TheRegister raksta par kārtējo vīrusu, kas izplatās pateicoties Internet Explorer ievainojamībai. Lieotājam tiek atsūtīta e-pasta vēstule it kā no attiecīgā pasta servera administratora. Lietotājam ir jāatver pievienotais .zip arhīvs un jāpalaiž iekšā ievietotais .html dokuments. Reāls piemērs, ko es tikko saņēmu uz savu pastkastīti, ir redzams nedaudz zemāk.
Spriežot pēc Ripe.net ierakstiem:
inetnum: 194.19.244.64 – 194.19.244.127
netname: REHO-HOTELS
descr: Reho Hotel de Roma
Tā adrese pieder Reho Hotel de Roma adrešu blokam. Ja kāds admins no attiecīgās iestādes lasa šīs rindiņas, tad būtu ieteicams pārbaudīt attiecīgo datoru. Acīs iekrita arī tas, ka vīruss sevi identificē kā The Bat! e-pasta klients.
Arhīvā atrodas it kā html dokuments, kas ar Internet Explorer palīdzību palaiž iekšā iestrādāto .exe failu (vīrusu).
Vēl par tēmu var palasīt tajā pašā The Register, kur apraksta citu līdzīgu vīrusu.
Man šie sExplorera caurumi jau aknās sēž. Ja šie lietotāji inficētu tikai viens otru, es neko neteiktu, bet viņi noslogo tīklu un sūta visādu drazu arī citiem lietotājiem. Rezultātā cieš visi. Tas arī ir galvenais iemesls kapēc tik daudzi tā necieš šos Microsoft produktus. Cilvēki taču nogurst šajā ielāpu maratonā…
Man arii chupinja iegaazaas no 194.19.244.76
mlje pirms paris dienaam shito jau izkliedza antivirus.lv un veel kaudzzz saitu. refresh
besis ar tiem virusiem katru dienu uz meili kaadi 5 atnaak :/
Cik sapratu, sho viirusinju var izvietot arii webaa.
Taa kaa Inbox.lv ir XSS vulnerabls, IE lietotaajs var automaatiski tikt pie Mimail…..
kursh ta vispaar veel ver attachus valjaa, kas naak no sazin kaa un anglju meelee?
Benvenuto, es. Es veru visu vala un lasu un palaizu programminas. Man tas patik!!!
Es ar ver visu valjaa man antiviras nau i nah nevaig :)) FORMAC labaakaa CURE :))
Juu, man arii darbaa shitais tika atsuutiic. Es gan lietoju Mozilla, un neviens cits IE ari nelieto darba. Taa luuk.
Ticiet vai nee man joprojaam “i love you” naak (dienaa viens noteikti). no 1999 nelietoju antiviirusu, jo no taa gada nelietoju arii Outlook Expresi 🙂 un attachmentus bez reaala pieprasiijuma pat no draugiem neveru nemaz jau nerunaasim par kaut kaadaam .com adreseem 🙂 – labaakais antiviiruss… BTW vienreiz dikti saguris automaataa gan meegjinaaju atraut vienu attachmentu, bet par laimi Bats pasuutiija mani pupaas teikdams, ka “.exe jau nu toch neveershu, ja gribi noseivo un tad ver”, protams, uz to mirkli jau biju paspeejis aptvert ko izdariiju un biju jau pat galvu sakjeeris… paldies Batam, ka vish nebij saguris 🙂
(22:07) [Lethal] nu teixim taa, es visu diennakti esmu puuleejies un domaajis un mociijies lai dabuutu cepumus kuros ir kodeetas paroles, kuras var izmantot lai ielogotos kaa jebkursh, kuram nozagu cepumu, ir vairaaki plaani kaa tas viss tika iistenots,
(22:07) [Lethal] 1
(22:07) [Lethal] kods, kursh regjistree visu ko vinjam atsuuta cits kods (javascripts) kursh tika izmantots vairaakos veidos
(22:07) [Lethal] 2
(22:08) [Lethal] javascripta taisiishana, samekleeshana
(22:08) [Lethal] 3
(22:08) [Lethal] izdomaat kaa adminam atnjemt paroli, ne paareejiem
(22:08) [Lethal] 4 izdomaat kaa paareejiem atsevsihkji no admina
(22:08) [Lethal] 5
(22:08) [Lethal] paarbaude uz lethal.punani.lv
(22:08) [Lethal] 6
(22:08) [Lethal] servera samekleeshana
(22:08) [Lethal] 7
(22:08) [Lethal] cepumu paarveidoshana
(22:09) [Lethal] 8 admin.php izmantoshana
(22:09) [Lethal] viss
es vinju nejausi steigaa palaidu ar Mozillu, par ko pac pabriiniijos (vakar). Sekojosaa virusa bonus bija tas, ka from adrese taada pievilciiga admin@ Liekas, ka nekas traks naf noticis (hdd arii nomainiits, takaa vispar bez raizeem).
biistaties 🙂 nesaprotu kamdelj tas viss veel ir jazio ja taapat to html var nosutit.
Tad Tev vinju atveers [html atbalstosha] pasta programma, nevis web paarluuks [vairumaa gadiijumu IExplorer peec nokluseejuma, kas tieshi vajadziigs]
Bez tam, shitaa interesantaak, – origjinaalaak, un nopietnaak izskataas
Kur tad McAfee gulj? Peedeejais Update atnaaca pirmajaa, varbuut tas arii ir jau prieksh taa?!! Tas, ka M$ veel nav pachu atsuutiijis, mani neuztrauc, kaut gan, vai ar pachu buus liidzeets. Ko noziimee, iestraadaats *.exe? Tipa meil attach – HexBin? Intereses peec gribeetos paskatiities, bet mani apbizjo – neviens nesuuta :((
m
karuuzo: ja ljoti veelies, tad vari izbaudiit sho VIIRUSU /exploit/mess age.html.
gribeeju apskatiities source, bet man AVP to izdzeesa pirms es kaut ko vareeju pasaakt.. :((((
Thank’s coolynx. Ideja jau laba, tikai es nesapratu, kaapeec tur atkaartojas viens un tas pats gabals n-reizes, kuraa defineeta viena un taa pati funkcija 😕 Es gan nerakstu ‘webam’, bet C++ uzreiz pateiktu ka es nedaudz…
m
PS. Es lietoju Mizillu, nesanaaca izklaide :((
PPS. Nu labi, nemaz nemeegjinaaju, negribu iedziivoties suudos :))
karuuzo: esmu taads pats firebird 0.6.1 lietotaajs un liidz pusei palaidu to failu – apstaadinaaju, kad tur kaut kaads process ieilga. nekas nenotika, vismaz es ceru 😉
bet domaaju, ka to ir sarakstiijis kaads amatieris, kas veel maacaas rakstiit viirusus, taapeec arii par optimizaaciju neko nav dzirdeejis.
A ko tas vīruss dara?
a neko
coolynx – man par liidziigiem jokiem (mazaak kaitiigiem un visaptveroshiem) vienreiz shitaadu te dzejoliiti (pantinju) atsuutiija:
244.pants. Datora vīrusa izplatīšana
(1) Par datora vīrusa, tas ir, tāda programmas līdzekļa apzinātu izplatīšanu, kas izraisa datortehnikas programmatūras vai informācijas nesankcionētu iznīcināšanu vai grozīšanu vai kas sabojā informējošo iekārtu vai sagrauj aizsardzības sistēmu, vai par jauna veida vīrusa ievadīšanu datortehnikas programmatūras vidē –
soda ar brīvības atņemšanu uz laiku līdz četriem gadiem vai ar naudas sodu līdz divsimt minimālajām mēnešalgām.
(2) Par tādām pašām darbībām, ja ar tām radīts būtisks kaitējums, –
soda ar brīvības atņemšanu uz laiku līdz desmit gadiem.
——
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: W32.Mimail.A@mm
File: C:WINDOWSTemporary Internet FilesContent.IE5M3WJYDWRmessage[1].htm
Location: C:WINDOWSTemporary Internet FilesContent.IE5M3WJYDWR
Computer: VILNIS
User: vilnis
Action taken: Clean failed : Quarantine failed : Access denied
Date found: Thu Aug 07 08:33:05 2003
Microsofts rullee 4eva, jo:
1. Alternatiivos saliek “miikstumos” par viirusu izplatiishanu (kaa rezultaataa IE lietotaaju procentuaalais iiipatsvars palielinaas) :PPP
2. MS lietotaajiem jautraak – vienmer var njemties ar kautkaadiem viirusiem, caurumiem un ielaapiem – paareejie tikai no malas priecaajaas, kameer mees tos reaali izgarshojam! 😉
coolynx sagaajis sviestaa izplata viirusus