Вирусы, Трояны. - Страница 2

**Restless Dreams** · 12.01.2007, 03:23

и чё, страшный очень?

***baggi*** · 10.09.2007, 17:16

Для тех, кто пользуется Скайпом!!! Внимание, вирус! Attention, virus!!! Die Aufmerksamkeit, den Virus!!!

Цитата:

Тут походу образовалась новая вирь-эпидемия в скайпе (думаю многие уже в курсе).
Выглядит это таким образом: кто-нибудь из контакт-листа присылает сгенерённые ботом сообщения со сцылкой на картинку в жопеге формате - dsc027.jpg. Открывать такое естественно не надо.
Вирь (скорее троян) убивает реестр, но не насмерть (хотя наверно даже он не заходит так далеко, а просто лочит любое экзе файло - хз, в лом было проверять досконально), а всего лишь не даёт запускать какие-либо проги через экзешники. Причём не все экзешники - инсталяционные, к примеру, работают нормально.
Кроме этого он лочит скайп, ставит в нём статус "не беспокоить" и начинает спамить по контакт-листу.
Лечится просто (если уж файл был открыт) - для начала, на всякий случай, убить директорию скайпа, потом стереть сам файл (в том числе из корневого каталога виндозы - тоже на всякий похарный), потом сделать систем рестор на какую-нибудь сохранённую ранее точку, ну и потом уже можно спокойно ставить антивирь и шерстить.
Троян на самом деле примитивный как по исполнению, так и по эффекту, но всё равно неприятно.
В общем, не фиг открывать что попало, и особенно проверять сообщения от тех кто пишет из "не беспокоить".

sedoy64 · 28.02.2008, 23:05

Читал, кой чё прям скажу интересно. Однако не совсем понятно, для чего авторы пишут о троянах в разделе про виры? Рекомендую позаиметь чё нить линуховое, коль виров боимся. Очень актуальная штука и умеет почти всё кромь как в игрушки играть. Но для тех, кто игроман ,пардонь муа, конечно винда с форточками чудо из чудес. а для работы посерьёзней линухи просто чудо.

mmax · 09.04.2008, 21:07

Вставляем флешку в зараженный компьютер и этот компьютер автоматически записывает на нее несколько скрытых файлов один из них обязательно называется autorun.inf другие с расширениями *.exe *com итп.
Идем еще куда нибудь и вставляем уже зараженную флешку в незараженный компьютер и заражаем его. Такимже образом заражаем свой домашний компьютер. К нам приходят друзья и знакомые и тоже заражаются.
Вобщем эпидемия охватила почти уже весь народ. Особую опасность представляют учебные заведенияЛично я ежедневно дома удаляю заразу с флешки, подхваченную везде.

Кто незнает, то поясню:
Если на съемном диске нет файла autorun.inf, то система при вставке такого диска выводит окно с вариантами предлагаемых действий или выполняет действие заданное в этом окне ранее. Если autorun.inf есть, то система выполняет сценарий прописанный в этом фапйле, не выводя никаких информационных окон. Соответственно если в сценарии прописать запуск вирусов, то при вставке флешки он произойдет и ничего с этим не поделаешь.

Впринципе ничего страшного тут нет, любой самый дешевый антивирусник пресекает все попытки автозапуска вируса. Но судя потому, что почти у всех компьютеры заражены, то можно делать выводы о безолаберности пользователей.

На Windows Vista такая фигня не прокатывает, так как она в любом случае выводит собственное окно автозапуска, в котором одним из вариантов действий предлагается запустить автозапуск autorun.inf. Главное случайно не нажать на зтот вариант. И не задать запуск программ в умолчаниях.

Вирусные файлы сделаны скрытыми и помечены как системные, и если на компьютере не включено отображение скрытых файлов то в проводнике физически вы их не увидите. Если компьютер заражен, то вирусы блокируют включение режима отображения скрытых файлов.

mmax · 12.04.2008, 14:49

Чтобы не заразиться вирусом от флешки надо выполнять простые правила:
1. Никогда не вставлять флешку если антивирус отключен даже если вы уверены в чистоте своей флешке.
2. После вставки флешки внимательно посмотреть, что предлагается сделать в появившемся информационном окне и случайно не нажать вариант с запуском программы если такой присутствует.
3. Не открывать в проводнике флешку двойным кликом, так как при двойном клике первым делом запускаются авторуны, если таковые имеются. Чтобы открыть флешку надо воспользоваться: Правая кнопка мыши -->Открыть.

Если вы заражены надо просканироваться антивирусом. Если после сканирования в свойсттвах папки вам не удается включить режим отображения скрытых системных файлов и папок, то вам надо создать текстовый файл с расширением *.reg с текстом:

Код:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 
"CheckedValue"=dword:00000001

и выполнить его. После этого скрытые файлы и папки можно включать.

**jenka** · 19.05.2008, 20:51

Осторожно! С вами говорит... вирус

19.05.2008 18:05 |
Пользователи популярной социальной сети "ВКонтакте.Ру" стали жертвами серьезной вирусной эпидемии, говорится в сообщении компании "Доктор Веб", служба вирусного мониторинга которой зарегистрировала вредоносную программу.

В сообщении уточняется, что причиной эпидемии стал опасный сетевой "червь", который рассылает с инфицированных машин другим пользователям сети "ВКонтакте.Ру" ссылку на картинку в формате jpeg, ведущую на ресурс злоумышленника в сети интернет (http://******.misecure.com/deti.jpg). Реально же сервер передает по этой ссылке исполняемый файл deti.scr, который и является непосредственно сетевым "червем".

Будучи запущенным на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Таким образом, пользователь видит то, что ожидал увидеть, не подозревая, что стал жертвой злоумышленника.

Между тем, скопировав себя в папку на жестком диске компьютера жертвы под именем svc.exe, "червь" устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к "ВКонтакте.Ру". Если пароль находится, то "червь" получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку.

"Червь" несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена): "Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!". Одновременно с этим начнется удаление с диска C всех файлов.

"Если пользователь будет достаточно долго вчитываться в данный текст и предастся размышлениям относительно его содержания, он рискует потерять не только все системные файлы, но и свои файлы данных - документы, фотографии, электронные письма и многое другое", - предостерегают эксперты "Доктор Веб".

При появлении такого сообщения рекомендуется сразу выключить питания компьютера, что позволит сохранить хотя бы часть данных.

В сообщении также отмечается, что специалисты компании "Доктор Веб" предупредили об опасности сайт "ВКонтакте.Ру", в результате чего распространение червя практически прекратилось. Тем не менее, специалисты компании рекомендуют пользователей сайта, которые посмотрели картинку на названном выше ресурсе, проверить свой компьютер на вирусы.

Социальные сети и программы, предназначенные для обмена сообщениями (мессенджеры), часто способствуют распространению вируса. Механизм заражения прост - вредоносный файл или ссылка рассылается по всему списку контактов пользователя, чей компьютер уже заразился. Таким образом, для потенциальных жертв эти послания выглядят, как исходящие от знакомых.

Вирус "путешествует" очень быстро. Например, в 2006 году через Yahoo Messenger за сутки заразились 20 тысяч компьютеров. В первые часы после появления программы Gai Xinh ("Красавица") она поражала до 2400 машин в час.

К счастью, из-за того, что вирус был создан вьетнамским хакером и само сообщение было написано на вьетнамском языке, вирус не смог вырваться за пределы Вьетнама.

Конечно, пользователь всегда может ответить на сообщение с подозрительным содержанием и попросить уточнить, что ему пришло. Но вирусы для инстант-мессенджеров уже стали настолько "продвинутыми", что могут отвечать на такие вопросы.

Первые подобные программы "завелись" в IM-сети AOL. Вирус IM.Myspace04.AIM присылал сообщение "lol thats cool" (что-то вроде "умереть со смеху") со ссылкой на файл с вирусом "clarissa17.pif".

Пользователи, пославшие в ответ фразу с вопросом, не содержит ли ссылка вирус, получали отрицательный ответ "lol no its not its a virus".

Инфицировав систему, вирус блокировал работу антивирусных программ и начинал рассылку аналогичных сообщений по всем найденным в IM-клиенте жертвы контактам.

Материал подготовлен интернет-редакцией www.rian.ru на основе информации РИА Новости и открытых источников

mmax · 21.05.2008, 22:46

Сегодня мне все почтовые ящики завалили курсовми и рефератами в формате DOC.
Интересно эти документы имеют какиенибудь вредоносные скрипты или это очередная спамерская фишка на проверку отзываемости

**jenka** · 23.05.2008, 14:06

"Одноклассники.ru" подверглись атаке

23.05.2008 11:05 | Газета.ru
«Одноклассники.ру» подверглись нападению хакеров, распространяющих на сайте вирус. Подобная атака 16 мая была предпринята в отношении посетителей другой популярной сети «Вконтакте.Ru», вирусом было заражено около 30 тыс. пользователей. Социальные сети становятся привлекательными для мошенников

Популярная социальная сеть "Одноклассники.ру" подверглась вирусной атаке. Пользователям сайта приходят сообщения от разных лиц, в которых предлагается перейти по ссылке и проголосовать за фотографию претендентки на титул «Мисс Рунет». По указанному адресу открывается окно с фотографиями привлекательной девушки и отзывами людей, которые уже проголосовали за нее. При нажатии на ссылку "Отдать свой голос" предлагается скачать файл fire-codec5107.exe, в котором, по информации Dr.Web, находится вирус Trojan.MulDrop.16008. Попадая в компьютер, вирус помещает на жесткий диск компьютера файлы notepad2.exe (BackDoor.Mbot), reebsd2.exe (Trojan.DnsChange) и сalc2.exe (Trojan.DnsChange).

«Инфицирование компьютера производится с целью использования его для последующих спам-рассылок» - говорится в отчете Dr.Web.

Подобная же вирусная атака была зафиксирована на прошлой неделе на другую популярную социальную сеть : в компьютерах пользователей «ВКонтакте.Ru» поселился опасный сетевой червь. По мнению специалистов, 25 числа каждого месяца в 10 часов утра вирус будет уничтожать все файлы. На зараженных компьютерах на экране будет выводиться следующее сообщение: «Павел Дуров Работая с «ВКонтакте.Ru» Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом! (орфография сохранена - Газета.Ru)». При чтении данной надписи «червь» начинает поедать все файлы с диска C.

По информации создателя сайта «ВКонтакте.Ru» Павла Дурова, по зараженной ссылке перешло около 30 тысяч пользователей. Еще 70 тысяч получили подобную ссылку.

Популярность социальных сетей вызывает интерес у мошенников, отмечают аналитики. «Социальные сети представляют особую ценность для таких атак в силу многочисленности потенциальных жертв», - говорит Генеральный директор компании «Доктор Веб» Борис Шаров. В большинстве случаев совершаются из корыстных побуждений. «Подобные атаки чаще всего связаны с попытками мошенничества. Также во время таких атак оттачиваются «мастерство» и техники вирусописателей, - говорит Шаров. - Нередко целью атаки служит завладение компьютером и превращение его в одно из звеньев бот-сети с целью дальнейшей рассылки спама. Во всех перечисленных случаях, за атаками стоят коммерческие интересы и немалые деньги».

Чтобы не стать жертвой мошенников, специалисты советуют не открывать письма от незнакомых адресатов, а так же не заходить на подозрительные сайты. Для безопасности необходимо пользоваться антивирусом, а также следить за его постоянным обновлением. «Советуем не переходить на незнакомые сайты, если Вы не уверены в их безопасности, а также внимательно относиться к предупреждениям браузера», - предостерегает своих пользователей Дуров.

***baggi*** · 21.06.2008, 00:55

У 99% российских пользователей "асек" появился "троян"

Практически все российские пользователи сервиса ICQ и QIP в опасности. Со вчерашнего вечера почти во всех "аськах" появился "троян" под номером 12111 (его имя ICQ System). Данная вредоносная программа добавляет к паролю пользователя пару символов или ворует его.

Как сообщает поисковый сервис Google, пользователь с ником ICQ System появился в течение последних часов практически у всех российских пользователей ICQ, причем действия у него могут быть разные. Специалисты отмечают, что появился он у 99 % пользователей, и находится в оффлайн-контактах. В этой связи они рекомендуют удалить себя из его списка "пользователя" ICQ System, затем удалить его и сменить пароль своего ICQ или QIP.

anella_79 · 21.06.2008, 12:39

Цитата:

Сообщение от baggi

Практически все российские пользователи сервиса ICQ и QIP в опасности. Со вчерашнего вечера почти во всех "аськах" появился "троян" под номером 12111 (его имя ICQ System). Данная вредоносная программа добавляет к паролю пользователя пару символов или ворует его.

Как сообщает поисковый сервис Google, пользователь с ником ICQ System появился в течение последних часов практически у всех российских пользователей ICQ, причем действия у него могут быть разные. Специалисты отмечают, что появился он у 99 % пользователей, и находится в оффлайн-контактах. В этой связи они рекомендуют удалить себя из его списка "пользователя" ICQ System, затем удалить его и сменить пароль своего ICQ или QIP.

19 и 20 июня большинство русскоязычных пользователей ICQ обнаружили в своем контакт-листе виртуального пользователя с ником ICQ System и номером 12111, находящегося в группе General в статусе оффлайн. Контакт возник самопроизвольно без запроса на согласие и даже у пользователей с включенной защитой от спама. При этом дело коснулось владельцев как классической версии ICQ, так и других популярных клиентов, включая QIP и Pidgin, а также мобильного клиента Jimm.

Сегодня утром пользователи ICQ воспользовались «сарафанным радио» и распространили в своих рядах предупреждающую фразу о том, что данный контакт является результатом работы трояна. Событие получило мгновенное отражение на многочисленных форумах, пользователи которых начали строить предположения о том, что данный контакт является троянской программой, которая крадет или портит пароли, после чего воспользоваться клиентом не удается. Отписались об этом также и некоторые средства массовой информации. При этом, в случае обнаружения незваного гостя, предлагалось срочно удалить его и поменять пароль.

"Мы предполагаем, что это была сетевая атака на один или несколько серверов AOL, предоставляющих сервис ICQ, — рассказал CNews ведущий вирусный аналитик «Лаборатории Касперского» Виталий Камлюк. — Атака была не вирусной природы. Вероятно, атакующим не удалось достичь своих целей, и получился вот такой «косяк». Но нельзя исключить, что это было сделано, например, для увеличения полномочий в чужих ICQ, например, для рассылки спама. Мы рекомендуем не паниковать. Очень вероятно, что AOL сама удалит этот контакт всем, у кого он возник, — у них есть такая возможность, и это было бы очевидным шагом с их стороны. Но чтобы исключить маленькую вероятность целевой атаки на свой компьютер, этот контакт можно удалить — удаляется он без проблем". Камлюк оценивает масштабы вторжения в несколько десятков тысяч ПК. Практически все зараженные компьютеры принадлежат русскоговорящим пользователям, но были зафиксированы также единичные случаи атаки за рубежом.

"На текущий момент мы полагаем, что это происшествие никак не связано с каким-либо новым вирусом для ICQ, — говорится в сообщении «Лаборатории Касперского». — Пользователям домашних компьютеров не стоит бояться за свои данные. Номер ICQ 12111 появился в списке ICQ-контактов на совершенно разных операционных системах (включая Linux), разных устройствах, и ICQ-клиентах… Это говорит о том, что если здесь произошло вмешательство третьей стороны, то оно задевает исключительно сервера службы ICQ. «Лаборатория Касперского», со своей стороны, оповестила службу безопасности ICQ о произошедшем".

• source: cnews

***baggi*** · 23.06.2008, 14:41

UIN 12111 не опасен

Последние несколько дней весь рунет будоражило сообщением о появлении в контактах пользователя под номером 12111 и с именем "ICQ System". У страха глаза велики обычно, поэтому мгновенно была состряпана сплетня о трояне, ворующем пароли (у американцев всегда виноваты русские, у русских - трояны). Удаление этого номера из контактов ничего не давало, уин появлялся вновь.

Что же это такое на самом деле?

Специалисты Dr.Web

Цитата:

Специалисты из технической лаборатории Dr. Web сообщили, что добавление так называемого "трояна" в контакты такого количества людей, а речь идет о 99% юзеров, с технической точки зрения возможно только на уровне серверов AOL - компании, владеющей службой мгновенных сообщений ICQ. То есть, скорее всего, это бот, запущенный компанией с целью решить какие-то свои проблемы, связанные с работоспособностью ICQ. Напомним, на днях ряд пользователей в течение нескольких часов не могли подключиться к сервису.

Лаборатория Касперского

Цитата:

Пользователям домашних компьютеров не стоит бояться за свои данные в связи с массовым появлением в контакт-листах ICQ-клиентов номера 12111. Об этом заявил ведущий вирусный аналитик "Лаборатории Касперского" Виталий Камлюк.
По мнению аналитика, вмешательство третьей стороны, если оно произошло, задело только сервера ICQ. Камлюк отметил, что "Лаборатория Касперского" известила о произошедшем службу безопасности ICQ.
ICQ-номер 12111 под именем ICQ System появился в контакт-листах интернет-мессенджеров 19 и 20 июня. Его увидели не только пользователи ICQ, но также QIP, Adium, Pidgin и мобильного клиента Jimm.

Официальное заявление AOL

Цитата:

A Message for ICQ Users
a new user from ICQ on your contact list.
As part of the process of upgrading ICQ users to our newest, most advanced version, ICQ6, we have added a new user name to your contact list ''ICQ System''. The newly added user is intended to improve ICQ's line of communication with our users and assure you continue to enjoy talking to everybody, everywhere.

Перевод: новый пользователь от ICQ в вашем списке контакта.
Как часть процесса модернизации пользователей ICQ к нашей самой новой, наиболее новейшей версии, ICQ6, мы добавили новое имя пользователя к вашему списку контакта "Система ICQ". Недавно добавленный пользователь предназначен, чтобы улучшить линию ICQ коммуникации с нашими пользователями и уверить, что Вы продолжаете говорить с любым и повсюду.

Подведем итоги

Цитата:

По информации, полученной от Ияра Голдфингера, номер 12111 в скором времени будет использоваться для борьбы со спамом.
При получении спама пользователем, необходимо скопировать текст рекламного сообщения, а так же номер, с которого пришел спам, и отправить такую жалобу боту ICQ Systems (12111). При достижении критической отметки отрицательных отзывов статус "черного" номера будет меняться на UNREGISTERED . В данный момент происходит отладка нового сервиса. Ияр призывает соблюдать спокойствие, не открывать присланных файлов, якобы борющихся с этой проблемой.
Компания AOL и лично Ияр Голдфингер приносит извинения пользователям ICQ за причиненные неудобства.

**jenka** · 16.07.2008, 23:06

Обнаружен вирус, заражающий аудиофайлы

16.07.2008 21:23 |
Российский разработчик антивирусов "Лаборатория Касперского" обнаружил компьютерный вирус, заражающий аудиофайлы, говорится в сообщении компании.

В нем отмечается, что целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.

"Червь", получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек (программное обеспечение, требующееся для воспроизведения аудиофайлов определенного типа). Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.

"До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом", - отмечается в сообщении.

Особенностью же данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков "Лаборатории Касперского", является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.

"Лаборатория Касперского" особо отмечает, что файл, который находится на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.