Discutii referitoare la virusi Optiuni

[Mihai]

Un nou virus circula pe Internet; pretinzand ca provine de la adresa support@microsoft.com, mesajul are un atasament care odata deschis activeaza virusul.
Virusul, numit "Palyh", odata deschis, se transmite tuturor adreselor de e-mail pe care le gaseste in calculatorul infectat.
Detalii puteti citi aici.

[Tudy]

Mda... L-am primit ºi eu prin mail azi, dar l-am ºters imediat. Cine a mai vãzut pe ãia de la Micro$oft sã-ti trimitã un screensaver (parcã "free screensaver" era subject-ul) gratuit, de bunã voie ºi nesiliþi de nimeni, nici mãcar de guvernul SUA?...

[bdl]

Eu am primit de la microsoft un dvd cu mai multe chestii pe el.

[Promo Contextual]

[necromanc]

Eu am detactat altul, care face asa :

Iti vine un mail de la bot sau robot nu mai stiu de la yahoo.com si zice ca au o defectiune si pentru siguranta sa iti introduci userul si parola ca sa nu se intample ceva

[Rose]

Am si eu o intrebare: am auzit recent(parca ieri) ca a aparut un nou virus informatic care provoaca resetarea automata a computerului si ca nu exista inca un antivirus pentru el. E adevarat sau am auzit eu prost? Eu n-am(inca) nici o problema, dar unii aproape de mine "sufera" din cauza asta. Si daca e adevarat, puteti sa-mi spuneti si mie cum este activat? Multumesc anticipat.

[Mihai]

E foarte posibil sa fie un hoax (alarma falsa). Eu nu am auzit nimic despre un asemenea virus.

[Mihai]

M-am documentat. Se pare ca este vorba de un virus cat se poate de serios!

Un nou virus se afla pe Internet ! A fost "lansat" pe 11 August 2003. Se manifesta in felul urmator: Sistemele Windows XP si Windows 2000 dau o eroare a "Remote Procedure Call (RPC-ul), initializata de NU Authority\System. Urmatorul pas este ca OS-ul sa vi se reseteze.

Puteti lua o unealta care sterge acest virus de la Symatec:
http://securityresponse.symantec.com/avcen...er/FixBlast.exe

Insa avand in vedere, ca eroarea apare la scurt timp de la conectarea la Internet, si majoritatea romanilor au o conexiune Dial-Up probabil nu veti putea termina download-ul. Daca nu, in continuare aveti modul prin care puteti sterge viermele(worm) manual. Sau exista intotdeauna posibilitatea sa luati "fixblast.exe" de la un alt calculator(gen InternetCafe) sau dintr-un OS diferit de Windows200 si XP. Daca nu aveti aceasta posibilitate, nu va mai conectati la Internet pana nu il stergeti... Cum? Aflati in pasii urmatori. Dupa ce calculatorul vi se reseteaza(in cazul in care aveti in momentul acesta virusul pe calculator si v-ati conectat de curand) veti gasi acest fisier in Internet Explorer(in History). Asa ca puteti citi mai departe de acolo(fara sa mai trebuiasca sa va conectati)-in caz ca vi s-a resetat inainte sa puteti citi tot.
Sau... in WindowsXP dati pe Start -> Run -> net stop rpclocator. (acum calculatorul nu se va mai reseta..insa virusul va exista...) Avand in vedere ca nu se mai reseteaza.. puteti downloada. Dupa ce ati downloadat si ati parcurs urmatorii pasi nu uitati ca la sfarsit dupa terminarea pasilor sa dati: Start -> Run -> net start rpclocator

Mod manual:
1. CTRL+ALT+DEL - Opriti programul msblast.exe (in XP mergeti la Processes dupa ce ati dat Ctrl+Alt+Del).
2. Stergeti viermele cu SHIFT+DEL(va pozitionati pe el, si apasati SHIFT+DEL ca viermele sa nu mai intre in Recycle Bin.) - de obicei se gaseste in x:\Windows\System32. Depinde de ce Windows aveti. x = litera corespunzatoare hardului sau a partitiei pe care aveti instalat windowsul si Windows - este directorul in care s-a instalat Windows-ul. Daca nu mai usor: Start -> Run -> %systemroot%\system32(dupa care il cautati.. si il stergeti.). Daca nu se afla in acest director, dati-i un Start -> Find... ...
3. Scoateti-l din Registry. Comanda: Start -> Run -> regedit.exe. Dati-i un CTRL+F si cautati msblast.exe. Va trebui sa-l gaseasca in cheia:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update". Daca l-ati gasit, apasati DELETE. Sau click dreapta(mouse) si Delete.
4. Resetati calculatorul. Acum nu mai aveti virusul. Dupa resetare treceti la pasul urmator:

5. Instalati-va PATCH-ul de la Microsoft. Patch-ul va va proteja astfel incat sa nu va mai infectati cu aceasta versiune a viermelui niciodata:
http://download.microsoft.com/download/9/8...980-x86-ENU.exe (avand in vedere ca nu mai aveti virusul nu va mai trebui sa resetati dupa conectare calculatorul, deci veti putea downloada linistit patch-ul.

Alte nume ale acestui virus(este recunoscut cu diverse denumiri de unele programe antivirus): LovSan, LuvSan, Blaster.

Eu personal nu l-am putut sterge din Windows XP... asa ca l-am sters din consola de MsDOS. Daca intampinati aceeasi problema faceti in felul urmator: Start -> Run -> command
Dupa ce se deschide consola tastati:
cd\
apoi tastati:
cd windows\system32
apoi tastati:
del msblast.exe
apoi tastati:
close
...si virusul a fost sters cu ajutorul consolei MsDos.

Sursa: Forumul ClickMedia.ro

[Mihai]

Iata si documentatia oficiala, de la Microsoft: http://www.microsoft.com/security/incident/blast.asp

[Rose]

Multumesc mult! Mi-ai facut niste prieteni fericiti!

[Mihai]

Se pare ca virusul asta a facut multe nenorociri. Mai mult de o treime din utilizatorii de Internet sunt infectati.
Microsoft a fost nevoit sa inchida site-ul de UpDate-uri datorita atacului urias pe care il punea la cale acest virus.

[Mistinguett]

Ultimul aparut, Sobig - deja i s-a dus vestea. Cititi mai mult pe site-ul Symantec. http://securityresponse.symantec.com/avcen...sobig.f@mm.html

[Mihai]

Teenager held for computer virus

US authorities on Friday arrested a teenager male in connection with their investigation into the source of recent attacks by computer virus programs that affected millions of computer users worldwide.
Jeffrey Lee Parson, 18, was scheduled to appear in court make a court appearance late on Friday in St Paul, Minnesota.
The FBI had questioned Mr Parson him earlier in the week and had seized seven computers. He is suspected of unleashing a version of the Blaster worm, a type of computer virus, that caused massive disruptions on the internet last week.
However, Mr Parsons might not be the original author of Blaster, which computer security experts say has emerged in six different versions, with each succeeding version becoming more successful in its ability to spread and infect PC users.
The most recent version of Blaster set a record in becoming the fastest ever spreading computer virus.

Sursa: FT.com.

[(Afrodita)]

Am avut recent probleme cu calculatorul si nu stiam de ce:era infectat cu un virus, worm32.exe sau ceva la genul, printre ultimii aparuti.Mai multe detalii puteti gasi la adresa http://www.eva.ro/tehnologie/articol92.html
Asta e ceea ce am gasit in limba romana...Daca aveti mai multe detalii le puteti posta aici...


P.S.: nu dati click direct va rog, pt ca nu am cerut voie celor de la site sa le copii linkul

[GExGE]

Mihai ... ca tot vorbeai de Blast:

Specialiştii Softwin ne-au anunţat de c*rând că au descoperit o nouă variantă a „vedetei” MSBlast care pare a fi oferită chiar de ai noştri moldoveni.

Win32.Msblast.F este cel mai nou virus descoperit de Softwin. Acesta este un vierme executabil ce măsoară 11808 bytes (este comprimat cu Aspack şi UPX) şi care, ca şi MSBlast-ul original, propăvăduieşte un mesaj mai mult sau mai puţin „umanitar”:
„ Nu datzi la f***ultatea de ***!!! Pierdetzi timpul degeaba...
*** te cheama pensia!!!Ma *** pe diploma!!!!!!”


Alte modificări faţă de Win32.Msblast.A pot fi regăsite în două string-uri text, şi anume fişierul infectat ce se răspândeşte se numeşte enbiei.exe, iar cheia de regiştrii vizată este HKLM\Software\Microsoft\Windows\CurrentVersion\Run\www.hidro.4t.com.


Ajuns pe un sistem ţintă, virusul efectuează un atac de tip DDoS la adresa tuiasi.ro, ce aparţine Universităţii Tehnice din Iaşi. De aici şi bănuiala că cei care au avut ideea unui MSBlast autohton ar fi moldoveni.


În cazul nefericit în care v-aţi pomenit cu MSBlast.F, este bine să ştiţi că Softwin a pus la dispoziţie şi mijlocul necesar să scăpaţi de această versiune românească a binecunoscutului virus. Aceasta poate fi accesată de aici.


sursa chip.ro

[genicon]

N-am nici un antivirus... Si, dupa wormul de care zicea afrodita... s-ar putea sa planga calculatorul meu... Deci... de unde pot lua si eu un antivirus, care sa-l faca pe al meu PC sa planga dupa el?

[(Afrodita)]

Deci, linkul dat de Mihai mai sus, care te duce direct la FixBlast, antivirusul facut special pt Msblast, e foarte bun...Cu el eu am scapat de virus..Si cu East-Tec Eraser si cu nu mai stiu ce a facut al meu la comp Am norton antivirusul care banuiesc ca l-a luat de la Simatec parca, adik de pe site-ul lor...Vezi si tu ce zic baietii pe aici ca ei se pricep mai bine ca mine

[Mistinguett]

Am dat intamplator peste informatia asta astazi:

http://resurse.com/info/stire.php3?id=676

[Jubi]

help!!!de ceva zile bune ma chinui sa scot un virus din PC,mi-a facut praf totul pe aici,se pare ca e un trojan si nu-mi pot formata PC-ul pt ca am prea multe lucurui pe care nu vreau sa le pierd.ce naiba fac?tot caut ceva care sa-l scoata insa ma chinui degeaba de vreo saptamana...e un win32 mizeria si mai apare cum ca ar fi tool porndialer.CT.ce-or insemnand si astea...dunno...

[Mihai]

In mod sigur softurile scrise la http://www.hanuancutei.com/forum/show.php/act/ST/t/3003 te vor ajuta

[rebel]

As recomanda, mai degrabã, The Cleaner, oferit de MooSoft. Asta dacã este întradevãr vorba de un trojan.

[rebel]

W32.Sasser.worm

• La sfârsitul sãptãmânii trecute, si-a fãcut aparitia Sasser, un virus informatic extrem de periculos, care se rãspândeste folosind mijloace „neconventionale“. În câteva zeci de ore, acesta a reusit sã infecteze câteva milioane de computere din întreaga lume. Afecteazã numai computerele care folosesc sistemele de operare Windows 2000, Windows Server 2003 si Windows XP.

El poate fi evitat prin instalarea MS Security Update #MS04-011, însã poate fi si oprit cu usurintã de majoritatea sistemelor antivirale mondiale. O analizã detaliatã a worm-ului este oferitã de TrendMicro.

[rebel]

Editia online a Jurnalului National titreazã Viroza Sasser se întinde pe Internet.

[rebel]

Autorul virusului Sasser gãsit - un adolescent de 18 ani

• Politia germanã a descoperit sursa virusului în calculatorul sãu. Virusul a distrus sistemele bãncilor finlandeze, cele ale pazei de coastã britanice si milioane de calculatoare din lumea-ntreagã. La finalul sãu, politia a descoperit sursa virusului în calculatorul unui tânãr de 18 ani. Vineri, la indicatia gigantului Microsoft, politia a fãcut o incursiune în orasul nordic Waffensen, în apropiere de Bremen, pentru a cãuta casa unei student tehnician, programator si hacker. Pânã a doua zi, studentul a confesat, expertii au analizat datele din calculatorul tânãrului, iar cazul a fost închis.

• "Am descoperit sursa virusului într-un calculator construit de el", a declarat Frank Federau, purtãtor de cuvânt al politiei germane. "A fost arestat o perioada, timp în care am discutat cu el. Acum s-a întors acasã. Credem cã acest caz este închis".

• Politia a refuzat sã divulge numele tânãrului a cãrui patru variante a virusului numit Sasser încã cauzeazã imense pagube în lumea-ntreagã.

• Brad Smith, consilier al Microsoft, afirmã: "Crearea worm-ului Sasser ilustreazã marile bãtãi de cap ce vor veni pe viitor datoritã noului val de hackeri, ale cãror activitãti online exploateazã slãbiciunile software-ului ce Microsoft îl divulgã, odatã cu oferirea unui patch ce rezolvã problema".

• "Acesta este un tip într-un colegiu tehnic, experimentat în software ce si-a folosit capacitãtile pentru a face mai mult rãu, decât bine", afirmã acelasi consilier.

• Worm-ul Sasser si-a fãcut aparitia la 18 zile dupã ce Microsoft a depus patch-ul ce-ar fi rezolvat vulnerabilitatea exploatatã de cãtre acest worm si infecta sistemele ce nu erau updatate corespunzãtor.

• Conform politiei germane, tânãrul a afirmat cã nu intentiona sã creeze un virus de calculator. Mai mult decât atât, tânãrul dorea - vezi Doamne - crearea unui sistem anti-viral ce-ar fi eradicat virusul Netsky.A si câteva alte bine-cunoscute infectii.

• "A spus cã Sasser a iesit la suprafatã în urma modificãrii lui Netsky A", a declarat un alt purtãtor de cuvânt al politiei germane, Detlef Ehrinke. "S-a confesat, spunând cã nu a dat prea multã atentie consecintelor creatiei sale".

• Sasser, ce a apãrut initial pe 30 Aprilie, ataca sistemele Microsoft Windows XP, 2000 si NT , în mod deosebit pe calculatoare personale.

• Politia, oficialii Microsoft si reporterii indicã faptul cã Sasser se aflã printre infectiile virale cu cele mai mari consecinte financiare existente vreodatã.

• Hacking-ul de acest gen poate duce la o sentintã de aproximativ 5 ani în Germania.

[bazac]

Norton-ul meu zice:

System Status: Urgent Attention
Auto Protect = Off
Email Scanning = Error

Ce trebuie sa fac?

Multumesc anticipat.

[rebel]

Dupã ce numesti exact versiunea sistemului antiviral, se recomandã sã faci un update urgent a bazei de date AV-ului. Dupã aceea, e recomandat sã faci un 'full system scan' si sã-ti instalezi un sistem împotriva trojan horse-urilor si unul pentru adware si malware.

[rebel]

Aparitia unei noi versiuni a cunoscutului worm Sasser la putin timp dupã arestul sine-declaratului autor al worm-ului a fost promotorul speculatiilor cã acest student ar fi colaborat cu alti creatori de virusi.

Sasser-E a fost descoperit la aproximativ 3 ore si 50 de minute de la ora arestãrii lui Sven Jaschan, de 18 ani, din Rotenburg (nordvestul Germaniei) la orele 14:00 (ora localã) a zilei de Vineri [7]. Fie s-a ratat detectarea a unei variabile lansãri a acestei versiuni acum ceva vreme, fie el a fost lansat abia recent de cãtre o altã persoanã, nu de cãtre Jaschan, care a fost eliberat din custodia politiei abia dupã ce noua versiune îsi fãcuse simtitã prezenta.

Panda Software, o firmã de sisteme AV spaniolã a afirmat cã aparitia variantei a arãtat existenta unui 'grup organizat de delicventi' implicati în distribuirea de copii ale prolificului worm.

Firma finlandezã de sisteme AV F-Secure nu este atât de sigurã: 'Credem cã Domnul "SJ" (ce s-a confesat ca fiind cel ce-a conceput toate variantele Sasser si NetSky) distribuise aceastã varianta la putin timp înaintea arestului sãu. A fost eliberat pe cautiune, dar aceasta a fost doar înainte ca rapoarte despre existenta noii variante sã aparã. Varianta E nu se prezintã ca fiind opera de artã a unei alte persoane'. Dovadã circumstantialã a condus F-Secure si multe alte companii ale domeniului AV a suspecta cã si seriile NetSky fuseserã munca a mai multor autori, o concluzie dezmintitã de confesia lui Jaschan.

Sasser-E se foloseste de aceasi vulnerabilitate Windows ca si celelalte versiuni anterioare pentru a se multiplica cãtre alte sisteme Windows 2000 si XP vulnerabile, cauzând ajungerea acestora la instabilitate si proeminentã închidere a sistemului. Spre deosebire de versiunile anterioare, Sasser-E oferã un avertisment din partea 'Echipei SkyNet', avertisment legat de vulnerabilitatea de care profitã. Spre deosebire de primele patru versiuni ale Sasser, varianta E încearcã sã scape de worm-ul Bagle, asa cum procedau si multe dintre variantele NetSky. Pentru informatii privind protejarea sistemelor Windows de cãtre worm-ul Sasser, loviti-mã.


O imagine a avertismentul numit anterior este atasatã acestui mesaj. Acel mesaj apare la douã ore de la infectia cu worm-ul numit anterior.

Acest topic a fost editat de rebel: 10 May 2004, 10:04 PM

Descarca fisierul/ele

 sasser_e.gif ( 11.65K ) Numar descarcari: 21

 

[dsrk3r]

In seara asta portu' meu 445 TCP e scanat de cateva ori pe minut de Sasser. La fel si 2745 TCP (se cauta in draci W32.Beagle.E@mm). Din cauza asta netu merge ca pixu. Deci bine ca l-au arestat. Cine urmeaza ?

Acest topic a fost editat de amenophis: 10 May 2004, 09:59 PM

[rebel]

1. Ai probleme cu curatarea sistemului?

2. Ti se deschide un popup ce spune 'Can't find a viewer associated with the file'?

Acest topic a fost editat de rebel: 14 Feb 2005, 09:35 PM

[dsrk3r]

[dsrk3r]

[bazac]

[rebel]

Si iacã veni si ziua Floriilor - W32/Sasser-F. Cunoscut si sub numele de Worm.Win32.Sasser.a, W32.Sasser.Worm, W32/Sasser.worm.f, acesta este un worm, ca toti ceilalti predecesori din aceeasi gamã.

W32/Sasser-F reprezintã un worm ce se rãspândeste prin intermediul arhicunoscutei vulnerabilitate a LSASS. Worm-ul se multiplicã în fisierul de Windows sub numele de NAPATCH.EXE si seteazã urmãtoarea intrare în registrii ce pornesc la autentificarea utilizatorului:

[rebel]

O noutate chiar si pentru specialisti: W32/Dabber-A este un backdoor trojan horse si un worm de retea ce cautã calculatoare folosindu-se de adrese de IP generate la întâmplare, calculatoare ce-au fost infectate de worm-urile W32/Sasser.

Calculatoarele infectate ruleazã un server FTP (aplicatie nevãzutã de cãtre utilizatorul calculatorului) si au fie portul TCP 5554, fie 9898 deschis. W32/Dabber-A se va încãrca în sistemele infectat prin exploatarea unei vulnerabilitãti a implementãrii serverului de FTP a W32/Sasser pentru a se propaga.

Acest worm se va copia în folderul System32 sub numele de PACKAGE.EXE si se va încãrca la Startup sub acelasi nume.

[rebel]

Un worm patriot: W32/Cycle-A. Ca majoritatea predecesorilor, acesta se foloseste de o vulnerabilitate de Windows pentru infectare, cãutând gazde noi pe calculatoare ce nu au ultimele update-uri instalate. Aceste calculatoare pot fi exploatate prin intermediul vulnerabilitãtii din sistemul LSASS, ce poate permite unui atacator primirea de privilegii de administrator pe calculatorul cu pricina.

Pentru mai multe detalii asupra acestei vulnerabilitãti, revizuiti Microsoft Security Bulletin MS04-011.

W32/Cycle-A se va copia în directorul de sistem al Windows, sub numele de SVCHOST.EXE si va creea urmãtoarele ramuri de registri:

[dsrk3r]

A aparut primul virus pe 64 biti: W64.Rugrat.3344. Platforma afectata: Windows 64-bit

Nu infecteaza platformele Windows pe 32 biti: Windows 98, NT, 2000, Me, XP, 2003 decat daca ruleaza software care simuleaza 64 biti.