus
Save to my Yahoo! Briefcase
Download Without Scan

Nesto mi bi ovo sumljivo te ja ga skenira, kad ono ene


Scan Results [Original Message]
File name: patch.exe
File type: application/download
Scan result: Virus W32.Dumaru@mm found. File not cleaned.
Download File - Save to my Yahoo! Briefcase

Back to Original Message

Tako cuvate se da ga slucajno ne daulodujete pre nego skenirate
a i nije mi jasno kako moze da bude ova adresa Microsoft" <security@microsoft.com
malo za promenu

Administrator

Urednik foruma

(121)

  • »Administrator« je muško

Postovi: 2.598

Datum registracije: 21.07.2002

Lokacija: Frankfurt

  • Poruku poslati

56

Subota, 27. Septembar 2003

Beksa dnevno dobijam po 3 takva ista mail-a koje si ti primio.

A to sto za posiljaoca stoji Microsoft, veze nema. Upravo sam ti poslo mail gde si posiljalac upravo ti pa se ti pitaj kad si to sam sebi poslo :)
Sve je ovo samo igra! Nema tog foruma koji je vrijedan Vasih zivaca! / Dokoni umovi - Sejtanska igralista

hadalj

Profesionalac

(10)

  • »hadalj« je muško

Postovi: 1.445

Datum registracije: 26.07.2002

Lokacija: Paris

  • Poruku poslati

57

Subota, 27. Septembar 2003

Citirano

Orginalno od Administrator
Beksa dnevno dobijam po 3 takva ista mail-a koje si ti primio.



a jel ti to radis sa tim mailovima?
na veljiko jel

pa veljal sta ovo virus sto ja dobi, da da ga djipnem jos kome, more bit mu bide milo, meni vala bi, ja ta jedan, al opet, bitno je da je stigo
malo za promenu

hadalj

Profesionalac

(10)

  • »hadalj« je muško

Postovi: 1.445

Datum registracije: 26.07.2002

Lokacija: Paris

  • Poruku poslati

58

Subota, 01. Novembar 2003

Novi Virus "W32.Mimail.C@mm"

Novi Virus koji se siri netom preko maila, pojavio se u Petak u USA i Evropi, pod imenom nekog misterioznog James-a, koji vas pôziva da pogledate "privatne" slike sa jedne lude noci.
"Sve fotografije koje sam slikao na plazi su odlicne (cak i one u kupacima i bez njih). Vecers cu se vratiti i vodicemo ljubav. Cekajuci profitiraj sa ovim slikama", pise James u svojoj poruci, koju eksperti u informatickoj sigurnosti, savetuju da izbrisete odmah.
Kako saopstava Symantec, radi se o virusu tipa "crv"
koji se prenoci putem poste bez ikakve intervencije korisnika.
Virus je nazvan "W32.Mimail.C@mm" , i jedna je varijanta "Mimail.A", ali nikakve informacije nisu dostupne o mogucoj stetnosti.
_____________________________________
AFP 31/10/2003 &#224; 23:52
malo za promenu

59

Ponedjeljak, 08. Decembar 2003

Tip: Proveravajte diskete (i sve ostalo) koje dobijete od nekog pre nego ih otvorite na svom racunaru. Sasvim sigurno ste, kao i ja, ovo culi mnogo puta, ali se svakom od nas desi da mu bude mucno i kaze "ma haj nema tu nista". Svaki (skoro) put proveravam iste, ali eto bas sad (za izuzetak u zadnje vreme) proverio jednu i u samom toku kopiranja sadrzaja sa iste realscan (Norton) baci u karantin zarazeni deo sadrzaja koji je prebacen sa diskete na moj racunar.
Koji je virus i sta radi ne znam (da se ocisti ne moze, moze samo da se brise), ali mu ime zanimljivo: terorista :D (VBS.Terrosist)


Cuvajte kompijutere..
mogu ja da se potpisem i bolje...

PaZaRaC

Profesionalac

(26)

  • »PaZaRaC« je muško

Postovi: 1.291

Datum registracije: 21.07.2002

Lokacija: Frankfurt

  • Poruku poslati

60

Utorak, 27. Januar 2004

NOVI VIRUS \"W32/Mydoom@MM\"

Predpopstavljam da svi razumete Engleski, da ne prevodim ova ovoliki tekst...

Virus Characteristics:

This is a mass-mailing and peer-to-peer file-sharing worm that arrives in an email message as follows:

From: (spoofed email sender)
Subject: (Varies, such as)

* Error
* Status
* Server Report
* Mail Transaction Failed
* Mail Delivery System
* hello
* hi

Body: (Varies, such as)

* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail transaction failed. Partial message is available.

Attachment: (varies [.bat, .exe, .pif, .cmd, .scr] - often arrives in a ZIP archive) (22,528 bytes)

* examples (common names, but can be random)
* doc.bat
* document.zip
* message.zip
* readme.zip
* text.pif
* hello.cmd
* body.scr
* test.htm.pif
* data.txt.exe
* file.scr

When this file is run, it copies itself to the WINDOWS SYSTEM directory as taskmon.exe

* %SysDir%\taskmon.exe

(Where %Sysdir% is the Windows System directory, for example C:\WINDOWS\SYSTEM)

It creates the following registry entry to hook Windows startup:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

The virus uses a DLL that it creates in the Windows System directory:

* %SysDir%\shimgapi.dll (4,096 bytes)

This DLL is injected into the EXPLORER.EXE upon reboot via this registry key:

* HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

Peer To Peer Propagation
The worm copies itself to the KaZaa Shared Directory with the following filenames:

* nuke2004
* office_crack
* rootkitXP
* strip-girl-2.0bdcom_patches
* activation_crack
* icq2004-final
* winamp

Remote Access Component
The worm opens a connection on TCP port 3127 suggesting remote access capabilities.

Denial of Service Payload
On the first system startup on February 1st or later, the worm changes its behavior from mass mailing to initiating a denial of service attack against the sco.com domain. This denial of service attack will stop on the first system startup of February 12th or later, and thereafter the worm's only behavior is to continue listening on TCP port 3127.

Method Of Infection

This file tries to spread via email and by copying itself to the shared directory for Kazaa clients if they are present.

The mailing component harvests address from the local system. Files with the following extensions are targeted:

* wab
* adb
* tbb
* dbx
* asp
* php
* sht
* htm
* txt

Additionally, the worm contains strings, which it uses to randomly generate, or guess, addresses.

Harvested addresses are sent the virus via SMTP. The worm guesses at the recipient email server, prepending the target domain name with the following strings:

* mx.
* mail.
* smtp.
* mx1.
* mxs.
* mail1.
* relay.
* ns.

Dakle, aktualisirajte vase AntiVirus Skenere, Symmantec i NAI su dosad izbacili novu verziju definicije...

Social bookmarks