Полку клещей прибыло Ж-(
3129
23
Привалило по кашмарской рассылке...

1. Tanatos: "червяк" с "троянцем" в кармане
Новая многокомпонентная вредоносная программа "набирает обороты"

"Лаборатория Касперского", российский лидер в области разработки
антивирусных систем безопасности, сообщает об обнаружении нового
Интернет-червя "Tanatos", распространяющегося по электронной почте и
локальным сетям, а также похищающего с компьютеров конфиденциальную
информацию.

На данный момент "Лаборатория Касперского" уже получила сообщения о
фактах заражения данной вредоносной программой из Англии и других стран.

"Tanatos" представляет собой приложение Windows размером около 50
килобайт (упакован утилитой сжатия UPX), написанное на языке
программирования Microsoft Visual C++. Червь распространяется во
вложенных файлах электронной почты, причем рассылаемые письма имеют
различные заголовки, тексты, имена вложений и даже форматы. Это
обстоятельство существенно затрудняет процесс идентификации зараженных
писем по их внешним признакам.

С равной вероятностью зараженные сообщения имеют обычный текстовый
или HTML-формат. В первом случае для активизации червя пользователю
необходимо самостоятельно запустить вложенный файл. Во втором случае,
после доставки в почтовый ящик потенциальной жертвы, "Tanatos", после
того как письмо будет прочитано (например, в панели предварительного
просмотра), незаметно заражает компьютер, используя брешь "IFRAME" в
системе безопасности Internet Explorer.

Для распространения по локальной сети червь перебирает все доступные
сетевые ресурсы, ищет на них каталоги автозапуска Windows и записывает
туда свою копию, которая выполняется затем при следующей перезагрузке
системы. Данная функция работоспособна только в случае, если на целевой
машине установлены права записи в упомянутый каталог.

После активизации "Tanatos" регистрируется в ключе автозапуска
системного реестра Windows, так что вредоносная программа будет
активизироваться при каждой перезагрузке Windows. Интересная особенность
червя заключается в попытке закрыть активные процессы большинства
антивирусных программ и персональных файрволов.

"Tanatos" также содержит ряд "троянских" функций, что делает его
исключительно опасной программой, допускающей утечку конфиденциальных
данных. В частности, он устанавливает клавиатурный "жучок" (файл
KEYLOGGER.DLL в системном каталоге Windows), благодаря которому
записывает в специальный файл весь набираемый на текст (в том числе и
системные пароли). В дополнение, на компьютер устанавливается утилита
несанкционированного удаленного управления, позволяющая злоумышленникам
полностью контролировать зараженный компьютер: принимать, передавать,
копировать и удалять файлы, запускать их на выполнение, принудительно
завершать процессы и др. Для осуществления этих операций червь незаметно
открывает HTTP-сервер и предоставляет "хозяину" Web-интерфейс для работы
с зараженной системой.

"Потенциальными жертвами "Tanatos" являются компьютеры-носители
червя "Klez", поскольку для заражения оба червя используют брешь
"IFRAME" в системе безопасности Internet Explorer. Учитывая тот факт,
что "Klez" до сих пор удерживает первое место в списке самых
распространенных вредоносных программ, можно ожидать, что с "Tanatos"
пользователей, все еще не установивших патч, закрывающий эту брешь,
постигнет та же участь", - комментирует Денис Зенкин, руководитель
информационной службы "Лаборатории Касперского".

Процедуры защиты от данной вредоносной программы уже добавлены в
базу данных Антивируса Касперского. Пожалуйста, обновите Вашу
антивирусную программу!

Загрузить заплатку для системы безопасности Internet Explorer,
устраняющую брешь "IFRAME" Вы можете по адресу:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Более подробная информация об Интернет-черве "Tanatos" доступна в
Вирусной Энциклопедии Касперского:
http://www.viruslist.com/viruslist.html?id=1143360.

а это сёдняшние маты моего почтовика Ж-(

From : the.bat@aol.com
To : ------@----
Subject : Welcome to The Bat!
Date : Wed, 2 Oct 2002 08:41:38 +0700
Message-ID:

Attachment Virus name Action taken
------------------------------------------------------------------------------
cf262641141.att Exploit.IFrame.FileDownloadRemoved
ISO1 мас.nri.exe I-Worm.Tanatos Removed
cyberhawk
А это мой поймал:

Антивирус Касперского KAV for MS Exchange обнаружил вирус в следующем сообщении:
от кого: Arnold Mindell
кому: undisclosed-recipients
копия:
скрытая копия:
дата: 2 октября 2002 г.
время: 11:57
тема:
Re: Moscow: Sitting in the Fire

Это сообщение содержало вложение ИНЦЮ.htm.pif зараженное вирусом I-Worm.Tanatos.
Вложение было удалено антивирусом Касперского KAV for MS Exchange.


Опять двойные расширения...
CooL/2
А че ты переживаешь-то? Что под твой любимый полумух никто ничего не пишет? Или чего?
Злыдь
Ну как те сказать..обЫдна:улыб:Во-первых у нас нет, такого прикольного произведения глюкодрома как аутглюк,
Во-вторых, таких смешных дыр у нас нет...
В-третьих, какого черта никто не пишеть:улыб:
= В-третьих, какого черта никто не пишеть
Сплюнь три раза и подержись за дерево...
Владимир Щербак
А смысл ?? Все равно мало кто напишеть, потому как недокументировано в достаточной мере.Да и опять же структура на более выскомо уровне реализована, нежели в виндах...В общем слишком много тонкостей.
CooL/2
да ладно и на старуху бывает проруха Ж-)))
мож и до тебя вирь дойдет Ж-))))
хотя сильно похоже на fake но хрен знает Ж-)))
оригиал тут http://www.mobil.ru/onenews.php?news_id=820

На Украине появился SMS-вирус

Некоторые пользователи мобильной связи на Украине стали получать по 255 текстовых сообщений сразу. Это не свидетельство их особой популярности, а результат действия новой программы, рассылаемой под видом SMS-сообщения. 255 новых сообщений - это слишком много, даже для тех, кто любит активно общаться. Попав в телефон, вирус блокирует память, выдавая на экран иконки прихода нового сообщения и общую цифру в 255 сообщений. Избавиться от нее можно только двумя способами: выбросить свой аппарат или на короткое время поменять SIM-карту, вставив другую, здоровую. Иконки и текстовые сообщения должны исчезнуть. SMS-вирус быстро распространяется среди польских, эстонских и латвийских пользователей мобильных телефонов. На Украине зарегистрировано только несколько случаев в Черкассах. Вирус распространяется очень быстро и может охватить всю Украину за 5 дней. Сама программа под названием Flashmsg написана в Финляндии. Вредную программу уже успели обозвать SMS-вирусом, она умеет автоматически рассылать себя по списку адресной книги, как это делают некоторые компьютерные вирусы.
cyberhawk
Они забыли добавить, что эта фигня работает только на Нокиях ИМХО
cyberhawk
Да быстрей бы ;-))))) Хотя не факт что он появится вообще, во всыком случае в ближайшее время, читай мой пост к Владимиру..
CooL/2
В той же рассылке от дяди Касперского как-то было про вырус под пингвинов. Так что могешь не плеватца.
DrAnimal
Угу...

Жизнь коротка... Подожди немного...
cyberhawk
У Symanteca есть лечилка для Танатоса
(он у них называется по-другому, но это точно он)

http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.removal.tool.html
Крыска
надеюсь мне оно не актуально будет (слышен стук по деревянной голове)
cyberhawk
Сегодня мне в домашний ящик его пихнуло... Не с моего сервака, с другого, там "Тренд" его пропустил:хммм: Не обновился, видать, еще на то время.

Майл-чекер АВП (бэта) придавил его на моем компе.

А мой АВП-Эксченч на работе прибивает эти письма второй день, надрывается...
Крыска
Нас пока миновала сия штучка ;)..
CooL/2
--==Нас пока миновала сия штучка

:-)) тоже так думал )) начал бить рекорды клеща. Со вчерашнего дня уже 8 штук ))
Не сомневаюсь, что он их побьет, ибо скорее всего заразит всех, кто живет с клезом, да и еще прихватит.
Крыска
Вопрос на засыпку: как к Мышу прикрутить доктора Веба?
Танатос и БагБеар (BugBear.A) одно и то же?

Валятся мне с ним письма, а монитор avp молчит
Вроде бы одно и то же. Судя по тому, что пишут на Симантеке.
У меня не монитор его отхватил, а мейл-чекер.
DrAnimal
"Вслед за сетевым червем Slapper, обнаруженным всего 2 недели назад, на Linux-компьютеры обрушилась очередная эпидемия, вызванная новым Linux-червем под названием Mighty, сообщила "Лаборатория Касперского". На данный момент зарегистрировано более 1600 зараженных систем по всему миру."

http://www.cnews.ru/topnews/2002/10/03/content7.shtml
another one
--==На данный момент зарегистрировано более 1600 зараженных систем по всему миру."



Задрали....... http://www.debian.org/security/2002/dsa-136

Обратить внимание на дату.

НЕАКТУАЛЬНО

А вот танатос, несмотря на молодость, уже начинает доставать. Трафик жрет сука.