dolboeb: Осторожно, свежий вирус

(Добавить комментарий)

	gosha@lj 2004-02-23 23:46 (ссылка)
	Спасибо, уже:-)) (Ответить)

	lair@lj 2004-02-23 23:49 (ссылка)
	Откуда информация? Какие версие IE подвержены? Подвержен ли MyIE? (Ответить) (Ветвь дискуссии)

	sobaker@lj 2004-02-23 23:51 (ссылка)
	http://www.daemonology.net/ICQworm/worm.txt (Ответить) (Уровень выше) (Ветвь дискуссии)

	lair@lj 2004-02-23 23:53 (ссылка)
	Спасибо. (Ответить) (Уровень выше)

lair@lj
2004-02-24 00:05 (ссылка)

Ага. Исходя из этого, Miranda users are not affected, или я чего-то не понимаю? Потому что общанных файлов c:\program files\ICQ\sounds\meine\*.wav не нашел, равно как и вообще файлов *.wav под каталогом c:\program files\ICQ, измененных в последние два дня.

Интересно, а достался ли мне nocheat.jar, указанный там же в пункте 4? Или дотуда, при невыполнении пункта 3, мы не дойдем?

(Ответить) (Уровень выше) (Ветвь дискуссии)

	sobaker@lj 2004-02-24 00:11 (ссылка)
	Miranda users are not affected, потому что без ICQ ссылка с jokeworld.biz не сможет влезть в эти sounds\meine (см. ссылку на дырку с автораспаковкой scm-файлов). (Ответить) (Уровень выше) (Ветвь дискуссии)

	lair@lj 2004-02-24 00:12 (ссылка)
	Там пункт 4 — редирект на третий сайт. Он запускается тем же образом, или просто через IE? (Ответить) (Уровень выше) (Ветвь дискуссии)

sobaker@lj
2004-02-24 00:28 (ссылка)

Как я понял, просто через IE - конечно, если нет [прошлогоднего?] патча к Microsoft Java VM. Собственно, это не столько пункт 4, сколько 1.1 - ведь ссылка на этот файл стоит уже на заглавной страничке jokeworld.

Признаться, у меня нет под рукой самого вируса, так что заглянуть в него и сказать точно, что он хочет, не могу. Но пути распространения вроде как указаны верно.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	lair@lj 2004-02-24 00:29 (ссылка)
	Патча нет. Но, с другой стороны, файлы на машине со вчера не менялись. Не понимаю. (Ответить) (Уровень выше)

	lair@lj 2004-02-24 00:34 (ссылка)
	Более того, ни user_bx, ни nocheat.jar у меня в кэше не осели. (Ответить) (Уровень выше) (Ветвь дискуссии)

	sobaker@lj 2004-02-24 00:43 (ссылка)
	По-хорошему можно взять java decompiler да IDA родную и все выяснить, но, я думаю, kaspersky/drweb все равно это будут делать сегодня-завтра :) (Ответить) (Уровень выше) (Ветвь дискуссии)

	lair@lj 2004-02-24 00:44 (ссылка)
	Это я к тому, что до сих пор не понимаю, досталась ли мне jav-овская часть, и чем она мне грозит. (Ответить) (Уровень выше)

mxf@lj
2004-02-24 02:17 (ссылка)

а не подскажете — он эффект падения аськи не вызывает вирус этот?
у меня триллиан, проблем нет, но вот у одной знакомой сегодня началось
с вирусом совпало
и что делать не совсем ясно
хоть свой комп заражай и разбирайся
как исцелить, не знаете? ;-) если вирус, конечно)

(Ответить) (Уровень выше) (Ветвь дискуссии)

ivanov@lj
2004-02-24 05:25 (ссылка)

у меня вызвало тоже и я его совершенно точно полноценно подцепил всем разослал,
каксперыч отапдейтился часа в 4 дня , соответственно качайте кто не успел

естественно интересует взаимосвязь между кражей кода и милой хренью про которую уже было понятно что она швыдкий вирус, обновления к которому ждали 5-6 часов, совершенно не понимая, что же эта хрень сделала (или сделает).

ваще будущее малюется загляденье.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	sobaker@lj 2004-02-24 22:46 (ссылка)
	Нет никакой взаимосвязи. Он использует старые дырки. (Ответить) (Уровень выше)

(Комментарий удалён)

dolboeb@lj
2004-02-24 00:01 (ссылка)
Прямую ссылку на вирус мне и не приходило в голову давать.
Не маленький все же.
(Ответить) (Уровень выше)

rudra_r@lj
2004-02-23 23:50 (ссылка)
А на мозиллу он тоже распространяется?
(Ответить) (Ветвь дискуссии)

sobaker@lj
2004-02-23 23:51 (ссылка)
Нет.
(Ответить) (Уровень выше) (Ветвь дискуссии)

rudra_r@lj
2004-02-23 23:53 (ссылка)
Спасибо!
тогда пошла смотреть что там по ссылке показывают :)
(Ответить) (Уровень выше) (Ветвь дискуссии)

ssr@lj
2004-02-24 00:29 (ссылка)
Зачем??
(Ответить) (Уровень выше) (Ветвь дискуссии)

rudra_r@lj
2004-02-24 01:00 (ссылка)
Ну ведь должно же там быть что-нибудь интересное :)
(Ответить) (Уровень выше) (Ветвь дискуссии)

ssr@lj
2004-02-24 01:09 (ссылка)
Неужели в интернете так мало интересного, что вы ищете интересного в заведомо опасных местах?
(Ответить) (Уровень выше)

pepel@lj
2004-02-23 23:51 (ссылка)
Антон, а может, http не писать, все же? Люди разные бывают, многие сначала нажимают на линки, а потом читают, что про эти линки написано:))
(Ответить) (Ветвь дискуссии)

dolboeb@lj
2004-02-23 23:58 (ссылка)
Люблю людей, которые априори считают себя сильно умнее меня.
Разумеется, моя ссылка не работает, потому что там латинское "о" на русское заменено.
(Ответить) (Уровень выше) (Ветвь дискуссии)

pepel@lj
2004-02-24 00:00 (ссылка)
Гениально:) Я просто из тех, кто таки да сначала открывает линки. Этот раз - исключение.
(Ответить) (Уровень выше) (Ветвь дискуссии)

gupta_vidya@lj
2004-02-24 00:21 (ссылка)
Не следовало ему про букву "о" говорить. Чую - начнут сейчас люди эту самую букву в линке менять .. :))
(Ответить) (Уровень выше)

gipopotam@lj
2004-02-23 23:53 (ссылка)
Поздно прочитал:)
Сначала от нескольких человек пришло сие, затем отрубилась аська вообще.
Есть какие-то возможные контрмеры?
(Ответить)

kortunov@lj
2004-02-23 23:55 (ссылка)
а мне по аське пришла ссылка. в аську-то оно как залезло?

я не нажимал :)
(Ответить) (Ветвь дискуссии)

dolboeb@lj
2004-02-24 00:00 (ссылка)
Вам прислали.
Вас приглашают сходить по ссылке и заразиться.
Если Вы не послушаетесь, то и останетесь здоровы.
(Ответить) (Уровень выше) (Ветвь дискуссии)

kortunov@lj
2004-02-24 00:17 (ссылка)
так пуля в том, что не анонимусы какие-то прислали, а знакомый чувак. вот что меня насторожило.
(Ответить) (Уровень выше) (Ветвь дискуссии)

dolboeb@lj
2004-02-24 00:31 (ссылка)
Это не знакомый чувак прислал, а вирус, добравшийся до его контакт-листа.
(Ответить) (Уровень выше)

да
lepin@lj
2004-02-23 23:55 (ссылка)
И не просто от знакомого, а от НЛ!
Я только не понял - чтобы он распространялся дальше, нужен именно icq клиент или миранда, скажем, тоже пойдет?
(Ответить) (Ветвь дискуссии)

sobaker@lj
2004-02-23 23:59 (ссылка)
icq+explorer
(Ответить) (Уровень выше)

Re: да
dolboeb@lj
2004-02-24 00:00 (ссылка)
А ты проверь :)
(Ответить) (Уровень выше) (Ветвь дискуссии)

а как
lepin@lj
2004-02-24 05:55 (ссылка)
НЛ прислал. Я кликнул. Вот откуда мне знать - сел он куда-то, послал чего-то?
(Ответить) (Уровень выше)

Re: да
cwot@lj
2004-02-24 00:25 (ссылка)
проверено -- миранда не подходит

впрочем я на саму ссылку не нажимал, а сделал copy-paste, но вряд ли это влияет

у них там, похоже, вся контора болеет -- мне пришло от соседки НЛ'я :)
(Ответить) (Уровень выше)

Re: да
sapfo@lj
2004-02-24 03:55 (ссылка)
хаха
мне тоже от нл :)
но я не успела заразиться, что забавно :) слишком долго грузилось...
(Ответить) (Уровень выше)

ronny_@lj
2004-02-23 23:56 (ссылка)
Вы уж совсем Антона за дурачка держите! Ссылка приведена для чтения глазами - то есть сделана неработающей :)

В ЭТУ ссылку, которая здесь Антоном приведена, тыкать можно смело - "Невозможно найти удаленный сервер"
(Ответить)

scroll@lj
2004-02-23 23:57 (ссылка)
Это шутка?
Если да, то не смешно.
Если нет, то нафига в посте присутствует работающая ссылка?
(Ответить) (Ветвь дискуссии)

dolboeb@lj
2004-02-23 23:59 (ссылка)
Иногда, знаете ли, перед тем, как ругаться, стоит допустить наличие у собеседника некоторого IQ и жизненного опыта.
(Ответить) (Уровень выше) (Ветвь дискуссии)

vavilon@lj
2004-02-24 00:21 (ссылка)
Даже если бы она была работающей, ну что можно сказать о человеке, идущем по ссылке, над которой неоновыми буквами написано - ТАМ ВИРУС ?:)
(Ответить) (Уровень выше) (Ветвь дискуссии)

scroll@lj
2004-02-24 00:46 (ссылка)
То, что он потом пришлет этот вирус кому-то, кто такой надписи еще не видел
(Ответить) (Уровень выше) (Ветвь дискуссии)

vavilon@lj
2004-02-24 02:41 (ссылка)
А о его психотипе Вы ничего сказать не желаете?:)
(Ответить) (Уровень выше) (Ветвь дискуссии)

scroll@lj
2004-02-24 02:53 (ссылка)
Мне пофиг его психотип
(Ответить) (Уровень выше)

r_l@lj
2004-02-24 00:06 (ссылка)
Дети, юзайте оперу.
Идея, кстати, напрашивавшаяся давно - задействовать аську. Безошибочная в смысле психологическом.
Гады поганые.
(Ответить) (Ветвь дискуссии)

ssr@lj
2004-02-24 00:14 (ссылка)
И Миранду, и Миранду!
(Ответить) (Уровень выше) (Ветвь дискуссии)

suhov@lj
2004-02-24 00:48 (ссылка)
типа там дыр нет
(Ответить) (Уровень выше) (Ветвь дискуссии)

ssr@lj
2004-02-24 00:57 (ссылка)
Вы защищаете ICQ или гнобите Миранду? Или вы линуксоид?
(Ответить) (Уровень выше) (Ветвь дискуссии)

r_l@lj
2004-02-24 01:04 (ссылка)
Там совсем немного надо дописать, чтоб он миранду поел, как я понимаю. А вот без МСИЕ он просто не размножается.
(Ответить) (Уровень выше) (Ветвь дискуссии)

ssr@lj
2004-02-24 01:15 (ссылка)
Тогда получается, что он использует дыру в ИЕ, чтобы получить контроль над системой, а дальше он уже может что угодно сделать, и ICQ-Миранда тут просто ничтожные пешки в этой злокозненной игре, от которых ничего не зависит.
(Ответить) (Уровень выше) (Ветвь дискуссии)

r_l@lj
2004-02-24 01:19 (ссылка)
Они очень важны психологически. Если к спаму прибегнуть, то вероятность заражения будет меньше.
Но я, на самом деле, не знаю, действительно ли маранда так же неустойчива. Может, и устойчива.
(Ответить) (Уровень выше)

sendfor@lj
2004-02-24 01:10 (ссылка)
Миранду однозначно, да. А Оперу пусть Р_Л юзает.
(Ответить) (Уровень выше)

Именно!
nihao_62@lj
2004-02-24 01:50 (ссылка)
"Мы Оперу, мы Оперу, мы очень любим Оперу!"
(Ответить) (Уровень выше)

mekarka@lj
2004-02-24 00:07 (ссылка)
Это только к ICQ относится, или к Миранде тоже?
(Ответить) (Ветвь дискуссии)

ighost@lj
2004-02-24 08:43 (ссылка)
По миранде пока не приходило, хотя скорей всего, что это не при чем. Наверно просто повезло...:-)
(Ответить) (Уровень выше)

gromozzzeka@lj
2004-02-24 00:10 (ссылка)
Он не просто рубит аську, но и пиздит всякую очень ценную информацию. Особенно по вкусу придется пользователям E-Gold
(Ответить)

Извини за мой французский
mshadow@lj
2004-02-24 00:20 (ссылка)
Вашу мать!!!!....
(Ответить)

gipopotam@lj
2004-02-24 00:23 (ссылка)
Господа,ну вот достаточно успешно йобнулась аська,как дальше действовать? Как лечить систему или уже никак?)
(Ответить)

gazelka@lj
2004-02-24 00:24 (ссылка)
Я думаю, я заразилась-таки по аське. Нет ли соображений чего делать дальше?
(Ответить)

alien_stone@lj
2004-02-24 00:33 (ссылка)
Меня спас мой Нортон-Антивирус. я ж дурная - раз линк от знакомомго - можно жать! AVP мгновенно его почикал и удалил о чем незамедлительно сообщил. а линк этот сам себя рассылает по контакт-листу если человек заразился (о.. тож мне.. сказанула.:-) )
(Ответить) (Ветвь дискуссии)

gipopotam@lj
2004-02-24 00:39 (ссылка)
Нортон 2004 года?
У меня 2003 - не реагирует.
(Ответить) (Уровень выше) (Ветвь дискуссии)

alien_stone@lj
2004-02-24 00:44 (ссылка)
АГА 2004
причем регулярно обновляю базу
(Ответить) (Уровень выше)

older@lj
2004-02-24 00:47 (ссылка)
Вы уж определитесь, NAV или AVP вас спас? :)
(Ответить) (Уровень выше)

ssr@lj
2004-02-24 00:55 (ссылка)
Вас они оба спасли - Нортон-Антивирус и AVP?
(Ответить) (Уровень выше) (Ветвь дискуссии)

alien_stone@lj
2004-02-24 01:25 (ссылка)
определяюсь :-)
МЕНЯ ой.. спас Norton AntiVirus professional 2004
AVP - слово красивое, быстро писать:-) не знаю что такое:-)чесс гря думала что то кратоке имя вышеназванного :-)
me в смущении
(Ответить) (Уровень выше)

khoptinsky@lj
2004-02-24 02:35 (ссылка)
:)
прикорльно
"Меня спас мой Нортон-Антивирус ... AVP мгновенно его почикал"
(Ответить) (Уровень выше) (Ветвь дискуссии)

alien_stone@lj
2004-02-24 02:51 (ссылка)
ну прикольно! прикольно! попрыгайте на моих костях:-)
ну облажалась - так мгновенно ж извинилась и уточнилась!:-)
я не сисадмин. и даже не продвинутый ламер.
научилась клавиатуру топтать и ладно...
(Ответить) (Уровень выше) (Ветвь дискуссии)

khoptinsky@lj
2004-02-24 05:19 (ссылка)
ну что вы :)
простите, если обидел
(Ответить) (Уровень выше)

+
pauldol@lj
2004-02-24 01:55 (ссылка)
Спасибо за предупреждение.
(Ответить)

pe3yc@lj
2004-02-24 02:36 (ссылка)
Ну сколько времени займёт ликвидировать этот самый jokeworld?

Домен на кого-то зарегистрирован и где-то хостится. Ну часов пять-шесть, не больше.
(Ответить)

passing@lj
2004-02-24 03:45 (ссылка)
jokeworld уже умер. А вот познакомьтесь - это тот кто подарил вам червячка: icami$
Вот его профайл на одном из форумов: http://forum.carderplanet.com/profile.php?mode=viewprofile&u=11244
А вот его номер аси (если конечно он этот номер действительно купил): 633350
Зовут это дитятко Андрюшей.

Рекомендую почитать мессаги (там в форуме по линку). Чувачёк по "персональным обстоятельствам" отсутствует до 28го Февраля:))) Перехватил лишку с червёй видать..судя по всему хаЦкер любитель, кардер и прочее.
(Ответить)

Не по теме.
drouk@lj
2004-02-24 04:43 (ссылка)
Антон, а кому пришло в голову на Lenta.ru повесить многие картинки на 8000 порт? (например http://lenta.ru:8000/mideast/2004/02/24/bus/picture.jpg).

Во многих корпоративных сетях такие порты закрыты. Ленте IP-шников что-ли не хватает? Или это осознанное решение?
(Ответить)

jovin@lj
2004-02-24 05:20 (ссылка)
а если я открыла, но никому не переслалась ссылка и сама страница по ссылке не открылась
как проверить есть ли вирус?
(Ответить)

Карантин ;)
pital@lj
2004-02-24 08:21 (ссылка)
Ох гадство то какое ;) На работе подхватил чуть избавился ;) бьет 5 ie и более ранние. выполнение через winhelp. Гадская штука между прочим ;) Так что уши вострО ;) Советую пофиксить эксплоер, при возможности обновить антивирусники.
(Ответить)

tigrets@lj
2004-02-24 09:21 (ссылка)
Использует не только дыру в Эксплорере, но и дыру в родном Асечном клиенте...
Меня спасло наличие альтернативы - &RQ. Это касается также юзеров Триллиан и Миранды.
(Ответить)