Cīnoties ar tārpu I-Worm.Bagle uzraujamies uz trojas zirga

Dzīve internetā ar katru dienu kļūst arvien grūtāka un grūtāka, jo tu nezini kāds pārsteigums tevi sagaidīs kādā mājas lapā vai saņemtā e-pastā. Ja pirms kāda laika mēs vēl varējām šķobīties un varbūt pat pasmīkņāt par to, ka lietotājus ārzemēs ir vieglāk piemānīt, jo pārsvarā visi “pārsteigumi” tiek sūtīti svešā mēlē, tad tagad šie prieki skar arī mūs.

Pirms divām dienām es sāku saņemt jauna tipa vīrusus – I-Worm.Bagle. Padomāju vēl, ka jauna epidēmija sākusies un jāuzcep jauns filtrs priekš tā. Filtrs būs atrodams nedaudz zemāk.

Šajā sakarā šodien man atnāca vēstule kurā Maaris raksta sekojšo:

Uz vienu no kastēm atnāca forwardētais mails.
Links – standarta URL spoof (The bat 2.02.3 gan izgāzās – neparādīja ļaundarību…)
http://info.latnet.lv%01@asd-ltd.com/MWU2349330.html
Bet tur pieejamais failiņš ir trojānīc…

http://www.kaspersky.com/remoteviruschk.html

Current object: MWU2349330.exe
MWU2349330.exe Packed: UPX
MWU2349330.exe Infected: Backdoor.BeastDoor.202.a

Vai Latvijas likumsargi beidzot varētu parādīt zobus?

Jāatzīst, ka it kā no Latnet pārsūtītā vēstule ir ļoti labi izveidota jeb patiesībā pārtaisīta un izskatās īsta, jo brīdina par iepriekš minēto svaigo vīrusu un ir uzrakstīta latviešu valodā. Par to varat pārliecināties paši (Vēstuli aizņēmos no ufo, jo viņš bija atsūtījis to pilnībā). E-pasta galviņu es nedaudz paravēju, bet interesantākas daļas palika.

Drošības iestādes varētu ieinteresēt šīs rindiņas. Izskatās, ka no Stanfordas universitātes nācis…

Received: from unknown (HELO smtp1.Stanford.EDU) (171.67.16.120) by ns2.latnet.lv with SMTP; 20 Jan 2004 23:22:23 -0000
Received: from google.com (rescomp-03-33862.Stanford.EDU [128.12.82.53])
by smtp1.Stanford.EDU (8.12.10/8.12.10) with SMTP id i0KNMGGo015932

Domāju, ka šādu pastu saņēma liela daļa Latnet klientu un visticamāk, ka noticēja, ka tas nāca no paša Latnet.

Apskatoties uz šo vēstuli arī es noticēju, ka tur viss ir “tīrs”, jo mans The Bat! 1.61 šo adresīti arī nemācēja korekti atrādīt. Kā jau pareizi sapratāt, tad tiešām joprojām plaukst un zeļ nesen atrastā ievainojamība ar nekorektu adrešu parsēšanu. Par to, ka ar adresi nav kaut kas kārtībā sapratu tikai, tad ka mans noklusētais pārlūks Mozilla Firebird vēra vaļā šo lapu un statusa joslā parādīja, ka meklētā adrese nav vis kaut kas latnet.lv, bet gan asd-ltd.com.

Ko teorētiski varētu darīt, lai mēģinātu izvairīties no šādiem āķiem?
1. Lāpīt savus pārlūkus, lai tie atrāda visu korekti, jo ar e-pasta klientiem izskatās diezgan čābīgi.
2. Lietot antivīrusus. Es pats pagaidām lietoju Dr.Web, jo tas man netraucē darbam un nebremzē sistēmu. Bet principā nav svarīgi kāds antivīruss ir lietošanā, galvenais, lai tas dara savu darbu.
3. Liekot ielāpus, pārliecinieties, ka tos piedāvā tiešām drošs avots. Īpaši pārbaudot pārsūtītos (forwarded) sūtījumus. Šajā gadījumā uzklikšķinot uz saiti, kas tiek dota e-pastā lietotājs tiek piemānīts. Laikam jau vienīgais veids kā pārliecināties par dotās saites autentiskumu būtu vienkārši to iekopēt un ievietot sava pārlūka adreses lauciņā un tikai tad vērt vaļā. Lai gan neesmu pārliecināts, ka ar Microsoft komplektu šo pārliecību var gūt. Te nu jāņem talkā otrais punkts.

Tad nu nobeigumā ļoti primitīvs filtrs The Bat! lietotājiem, kas paši nevar izdomāt savu. Filtrs ne tuvu nav perfekts, bet man strādā un vairāk šos brīnumus neredzu.

Ņemam Account – Sorting/Office filters un Incoming mail.
Taisam jaunu filtru.
Iekopējam “Test, yep.” un zem Location izvēlamies “Text”
Nospiežam pogu Add un taisam jaunu ierakstu.
Iekopējam “Hi” un zem Location izvēlamies “Subject”.

Tālāk sadaļā “Actions” ieliekam ķeksi “Mark the message as read” un vēl divus ķekšus pie “Delete the message” un “Delete the message from server”.

Sadaļā “Advanced” ieķeksējam “Message has attachments”.
Pēc būtības, drošības labad varētu pielikt vēl izmērus, bet es paļaujos uz varbūtību, ka pietiks ar šiem kritērijiem. Galu galā, kas neriskē tas nedzer šampanieti 🙂

Un kā vienmēr aizmirsu pašu galveno. Šis noteikums ir jāuzbīda pašā augšā, lai tas tiktu izfiltrēts pirms citiem filtriem, kas jums šķiro sakarīgo pastu.

27 thoughts on “Cīnoties ar tārpu I-Worm.Bagle uzraujamies uz trojas zirga

  1. Vaards

    Man ieteikums tomeer buutu ielikt tos divu veidu pievienotaa faila nosaukumus un peec tiem filtreet… Vai vismaz Kuulinka pasha izteikto domu par maila izmeeriem. Preteejaa gadiijumaa Vaards Artim suutiis mailu, kur buus topiks “Re: Hi”, un tekstaa palikushaas shiis kjeskas no viirusa – un kukuuu… Mails aiziet nebuutiibaa :(Neesmu The Bat speciaalists&lietotaajs, bet neticaas, ka shams reagjees ar shaadu filtru savaadaak, ja tajaa subjektaaa & mailaa buus biski vairaak papildus informaacijas).

    Atbildēt
  2. ShAx

    Mans vecais e-pasts *@inbox.lv, pēdējā laikā aizvien vairāk saņem sapmu un izrādās, ka arī no tā e-pasta uz visādām citām adresēm tiek izsūtīts vīrus, man tik atnāk atbilde, ka fails saturēja vīrusu, ko patiesībā neesu darijis…

    Atbildēt
  3. lasītājs

    Davai paņem ciet a nu ka šitos āžus. Latvieši bļeģ. Lohi mazie. Vot, ja kādu latviešu āzi atradīs, tad viņam nevis jēlu tiesu kā ārzemēs (mums vispār var tiesāt par šito?), bet prosta savākt entuziastiskus Interneta lietotājus Līvu laukumā un to džeku ar jēlām olām nomētāt. Kad metīs pāris simti kopā, tad jutīs vecaiszēns bļe.

    Atbildēt
  4. coolynx

    Vaards: Ja tu arī atsūtītu tādu meilu, tad tas tiktu nolaists podā pie nosacījuma, ja tajā izpildās arī pārējie divi kritēriji:
    1. ir strings “Test, yep.”
    2. ir pievienotais fails.
    Bez tam, tik izteiksmīgu subject kā “Hi” es vēl neesmu saņēmis ne vienu reizi. Tāpēc arī samazināju iespējamību, ka kādreiz tādu saņemšu.
    Patiesībā es nezinu kā var filtrēt pēc faila nosaukuma vai matchotu tikai īpašu paplašinājumu un man ir slinkums meklēt. 🙂
    Ja kāds zin, padalās ar infu…

    Atbildēt
  5. ManInBlack

    Šajā sakarā šodien man atnāca vēstule kurā Maaris raksta sekojšo: – pirms paliigteikuma VIENMER liek komatu.. 😉

    Atbildēt
  6. grr

    shiis nav kaut kaadas baumas? tb par to latvisko tekstu unstenfordas universitaati, izklausaas varen nelogiski un vispar jociigi.

    Atbildēt
  7. xtra

    mjā, tiešām. nafig automātiski dzēst laukā? mana pieredze rāda, ka manuālā sortēšana ir viss labākā metode – mierīgi novērtē epastus un domā ko vērt, ko nē… .exe failus vispār veru tikai gadījumos, ja zinu ka tādu man tieši tas cilvēks sūtīs un vienmēr skatos kāds ir tā nosaukums, nekāds ME&553535.exe neveru vaļā…

    Atbildēt
  8. coolynx

    xtra: es arī kādreiz “krāju” vīrusus, bet, tad saskāros ar nelielu problēmu – disku tie maitas vienā dienā piedirsa tā, ka maz neliekas. Kopš tās reizes esmu kļuvis nežēlīgāks… Tādu greznību var atļauties, ja tev meiliem ir atvēlētas pāris gigas, man tur tikai pusgiga brīva uz tā diska, ko piedirš pāris stundu laikā.

    Atbildēt
  9. Zenofex

    To grr:
    Nau, nau baums, pats taadu joku shodien sanjeemu, un nospiedu uz linka, godiigi domaadams, ka palasiishos ko LatNets pa to raksta. A figu tev – izleca googlis, kas teica ka taadas lapas nav.
    Tad nu paarkopeeju to linku manuaali… Arii tad nekas neatradaas, tb LatNetam taadas lapas nema. Tad veel nesapratu kas par fiichu un izdzeesu to mailu aaraa. Peec kaadaas stundas – divaam no LatNeta atskreeja veelviens mails ar briidinaajumu uzmaniities no shii explorera cauruma, un tad man apmeeram pieleca kas par lietu.

    Atbildēt
  10. putipu

    trojāna apraksti:
    http://securityresponse.symantec.com/avcenter/venc/data/bac kdoor.beasty.d.html
    http://www.pestpatrol.com/pestinfo/b/backdoor_bea stdoor.asp

    Atbildēt
  11. Paligs

    Drusku rēcīgi sanāca ar šo vīrusu Beagle. Atnāca tāds, sākumā neievēroju, ka mailam ir pievienots fails, atbildēju ar reply, prasot, kas par lietu, ko tas nozīmē :)) Labi, ka neizlamājos pārāk rupji 🙂
    Biju pārliecībā, ka uz to pastkastīti vīrusi nevar pienākt, jo mailserveris tos filtrē, taču šis gadījums pierādīja, ka atjaunot antivīrusu datubāzes vajag regulāri un pietiekami bieži. Pēc jaunināšanas atkal viss mierīgi, bet izskatās, ka apkārt gan epidēmija liela.

    Atbildēt
  12. takuzinis

    Šķiet pārāk precīzs Tev tas trojana apraksts ir sanācis, jo vīrusu ķērājs kliedz jau pie pods.lv sākuma lapas: Exploit-URL Spoof.gen

    Atbildēt
  13. Grrr

    Jā jā… skiet DSListi jau blandās apkārt izplatīdami.
    Pirmdien jau savam serverim sāku likt filtrus:
    80.232.159.237 REJECT Virus spammer (puportedly from admin@the3d.net)
    213.175.116.227 REJECT Virus spammer (purportedly from ramona28@one.lv)
    Vairak gan patlaban nav nākuši.

    Atbildēt
  14. redrum

    Return-Path:
    un tas, ka biju lasijis, ka ielaaps veel nav iznaacis, lai gan meilaa bija rakstiits, ka ielaapu var nokachaat SHEIT 🙂 kaa arii interesantais Subject lika man apdomaat vai tik tieshaam ir veerts atveert sho linku 🙂 Labi, ka neatveeru.

    Atbildēt
  15. karuuzo

    Man te arii na dnjax atnaaca viens viiruss (2x). Ar pirmo eksemplaaru viss buutu labi, bet otrais tika suutiits no manis man. t.i. FROM “karuuzo” TO “karuuzo”. Kaa tas vinjiem sanaaca ir skaidrs, njemam address list un taisam visas kombinaacijas FROM-TO, bet interesnati, kaa vinji to dara? Vai to var panaakt ar normaalu e-pasta klientu, vai tas meils tiek rakstiits “notepad” un tad jau iedots serverim kaa normaals meils?!! Lai vai kaa, bet patiikami, ka sanjem no sevis viirusu :))
    m
    PS. 2 ShAx: Ja jau pats sev var suutiit viirusus, nemaz nezinot, tad nav ko briiniities, ka tie tiek suutiiti tavaa vaardaa :))

    Atbildēt
  16. ui

    vairuma gadijumu taa arii ir, bet ljaudis joprojam satraucas. nevienam nav patikami sanemt mailu, kura rakstiits, ka “juus suutiijaat…”

    Atbildēt
  17. uzgalis

    baa nu kas tas par linku uz mailwasher )));
    pirmaamkaartaam maksas o come on
    otraamkaartaam ((; tef ir jaadod savs e pasts doh
    un vinji atklaataa tekstaa saka gribi vai nee sanjemsi (itkaa 3) muusu sexiigos piedaavajumus un jebkuraa laikaa vareesi atteikties no tiem hmzss taatad buus vairaak par 3 un mana e adrese tiks veel daaljaata visiem kas vinju gribees
    nu senks
    es netaisos maksaat taadu cenu par triaalo versiju ((;
    par 30 dienaam pilnu pasta kasti ar spamu
    kaut kaa nelodjiski sanaak it kaa spama filtrs bet pats ir spamo uz nebeedu

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *