Внимание! В данной теме ТОЛЬКО обсуждения статей и появления новых вирусов! Помощь в лечении оказывается [Для просмотра ссылки зарегистрируйтесь]
Все посты с просьбой о помощи в борьбе с вирусами будут удаляться

Размещение вредоносных объектов, а так же способов их создания строго запрещено!

Китайский компьютерный вирус worm.whboy поразил тысячи компьютеров
Об этом сообщило в среду китайское агентство Синьхуа.

В дословном переводе этот вирус означает «Червь. Уханьский мальчик», где первые буквы второго слова обозначают город Ухань, откуда пошло его распространение. Согласно оценкам китайских экспертов, темпы распространения и заразность новой модификации "червя" в 10 раз выше, чем у старой. Вспышка нападений этого вируса ожидается в дни праздника Весны - традиционного китайского Нового года. В 2007 г. он приходится на 17 февраля.

Новый «червь» чинит препятствия зараженным компьютерам в выполнении любых программ с расширением "ехе" и другими файлами, отмечает Синьхуа. Пользователи узнают о заражении, когда ярлыки файлов превращаются в панд с горящими китайскими фонарями.

Специалисты по компьютерной безопасности призывают пользователей Интернета обратить серьезное внимание на опасность вируса Worm.Whboy, а также не исключают возможности возникновения других модификаций вируса в дни праздника. Для защиты от вируса специалисты советуют пользователям своевременно обновить программу безопасности операционной системы «Windows».

Предыдущая версия разрушительной программы-вируса появилась в середине января и атаковала компьютеры в Америке, Европе и Китае. Под ударом оказались локальные сети в правительственных учреждениях и коммерческих компаниях. Специалисты Шанхайского центра информационных технологий тогда присвоили ему наивысшую степень опасности. Для защиты эксперты советовали не открывать незнакомые ссылки в Интернете и поднять уровень безопасности компьютеров.

Агентство Национальных Новостей

ОСТОРОЖНЕЕ , люди
_________________________
Внимание! В Интернете эпидемия вируса, распространяющегося через zip-архивы по электронной почте.
Не открывайте такие приложения, даже если письмо пришло от известного Вам адресата!
Информация от почтовой службы mail.ru

ananistik

QUOTE

распространяющегося через zip-архивы по электронной почте

К сожалению, такой способ распространения вирусов и червей чаще всего встречается.
И самый надёжны способ защиты, это хорошо подумать, прежде чем открыть файл.

Опять распространение вирусов ( ссылок на них ) !!!! Теперь по ICQ .........
Главные приметы :
- Ссылка на вирь приходит от знакомого UIN .
- Если у вас есть индикация клиента собеседника ( отображение версии его ICQ клиента ) - его клиент не опознается.
- Сообщение приходит на английском языке , например : it's my party pics или что-то на подобии того.
- Через некоторое время ( от минуты до 5 ( в среднем )) собеседник уходит в оффлайн.
Если вам пришло данное сообщение от кого-то , значит у собеседника компьютер уже заражен этим вирусом. Сообщите ему об этом!!!! Но не по средствам интернет!!! Например телефон или лично.
Данный вирус предназначен для хищения паролей в т.ч и к вэб кошелькам , а так же для удаления файлов !!!
Не переходите по незнакомым ссылкам

ananistik
название известно?

QUOTE

- Если у вас есть индикация клиента собеседника ( отображение версии его ICQ клиента ) - его клиент не опознается.

мой клиент не обознаётся ни у кого, потому что защита идентификатор блокирует

QUOTE

Опять распространение вирусов ( ссылок на них ) !!!! Теперь по ICQ ......... Главные приметы : - Ссылка на вирь приходит от знакомого UIN .- Если у вас есть индикация клиента собеседника ( отображение версии его ICQ клиента ) - его клиент не опознается. - Сообщение приходит на английском языке , например : it's my party pics или что-то на подобии того. - Через некоторое время ( от минуты до 5 ( в среднем )) собеседник уходит в оффлайн. Если вам пришло данное сообщение от кого-то , значит у собеседника компьютер уже заражен этим вирусом. Сообщите ему об этом!!!! Но не по средствам интернет!!! Например телефон или лично. Данный вирус предназначен для хищения паролей в т.ч и к вэб кошелькам , а так же для удаления файлов !!!

надо запомнить

QUOTE

Опять распространение вирусов ( ссылок на них ) !!!! Теперь по ICQ ......... Главные приметы : - Ссылка на вирь приходит от знакомого UIN .- Если у вас есть индикация клиента собеседника ( отображение версии его ICQ клиента ) - его клиент не опознается. - Сообщение приходит на английском языке , например : it's my party pics или что-то на подобии того. - Через некоторое время ( от минуты до 5 ( в среднем )) собеседник уходит в оффлайн. Если вам пришло данное сообщение от кого-то , значит у собеседника компьютер уже заражен этим вирусом. Сообщите ему об этом!!!! Но не по средствам интернет!!! Например телефон или лично. Данный вирус предназначен для хищения паролей в т.ч и к вэб кошелькам , а так же для удаления файлов !!!

Огромное спасибо, Мне такие уже приходили, но я как чуствовал и не переходил по ссылке.
Еще раз спасибо за инфу

Замечена средняя активность Trojan-Proxy.Win32.Agent.lu

QUOTE

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 20527 байт. При запуске троянец извлекает из своего тела следующий файл: %System%\winwil32.dll — имеет размер 17920 байт. Также создается ключ реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwil32] "Asynchronous" = dword:00000001 "DllName" = "winwil32.dll" "Impersonate" = dword:00000000 "Startup" = "EvtStartup" "Shutdown" = "EvtShutdown" Таким образом, при каждом последующем старте Windows троянская библиотека будет загружаться системным процессом «Winlogon.exe». Троянец создает ключ реестра, в котором хранит свои настройки: [HKLM\SOFTWARE\Microsoft\MSSMGR] После завершения процесса инсталляции вредоносная программа удаляет свой исполняемый файл. Вирус запускает процесс «iexplore.exe» и внедряет в него свой код, открывающий на компьютере пользователя UDP-порт 1032. По данному порту троянцем принимаются команды от злоумышленника, который получает возможность выполнять следующие действия: получать список процессов; запускать/останавливать различные процессы; получать список Dialup-соединений; просматривать последовательнось нажимаемых пользователем клавиш. Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия: Удалить созданный троянцем ключ реестра: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwil32] Перезагрузить компьютер. Удалить следующий файл: %System%\winwil32.dll Удалить ключ реестра: [HKLM\SOFTWARE\Microsoft\MSSMGR]

данные предоставлены [Для просмотра ссылки зарегистрируйтесь]

ananistik
Спасибо за информацию.
Ell
А ваша предоставляеная информация... Как этот троян поступает в комп?

Sandra Nasic
через уязвимости в системе или если нет антивируса. скачивается скрытно с серверов на ваш компьютер

зафиксировано значительное присутствие в почтовом трафике различных разновидностей червя Email-Worm.Win32.Zhelatin.
червь рассылает себя с вашего адреса, после чего выгружает системные процессы.
в письмах рассылается с темами на английском языке.
НЕ ОТКРЫВАЙТЕ ПОДОЗРИТЕЛЬНЫЕ ВЛОЖЕНИЯ В ПИСЬМАХ, ДАЖЕ ОТ ДРУЗЕЙ!!!

Ell

QUOTE

через уязвимости в системе или если нет антивируса.

Значит, если есть антивирус, то можно быть спокойной? Я так поняла? Просто антивирус ничего подобного у меня не нашел...

QUOTE

зафиксировано значительное присутствие в почтовом трафике различных разновидностей червя Email-Worm.Win32.Zhelatin. червь рассылает себя с вашего адреса, после чего выгружает системные процессы.

Он у меня когда-то был... Очень плохая штука. Жрет очень много, если его не удалить вовремя...

ну что, поехали?
за сегодня высокую активность проявили:

Trojan-Spy.Win32.RemoteSniffer.030

QUOTE

Троянская программа, позволяющая злоумышленнику просматривать трафик с целью извлечения из него паролей и прочей конфиденциальной информации, зачастую передаваемой в открытом виде. Является приложением Windows (PE EXE-файл). Написана на Delphi. Имеет размер 160768 байт. Упакована при помощи UPX. Размер распакованного файла — около 417 КБ. Инсталляция Троянская программа представляет собой удаленный сетевой сканер, перехватывающий пакеты и анализирующий их содержимое. В процессе сканирования трафика используется WinPcap-библиотека (The Windows Packet Capture Library). Сервер копируется с конкретным именем в указанный злоумышленником каталог, а также добавляет себя в ключ автозапуска системного реестра. Имя данного ключа аналогично определяется злоумышленником: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<имя ключа>" = "<путь до троянской программы>" Таким образом, при каждом последующем старте ОС автоматически запускает файл троянца. для ее удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить троянские файлы (их расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить значение из ключа автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<имя ключа>"

Trojan-Spy.Win32.RemoteSniffer.020

QUOTE

Троянская программа, позволяющая злоумышленнику просматривать трафик с целью извлечения из него паролей и прочей конфиденциальной информации, зачастую передаваемой в открытом виде. Является приложением Windows (PE EXE-файл). Написана на Delphi. Имеет размер 181760 байт. Упакована при помощи UPX. Размер распакованного файла — около 500 КБ. Инсталляция Троянец включает в себя приложение-сервер packetserver.exe (463360 байт), приложение-клиент packetclient.exe (181760 байт), а также редактор настроек сервера packetedit.exe (160768 байт). Вирус представляет собой удаленный сетевой сканер, перехватывающий пакеты и анализирующий их содержимое. В процессе сканирования трафика используется WinPcap-библиотека (The Windows Packet Capture Library). Сервер packetserver.exe копируется с определенным именем в указанный злоумышленником каталог и добавляет себя в ключ автозапуска системного реестра. Имя ключа также определяется злоумышленником: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<имя ключа>" = "<путь до троянской программы>" для ее удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить троянские файлы: packetclient.exe packetedit.exe packetserver.exe Удалить следующее значение из ключа автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "<имя ключа>"

Trojan-Spy.Win32.KeyLogger.h

QUOTE

Троянская программа, отслеживающая клавиатурный ввод пользователя. Предназначена для кражи различной конфиденциальной информации. Является приложением Windows (PE EXE-файл). Имеет размер 376832 байта. Ничем не упакована. Написана на Borland Delphi. Инсталляция При запуске троянец регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "<путь до троянской программы>" Вирус регистрирует свой процесс как служебный. Программа-шпион делает снимки экрана и собирает информацию о нажатиях клавиш клавиатуры. Работает под Windows 95/98/Me. для ее удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить следующее значение из системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "<путь до троянской программы>"

данные предоставлены Лабораторией Касперского и ресурсом Viruslist

Trojan-Dropper.Win32.Small.cm

QUOTE

Троянец, который устанавливает на компьютере пользователя другое вредоносное программное обеспечение. Является приложением Windows (PE EXE-файл). Имеет размер 36352 байта. Упакован при помощи UPX. Размер распакованного файла — около 67 КБ. После инсталляции троянец извлекает из своего тела и запускает на исполнение следующие файлы: %System%\svchostc.exe — имеет размер 14336 байт, детектируется Антивирусом Касперского как not-a-virus:Server-Proxy.Win32.3proxy.041b; %WinDir%\system.exe — имеет размер 13824 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Tofger.e; %WinDir%\msin32.dll (библиотека) — имеет размер 3072 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.Tofger.e. Ссылка на один из данных файлов добавляется в ключ автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Online Service" = "%WinDir%\system.exe" Таким образом, при каждом последующем старте Windows автоматически запускает троянский файл. Также вирус генерирует файл «%WinDir%\sysini.ini», содержащий строку: ***Computer was successfully infected*** для ее удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить созданные трояном файлы: %System%\svchostc.exe %WinDir%\system.exe %WinDir%\msin32.dll %WinDir%\sysini.ini Удалить следующий параметр из ключа реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Online Service" = "%WinDir%\system.exe"

данные предоставлены Лабораторией Касперского и ресурсом Viruslist

Trojan.JS.Freq.g

QUOTE

Троянская программа. Является HTML-файлом. Имеет размер 1824 байта. При запуске троянец создает файл в корневом каталоге диска С: C:\UPLDFILE.FTP Данный файл содержит настройки для подключения к FTP-серверу с целью скачивания с него файлов. Далее, используя утилиту ftp.exe и информацию из ранее созданного файла, вирус загружает другую программу со следующего FTP: [Для просмотра ссылки зарегистрируйтесь] (на момент создания описания закачивания не происходило) Троянец сохраняет скачанный файл в следующий каталог: C:\windows\aolextras.exe (путь задан строго) скачанный файл запускается на исполнение. для ее удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файлы: C:\windows\aolextras.exe C:\UPLDFILE.FTP

Trojan.JS.KillMBR

QUOTE

Троянская программа. Является HTML-файлом. Имеет размер 2316 байт. При запуске троянец извлекает из свого тела в корневой каталог логического диска С: следующий файл: С:\repair.dbg — имеет размер 185 байт, детектируется Антивирусом Касперского как Trojan.JS.KillMBR.b Данный файл содержит ассемблерные команды для сброса загрузочного сектора диска. Далее в командной строке прописывается команда: command /c echo q  >>c:\\repair.dbg Она запускает на исполнение файл «repair.dbg». для ее удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить файл: С:\repair.dbg

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist

Trojan.Win32.CDGluck

QUOTE

Троянская программа, предназначенная для создания помех работе привода CD-ROM. Является приложением Windows (PE EXE-файл). Имеет размер 16394 байта. После запуска троянец периодически производит в системе различные действия, препятствующие нормальной работе CD ROM-привода. Действия выполняются через интерфейс MCI и могут быть следующими: открытие/закрытие привода; остановка воспроизведения текущего трека аудио-CD; перемещение указателя воспроизведения на случайную позицию в текущем треке. для ее удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist


от себя хочу добавить, что зверёк прикольный, мне понравился, по сути своей кроме сидюка ничего не трогает, но так как у меня два привода, он почему-то работал только с мастером, ведомый привод не трогал ни в каких комбинациях, что расстроило. недоработка однако

DoS.Linux.SSPing.10

QUOTE

Вредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Является исполняемым файлом Linux (ELF-файл). Имеет размер 14748 байт. Написана на С++. Вирус осуществляет DoS-атаку на удаленный компьютер, адрес которого указывает злоумышленник в качестве входного параметра при запуске утилиты. Также программа позволяет задавать количество сетевых пакетов для отправки на удаленный компьютер с подменой адреса отправителя. В результате работы приложения на атакуемом сервере могут возникать проблемы с обслуживанием сетевых подключений. для ее удаления необходимо удалить оригинальный файл вредоносной программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist

Сегодня, кстати, вирус "чернобыль" снова повесил кучу машин. Из года в год людей ничего не учит.

вот ещё одно чудо

DoS.Perl.Shafolder

QUOTE

Вредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Представляет собой вредоносный сценарий, написанный на Perl. Имеет размер 1649 байт. p>Используя уязвимость переполнения буфера при обработке входящих данных клиентами P2P-сетей Kazaa и Morpheus, вредоносная программа осуществляет DoS-атаку на удаленный компьютер. Адрес атакуемого компьютера задается злоумышленником при запуске программы. В результате работы приложения на атакуемом узле могут возникнуть проблемы с обслуживанием сетевых подключений.

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist

очаровашка

Trojan.Win32.KillWin.cl

QUOTE

Троянская программа, предназначенная для дестабилизации работы операционной системы. Является приложением Windows (PE EXE-файл). Имеет размер 134144 байта. Упакована с помощью UPX, распакованный размер — около 982 КБ. При инсталляции троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "V" = "<имя и пусть до исполняемого файла троянца>" Вирус отображает на экране компьютера следующее окно: [Для просмотра ссылки зарегистрируйтесь] Затем троянец удаляет все файлы с расширениями .EXE и .DLL из системного каталога Windows («%System%»). Также удаляются файлы с расширениями .SYS, .INF и .CAT из каталога «%System%\drivers». Вредоносная программа выполняет следующие команды: Deltree *.* %system% Deltree *.* %windir% Это приводит к удалению всех файлов из каталогов «%System%» и «%WinDir%». Описанные действия приводят к неработоспособности операционной системы. Если ваш компьютер  оказался заражен данной вредоносной программой (и она еще не успела реализовать свой деструктивный функционал), то для ее удаления необходимо выполнить следующие действия: При помощи «Диспетчера задач» завершить троянский процесс. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить параметр в ключе реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "V" = "<имя и путь до исполняемого файла троянца>"

© данные предоставлены Лабораторией Касперского и ресурсом Viruslist

Ell

QUOTE

Вредоносная программа, предназначенная для проведения атаки типа «Denial of Service» («Отказ в обслуживании») на удаленный сервер. Представляет собой вредоносный сценарий, написанный на Perl. Имеет размер 1649 байт. p>Используя уязвимость переполнения буфера при обработке входящих данных клиентами P2P-сетей Kazaa и Morpheus, вредоносная программа осуществляет DoS-атаку на удаленный компьютер. Адрес атакуемого компьютера задается злоумышленником при запуске программы. В результате работы приложения на атакуемом узле могут возникнуть проблемы с обслуживанием сетевых подключений

Такое в данный момент может пройзойти ,только при древнем антивируснике.

pressorerster
такое может произойти при любом антивируснике

Прошу прощения если тема рпо вирусы в асе уже была, в том случае прошу перенести куда следует.

появился новый вирус аськи!
Ворует пароль и номер
не заходите по ссылке ни в коем случае!

Сообщение выглядит примерно так:

QUOTE

bob (15:23:36 16/05/2007) 16/05/2007 (06:57 GMT  +03:00) Сегодня случайно попалось- офигенная прога! [Для просмотра ссылки зарегистрируйтесь] Поиск мобильника на карте города, меня показала верно, жаль точность небольшая

опа, вирус nimda возвращается
(модифицированный, естественно)
если кратко о нём, то в 2001 сие чудо парализовало работу огромного количества компьютеров в мире.
вирус открывает доступ извне ко всем дискам на компьютере, следовательно, ко всем данным
P.S. nimda-это admin наоборот. и название себя оправдывает: кучу компьютеров пользователей и серваков так проадминили, что у хозяев были большие проблемы.
особенно после dd if=/dev/zero of=/*и на что фантазии хватит* такие танцы с бубнами были

Участились случаи угона icq номеров и паролей, сохранённых в браузере. Зараза используется разная. Позже выложу названия, описания и типы вирусов. Осторожней с сайтами и почтой в первую очередь.

________
Выцепила основную заразу, которая рассылается по аське\мылу. новая модификация варезов.
Email-Worm.Win32.Warezov.vw

QUOTE

Warezov.

сайт прикольный...это как-то связано

QUOTE

это как-то связано

Нет. Варезов-потому что ломает работу средств безопасности. Например антивирусы вышибает, фаерволлы и прочее подобное ПО
вот например описание одной из модификаций: [Для просмотра ссылки зарегистрируйтесь]
к последней ещё не написали статьи.

Лидером среди вирусов за декабрь 2007 года стал Email-Worm.Win32.NetSky.q

QUOTE

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Также червь обладает функцией размножения через P2P-сети и доступные HTTP и FTP каталоги. Основной компонент червя представляет собой PE EXE-файл, размером около 29KB. Червь упакован FSG, размер распакованного файла около 40KB.

Более подробно о вирусе можно посмотреть в [Для просмотра ссылки зарегистрируйтесь]

большая активность Trojan-Downloader.VBS.Agent.ff
описания пока нет, но суть в следующем: троянец прописывается в реестр и в автозагрузку после чего скачивает скрытно другие вредоносные программы из интернета и запускает их на исполнение.

Ell

QUOTE

большая активность Trojan-Downloader.VBS.Agent.ff писания пока нет, но суть в следующем: троянец прописывается в реестр и в автозагрузку после чего скачивает скрытно другие вредоносные программы из интернета и запускает их на исполнение.

Вот это "круто"...

Email-Worm.Win32.Warezov.sk
На сегодняшний день вирус занимает 85% от общего числа заражённого почтового трафика.
Особенности вируса были указаны выше.

Exploit.HTML.Ascii.b

QUOTE

Вредоносная программа-эксплоит, использующая для своего выполнения на компьютере пользователя уязвимость в браузере Internet Explorer (CVE-2006-3227). Является html-страницей (html-файл). Имеет размер 3616 байт. Ничем не упакована. представление страниц в Internet Explorer и обходить контентную фильтрацию благодаря неправильной интерпретации 8-битовых ASCII-символов. Скрытый таким образом скрипт загружает другой скрипт по следующей ссылке: [Для просмотра ссылки зарегистрируйтесь] Также скрипт загружает файл, используя уязвимость в MDAC (Microsoft Data Access Component) при использовании объекта «ADODB.Stream» (MS06-014): [Для просмотра ссылки зарегистрируйтесь] И сохраняет его во временный каталог Windows («%Temp%») под именем «svchost.exe». Скачанный файл запускается на исполнение.

Trojan-Clicker.HTML.IFrame.lq
В этом трояне полное собрание.. Пинч, руткит, бэкдор + ко всему вы будете спамить
Данный троян находится на официальной странице Димы Билана. www.biland**a.ru
На данный момент его детектируют два антивируса: kaspersky и nod32
Так что не ходите к Диме, он вас заразит

Ell

QUOTE

Данный троян находится на официальной странице Димы Билана. www.biland**a.ru

QUOTE

Так что не ходите к Диме, он вас заразит

А кстати, тут чуть ли не весь интернет на ушах стоИт насчет вирей в контакте и одноклассниках... Я сначала не верила, но поверила после того, как у двух моих друзей и двоюродной сестры полетел комп после именно того сообщения...

Могу дать ссылочку на некоторые сведения...

[Для просмотра ссылки зарегистрируйтесь]

Sandra Nasic
Да-да, вирус действительно работает. Сейчас Павла Дурова хотят убить как минимум 5 миллионов человек(50% пользователей контакта)
лк выпустила бесплатный патч для лечения этого вируса. [Для просмотра ссылки зарегистрируйтесь]

а мну касп заботливо сообщил заранее, что страничка содержит вирус и делать мне там нечего. Я девочка послушная и только долго глумилась потом, читая матюги влипших

brjukva
А лаборатория Касперского первая и обнаружила там эту дрянь, соответственно первые и добавили в базы.
Сайт уже пролечили кстати. Теперь безопасен

QUOTE

на официальной странице Димы Билана

у меня комп после Димы 43 вируса нашел, после презагрузки он больше включился

Юлья

QUOTE

после презагрузки он больше включился

не включился ? дай ка угадаю...у тебя АВП ?

вирусная эпидемия Virus.Win32.Gpcode.ak
[Для просмотра ссылки зарегистрируйтесь]

Rustock
В декабре 2006 года в некоторых кругах исследователей проблемы руткитов (как blackhat, так и whitehat) стали циркулировать слухи о том, что кем-то создан и выпущен в свет «абсолютно неуловимый руткит» - Rustock.С, - который при активном заражении не способно обнаружить ни одно из существующих антивирусных или антируткит-решений.

Длительные поиски «мифического руткита» не увенчались успехом. Это привело к тому, что любая информация о «Rustock.С» стала восприниматься в околоисследовательских кругах как шутка. Так продолжалось вплоть до мая 2008 года...
[Для просмотра ссылки зарегистрируйтесь]

ресурс вирусинфо сообщает о факте заражения страницы сети магазинов техносила.
Вроде бы как они пролечились, но пока подтверждения нет. Так что осторожнее

Вирус Virus.Win32.Gpcode.-- вот уже несколько месяцев наводит страх на вендоров и пользователей. Лаборатория Касперского создала отдельный проект, посвящённый борьбе с этой заразой.
Ну и конечно [Для просмотра ссылки зарегистрируйтесь]

64-битных руткитов становится больше

В прошедшем месяце в вирусные базы Dr.Web были добавлены очередные модификации руткитов, «заточенных» под 64-битные версии операционных систем. Так, вредоносная программа Trojan.Necurs имеет в своем арсенале как 32-, так и 64-битный руткит-драйвер с «тестовой» подписью, благодаря которой обходит ограничение 64-битных версий Windows на загрузку неподписанных драйверов, используя системную утилиту bcdedit.exe. Вместе с тем Trojan.Necurs способен блокировать загрузку драйверов многих антивирусов, препятствуя защите системы.

Новая версия бэкдора семейства Maxplus — BackDoor.Maxplus.13 — также умеет действовать в 64-битных системах. Эта вредоносная программа прекрасно обходится и без руткит-драйвера, используя для запуска подмену в реестре одной из ссылок на модуль подсистемы Windows: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems","Windows". Таким образом, некорректное лечение от BackDoor.Maxplus.13 может привести к полной неработоспособности системы. Стоит отметить, что этот способ активизации был опробован еще в 2007 году троянской программой Trojan.Okuks — но тогда еще в 32-битных версиях Windows.

Троянец Win32.Induc.2 заражает среду Delphi

Появившаяся в августе новая троянская программа Win32.Induc.2 заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.

Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным значком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение. Затем Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.

Как уже упоминалось, данная модификация троянца несет определенную функциональную нагрузку, которая реализована весьма любопытным образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.

Торрент-клиент MediaGet занесён в базы Dr.Web.

Метод, используемый для повышения числа установок программы на пользовательских компьютерах, является недобросовестным.

Для распространения программы ее разработчиками была создана так называемая «партнерская программа», в рамках которой всем желающим предлагалось за определенное вознаграждение принять участие в «популяризации» торрент-клиента.

В рамках этой программы владельцы ряда интернет-ресурсов, распространяющих разнообразный медиа-контент, в числе прочего используют на своих площадках специальные ссылки вида:
_http://mediaget.com/torrent.php?r=<адрес интернет-ресурса>&s=<имя>+<фильма>.

Подобные ссылки, соответственно, размещаются на страницах с описаниями фильмов и крепятся к кнопкам с текстом «Скачать бесплатно <название фильма> с помощью MediaGet» (текст может варьироваться от ресурса к ресурсу).

При нажатии на кнопку на компьютер пользователя загружается установочный файл торрент-клиента, при этом имя файла полностью совпадает с названием фильма.

По этой причине пользователь с большой долей вероятности запустит данный файл, в результате чего произойдет установка торрент-клиента.
В процессе инсталляции пользователю предлагается дополнительно установить тулбар одного популярного интернет-портала:
тут важно подчеркнуть, что тулбар устанавливается даже в том случае, когда пользователь отказался от него.

Лучший способ борьбы с вирусами и антивирусами - это отказ от платформы Windows в пользу Mac OS X или Linux. Авторы антивирусов во всю стараются написать что либо опасное на Mac OS X, чтобы их антивирусники под эту систему активнее покупали, но не очень у них получается
Переход на эти платформы покажет вам реальную мощь Вашего компьютера (или аналогичного по производительности от Apple), поставленную на колени авторами антивирусного ПО! Кто мог подумать 5-10 лет назад, что 8 ядерный комп с 8 гигами озу на борду, может так медленно работать с установленной защитой от кашмарского или доктора вэб

Дачник1

QUOTE

8 ядерный комп с 8 гигами озу на борту

А я не ощущаю

А вот Андроид дырявый получился, факт.

jk3
А ты снеси антивирусник и проверь еще раз Только не выключи, а с полным удалением.

Дачник1
Да знаю я.

Просто никогда не работаю без антивиря, поэтому привык к тому, что есть.

Это как провести аналогию с постоянным сексом в презервативе -- привыкаешь и всё норм, одни плюсы

jk3
ха-ха.

У нас не вредное производство! Я лично ничего не замечаю, ничего не замечаю, ничего не замечаю (С)

На самом деле писать вирусы, как и антивирусы очень интересно.
Глубокое понимание основ операционок, протоколов и т.п. вещей -- дорого стоит.

jk3
Особенно на такой дырявой системе, как вынды
А ты нарисуй на мак

Дачник1

QUOTE

А ты нарисуй на мак

Уже бегу

jk3
Ссылка на XCode есть - попробуй

Про троянский вирус Flashback, представляющий опасность для всех Маков (и хакинтошей) со старыми версиями Java, стало известно ещё в прошлом году. Теперь виртуальная зараза пережила реинкарнацию и стала ещё более хитрой. На этот раз она научилась обходить даже встроенную в Mac OS X систему предотвращения запуска запрещённого со стороны Apple кода – и всё благодаря доверчивости пользователей.

Механизм работы Flashback.G (под таким названием в сводках антивирусных компаний проходит новая угроза) в целом повторяет прошлогоднюю историю:

вирус маскируется под установщик Adobe Flash Player
если у вас в системе стоит одна из старых версий Java, он использует её уязвимости
если Java обновлена до последней версии, вирус действует по другому пути – он предлагает вам установить сертификат якобы от Apple (см. скриншот)
[Для просмотра ссылки зарегистрируйтесь]
итог один: вирус получает доступ к вашим логинам и паролям, сохранённым в Связке ключей
Способ уберечься традиционно прост: надо запомнить две важных вещи. Во-первых, Flash Player (да и любые другие надстройки к Mac OS X) нужно ставить только с официального сайта производителя. Во-вторых, ни одна честная программа не станет вам предлагать поставить какой-либо дополнительный сертификат, якобы выпущенный Apple.

В общем, будьте внимательны и в меру недоверчивы – и ваш Мак ещё долго не узнает о том, что такое вирусы

Дачник1

QUOTE

Особенно на такой дырявой системе, как вынды

"фанаты ни в какую не хотят слышать о том, что нынешняя версия операционной системы Mac OS X не является более защищенной, чем та же Windows 7. И главная причина, по которой на «Маки» не так часто осуществляются хакерские атаки, состоит в банальной вещи: доля этих компьютеров на мировом рынке по-прежнему остается маргинально ничтожной, в то время как Windows PC сохраняют свое доминирование. Иными словами, Mac до сих пор не представляет большого интереса для онлайн-преступников"
[Для просмотра ссылки зарегистрируйтесь]

Галил

QUOTE

фанаты ни в какую не хотят слышать

Что делать, если тигр напал на вашу тёщу?
Ничего - сам напал, пусть сам и выкручивается. (с)

Ну ты, Тигр, попал. Я раз заикнулся, что их бесценный Айпад не ахти, так еле хвост спас.

Щас начнётся!

Галил
Желтая пресса. Не верь! Доминирование виндов только в совках, за бугром этого доминирование никогда не было. Вирусов нет по простой причине - нельзя заразить мак без ввода пароля администратора, хоть запишутся вирусописатели! Вот и ищут путь обмануть юзера, чтобы он добровольно этот пароль ввел

По ссылке кстати в комментариях на статью все расписали подробно

Как известно, компания Apple запускает новую инициативу под названием Developer ID. Еще один разработчик получил в свой адрес письмо с описанием нового способа защиты компьютеров Mac от вредоносного программного обеспечения.

«Mac App Store является наиболее безопасным местом, где пользователи компьютеров Mac могут найти соответствующее программное обеспечение. В то же время мы хотим защитить пользователей, которые загружают приложения из других мест. Для этих целей мы разработали Developer ID – новый способ защиты Mac от вредоносного программного обеспечения. Функция Gatekeeper в Mountain Lion и подписка приложения сертификатом Developer ID даст пользователям уверенность в том, что инсталлируемая программа является безопасной и не может нанести никакого вреда компьютеру».

Идентификатор Developer ID заметно отличается от Apple ID, которым в настоящее время пользуются как разработчики, так и обычные пользователи, желающие получить доступ к сервисам Apple. При разработке OS X Mountain Lion компания Apple уделила достаточно много внимания защите системы от ненадежного программного обеспечения. Функция Gatekeeper, которая будет установлена в ОС по умолчанию, будет доверять только ПО из Mac App Store и тем приложениям, которые подписаны разработчиком с помощью сертификата Developer ID. Чтобы система могла принимать неподписанные приложения, пользователю придется изменять настройки Mountain Lion вручную.

Источник: Ipodnn.com

Заступаюсь за сиротку Windows! Обилие вирусов для этой операционки - это всего лишь следствие её популярности и распространенности, а не следствие какой-то особенной дырявости. Доминирование было. Может в определенных странах Apple имела перевес, но и 40% рынка - это много.

Сам, когда-то переболел детской болезнью максимализма, ставил Линуксы, бзди да солярки. Но более "человеческой" системы, чем вынь не нашёл.
В принципе, может быть, и сидел бы в Федоре, к которой почти привык, но работа заставляла писать программы под окна. Так, что смысла не было.

Мне кажется, что легенды о каких-то особенных "профессиональных" свойствах операционок Apple идут с тех времен, когда на PC был голый дос на черном экране, а в Макинтошах был полноценных GUI и пакет профессиональных программ, который многим казался сказкой из будущего. Но этот разрыв уже давно позади. Имхо.

Как-то знакомый дал поработать на своём Маке (привезенном из США). При 400 МГц проце он заметно быстрее был моего тогдашнего 800 Мгц Интела. Но это был проц от Мотороллы и родная маковская ось. А сейчас процы от Интел, ось - это линукс (вернее когда-то заброшенный, но доделанный клон BSD). На чём основывается приемущество?

Чтобы сегодня писать вирусы не надо особенно разбираться в кишках операционки. Можно написать что-то простейшее, например, в Делфи. Главная дырка - человеческая глупость.
Тысячу раз имхо.

Политический спам о митинге на Пушкинской площади «убивает» компьютеры пользователей

Документ Microsoft Word, вложенный в письмо, призывающее принять участие в протестном митинге оппозиции на Пушкинской площади в Москве,
содержит макрос, который сохраняет на диск и запускает троянскую программу Trojan.KillFiles.9055

Запустившись на компьютере жертвы, троянец Trojan.KillFiles.9055 копирует себя во временную папку,
прописывает себя в ветвь системного реестра, отвечающую за автоматический запуск приложений.

Одновременно троянец меняет содержимое всех обнаруженных на диске С файлов (с расширением .msc, .exe .doc, .xls, .rar, .zip, .7z) на «цифровой мусор»
и помечает их на удаление после перезагрузки системы, вследствие чего Windows приходит в нерабочее состояние (обычная перезагрузка компьютера уже ничем не поможет).

Trojan.KillFiles.9055 изменяет свойства своего процесса таким образом, что он становится критичным для системы,
и его завершение вызывает появление BSOD ("синего окна смерти") или перезагрузку компьютера.

Затем троянец отправляет на удаленный сервер злоумышленников сообщение о том, что операционная система успешно «убита».


Источник: news.drweb.com

jk3

QUOTE

Документ Microsoft Word, вложенный в письмо, призывающее принять участие в протестном митинге оппозиции на Пушкинской площади в Москве,

Так их оппозиционеров Работать надо, а не митинговать!

Дачник1

QUOTE

Работать надо, а не митинговать!

Да жёстко посмеялись над ними.

Интересно, кто разработчик вируса, не в кремле ли такое пишут

О трояне Duqu стало известно 1 сентября 2011 г. По предположению экспертов, этот троян был создан для точечных атак на компьютеры промышленных объектов, а также правительственных и коммерческих структур Ирана.

Duqu был создан на единой программной платформе с другим знаменитым компьютерным червем Stuxnet, который в 2011 г. поразил иранские атомные электростанции

Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства.

* * *

О, как!

Обнаружен ботнет из более чем 550 000 «маков»

Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт.

Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады.

Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.


Источник: news.drweb.com

jk3
Борьба добра и зла во вселенной бесконечна. Пока у пользователей есть деньги
Добавлено:
Где этот Дачник?

jk3
стретчер
Касперский не дремлет! Пишет упорно вирусы, чтобы убедить маководов купить у него антивирусник
Вирус есть и реально работает, причем заражает через Java, которую установил сам пользователь!(штатно в систему Mac OS X не входит). Дырку уже закрыли, обновление вышло и у всех стоит. Так что у нас все спокойно, Кашмарского покупать не будем

Ну а что удивительного? )) никто никогда не говорил, что вирусня только под винду бывает, есть и под никсы и дырки есть тоже. Тут, в многом дело в распространенности системы и контингенте пользователей, выгоднее и проще под винду) ну есть еще ряд факторов, но это, имхо, основной.

При обновлении nod32, пишет "ошибка создания временного файла". Подскажите, пожалуйста, решения этой проблемы. TDDSkiller не помог.