Latvijā plosās jauns vīruss – W32.Novarg.A@mm

Šodien sāku saņemt jaunus vīrusus – W32.Novarg.A@mm, kas no iepriekšējiem atšīrās ar to, ka tagad tiek pievienots .zip arhīvs. Vismaz tiem vīrusiem, kas man tika iesūtīti. Šis vīruss izsūta sevi no inficētā datora un spoofo dažādus hostus. Šeit ir reāls piemērs no kādas inficētās adreses, kas mani šobrīd bombardē ar vīrusiem:

Received: from [195.13.203.215] (helo=timesystem.co.uk)
Received: from [195.13.203.215] (helo=infanet.lv)
Received: from [195.13.203.215] (helo=one.lv)

Par šo pašu vīrusu uztraucas arī endrju, kas iesūtīja šo adresi uz hackers.lv foruma apspriedi un raksta sekojošo:

Manu mailserveri šobrīd gandrīz vai floodo it kā tas būtu kāds DDoS attack. Izskatās, ka neesmu vienīgais. Un skatoties e-pasta servera antivīrusa (clamav) logus redzu, ka šie vīrusi nāk no daudzām e-pasta Latvijas adresēm…
inbox.lv, lists.delfi.lv, dumo.lv, remarksr.lv, imeria.lv, utt.
Izskatās, ka daudzi “ne visai prātīgi” end-user’i ir saķēruši šo mēslu un izplatās liela sērga.

P.S. Tempi ir nepārspējami. Esmu daudzus vīrusus novērojis, jo es administrēju ~20 e-pasta serverus un šoreiz traffika noslodze un attiecība minūtēs/vīrusi ir ļoti liela.

Tad nu turamies. Cerēsim, ka šis vīruss mūs nenogāzīs 🙂

122 thoughts on “Latvijā plosās jauns vīruss – W32.Novarg.A@mm

  1. KRISHA

    Nezinu vai tas ir tas pats bet šobrīd topa ir jaunais Mydoom, vai dažos viš saucās kā SCO. Reāli mailserveros konkrētie floodi! Un kur bjin rodas tie tupogalovije kas visu pec kārtas ver vaļā!!! grrrrr 🙂
    Bet šorbīd jau ir ta ka 4 no 5 mailiem ir mydoom.. tvnet kaste knapi tiekk galā 😀

    Atbildēt
  2. ezis2a

    No rīta 450 maili bija iekšā. Un tagad visu laiku birst kā no pilnības raga, pārsvarā undelivered un “you send me a virus” reporti. Var iedomāties, kas notiek ar populāriem mailserveriem…

    Atbildēt
  3. CDC

    shito me sanjeema veel 2ned atpakalj, kas tas Bagle taarps veel nebija nemaz taa iisti saacies.. man gan bija slinkums sho peetiit taapee peec paaris dienaam (kad paaraadijaas info par Bagle, domaaju, ka taa ir kaada modifikaacija)..

    Atbildēt
  4. Kaklz

    varbūt atkārtošos taču .. vai nebūtu laiks atslēgt server-side antivīrusiem virus warning reply fīču? Vai tik nav tā, ka tā ir vēlviena lieta, kas šo flood spēcina?

    Atbildēt
  5. daysleeper

    shodien vispar kaut kaads vaajpraac vienkarshi – kaut kaads w32.IRCbot viiruss, talak vel viiruss cits bija sakjeeeris mIRCU pashu pie dziesmas, un pilns e-pasts ar visadiem drankjiem….

    Atbildēt
  6. daysleeper

    interesanti shadi fakti: pec virusportal.com datiem
    Countries most affected (ar viirusiem) – Igaunija ir otraa vietaa pashlaik, varbut driz tajaa pieciniekaa ari mes nokljuusim? redz, ka igaunju attistiba datoru zinjaa ljauj sasniegt lieliskus rezultatus. Pirmajaa vietaa Singapuura – piraatisma pereeklis 🙂

    Atbildēt
  7. virinātājs

    vai kāds varētu paskaidrot: ja pienāk meils ar vīrusu (kā attachment) un viņš tiek atvērts piemēram kādā webmail programmā (uzklikšķināts uz Subject linka un atveras html lapa ar meila saturu un norādi par attachment), tad viņš vēl netiek aktivizēts, bet tikai tad, kad tiek palaists attachment? vai vispār ir vīrusi, kas palaižas jau atverot meilu, piem. mail body satur kaut kādu javascript kodu?

    Atbildēt
  8. Optron

    A kas, vēl kautkāds Virus Removal tūlis nav iznācis? Šodien jau pa diezgan daudz kantoriem dabūju paskraidīt dzēšot jamo vīruseli…

    Atbildēt
  9. TypeR

    Vai kaads vareetu luudzu paskaidrot siikak kaa var noker kaiteekli caur MIrc, jo man majas to patstavigi izmanto dazi labi useri, kas domajams, var buut par pamatu , lai inficeetu kompi.
    Jaa un kaadus remedijus (zalites) iesakaat. Thks.

    Atbildēt
  10. ui

    removal toolis kautvai shis:
    http://www.trendmicro.com/ftp/products/pattern/lpt745.zip
    http ://www.trendmicro.com/ftp/products/tsc/sysclean.com

    Atbildēt
  11. ui

    hmm, izskatas, ka trendmicro nemak izdzest sho:
    “(Default)” = “%System%shimgapi.dll”
    HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9 C87-00AA005127ED}InProcServer32
    provejiet citus cleanerus!

    Atbildēt
  12. Djuke

    patlaban tajā virusportal lapā var manīt ka igauņi ir pirmajā vietā… visvairāk cilvēku ver attačus vaļā neskatoties ne uz kādiem brīdinājumiem… apstiprina tikai tās daudzās anektdotes ko pa tiem stāsta 🙂

    Atbildēt
  13. ShAx

    Jā, man ar šodien (27.jan) no kadiem 11 ik pa ~20 minūtēm atnāk kāds spams, e-pastu nekur laikam nedrīkst vairs publicēt..

    Atbildēt
  14. ui

    no manejiem ari viens atvera, jo arhiva bija fails ar nosaukumu:
    “document.txt .exe”
    (vismaz 60 probelu starp .txt un .exe)

    grr, a vot iesaki kadu labu filtru, kas macetu no arhiviem izkjekeseet laizhamos failus 😛
    varetu meklet peec “.exePK”, bet fails jau ir nokodeets ar base64 vai taml, kur pietam rindas parnesaas, tapec shadu ar nevar atrast 🙁

    Atbildēt
  15. Pow

    Shis nav no tiem viirusiem kas suuta no adreshu graamatinjas visiem kexiem sevi?
    Ja taa, tad sanjemto veestulju skaits ir proporcionaals juusu draugu lameriskuma pakaapaei 🙂
    Kautkaa taa..

    Atbildēt
  16. urbix

    Mef, tu neesi pirmais, kas sanjem taadu pazinjojumu, ka tavs suutiitais pasts satureeja viirusu un nav nogaadaats. esmu 100% paarliecinaats, ka manu pc viiruss nav apseedis. turklaat nevienu to spamu pastu neesmu veeris. laikam tas viirus vilto (vai izmanto citu) suutiitaaja e-pasta adresi.

    Atbildēt
  17. Unima

    Mef,Urbix – heh es ar panda antivir onlinee ik peec stundas aiz nau ko dariit paarbaudu un paarliecinos ka man nau taa kukainja , a tie meili tik naak un naak …nu nejau dauc ,bet nu …
    kaa teica CLNX : turamies!

    Atbildēt
  18. aizo

    Nupat serverī nogriezu skābekli uz 25 portu visos virzienos līdzkamēr iztīrīšu visu. No viena paša lietotāja no iekšējā tīkla gāja uz visām pusēm īdēdami – paskats reāli šausmīgs.

    Atbildēt
  19. CDC

    hm.
    KAUT KAS te suukaa… 🙁
    blj. man tas viirus TOMEER naak, bet TIKAI reizee ar jebkaadu citu meilu.. damn :
    un tie meili pat biezhi tiek suutiiti no *NIXiem.. :{
    me confused

    Atbildēt
  20. CDC

    ui, mosh vari arii apraxtiit: KAS tas par failu, lai nav j?rok?s un j?mekl?? o_0
    coolynx!! noliec pogu “piev. cmnt” atpakalj vieta.. man visu laiku tas konv. no transl. spiezhaas :/ un tad gruuti labot, jo atpakalj jau shis maita nekonvo 🙁

    Atbildēt
  21. SomeGoofy

    —— Original Message ——
    Subject: Re: Over 4 thousand emails in my box this morning!
    Date: Tue, 27 Jan 2004 18:26:04 +0100
    Organization: Nakawe data
    Newsgroups: pnews.paradox-discussions
    For a quick fix http://nakawe.sourceforge.net/MMM3/ just put a filterrule for novarg there.
    Add detection for Novarg-virus-spam
    1. change download additional lines to 35
    2. copy the files novarg_msg.txt, novarg_subj.txt and dangerousAttachments.txt to your MMM3-directory
    3. create the following 2 filters Equals ‘$novarg_subj.txt’ AND > ‘31000’ Includes ‘$novarg_msg.txt’ AND > ‘31000’
    http://nakawe.sourceforge.net/MMM3/novarg/
    – Veronica
    >
    > —88—-
    > http://www.spamcop.net/
    > http://mmm3.sourceforge.net/
    > —88—-
    >

    Atbildēt
  22. Picaroon

    Tikko saņēmu 32 meilus ar 2 veida tiem vīrusiniem- .exe un .zip
    itkā jau poh uj, bet saak tracināt, jo ti meilu burzmā jāmeklē arī kārtīgo cilvēku meili =)

    Atbildēt
  23. Udzzis

    Nez kā tas nākas, bet neesmu saņēmis nevienu! ne veco ne jauno vīrusu.
    Varbūt Delfi tos atfiltrē jau uz servera – citu izskaidrojumu neredzu jo parastais spams šad tad ieklīst. Nez vai citiem ar adresi …@navigator.lv ar tāpat?

    Atbildēt
  24. Udzzis

    Inbox gan filtrē…
    This message contains no viruses.
    Guaranteed by Kaspersky Anti-Virus.
    ha
    Kaut gan pēdējā laikā šā te brīnuma vietā no Inbox tiek piekabināta reklāma.
    Man draugam inboxā pilna kaste ar vīrusiem.
    Filtrē…

    Atbildēt
  25. CDC

    hehe. visur kur strādāju man nāk uz postmaster@ meili par to, ka itkā MANI jūzeri nevar nosūtīt vīrusaino meilu, jo redz “content not acceptable”, kas nozīmē, ka gan inbox, one un vēl daži .lv (kā arī ārzemju servi) filtrus JAU SHOBRIID ir salikuši.. znač vairs nenāks :

    Atbildēt
  26. Maris

    Nu re Latvija jau ir top pieciniekā !
    Interesanti tas nozīmē ka Latvijā ir daudz lameru nav antivirusu programmu jeb cilveki vienkārši ir daudz ziņkarīgāki un tapec lasa daudz mailus un ver vaļa visus atačus?

    Atbildēt
  27. Aleksejs

    Tas pats mailserveris, kas vakardin noķēra 950 Worm.SCO.A pa visu dienu, pa šodienu jau ir noķēris 827 gab…
    Epidēmija vēršas plašumā…

    Atbildēt
  28. TypeR

    Par laimi ari MicroLiknk filtree. Tiko vienu ar Subjectu Hi atsuutija no nezinaamas personas. Laikam viirus maina izejoso adresi. Viltiigs maita 🙂

    Atbildēt
  29. Andris

    Pats www.pods.lv ir inficēts ar kaut kādu drazu. Man McAfee ar šīrīta updeitu uzrāda, ka temp fails, kas izveidojas atverot www.pods.lv , ir inficēts ar Exploit-URLSpoof.gen
    Tā kā darbiņš adminam …
    AA

    Atbildēt
  30. Grrr

    Khe.
    smtpd_helo_restrictions = reject_unknown_hostname, reject_invalid_hostname, reject_non_fqdn_hostname
    Es domaju ar to vajadzetu pietikt vismaz 70%-80% no virusa sutitajiem.
    Galu galā cik daudziem gan ir FQDN darbastacijām un kuriem no tiem darbastacijas ir listētas kā MX endpointi (kas būtu nepareizi istenībā)?

    Atbildēt
  31. Some0ne

    Viirusi ir un buus, ne kur tie nepazudiis. Atliek vieniigi ciiniities pret tiem, diez kas shai karaa uzvarees?? Lietotaajs jeb viirus??? :/

    Atbildēt
  32. kuksus(offtipic)

    Vai shejienes guru nepateiks priekshaa kaada ir preciizaa sintakse asm proceduuras pielinkoshanai no aareeji nokompileetaa fila

    Atbildēt
  33. Jim

    Grr: da tu ko?
    Mydoom vai kaa vinju tur veel sauc, tachu feiko absolūti visu: HELO domains sakrīt ar MAIL FROM norādīto domēnu.

    Atbildēt
  34. Grrr

    ip adresi jau viņš nefeiko, es ceru.
    neesmu gan postfix specs, bet ja pareizi saprotu, tad ar augšminēto konfigu viņš pārbauda reverso DNSu konekta ip adresei un vēl paskatās vai šis hosts ir listēts zonā kā MX provaideris.

    Atbildēt
  35. Mulders

    one kaut kāda sūkaina! normālie maili netiek cauri a spams nāk… cilvēki nespēj mani sadzīt! pa kādam arī uz darbu atnāk (tie gan tiek apkauti saknē, bet pac meils atnāk)
    bet prikols būs 1ajā novembrī kad nabaga SCO aizies ciet 🙂

    Atbildēt
  36. eermaniitis

    nu blin ibio – uzlika man tikko to sakaino outluku (ieprieks Lotus Notes lietoju) un ko domaajies – pirmais mails jau ir shis meesls! – labi, ka man antiviirus Norman’s to izkjeera!!! a to d-mati :-//

    Atbildēt
  37. skuja briksnis

    Uzabgreido savas mistkastes. Man darba viens P4 3.2 Ghz no ASV ar 2GB ram, 14 userus apkalpo – reals speks. 220GB hdd.
    Mails vel nepaspej ierakstities diska, kad jau externalais pci devaiss to ir likvidejis ar čaracter devaisu!

    Atbildēt
  38. ui

    Grr, imho tada veida smtpd_helo_restrictions nav jegas ierobezhot, jo nu jau katrs viruss pats mak smuku HELO uzrakstiit
    un kas ir “MX endpointi” ?

    Atbildēt
  39. neko

    2 s: lmao, vinš tak teica ka NO ASV. tiem tur tāda kaste tikai 14 userus spēj pavilkt un varbūt tapē tikai 14 useri ka externaalais pci devaiss ar čaracter devaisu traucē 😉

    Atbildēt
  40. SergE

    Nu veči, nezinu kas notiek ar delfi, one, inbox un citiem sūdiem, bet ne šis, ne arī pagājušās nedēļas mēsls uz maniem valsts.lv pasta akkountiem tā arī nav atnācis… Sorre, bet nu laikam tomēr ir jāpadomā par to, kur un ko tīklā izmantot…

    Atbildēt
  41. Grrr

    ui, nu, par HELO pats vari redzēt coolynxa rakstā:
    [195.13.203.215] (helo=timesystem.co.uk) — DNS query par 195.13.203.215 taču norādīs, ka šī ip nav nekada sakarā ar timesystem.co.uk MX ierakstiem.
    Līdz ar to no HELO paarbaudēm IMO ir zināms labums.
    Šodien nedaudz paskatījos vairāk, un pieliku vēl pie
    smtpd_client_restrictions … reject_unknown_client — kopā ar HELO tas principā visus vīrusu spammerus nostopēja.
    Tagad vēl tikai ko iesākt ar telekoma serveriem, kuri domā, ka es viņiem esmu sūtījis kaut ko, lai arī īstenība ir nospoofota mana mail adrese :(.

    Atbildēt
  42. Aleksejs

    2004-01-28 reģistrēti 1790 vīrusi
    2004-01-28 bloķēti 847 nevēlami attačmenti
    Stunda Vīrusi Attačmenti
    00 35 17
    01 36 25
    02 47 19
    03 44 23
    04 40 33
    05 48 13
    06 56 26
    07 44 17
    08 75 27
    09 151 70
    10 135 54
    11 121 49
    12 101 56
    13 93 36
    14 118 36
    15 90 55
    16 104 47
    17 76 41
    18 63 33
    19 64 33
    20 85 52
    21 79 36
    22 41 26
    23 44 23

    Atbildēt
  43. Anonīmais

    Kaspersky Lab brīdina par jaunu datorvīrusa Mydoom
    (Novarg) versiju I-Worm.Mydoom.b.
    Tas, tāpat kā iepriekšējā versija, izplatās ar e-pasta un
    failu apmaiņas tīkla Kazaa starpniecību. Atšķirībā no
    iepriekšējās versijas tajā ir ieplānots uzbrukums arī
    www.microsoft.com
    Tāpat vīruss nomaina Windows failu hosts, kā rezultātā
    inficētais dators nespēj nokļūt līdz veselai virknei pārsvarā
    antivīrusu kompāniju domēnu Internetā.

    Atbildēt
  44. Jim

    Grrr: neea, nu protams 🙂
    tachu reekjini, ka esi noblokjeejis arii nelielu dalju legaalo mailu.
    tavs ierobezhojums nav pamatots ar RFC.
    bet tie atgrieztie pazinjojumi par neesoshiem epastiem, paarsniegtaam kvotaam, atrastiem viirusiem. grrr! dazhaados veidos un formaas 🙂

    Atbildēt
  45. Kheps

    Vai man ir apnikusi si datorpasaule?
    Ir taks tada lieta, ka viens nav karotajs. Pedeja laika saradusies visadi interesanti viruseli, bet vinus visus piezmiedz. Piezmiedz tapec ka vini sacelas pret pastavoso iekartu, pret visiem tik erto.
    Bet ja nu mes izveidotu viruseli, kursh automatiski updeitotos pec jebkura lietotaja noraditas info. Piem, chekotu zinamus interneta resursus, tai skaita antivirusus saitus par jaunu virusu aktivitatem, un izmantojot sos citus virusus izplatitu ari sevi.
    Attiecigi, piemekledams jaunu funkcionalitati un nekaitedams citiem saviem eksemplariem izplatities kada cita mutacijas veida. Un ja kada konkreta mutacija izvelas sev kadu geografisku regionu, piem. A-eiropa, vai vel sikak, piemeram Latvija un vaalee so versiju konkretaja regiona, nemetot sevi uz arpasauli. Jaatdzist ka letini nebutu tik fiski si virusa likvidacija, jo lielais bralis neiedotu gatavu recepti ka virusam sadot biete. Tad nu viruselis nemtos nemtos un beigas butu tads speks ka visiem buutu tuutee.
    Un tad atliktu izmest internetu gruzhu novietne un domat par kopoto rakstu publicesanu 13 eksemplaros.

    Atbildēt
  46. Andron Mc

    Nu tiem idiņiem kas nemāk mailservus uzlikt tā arī vajag.
    Man Flipo uzlika mailservu un ne1 vīrus cauri neiet. Postfix + Clams = bezrūpīga adminēšana.
    Vēl jāuzliek squid ar piegrieztiem scr/bat/exe/com mēsliem un jānogriež 80. ports jūzeriem un alles.
    A jūs visi vīrusainie varat sūkāt tālāk. ēzeļi…
    Ne jau jūzeris vainīgs, ja admins sako.
    Cita lieta būtu ja advancēts jūzeris uzrautos uz vīrusu, tādus gan varētu lamāt.

    Atbildēt
  47. hQuse

    Izskatās, ka tas fakinais vīruss izmanto “MAIL FROM: “, kas ir RFC standarts, diemžēl (mail servera administrēšanas vajadzībām, oficiālo paziņojumu izsūtīšanai):
    rfc 2476:
    “Note that a null return path, that is, MAIL FROM:, is permitted
    and MUST be accepted. (MUAs need to generate null return-path
    messages for a variety of reasons, including disposition
    notifications.)”
    Līdz ar to tiek panākts efekts, ka no resolvējoša mail servera vīruss vēsā mierā nosūtās uz fiktīvām adresēm citos mail serveros un tas savukārt izsauc vēstuļu bouncēšanos (nosūtās atpakaļ adresātam paziņojums, ka tāds un tāds lietotājs sistēmā neeksistē)

    Atbildēt
  48. ui

    tur jau taa lieta, ka SMTP nevar visu vienkarshi aizgriezt
    2 Andron Mc: a vot man tieshi advanceetais vienigais uzraavaas uz MyDoom.1, domadams, ja jau tads izgajis cauri visam droshibas sistemam piedevam vel nak no zinama sutitaja, tad jaaver valjaa tas “message.txt .exe”
    ko dos squidam aizgriezti .com .exe, ja var jebkuru sakainu instalaciju atvilkt kaa .zip, .rar vai .msi ? vot, kad varees squidam normali antiviirusu piesleegt, tad atvilks elpu

    Atbildēt
  49. Jim

    FW from FD list: Hello Mydoom

    What I found…

    Even if the virus (Mydoom) is programmed in assembler and compiled
    using masm it is made to look like it has been programmed in C++ when
    disassembling. It is a fact that many more information are hidden and
    undiscovered to this date such as the fact that it will stop spreading on
    febuary 12 which is not true. Mydoom will pass in a new phase upon febuary
    12 and it will be very much more serious as it will be updated and will
    mutate in Mydoom.C. The backdoor (shimgapi.dll) is open a port but this is
    used to obscur the real intention of Mydoom.B as well as Outlook express.

    It was also unknown that the virus infects the BIOS of the computer it
    infects by injecting a 624bytes backdoor written in FORTH which will open
    port tcp when Mydoom will be executed AFTER febuary 12.

    It is a conclusion that the viral professionals that published diagnosis
    of the Mydoom.A virus are trying to hide something or are very
    incompetent.

    Also there are no way to fix the virus that is injected in the BIOS after
    it has been infected except from flashing it AFTER disinfecting the
    workstation that was infected.

    Juari Bosnikovich

    FW from FD list: Google fun

    see what the first entry is..ha!

    Atbildēt
  50. AGRESSSORS

    forumaa hack.nite.lv ir kauta kaad arii infa un Removal tooliz shitam dranjkkim, kaa arii kursh veel tikai paardiisies droshi vien LV…

    Atbildēt
  51. ZBH

    Andron, nemeetaa pirksts, ja reiz prieks Tevs maaler+antiviir kaads cits uzlics 🙂
    sheemaa bik pietruukst kauks tipa Amavis, ticamaakais, ka amavisd-new.

    Atbildēt
  52. Rukicc

    Apollo protams savam meilam i nedomaa kaadu antivirus uzstuteet… i Filtrus vairs neavar uzchiniit ieksh The Bat, jho draza jau naak arii bez Subject……

    Atbildēt
  53. coolynx

    Rukicc: filtru The Bat! var uzlikt un +/- straadaas. vismaz 60-70% atsijaa.
    “Content-Type: multipart/mixed;” ieraksta ieksh kludges “yes”.
    taalaak zem Advanced ieliec, ka message ir larger than 31 un smaller than 34.
    visu spamu filtree uz kaadu folderi teiksim Virus.
    ik pa laikam empty folder un miers 🙂

    Atbildēt
  54. Kenny

    man arī visu laiku nāk uz emailu es uzreiz izdzēšu ja nav sakarīgs topic! Parasti virusam topic ir kautkāds – hello un vel kas tur!

    Atbildēt
  55. CDC

    kenny, laames (lasi: ikdienas juuzeri, kas domaa, ka emails darbojaas uz vinju pie peles taustinja pieliktaa speeka reekjina) ljooti biezhi nezin ko ielikt subjektaa un taapeec liek, “hi”, “hello”, “sveiki”, “emails” etc…
    viirus jau nav pastariitis ;p

    Atbildēt
  56. x3

    visjautraakais likaas, ka atnaaca man paaris tiiraakie headeri uz one.lv, kur rakstiits ka attached file ir balblabla.zip etc. jautri, bet nu viirusais nav piegaadaats korekti, tad laikam tomeer kaut kas iet griiztee, tik nez ar ko iisti… un kuram 😉

    Atbildēt
  57. Njirdzeejs

    Sanjeemu kaadas seshas divu veidu kakas, kjipa pievienoti faili – document1.zip un hello.zip . NA2004 abas atpazina kaa W32.Novarg.A@mm kakas. Tas bija no 26-30 janvaarim, tagad klusums.

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *