?

Log in

No account? Create an account
вирусы - Поклонник деепричастий [entries|archive|friends|userinfo]
Anatoly Vorobey

[ website | Website ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Links
[Links:| English-language weblog ]

вирусы [сент. 19, 2003|03:19 pm]
Anatoly Vorobey
Сегодня какой-то особенно плотный поток то ли вируса, то ли трояна — разнообразные "Newest Net Security Upgrade" и прочее фуфло, и везде внутри файл .exe размером в 140kb, один и тот же, видимо (лень проверять). Что-то новенькое?

Update: ага, судя по всему, это вот какое солнышко. Я его через strings пропустил, он даже не зашифрованный. С одной стороны, описание впечатляет: много всяких гитик умеет. С другой стороны... 140kb! — совсем разленились авторы вирусов ;)

P.S. Среди строк, найденных в этом файле, например, такие:

Try to pull my legs?
<BR>This is the qmail program<BR>
GET http://[некий.длинный.урл.cz] HTTP/1.0 (гм. чехи?)
NEWNEWS %s %02u%02u%02u %02u%02u%02u
Magic Mushrooms Growing
Cooking with Cannabis
Hallucinogenic Screensaver
My naked sister
СсылкаОтветить

Comments:
From: ex_igors
2003-09-19 05:27 am
From: Russ <russ.cooper@rc.on.ca>
To: NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM
Date: Friday, September 19, 2003, 1:18:44 AM
Subject: New version of GIBE, or Swen as some call it

-

FYI, a new virus masquerading as a Cumulative Update for IE from Microsoft came out today. Not to make too big a deal of it, but AV updates were being pushed today to cover it, some still haven't received those updates, so there's some noise being made ("Hey, I got this false update from Microsoft").

Its flashier than previous versions, using HTML to make it look more like a fancy MS advisory.

Just remember, Microsoft doesn't push update executables attached to email to anyone en-masse (even though they recommend you do!)

Cheers,
Russ - NTBugtraq Editor
(Ответить) (Thread)
[User Picture]From: andreev
2003-09-19 05:59 am

Только хотел сказать, что пока тихо -

свалился в ящик первый. Но уже порезаный на каком-то прмежуточном сервере, без заразы.
(Ответить) (Thread)
[User Picture]From: kievbear
2003-09-19 06:12 am
вот подробное описание на русском.
http://www.viruslist.com/viruslist.html?id=2848362
(Ответить) (Thread)
[User Picture]From: meshko
2003-09-19 08:19 am

урл в Чехии

это счетчик заражений. Вчера еще работал. Сегодня уже выключили, а жаль. Я с интересом наблюдал как он рос. Примерно 50 в секунду, но результат не чистый, т.к. это было уже после того, как прошла информация в списках рассылки.
(Ответить) (Thread)
[User Picture]From: vzaliva
2003-09-19 10:18 am
мне их с утра штук 30 уже пришло. Нету ли у кого
скрипта чтобы вставить в procmail чтобы отфильтровать?

(Ответить) (Thread)
[User Picture]From: vzaliva
2003-09-19 06:05 pm

procmail script

ftp://ftp.crocodile.org/pub/w32swenAmm.pl
(Ответить) (Parent) (Thread)