Uwaga robak
 

Witam!

Uważajcie na emaile o takich tematach: Re: Movies; Re: Sample; Re: Document; Re: Here is that sample; z takimi załącznikami: Movie_0074.mpeg.pif; Document003.pif; Untitled1.pif; Sample.pif. Jest to samoczynnie kopiowane i uruchomione jako '%Windir%\Winmgm32.exe' i próbuje rozsyłać się dalej na adresy znalezione w plikach .txt; .eml; .html; .htm; .dbx; .wab; Maile te pochodzą bodajże z adresu big@boss.com ??? Ja osobiście dostałem 3 takie wiadomości dzisiaj. Norton 2002 nic nie znalazl w mailu, dopiero po skanowaniu calego dysku znalazl aktywnego robala.

Pozdrawiam :)

Re: Uwaga robak
 

ano dostalem maila od pana big@boss.com tylko niestety bez zalacznika :D
antywirus na serwie sie nim zajal :)
a mozna wiedziec co za robal? co Ci NAV wykryl?

Re: Re: Uwaga robak
 

NAV pokazał coś takiego: The file C:\WINDOWS\winmgm32.exe is infected with the W32.Sobig.A@mm virus oraz The file (...)Movie_0074.mpeg.pif is infected with the W32.Sobig.A@mm virus.
Więcej informacji na stronie Symantec'a :) Bestia podobno niegroźna :D

Baza wirusów - Sobig.A
10 stycznia 2003

Również znany jako: W32.Sobig.A
Typ: robak
Długość: 65536
Niszczący dyski: nie
Niszczący pliki: nie
Efekty wizualne: nie
Efekty dźwiękowe: nie





Sobig.A jest robakiem pocztowym, którego działanie polega na wysyłaniu własnych kopii za pomocą poczty elektronicznej.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu elektronicznego o następujących parametrach:


Temat: [jeden z poniższych]

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

Załącznik: [jeden z poniższych]

Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

Po uruchomieniu przez użytkownika pliku załącznika robak tworzy na dysku swoją kopię w pliku winmgm32.exe oraz modyfikuje tak rejestr by jego kopia była uruchamiana przy każdym starcie systemu Windows.

Ponadto robak tworzy swoje kopie na udostępnionych zasobach sieciowych w komputerach, gdzie udostępniony do zapisu jest cały dysk sieciowy. Na tego typu komputerach robak stara się stworzyć swoje kopie w katalogach:


Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup

Na koniec robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w plikach z rozszerzeniami: txt, eml, html, htm, dbx, wab.

Re: Re: Uwaga robak
 

też go dostałem od bossa (( ((, którego mam nadzieję przejedzie dzisiaj samochód, albo inna krzywda go spotka, usunął go na szczęście NAV

no ja tez go dostalem.
bez zalacznika.
ale mi go wyslal niejaki: chiver@chiver.com

ja mam w outlooku ustawione, ze sam blokuje mi zalaczniki i nie da sie ich otworzyc :)

da się :)

jedną z metod jest dac przeslij dalej i jush widać załącznik

można to też wyłączyć w ustawieniach

lub rejestrze :)

A ja nic nie dostałem:o
Hoga choć stara ale wciąż jara i tego gówna nie przepuszcza!

taak też dostałem ...:blee:

A ja nie :buu: :buu: :buu:

Do mnie też boss przysłał "robaczka" ale już był wykastrowany przez skaner wirtualnej p.

ja go tez dostalem ale od razu unieszkodliwilem :cisza:

Ja tam czekam kiedy domnie zawiata :P

u mnie w sieci szaleje vir (narazie bez skótku ;) ) : z konta o nazwie jak ponizej - które nie istnieje - z ostatnich info - ok 10 kompów już próbował zainfekwac ale mu sie nie udało - avp bez problemu sobie z nim radzi.

[From Administrator <3Dsmozer@poczta.wp.pl <mailto:3Dsmozer@poczta.wp.pl>>][Date 15 Jan 2003 9:8]/CERT-Vuln-Info.exe Zainfekowany I-Worm.Avron.b

ja tez dostalem paczuszke od bifbossa ale
Norton 2002 dal rade:cisza:
Strzezmy sie!

ja dostalem maila Re: Here is that sample
nawet nie tknalem tego, od razu usunalem

dobre, tylko malo praktyczne. lepiej blokowac z poziomu konta na serwerze. masz pewne wtedy, ze jak ci padnie winda, to i tak z tego adresu wiecej nic nie dostaniesz.