Un nou virus circula pe Internet; pretinzand ca provine de la adresa support@microsoft.com, mesajul are un atasament care odata deschis activeaza virusul.
Virusul, numit "Palyh", odata deschis, se transmite tuturor adreselor de e-mail pe care le gaseste in calculatorul infectat.
Detalii puteti citi aici.

Mda... L-am primit ºi eu prin mail azi, dar l-am ºters imediat. Cine a mai vãzut pe ãia de la Micro$oft sã-ti trimitã un screensaver (parcã "free screensaver" era subject-ul) gratuit, de bunã voie ºi nesiliþi de nimeni, nici mãcar de guvernul SUA?...

Eu am primit de la microsoft un dvd cu mai multe chestii pe el.

Eu am detactat altul, care face asa :

Iti vine un mail de la bot sau robot nu mai stiu de la yahoo.com si zice ca au o defectiune si pentru siguranta sa iti introduci userul si parola ca sa nu se intample ceva

Am si eu o intrebare: am auzit recent(parca ieri) ca a aparut un nou virus informatic care provoaca resetarea automata a computerului si ca nu exista inca un antivirus pentru el. E adevarat sau am auzit eu prost? Eu n-am(inca) nici o problema, dar unii aproape de mine "sufera" din cauza asta. Si daca e adevarat, puteti sa-mi spuneti si mie cum este activat? Multumesc anticipat.

E foarte posibil sa fie un hoax (alarma falsa). Eu nu am auzit nimic despre un asemenea virus.

M-am documentat. Se pare ca este vorba de un virus cat se poate de serios!

Un nou virus se afla pe Internet ! A fost "lansat" pe 11 August 2003. Se manifesta in felul urmator: Sistemele Windows XP si Windows 2000 dau o eroare a "Remote Procedure Call (RPC-ul), initializata de NU Authority\System. Urmatorul pas este ca OS-ul sa vi se reseteze.

Puteti lua o unealta care sterge acest virus de la Symatec:
http://securityresponse.symantec.com/avcen...er/FixBlast.exe

Insa avand in vedere, ca eroarea apare la scurt timp de la conectarea la Internet, si majoritatea romanilor au o conexiune Dial-Up probabil nu veti putea termina download-ul. Daca nu, in continuare aveti modul prin care puteti sterge viermele(worm) manual. Sau exista intotdeauna posibilitatea sa luati "fixblast.exe" de la un alt calculator(gen InternetCafe) sau dintr-un OS diferit de Windows200 si XP. Daca nu aveti aceasta posibilitate, nu va mai conectati la Internet pana nu il stergeti... Cum? Aflati in pasii urmatori. Dupa ce calculatorul vi se reseteaza(in cazul in care aveti in momentul acesta virusul pe calculator si v-ati conectat de curand) veti gasi acest fisier in Internet Explorer(in History). Asa ca puteti citi mai departe de acolo(fara sa mai trebuiasca sa va conectati)-in caz ca vi s-a resetat inainte sa puteti citi tot.
Sau... in WindowsXP dati pe Start -> Run -> net stop rpclocator. (acum calculatorul nu se va mai reseta..insa virusul va exista...) Avand in vedere ca nu se mai reseteaza.. puteti downloada. Dupa ce ati downloadat si ati parcurs urmatorii pasi nu uitati ca la sfarsit dupa terminarea pasilor sa dati: Start -> Run -> net start rpclocator

Mod manual:
1. CTRL+ALT+DEL - Opriti programul msblast.exe (in XP mergeti la Processes dupa ce ati dat Ctrl+Alt+Del).
2. Stergeti viermele cu SHIFT+DEL(va pozitionati pe el, si apasati SHIFT+DEL ca viermele sa nu mai intre in Recycle Bin.) - de obicei se gaseste in x:\Windows\System32. Depinde de ce Windows aveti. x = litera corespunzatoare hardului sau a partitiei pe care aveti instalat windowsul si Windows - este directorul in care s-a instalat Windows-ul. Daca nu mai usor: Start -> Run -> %systemroot%\system32(dupa care il cautati.. si il stergeti.). Daca nu se afla in acest director, dati-i un Start -> Find... ...
3. Scoateti-l din Registry. Comanda: Start -> Run -> regedit.exe. Dati-i un CTRL+F si cautati msblast.exe. Va trebui sa-l gaseasca in cheia:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update". Daca l-ati gasit, apasati DELETE. Sau click dreapta(mouse) si Delete.
4. Resetati calculatorul. Acum nu mai aveti virusul. Dupa resetare treceti la pasul urmator:

5. Instalati-va PATCH-ul de la Microsoft. Patch-ul va va proteja astfel incat sa nu va mai infectati cu aceasta versiune a viermelui niciodata:
http://download.microsoft.com/download/9/8...980-x86-ENU.exe (avand in vedere ca nu mai aveti virusul nu va mai trebui sa resetati dupa conectare calculatorul, deci veti putea downloada linistit patch-ul.

Alte nume ale acestui virus(este recunoscut cu diverse denumiri de unele programe antivirus): LovSan, LuvSan, Blaster.

Eu personal nu l-am putut sterge din Windows XP... asa ca l-am sters din consola de MsDOS. Daca intampinati aceeasi problema faceti in felul urmator: Start -> Run -> command
Dupa ce se deschide consola tastati:
cd\
apoi tastati:
cd windows\system32
apoi tastati:
del msblast.exe
apoi tastati:
close
...si virusul a fost sters cu ajutorul consolei MsDos.

Sursa: Forumul ClickMedia.ro

Iata si documentatia oficiala, de la Microsoft: http://www.microsoft.com/security/incident/blast.asp

Multumesc mult! Mi-ai facut niste prieteni fericiti!

Se pare ca virusul asta a facut multe nenorociri. Mai mult de o treime din utilizatorii de Internet sunt infectati.
Microsoft a fost nevoit sa inchida site-ul de UpDate-uri datorita atacului urias pe care il punea la cale acest virus.

Ultimul aparut, Sobig - deja i s-a dus vestea. Cititi mai mult pe site-ul Symantec. http://securityresponse.symantec.com/avcen...sobig.f@mm.html

Teenager held for computer virus

US authorities on Friday arrested a teenager male in connection with their investigation into the source of recent attacks by computer virus programs that affected millions of computer users worldwide.
Jeffrey Lee Parson, 18, was scheduled to appear in court make a court appearance late on Friday in St Paul, Minnesota.
The FBI had questioned Mr Parson him earlier in the week and had seized seven computers. He is suspected of unleashing a version of the Blaster worm, a type of computer virus, that caused massive disruptions on the internet last week.
However, Mr Parsons might not be the original author of Blaster, which computer security experts say has emerged in six different versions, with each succeeding version becoming more successful in its ability to spread and infect PC users.
The most recent version of Blaster set a record in becoming the fastest ever spreading computer virus.

Sursa: FT.com.

Am avut recent probleme cu calculatorul si nu stiam de ce:era infectat cu un virus, worm32.exe sau ceva la genul, printre ultimii aparuti.Mai multe detalii puteti gasi la adresa http://www.eva.ro/tehnologie/articol92.html
Asta e ceea ce am gasit in limba romana...Daca aveti mai multe detalii le puteti posta aici...


P.S.: nu dati click direct va rog, pt ca nu am cerut voie celor de la site sa le copii linkul

Mihai ... ca tot vorbeai de Blast:

Specialiştii Softwin ne-au anunţat de c*rând că au descoperit o nouă variantă a „vedetei” MSBlast care pare a fi oferită chiar de ai noştri moldoveni.

Win32.Msblast.F este cel mai nou virus descoperit de Softwin. Acesta este un vierme executabil ce măsoară 11808 bytes (este comprimat cu Aspack şi UPX) şi care, ca şi MSBlast-ul original, propăvăduieşte un mesaj mai mult sau mai puţin „umanitar”:
„ Nu datzi la f***ultatea de ***!!! Pierdetzi timpul degeaba...
*** te cheama pensia!!!Ma *** pe diploma!!!!!!”


Alte modificări faţă de Win32.Msblast.A pot fi regăsite în două string-uri text, şi anume fişierul infectat ce se răspândeşte se numeşte enbiei.exe, iar cheia de regiştrii vizată este HKLM\Software\Microsoft\Windows\CurrentVersion\Run\www.hidro.4t.com.


Ajuns pe un sistem ţintă, virusul efectuează un atac de tip DDoS la adresa tuiasi.ro, ce aparţine Universităţii Tehnice din Iaşi. De aici şi bănuiala că cei care au avut ideea unui MSBlast autohton ar fi moldoveni.


În cazul nefericit în care v-aţi pomenit cu MSBlast.F, este bine să ştiţi că Softwin a pus la dispoziţie şi mijlocul necesar să scăpaţi de această versiune românească a binecunoscutului virus. Aceasta poate fi accesată de aici.


sursa chip.ro

N-am nici un antivirus... Si, dupa wormul de care zicea afrodita... s-ar putea sa planga calculatorul meu... Deci... de unde pot lua si eu un antivirus, care sa-l faca pe al meu PC sa planga dupa el?

Deci, linkul dat de Mihai mai sus, care te duce direct la FixBlast, antivirusul facut special pt Msblast, e foarte bun...Cu el eu am scapat de virus..Si cu East-Tec Eraser si cu nu mai stiu ce a facut al meu la comp Am norton antivirusul care banuiesc ca l-a luat de la Simatec parca, adik de pe site-ul lor...Vezi si tu ce zic baietii pe aici ca ei se pricep mai bine ca mine

Am dat intamplator peste informatia asta astazi:

http://resurse.com/info/stire.php3?id=676

help!!!de ceva zile bune ma chinui sa scot un virus din PC,mi-a facut praf totul pe aici,se pare ca e un trojan si nu-mi pot formata PC-ul pt ca am prea multe lucurui pe care nu vreau sa le pierd.ce naiba fac?tot caut ceva care sa-l scoata insa ma chinui degeaba de vreo saptamana...e un win32 mizeria si mai apare cum ca ar fi tool porndialer.CT.ce-or insemnand si astea...dunno...

In mod sigur softurile scrise la http://www.hanuancutei.com/forum/show.php/act/ST/t/3003 te vor ajuta

As recomanda, mai degrabã, The Cleaner, oferit de MooSoft. Asta dacã este întradevãr vorba de un trojan.

W32.Sasser.worm

• La sfârsitul sãptãmânii trecute, si-a fãcut aparitia Sasser, un virus informatic extrem de periculos, care se rãspândeste folosind mijloace „neconventionale“. În câteva zeci de ore, acesta a reusit sã infecteze câteva milioane de computere din întreaga lume. Afecteazã numai computerele care folosesc sistemele de operare Windows 2000, Windows Server 2003 si Windows XP.

El poate fi evitat prin instalarea MS Security Update #MS04-011, însã poate fi si oprit cu usurintã de majoritatea sistemelor antivirale mondiale. O analizã detaliatã a worm-ului este oferitã de TrendMicro.

Editia online a Jurnalului National titreazã Viroza Sasser se întinde pe Internet.

Autorul virusului Sasser gãsit - un adolescent de 18 ani

• Politia germanã a descoperit sursa virusului în calculatorul sãu. Virusul a distrus sistemele bãncilor finlandeze, cele ale pazei de coastã britanice si milioane de calculatoare din lumea-ntreagã. La finalul sãu, politia a descoperit sursa virusului în calculatorul unui tânãr de 18 ani. Vineri, la indicatia gigantului Microsoft, politia a fãcut o incursiune în orasul nordic Waffensen, în apropiere de Bremen, pentru a cãuta casa unei student tehnician, programator si hacker. Pânã a doua zi, studentul a confesat, expertii au analizat datele din calculatorul tânãrului, iar cazul a fost închis.

• "Am descoperit sursa virusului într-un calculator construit de el", a declarat Frank Federau, purtãtor de cuvânt al politiei germane. "A fost arestat o perioada, timp în care am discutat cu el. Acum s-a întors acasã. Credem cã acest caz este închis".

• Politia a refuzat sã divulge numele tânãrului a cãrui patru variante a virusului numit Sasser încã cauzeazã imense pagube în lumea-ntreagã.

• Brad Smith, consilier al Microsoft, afirmã: "Crearea worm-ului Sasser ilustreazã marile bãtãi de cap ce vor veni pe viitor datoritã noului val de hackeri, ale cãror activitãti online exploateazã slãbiciunile software-ului ce Microsoft îl divulgã, odatã cu oferirea unui patch ce rezolvã problema".

• "Acesta este un tip într-un colegiu tehnic, experimentat în software ce si-a folosit capacitãtile pentru a face mai mult rãu, decât bine", afirmã acelasi consilier.

• Worm-ul Sasser si-a fãcut aparitia la 18 zile dupã ce Microsoft a depus patch-ul ce-ar fi rezolvat vulnerabilitatea exploatatã de cãtre acest worm si infecta sistemele ce nu erau updatate corespunzãtor.

• Conform politiei germane, tânãrul a afirmat cã nu intentiona sã creeze un virus de calculator. Mai mult decât atât, tânãrul dorea - vezi Doamne - crearea unui sistem anti-viral ce-ar fi eradicat virusul Netsky.A si câteva alte bine-cunoscute infectii.

• "A spus cã Sasser a iesit la suprafatã în urma modificãrii lui Netsky A", a declarat un alt purtãtor de cuvânt al politiei germane, Detlef Ehrinke. "S-a confesat, spunând cã nu a dat prea multã atentie consecintelor creatiei sale".

• Sasser, ce a apãrut initial pe 30 Aprilie, ataca sistemele Microsoft Windows XP, 2000 si NT , în mod deosebit pe calculatoare personale.

• Politia, oficialii Microsoft si reporterii indicã faptul cã Sasser se aflã printre infectiile virale cu cele mai mari consecinte financiare existente vreodatã.

• Hacking-ul de acest gen poate duce la o sentintã de aproximativ 5 ani în Germania.

Norton-ul meu zice:

System Status: Urgent Attention
Auto Protect = Off
Email Scanning = Error

Ce trebuie sa fac?

Multumesc anticipat.

Dupã ce numesti exact versiunea sistemului antiviral, se recomandã sã faci un update urgent a bazei de date AV-ului. Dupã aceea, e recomandat sã faci un 'full system scan' si sã-ti instalezi un sistem împotriva trojan horse-urilor si unul pentru adware si malware.

Aparitia unei noi versiuni a cunoscutului worm Sasser la putin timp dupã arestul sine-declaratului autor al worm-ului a fost promotorul speculatiilor cã acest student ar fi colaborat cu alti creatori de virusi.

Sasser-E a fost descoperit la aproximativ 3 ore si 50 de minute de la ora arestãrii lui Sven Jaschan, de 18 ani, din Rotenburg (nordvestul Germaniei) la orele 14:00 (ora localã) a zilei de Vineri [7]. Fie s-a ratat detectarea a unei variabile lansãri a acestei versiuni acum ceva vreme, fie el a fost lansat abia recent de cãtre o altã persoanã, nu de cãtre Jaschan, care a fost eliberat din custodia politiei abia dupã ce noua versiune îsi fãcuse simtitã prezenta.

Panda Software, o firmã de sisteme AV spaniolã a afirmat cã aparitia variantei a arãtat existenta unui 'grup organizat de delicventi' implicati în distribuirea de copii ale prolificului worm.

Firma finlandezã de sisteme AV F-Secure nu este atât de sigurã: 'Credem cã Domnul "SJ" (ce s-a confesat ca fiind cel ce-a conceput toate variantele Sasser si NetSky) distribuise aceastã varianta la putin timp înaintea arestului sãu. A fost eliberat pe cautiune, dar aceasta a fost doar înainte ca rapoarte despre existenta noii variante sã aparã. Varianta E nu se prezintã ca fiind opera de artã a unei alte persoane'. Dovadã circumstantialã a condus F-Secure si multe alte companii ale domeniului AV a suspecta cã si seriile NetSky fuseserã munca a mai multor autori, o concluzie dezmintitã de confesia lui Jaschan.

Sasser-E se foloseste de aceasi vulnerabilitate Windows ca si celelalte versiuni anterioare pentru a se multiplica cãtre alte sisteme Windows 2000 si XP vulnerabile, cauzând ajungerea acestora la instabilitate si proeminentã închidere a sistemului. Spre deosebire de versiunile anterioare, Sasser-E oferã un avertisment din partea 'Echipei SkyNet', avertisment legat de vulnerabilitatea de care profitã. Spre deosebire de primele patru versiuni ale Sasser, varianta E încearcã sã scape de worm-ul Bagle, asa cum procedau si multe dintre variantele NetSky. Pentru informatii privind protejarea sistemelor Windows de cãtre worm-ul Sasser, loviti-mã.


O imagine a avertismentul numit anterior este atasatã acestui mesaj. Acel mesaj apare la douã ore de la infectia cu worm-ul numit anterior.

In seara asta portu' meu 445 TCP e scanat de cateva ori pe minut de Sasser. La fel si 2745 TCP (se cauta in draci W32.Beagle.E@mm). Din cauza asta netu merge ca pixu. Deci bine ca l-au arestat. Cine urmeaza ?

1. Ai probleme cu curatarea sistemului?

2. Ti se deschide un popup ce spune 'Can't find a viewer associated with the file'?

Si iacã veni si ziua Floriilor - W32/Sasser-F. Cunoscut si sub numele de Worm.Win32.Sasser.a, W32.Sasser.Worm, W32/Sasser.worm.f, acesta este un worm, ca toti ceilalti predecesori din aceeasi gamã.

W32/Sasser-F reprezintã un worm ce se rãspândeste prin intermediul arhicunoscutei vulnerabilitate a LSASS. Worm-ul se multiplicã în fisierul de Windows sub numele de NAPATCH.EXE si seteazã urmãtoarea intrare în registrii ce pornesc la autentificarea utilizatorului:

O noutate chiar si pentru specialisti: W32/Dabber-A este un backdoor trojan horse si un worm de retea ce cautã calculatoare folosindu-se de adrese de IP generate la întâmplare, calculatoare ce-au fost infectate de worm-urile W32/Sasser.

Calculatoarele infectate ruleazã un server FTP (aplicatie nevãzutã de cãtre utilizatorul calculatorului) si au fie portul TCP 5554, fie 9898 deschis. W32/Dabber-A se va încãrca în sistemele infectat prin exploatarea unei vulnerabilitãti a implementãrii serverului de FTP a W32/Sasser pentru a se propaga.

Acest worm se va copia în folderul System32 sub numele de PACKAGE.EXE si se va încãrca la Startup sub acelasi nume.

Un worm patriot: W32/Cycle-A. Ca majoritatea predecesorilor, acesta se foloseste de o vulnerabilitate de Windows pentru infectare, cãutând gazde noi pe calculatoare ce nu au ultimele update-uri instalate. Aceste calculatoare pot fi exploatate prin intermediul vulnerabilitãtii din sistemul LSASS, ce poate permite unui atacator primirea de privilegii de administrator pe calculatorul cu pricina.

Pentru mai multe detalii asupra acestei vulnerabilitãti, revizuiti Microsoft Security Bulletin MS04-011.

W32/Cycle-A se va copia în directorul de sistem al Windows, sub numele de SVCHOST.EXE si va creea urmãtoarele ramuri de registri:

A aparut primul virus pe 64 biti: W64.Rugrat.3344. Platforma afectata: Windows 64-bit

Nu infecteaza platformele Windows pe 32 biti: Windows 98, NT, 2000, Me, XP, 2003 decat daca ruleaza software care simuleaza 64 biti.

Politia Roialã Cãlare Canadianã a arestat un adolescent, datoritã legãturii sale cu un worm ce ar putea fi folosit pentru crearea unei armate de calculatoare 'fantomã', ce-ar putea fi folosite în împãrtirea publicitãtii [spam].

Un pusti de 16 ani din Mississauga, Ontario, este acuzat de mai multe ilegalitãti, dintre care distrugere de informatii si folosirea fraudurentã a unui calculator. Sectia de Abuzuri Tehnologice integratã în Politia Roialã Cãlare afirmã cã acuzatiile au legãturã cu distributia worm-ului Randex.

Acuzatiile au fost aduse la începutul acestei luni, dar agentia de politie a fãcut informatiile publice doar miercuri (26/05).

Randex si variantele sale contin o listã de parole folosite cu regularitate pentru a intra ilegal în sisteme ce ruleazã pe Windows. Worm-ul s-a multiplicat initial prin intermediul IRC-ului si altor programe de file-sharing gen Kazaa si LimeWire, dar fusese modificat pentru a se replica automat într-un mod similar ca si Sasser sau MSBlast. Odatã ce Randex vã infecteazã calculatorul, sistemul dumneavoastrã poate fi controlat cu usurintã, chiar prin intermediul unui client de IRC.

Acest tip de 'malware' sau program malitios, cauzeazã pagube reale, oferind hackerilor posibilitatea de-a folosi calculatorul infectat pentru 'orice dorintã absurdã a acestora', a declarat Graham Cluley, un consultat senior la o companie de sisteme antivirale numitã Sophos. Aceste pagube includ întreruperea comunicatiilor cu exteriorul si furtul de date private.

'Ar putea citi datele dumneavoastrã, ar putea sã le fure sau sã lanseze mii de mesaje spam din calculatorul dumneavoastrã', a continuat Cluley.

Arestarea vine la doar câteva sãptãmâni dupã ce autoritãtile germane au acuzat douã grupuri de adolescenti pentru crearea worm-ului Sasser si Trojan-ului Phatbot.

Randex a infectat aproape 9,000 de calculatoare, au declarat autoritãtile canadiene. E o cifrã modestã în comparatie cu worm-uri precum MSBlast, dar acesta ar fi putut deschide calea unor noi atacuri tip denial-of-service (DDoS).

------------
Surse: Sophos | ZDNet

Familia Zafi, preocupatã de politica internã. Cercetãtorii de la Sophos, lider mondial în sistemele de protectie împotriva virusilor si spam-ului, si-au sfãtuit clientii în protejarea de cãtre worm-ul W32/Zafi-A care, dacã este activat, va afisa un mesaj politic în data de 1 mai, mesaj de patriotism fatã de Ungaria.

Mesajul worm-ului este setat a fi afisat în acelasi timp cu momentul aderãrii Ungariei la UE. Traducerea acestui mesaj sunã cam asa:

Oameni! Sute de mii, milioane de ungari mor zilnic de foametea, setea si sãrãcia din tara noastrã. Toate acestea în timp ce nenumãrati lideri politici produc milioane si nici mãcar nu se gândesc la ce se întâmplã cu noi. Ne mãresc salariile si ne dubleazã taxele. Vorbesc despre justitie când legile lor protejeazã criminalii. Preferã sã iroseascã bani pe Formula 1, în timp ce oameni fãrã acoperis mor pe strãzi zilnic, iar pacientii suferã în spitale fãrã a fi dotate de echipamentele de care au nevoie.

De ce? De ce nimeni nu vede aceasta? De ce nu existã un adevãrat patriot ungar, ce pune pe prim plan rezolvarea problemelor severe ale acestei tãri, în loc de-a-si trage propriiile beneficii? Nu este îndeajuns a vorbi si vorbi despre bine si rãu. Trebuie sã existe mãsuri. Ceba trebuie fãcut de cãtre toti si pentru toti.

'Nu este prima oarã când virusii sunt folositi pentru a propaganda mesaje politice', a afirmat Carole Theriault, consultant în domeniul securitãtii la Sophos. 'Worm-uri din trecut au atacat chiar lideri politici precum Bill Clinton, iar anul trecut worm-ul Quaters a atacat politica de imigrare a lui Tony Blair. Autorul acestui worm simte clar cã el sau ea are un punct important de subliniat, doar cã a face aceasta la costul a mii de utilizatori de calculatoare nu este o miscare chiar sensibilã.'

Sophos a afirmat cã aceastã primã variantã a worm-ului Zafi se va multiplica doar între adrese de e-mail ungare, dar aminteste utilizatorilor cã un software anti-virus cu ultimele update-uri va neutraliza orice risc de infectare.

Am spus familia, pentru cã existã si o variantã secundã a acestui worm - W32/Zafi-B, cunoscut si ca I-Worm.Zafi.b, W32/Zafi.b@MM, Win32/Zafi.B, W32.Erkez.B@mm, PE_ZAFI.B.

W32/Zafi-B este un worm transmisibil prin transferul peer-to-peer (P2P) si e-mail ce se va copia în directorul de Windows ca un fisier EXE (executabil) cu un nume la întâmplare si seteazã urmãtoarea intrare în registrii ce pornesc la autentificarea utilizatorului, pentru a se asigura cã va rula atunci când sistemul este restartat:

Si iatã cã-si fãcu aparitia si primul virus al telefoanelor mobile. Ca si când n-ar fi fost destul pânã acum (mari cantitãti de spam, virusi etc.) în adresele de e-mail, acum nici mãcar telefoanele nu mai pot fi sigure de viitor. Dupã raportul arãtat de Kaspersky Lab, companie internationalã specializatã în crearea de software pentru securitatea datelor, virusul Cabir este deja lansat, primul virus ce poate infecta telefoane mobile.

Dupã cum a explicat Kaspersky, Cabir se propaga prin telefoanele mobile ce folosesc sistemul de operare Symbian. Pentru moment, se pare cã nu cauzeazã daune majore. Analiza preliminarã a codului periculos aratã cã Cabir se transmite prin fisiere SIS (fisiere de joc pe telefoanele Nokia), mascate ca utilitare a Caribe Security Manager, luând astfel avantaj de software-ul de securitate a telefonului. Dacã fisierul infectat este deschis, cuvântul 'Caribe' va apãrea pe ecran, iar securitatea telefonului este compromisã. Worm-ul penetreazã sistemul si se activeazã de fiece datã când celularul este pornit. Cabir se propagã folosindu-se de tehnologia Bluetooth, infectând orice fisier al celularelor în care poate ajunge.

Asadar, modul sãu te operare este clar si reflectã exact lumea virusilor de PC de astãzi: virusul (sau - mai bine zis - worm) infecteazã sistemul si încearcã sã se dubleze si sã infectezã orice alt sistem la care poate ajunge. Conform spuselor expertilor, Cabir a fost creat de “Vallez”. În spatele acestui pseudonim se aflã un grup international de creatori de virusi, cunoscut sub numele de 29A. Printre cele mai faimoase creatii ale acestui grup se numãrã Cap, primul macrovirus ce a cauzat o epidemie globalã; Stream, primul virus pentru lungimile de undã NTFS; Donut, primul virus pentru .NET si Rugrat, primul virus pentru Win64.

Din acest motiv stirea a prezentat interes pentru cei ce se ocupã de securitatea sistemelor. Se poate întâmpla ca si la celelalte creatii ale grupului 29A, iar Cabir ar putea reprezenta doar primul pas, primul dintre o lungã serie de coduri malitioase. Grupul a arãtat calea, iar alti virusi vor urma.

În zilele de astãzi, însã, nu toatã lumea este la risc. Acest worm este creat pentru a functiona pe Symbian, sistemul de operare folosit de telefoanele Nokia, dar nu înseamnã cã nu putem sta linistiti. Cabir (sau vreo 'rudã' a sa) ar putea infecta în c*rând chiar telefoane de la alti producãtori. Telefoanele mobile ale noii generatii devin masinãrii din ce în ce mai puternice si din ce în ce mai vulnerabile, în acelasi timp.

Incidente cu Microsoft Internet Information Services 5.0 (IIS) si Microsoft Internet Explorer.

Cu toate ca atacul a inceput duminica 20 iunie, agitatia a aparut ieri cand cativa administratori au gasit fisiere suspecte pe serverele de web Microsoft. Microsoft a trecut la investigatii mai atente.

http://www.microsoft.com/security/incident...nload_ject.mspx

Nu exista un risc pentru cei care au instalat Windows XP Service Pack 2 RC2, spune Microsoft. Ceilalti pot folosi alt browser de web (de exemplu Mozilla sau Opera), eventual cu Java Script dezactivat sau pot instala toate update-urile pentru Internet Explorer imediat.

Update 26 iunie, 00:40

Pentru vulnerabilitatile exploatate in acest atac exista deja remedii (la Windows Update), cu exceptia uneia. Microsoft nu a anuntat inca lansarea unui nou petic. Antivirusul trebuie updatat imediat, cei mai multi producatori AV au updatat semnaturile. Antivirusul detecteaza scriptul java ca "JS.Scob.Trojan". Microsoft l-a denumit "Download_Ject".

Surferii care viziteaza un site infectat sunt atacati de un script java care conecteaza browserul la un server rusesc (acum inchis). Site-ul rusesc era infectat cu backdoors si keystroke loggers care pot fi folositi la furtul unor informatii confidentiale (parole, etc.) si la controlul de la distanta al computerului victimei.

Nu este clar mecanismul prin care au fost atacate serverele Microsoft 2000 cu IIS 5.0 si se vehiculeaza existenta unei vulnerabilitati inca nedescoperite ca "worst-case scenario" ("zero-day" vulnerability). Se spune ca acum majoritatea serverelor atacate sunt dezinfectate.

Copii ale acestui atac sunt posibile in zilele ce urmeaza.

http://securityresponse.symantec.com/avcen...cob.trojan.html

Virus Alert

MyDoom loveste din nou

Producatorii AV au actualizat semnaturile.

http://www.trendmicro.com/vinfo/virusencyc...e=WORM_MYDOOM.M
http://us.mcafee.com/virusInfo/default.asp...&virus_k=127033
http://www.sophos.com/virusinfo/analyses/w32mydoomo.html
http://securityresponse.symantec.com/avcen...ydoom.m@mm.html
http://www.f-secure.com/v-descs/mydoom_m.shtml
http://www3.ca.com/securityadvisor/virusin...s.aspx?id=39711
http://www.pandasoftware.com/virus_info/en...us=49861&sind=0
http://www.viruslist.com/eng/alert.html?id=1927068
http://www.grisoft.com/virbase/virbase.php...86fda5c5c9e7000

Viermele vine atasat intr-un email.
Faceti update la AV si nu executati fisiere atasate decat dupa ce le scanati.

Interesant: acest vierme este dotat cu un search engine si cauta adrese de email la cateva motoare de cautare. In SUA Google si Lycos au ceva probleme.

[EDIT]
Viermele intra in categoria 4 - Sever, pe site-ul Symantec, la mai putin de 12 ore de la aparitie. Pentru comparatie celelalte variante au intrat in categoria 2 (slab) sau 3 (moderat). MyDoom.A a fost timp de o luna tot un vierme de categorie 4 (sever). Distributia geografica este mare.

[Update]
Extensia poate fi: .bat, .cmd, .com, .exe, .pif, .scr, sau .zip
Fisierul atasat poate avea si o a doua extensie: .doc, .txt, .htm, sau .html

Fisierul atasat poate contine un domeniu la intamplare: exemplu.com

Face download si executa un backdoor.

Se copiaza in doua fisiere: java.exe si services.exe, in directorul Windows (Windows, Winnt, etc.)

Creeaza un log: %Temp%\zincite.log sau %Temp%\[denumire la intamplare].log

Cauta adrese de email la:
# search.lycos.com
# search.yahoo.com
# www.altavista.com
# www.google.com

Nu executati fisiere atasate intr-un mail care pare a fi fost respins de un server
De ex.: "Your message could not be delivered within 7 days" sau "The following recipients could not receive this message" sau "The message was undeliverable due to the following reason" sau "Dear user <propria adresa de email>

Virusul supravegherii - Sună ca un coşmar ştiinţifico-fantastic, dar ar putea fi visul oricărui tânăr dependent de calculatoare: un worm ce s-ar putea "furişa" în dormitoare şi deturna în mod secret webcam-uri.

O alertă a fost declanşată ieri vis-a-vis despre un nou "Tom vă priveşte" virus de calculator ce ar putea invida case şi afaceri.

Rbot-GR, un worm, se instalează-n calculatorul utilizatorului ca un virus normal, dar apoi ia în mod secret controlul asupra webcam-ului şi microfonului, trimiţând imagini şi sunete înapoi către hacker-ul ce l-a declanşat.

Conform Sophos, o companie anti-virus bazată în Oxford, afirmă că virusul permite hackerilor a vedea orice face un utilizator face în faţa propriului calculator, dacă webcam-ul este pornit, şi auzi orice spun aceştia, fără cunoştinţa lor.

Worm-ul, ce afectează doar calculatoare folosind Windows, poate căuta şi prin HDD-urile calculatoarelor infectate pentru returnarea parolelor găsite.

Graham Cluley, cunsultant senior de tehnologie la Sophos, a afirmat că Rbot-GR a fost detectat acum câteva zile, dar rămâne un virus rar la acest stadiu.

Deşi worm-ul s-ar putea dovedi a fi un instrument eficient pentru hoţi şi spionaj industrial la nivel înalt, este mult mai probabil a se dovedi mai popular printre hackerii adolescenţi ce vor să se uite prin dormitoarele străinilor.

"Acest worm poate captura ce difuzează webcam-ul utilizatorilor. Dacă acesta este închis, el va încercă să-l repornească", a afirmat Graham Cluley.

Eu am sasser nu stiu ce varianta. Stiu unde e si vreau sa il sterg manual dar nu apare in system32. Cum sa fac sa apara si fiserele ascunse? Pentru ca antivirusul l-a descoperit dar nu il pot vedea.... Ma puteti ajuta?

Incearca aici

Am incercat sasser removal tool si nu merge - nu il vede. Firewall-ul il vede si ma anunta cand Sasser incearca sa se contecteze la un site will.soul-gate.com sau net. Dar cand il caut cu removal tool nu il gaseste.... Am scanat compu online la f-secure cum ziceai tu si numai asa i-a vazut. Iar cand am vrut sa instalez f-secure mi s-a blocat computerul total si nu am mai putut porni decat cu safe mode, am sters f-secure si apoi am putut reboota fara safe mode... Ce parere ai?

>Am incercat sasser removal tool si nu merge - nu il vede.

Care sasser removal TOOL ca in SERP-ul ala de la Google erau cel putin 3-4 sasser removal tool(s)?

>Firewall-ul il vede si ma anunta cand Sasser incearca sa se contecteze la un site will.soul-gate.com sau net. Dar cand il caut cu removal tool nu il gaseste....

E “ugly”. La fel a facut si computerul meu inainte de a avea un ecran de un negru - asa - intens.

Norton imi zice ca a gasit un virus – nu mai tin minte cum il cheama – DAR NU-L POATE STERGE (???)

Te sfatuiesc sa back-up URGENT ce ai in computer; sa nu pierzi ca mine 99% din ce am avut in computer.
Noroc ca am avut back-up. Asta prima data cand a dat spyware in mine. A doua oara – dupa o luna – n-am avut back-up.

>Am scanat compu online la f-secure cum ziceai tu si numai asa i-a vazut. Iar cand am vrut sa instalez f-secure mi s-a blocat computerul total si nu am mai putut porni decat cu safe mode,

Cum ziceam mai sus IMHO situatia e albastra. Daca ajungi sa umbli la safe mode, e groasa.

Scuze ca ma repet, back-up urgent si du nene computerul la PC doctor; trebe sa fie v-un geek prin zona.

Mai am o sugestie: incearca niste FREE virus checkers/removals. Imi amintesc ca in urma cu cca. 6 luni, Norton-ul instalat in computerul meu NU a detectat un virus, si un FREE virus checkers - Bit Defender daca nu ma insel - l-a detectat.

Sorry, dar acuma sunt intr-o Internet café si nu am URL-urile la indemana, dar cum ajung acasa le postez. Imi amintesc ca Norton, Bit Defender, Panda si inca vre-o 2-3 au free virus checkers/removals.

Ah, si pana nu uit, computerul tau e curat vis-à-vis de spyware?

Succes!

Cum promosesem la pranz, iata cativa FREE anti virus checkers:

NOTA IMPORTANTA: MAJORITATEA CHECKER-ILOR DE MAI JOS FUNCTIONEAZA DOAR IN INTERNET EXPLORER!

McAfee [ http://us.mcafee.com/root/mfs/default.asp?cid=9914 ]

BitDefender [ http://www.bitdefender.com/scan/licence.php ]

Synmantec [ http://security.symantec.com/sscv6/default...id=ie&venid=sym ]

HouseCall [ http://housecall.antivirus.com/housecall/start_corp.asp ]

AVG [ http://www.grisoft.com/us/us_index.php ]

AntiVir [ http://www.free-av.com/ ]

Stop-Sign [ http://www.stop-sign.com/se/se033d.php?n=s...spin&ver=online ]

S.O.S. [ http://scan.sygate.com/ ]

AuditMyPc [ http://www.auditmypc.com/freescan/scanoptions.asp ]

Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) infected: Backdoor.SDBot.Gen
Process [WIND0WS.exe] [PID:000006E8]=>(FSG 2.0) unable to disinfect
Process [sasser.exe] [PID:00000708]=>(FSG 2.0) infected: Backdoor.SDBot.Gen
Process [sasser.exe] [PID:00000708]=>(FSG 2.0) unable to disinfect

apoi...

C:\WINDOWS\system32\sasser.exe=>(FSG 2.0) infected: Backdoor.SDBot.Gen
C:\WINDOWS\system32\sasser.exe=>(FSG 2.0) unable to disinfect
C:\WINDOWS\system32\WIND0WS.exe=>(FSG 2.0) infected: Backdoor.SDBot.Gen
C:\WINDOWS\system32\WIND0WS.exe=>(FSG 2.0) unable to disinfect

Asta mi-a dat la scanarea online cu BitDefender. No! Astia doi is vinovatii si nu stiu cum sa scap de ei. Ma poti ajuta acuma bazac?


PS: asta e cand sunt conectat la net. Poate cand nu sunt conectat prima serie nu imi apare....

Si fii atent ce imi spune la Bit defender la Removal Instructions:


Once an infected file has been identified, the process should be terminated, the registry key removed and the file deleted.