В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

cracklover пишет:
При этом горячая пятёрка самых известных аверов лажает по полной ну от самых дубовых примитивных крипторов.
А нафиг они вообще нужны (аверы) ? Только ресурсы у проца жрут.

-----
Research is my purpose

| Сообщение посчитали полезным:

После поданной информации для размышления вот и живой иллюстированный пример.
Мне кажется после его просмтотра вопрос будет исчерпан:

[img=http://img109.imageshack.us/img109/1844/averfckuu8.th.jpg] http://img109.imageshack.us/my.php?image=averfckuu8.jpg

Это лог проверки "детёныша" замшелого ксинча после крайне примитивной рихтовки.

| Сообщение посчитали полезным:

Мне кажется, что если человек запустил пинча (а тем более из письма), то это случай клинический, лечению не поддающийся. Аффтару темы рекомендую не подходить к компу ближе чем на километр.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Error_Log пишет:
Sergey Lossev А ты выложи - посмотрим
Держите.
slil.ru/23249524

Прислали вот отсюда:
Return-path: <advant@cracking.variance.org>
Received: from [87.224.217.108] (port=4533 helo=cracking.variance.org)
IP пробил- г.Екатеринбург

| Сообщение посчитали полезным:

Ms-Rem пишет:
Мне кажется, что если человек запустил пинча (а тем более из письма), то это случай клинический, лечению не поддающийся. Аффтару темы рекомендую не подходить к компу ближе чем на километр.
+1

| Сообщение посчитали полезным:

Sergey Lossev пишет:
Это опасный червь или так-фигня?
Фигня, классический.

-----
Research is my purpose

| Сообщение посчитали полезным:

Sergey Lossev пишет:
IP пробил- г.Екатеринбург

Мне стыдно за своих земляков

| Сообщение посчитали полезным:

Хе, а от моего ящика была попытка отправить Нетскай Сцуки, у какой-то гниды машина заражена, вот червь и лезет.....
А вообще, как я и говорил, в любой цепи, абсолютно всегда слабым звеном остается человек..... В нашем случае, запустивший вирус

-----
The blood swap....

| Сообщение посчитали полезным:

Error_Log пишет:
Фигня, классический.
Я только не понял,в чём смысл этих червей.Неделю назад мне присылали червь Win32.HLLM.Limar
Все они прописываются в автозапуск и начинают рассылать себя по почте.
Ну и дальше что? В чём заключается вредоносное действие,чисто в рассылке спама?

| Сообщение посчитали полезным:

Самое интересное,что ни один антивирь этих червей не палит... Даже базы новые скачал для DrWeb
всё равно ничего не нашёл. Вот устанавливай их потом на комп,ресурсы только жрут и жрут.
Несмотря на то что в режиме он-лайн на сайте www.drweb.ru всё обнаружилось. Чудеса какие то...

| Сообщение посчитали полезным:

NIKOLA пишет:
Мне стыдно за своих земляков
Возможно это был просто заражённый компьютер. Вот только откуда червь "узнал" мой адрес
е-маил? Да и обратный адрес у письма очень подозрительный

| Сообщение посчитали полезным:

cracklover пишет:
[img=http://img109.imageshack.us/img109/1844/averfckuu8.th.jpg]

Это лог проверки "детёныша" замшелого ксинча после крайне примитивной рихтовки.

Картинки по ссылке нету... Приаттач лучше к посту...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

ИМХО, на любом почтовом сервере пишут не открывать подозрительные вложения! И ведь находятся дебилы, которые не понимают! Из-за них, эти почтовые черви гуляют по сети по нескольку лет!!! Хотя в антивирусных базах сигнатуры есть уже очень давно!!!
Outpost через каждые 10 мин. рапортует об обнаружени атаки! А ведь дыр подобных RPC DCOM давно не находили!
Когда люди поумнеют?!!!

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Вот только мало кто учитывает, что еще существует вероятность выполнения кода при обработке WORD-документа, проигрывании mp3 музыки, видео, просмотра картинок, распаковки архива, в конце-концов даже при скане какого-то файла на вирусы антивирусным сканером и т.д. Тут WMware не поможет. Кроме того, малвара запущенная в WMware может атаковать host-машину во все возможные и невозможные дыры через виртуальную сеть, если таковая имеется. Так что даже с соблюдением всех мер предосторожности никто не застрахован на все 100%. Если к тому же нет нужных инструментов, которые способны помочь - то никакие прямые руки не спасут. Хотя чаще всего, конечно, малвары запускают бестолковые пользователи, коих большинство.

-----
Research is my purpose

| Сообщение посчитали полезным:

К слову, проактивная защита тоже может быть обойдена. Я это неоднократно доказывал примерами.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

К слову, проактивная защита тоже может быть обойдена. Я это неоднократно доказывал примерами.

К слову (читать всем понтокрылам топика):

Встретились на прогулке в парке пит-буль(П) и мастино (М). (П)- Смотри, чувак! Видишь этот шрам? Это меня цапнул мутный бульдог, когда я перегрызал ему глотку. Понял! А вот этот шрам на спине? Это я сцепился на прошлой неделе с догом, загрыз урода. Насмерть! А вот шрам, и вот еще пара. Я боец. Я всегда в схватках всех и вся.. (М) это все слушал и стал молча натягивать на голову шкуру, тянет, и показывает (П) дырку. (М) Ну а это ты видел? (П) Нифига себе. Кто-ж это так, что это???? (М) А это у меня ЖОПА!

| Сообщение посчитали полезным:

Error_Log пишет:
Вот только мало кто учитывает, что еще существует вероятность выполнения кода при обработке WORD-документа, проигрывании mp3 музыки, видео, просмотра картинок, распаковки архива, в конце-концов даже при скане какого-то файла на вирусы антивирусным сканером и т.д
В таком случае надо вообще комп выбросить на помойку и никогда его не включать.
Если серьёзно,то параноиков которые сканят все файлы перед запуском наверно почти и нет в мире.
Error_Log пишет:
Если к тому же нет нужных инструментов, которые способны помочь - то никакие прямые руки не спасут
Не скажи. Если по почте пришёл мелкий файл с расширением exe с адреса типа pornuxa.org
то тут даже конченный даун поймёт,что это вирус\троян\червь\гадость какая то

| Сообщение посчитали полезным:

Sergey Lossev пишет:
параноиков которые сканят все файлы перед запуском наверно почти и нет в мире
это не параноики, в этом просто нет никакого смысла, то есть я хотел сказать, что вместо того, чтобы обнаружить таким образом вирь может оказаться, что он сам запустится, а сканер нифига не найдет.
Sergey Lossev пишет:
Не скажи. Если по почте пришёл мелкий файл с расширением exe с адреса типа pornuxa.org
то тут даже конченный даун поймёт,что это вирус\троян\червь\гадость какая то
Народ настолько любопытный, что несмотря на осознание, что там какая-то гадость, все равно умудряется запускать А насчет инструментов - имелось ввиду коллекция всех возможных/невозможных и самописных тулз для поиска/удаления/предупреждения установки малвары в систему. Тут уже каждый для себя сам решает, а кто одним отладчиком обходится. А бросаться на танк с голыми руками тоже глупо. Можно и не заметить даже, что у тебя в системе сидит какая-то изощренная зараза, которая попала к тебе совсем не по причине запуска аттача из письма.

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
вместо того, чтобы обнаружить таким образом вирь может оказаться, что он сам запустится, а сканер нифига не найдет
Был такой троян для Norton Antivirus
после его работы "вирусов в системе не обнаруживалось совсем"

| Сообщение посчитали полезным:

NIKOLA
мне приходило. и брату тоже. это новый способ такой изобрели. я его снес сразу!

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

NIKOLA пишет:
Меня осенило, хотелось бы спросить у остальных участников, комунибудь что-то подобное приходило на почту в последние месяца полторо или два?

Да-да, было такое дело, и текстик такой же. Хотел я его в иду кинуть, но peid сказал, что там юпак, а т.к. распаковать его можно только динамически, т.е. запустить и дампить, то я решил, что комп дороже , и просто файлик удалил.

| Сообщение посчитали полезным:

wormking пишет:
К слову (читать всем понтокрылам топика):

К слову, для оффтопа есть другой форум.
А мой пост предназначался для аверов старающихся в каждом топике подчеркнуть необходимость покупки их программы.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

К слову, кое-кто является ярым ненависником аверов, и напрямую заинтересован в скорейшем выходе Windows Vista, а также полным отсутсвием каких-либо средств защиты от малвар по очевидным причинам . И вообще посты провакационного характера стоит игнорировать

-----
Research is my purpose

| Сообщение посчитали полезным:

Хо-хо, на долбойобах мир держится. Один запустил и не заметил изменений в система. А тем временем от его имени по всему контактному листу аськи и по почте по всем мыльникам ушли зараженные письма. Каждый десятый получив о знакомого ссылку на ехе ее запустит и цепочка продолжытся, потом их всех соберут в ботнет и будут доить, потому что всех щас интересует финансовая отдача а не понты
И готов поспорить что на момент первого заражения ниодин АВ этого пинча не детектил =)

| Сообщение посчитали полезным:

DrGolova пишет:
А тем временем от его имени по всему контактному листу аськи
Автоматом? С этого места поподробнее пожалуйста.
Имеется ввиду чтоб сам себя рассылал по асе, на каких-то клиентах передача файлов не предусмотрена даже, на том же &RQ.

| Сообщение посчитали полезным:

Drewler пишет:
Имеется ввиду чтоб сам себя рассылал по асе, на каких-то клиентах передача файлов не предусмотрена даже, на том же &RQ.

а зачем передавать то? достаточно послать по всему контакт листу мессагу типа
"привет, $nick, поглумись над пикчей, ambakarabra.com.ua/~iosif/coolguy.jpg"

| Сообщение посчитали полезным:

ну так чё мне далать то?

| Сообщение посчитали полезным:

Про линк вопросов нет, спрашивал именно про передачу файла, или "ушли зараженные письма" подразумевало именно линк? тогда неинтересно.

| Сообщение посчитали полезным:

BishopPriest пишет:
ну так чё мне далать то?
Ну если лоадер загрузил пинча, то менять всё что можно, т.к. скорее всего все твои пассы, мыльники, фтп, автозаполнения форм, доступ в инет и т.д. уже в виде отчёта давно ушли, а пинч после этого кильнул сам себя.

| Сообщение посчитали полезным:

BishopPriest пишет: и я всётаки я заэкзечил эту фигню...

А спрашивается зачем всякую фигню на компе запускать ?
Любопытство и оптимизм вещи невсегда полезные.

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным: