9
Ha ezt kapod, köpj egyet a földre és töröld!
-
zYztem #9 ActiveX scriptel gyanútlan felhasználókat igenis meg lehet fertőzni virussal (feltéve ha IE-t használnak) a program megnyitása nélkül.. Csak egy oldalt kell meglátogatniuk .. -
#8
:-)
használjá' Eudorát ...
-
#6
Nincs olyan vírus, ami megnyitás nélül fertőz! A patch letölthető a mikroszoft honlapjáról is -
#5
ja alkaztek jönni ilyen levelek, tudtommal a régebbi outlokk-nál megnyitás nélkül is fertőz
Amugy a virusirto cégek kiadtak már hozzá frissítést?
Kapja be minden virusitó!!! -
#4
Elméletileg igen, bár az adatvesztés figyelembevételével ez csak végső megoldás lehet -
PszihoApu #3 Szevasztok
Ha megformatál a wincsesztert akkor a virusoknak is nyek? -
#2
A vírushiradó közzétett hírlevele:
Téma: I-worm.Swen: szépen kidolgozott féreg terjed
[Riasztási fokozata: 1-es (közepes).]
-------------------------------------------------------------------
A Dumaru féregváltozatok terjedéséről szóló szeptember elején megjelent
cikkünkben felhívtuk ügyfeleink figyelmét a káros kódot hordozó levelek
felismerésének lehetőségére. Sajnos az ott szereplő három jótanács,
javaslat közül már talán csak egy vagy kettő állja meg a helyét, mivel:
Megjelent és szabadon terjed egy "szépen kidolgozott" féreg, amely
I-worm.Swen nevet kapott az antivírus cégektől. A kód elemzése alapján a
vírusvédelmi kutatók úgy vélik, szerzője ugyanaz a hacker lehet, aki a
Gibe vírust is útjára indította. A két kártevő közti időben biztosan
szépírástant tanult, ugyanis a grafikát, formázást és web-hivatkozásokat
is tartalmazó, HTML formátumú elektronikus levélben érkező féreg körítése
meglepően emlékeztet a Microsoft weblapok szín- és formavilágára.
A levél kódja olyan exploit-ot tartalmaz, amelynek segítségével a férget
tartalmazó, 106kB-os fájlmelléklet automatikusan lefuthat a sebezhető
rendszereken. A Swen még IRC-n és a Kazaa fájlcserélő hálózaton keresztül
is képes terjedni.
A Swen férget tartalmazó levél szövege a következő:
Feladó: változó
(MS Technical Assistance, Microsoft Internet Security Section, MS
Services)
Tárgy: gyakran vagy minden esetben hiányzik
Melléklet: Q591362.exe (változó is lehet)
Levéltörzs: Microsoft Partner
this is the latest version of security update, the "September 2003,
Cumulative Patch" update which eliminates all known security
vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook
Express as well as three newly discovered vulnerabilities. Install now to
continue keeping your computer secure. This update includes the
functionality of all previously released patches.
System requirements Windows 95/98/Me/2000/NT/XP
This update applies to MS Internet Explorer, version 4.01 and later
MS Outlook, version 8.00 and later
MS Outlook Express, version 4.01 and later
Recommendation: Customers should install the patch at the earliest
opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don't need to do anything after installing this item.
Microsoft Product Support Services and Knowledge Base articles can
be found on the Microsoft Technical Support web site. For security-related
information about Microsoft products, please visit the Microsoft Security
Advisor web site, or Contact Us.
Thank you for using Microsoft products.
Please do not reply to this message. It was sent from an unmonitored
e-mail address and we are unable to respond to any replies.
-----------------------------------------------
The names of the actual companies and products mentioned herein are
the trademarks of their respective owners.
Contact Us | Legal | TRUSTe
(c) 2003 Microsoft Corporation. All rights reserved.
Terms of Use | Privacy Statement | Accessibility"
A számítógépet használóknak azt tanácsoljuk, hogy ne dőljenek be az
egyébként igényes kivitelezű levélnek; tartsák szem előtt, hogy a
Windows-hoz készített valódi javítások, többek között a sokféle nyelvi
változat létezése miatt is, kizárólag a gyártó saját webhelyéről
kiválasztva érhetők el. Ha tehát levélben ajánlanak ilyesmit, gyanakodni
kell!
Ha a Swen féreg lefut, elsőként a Windows mappájába másolja magát
MLMHP.EXE-hez hasonló, véletlenszerűen változó néven és létrehozza a fájl
automatikus futtatásához szükséges registry értéket:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"" = ".exe /autorun"
Ezután a féreg egy párbeszédablakot jelenít meg, amelyben a "biztonsági
javítás" telepítésének engedélyezését kéri. Persze a Swen a felhasználó
igen vagy nem válaszától függetlenül; akár rejtve, akár nyíltan, de
feltepül a fertőzött gépre.
Ezek után létrehoz egy batch fájlt, amely a fertőzött gép nevét viseli és
tartalma: @ECHO OFF IF NOT "%1"=="" féregfájlnév.exe %1
A féreg ezután a SWEN1.DAT fájlba kicsomagolja a saját kódjában tárolt,
SMTP levelezőszerverek nevét tartalmazó listát.
A féreg a Windows Registry segítségével magához rendeli bizonyos
fájltípusok végrehajtását (BAT, SCR, EXE, REG és PIF):
[HKCU\exefile\shell\open\command]
[HKCU\regfile\shell\open\command]
[HKCU\scrfile\shell\open\command]
[HKCU\piffile\shell\open\command]
[HKCU\batfile\shell\open\command]
Ha ilyen fájlokat próbálnak futtatni egy fertőzött gépen, a féreg veszi át
a vezérlést.
A Swen saját védelme érdekében letiltja a registry módosítására alkalmas
felhasználói programok futását, stílszerűen egy registry kulcs
beállításával:
[HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = dword:00000001
Ezért "registry-buheráló" futtatásakor csak egy hibaüzenet jelenik meg:
"Memory access violation in module Kernel32 8962:43568691"
Egy további registry-ágban, a
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer] alatt a féreg
információkat tárol az SMTP kiszolgálókra, a felhasználó e-mail címére, a
mIRC liens mappájának helyére, a fertőzött exe és zip fájlok nevére, stb.
vonatkozóan.
A továbbterjedés előkészítéseként a Swen féreg beállíja az esetleg a gépen
található Kazaa kliens megosztás szolgáltatását és több példányban a
Kazaa-n keresztül felajánlott anyagok közé másolja magát. Az .exe vagy
.zip kiterjesztésű fájlneveket az alábbi készletekből véletlenszerűen
választva generálja:
Kazaa Lite, KaZaA media desktop, KaZaA, WinRar, WinZip, Winamp,
Mirc, Download Accelerator, GetRight FTP, Windows Media Player, key
generator, hack, hacked, warez, upload, installer Bugbear, Yaha, Gibe,
Sircam, Sobig, Klez, remover, removal tool, cleaner, fixtool AOL hacker,
Yahoo hacker, Hotmail hacker, 10.000 Serials, Jenna Jameson, HardPorn,
Sex, XboX Emulator, Emulator PS2, XP update, XXX Video, Sick Joke, XXX
pictures, My naked sister, Hallucinogenic Screensaver, Cooking with
Cannabis, Magic Mushrooms Growing, Virus Generator
A mIRC kliensben a Swen féreg a SCRIPT.INI állományt cseréli ki egy olyan
parancsra, amely féregpéldányokat küld minden olyan csevegőcsatornába,
amelyhez a fertőzött gép felhasználója csatlakozik.
Megjegyzés: A Microsoft által az Internet Explorer webböngészőhöz
kiadott legújabb valódi javítás az MS03-032-es számot viseli és a
letöltendő fájlok a nyelv kiválasztása után innen érhető el:
http://www.microsoft.com/windows/ie/downloads/critical/822925/download.asp
A javítás technikai részleteiről -magyar nyelven- innen tájékozódhatnak:
http://support.microsoft.com/default.aspx?scid=kb;hu;822925
Ezen javítás telepítését minden Internet-használónak ajánljuk, hiszen a
hibák befoltozásával védelmet nyújthat az olyan OutLook Express és
Internet Explorer programokat érintő sebezhetőségék ellen, amelyeket a
vírusírók gyakran felhasználnak a káros kód automatikus lefuttatására.
Vírushiradó hírlevélre itt lehet feliratkozni: Vírushiradó -
#1
Rendkívül jól kidolgozott vírus terjed a világhálón, mely windows rendszerfrissítésnek álcázza magát. Nekem napi egy jön belőle, még a szolgáltatók úgy látszik nem szűrik. A törzs rész grafikus, a microsoft honlapjára emlékeztető. A törzs rész így néz ki:
Microsoft Partner
this is the latest version of security update, the "September 2003, Cumulative Patch" update which resolves all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three newly discovered vulnerabilities. Install now to protect your computer from these vulnerabilities. This update includes the functionality of all previously released patches.
System requirements Windows 95/98/Me/2000/NT/XP
This update applies to MS Internet Explorer, version 4.01 and later
MS Outlook, version 8.00 and later
MS Outlook Express, version 4.01 and later
Recommendation Customers should install the patch at the earliest opportunity.
How to install Run attached file. Choose Yes on displayed dialog box.
How to use You don't need to do anything after installing this item.
Microsoft Product Support Services and Knowledge Base articles can be found on the Microsoft Technical Support web site. For security-related information about Microsoft products, please visit the Microsoft Security Advisor web site, or Contact Us.
Thank you for using Microsoft products.
Please do not reply to this message. It was sent from an unmonitored e-mail address and we are unable to respond to any replies.
--------------------------------------------------------------------------------
The names of the actual companies and products mentioned herein are the trademarks of their respective owners.
A feladó, tárgy mind változó. Mivel a Microsoft SOHA nem küld e-mailben rendszerfrissítést, ezért törlése javallot.