Эксперты по компьютерной безопасности в понедельник заявили о том, что в сети Интернет быстро распространяется новый почтовый "червь". Вирус MyDoom (или Novarg) рассылается в присоединенных файлах с расширением .exe, .scr, .zip или .pif. В заголовке письма часто стоят слова "test" или "status."
Запущенный "червь" рассылает себя по всем e-mail-адресам, содержащимся в компьютере жертвы. По словам специалистов, последствия его деятельности - сбои в работе почтовых серверов и резкому увеличению сетевого трафика, особенно - в сетях крупных корпораций.
Новый вирус был обнаружен вечером в понедельник и распространился столь быстро, что специализирующиеся на сетевой безопасности компании, такие, как Trend Micro, Network Associates и Symantec охарактеризовали его как угрозу высокого уровня. По словам экспертов, влияние вируса на зараженные им компьютеры пока полностью не изучено. Между тем, количество зараженных писем в интернете исчисляется уже несколькими миллионами экземпляров.
Так что не говорите потом что вы не знали
http://diggy.strana.de/diggy.wav

спасибо за инфу
ЕСЛИ У ТЕБЯ НЕТ ПРОБЛЕМ ТО ЗНАЧИТ ТЫ УЖЕ УМЕР...

Mail.ru перехватывает этот вирус

Betreff:  HALLO
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
--------------------------------------------------------------------------------
This part of message has been infected and was deleted!
Dr. Web report:
ÉÎÆÉÃÉÒÏ×ÁÎ Win32.HLLM.MyDoom.32768
-------------------------------------------------------
Dr. Web antivirus service:             http://drweb.ru/
-------------------------------------------------------

видать быстро разошелся вирус, мне уже 8 майлов с ним пришло. НО пока держимсся. :)
- ♠ - - - - - - - - - - - - - - - - - - - - - - - - - ♥ -

а мне пока нет,
как то изгоем себя чувствуешь
http://asjornal.ru/as/nomer/2/6.html
http://copi.ru/22935/

А я сегодня выцепил какого то W32.Novarg@mm
There are 10 types of people in the world, those who understand binary and those who don't.

ты не один, я тоже изгой
Лучше десять раз спросить, чем один раз натворить
http://www.ulitka.de/

Блин, ну почему я никогда ничего не получаю???
Даже скучно как-то... Никакой особой безопасности у меня нет, стоит себе Norton 2004 и всё... Я даже про MSBlast через неделю после эпидемии узнал...
Помогите а?
All animals are equal, but some of them are more equal than others.

Действительно, чувствуешь себя каким-то ущербным. Неужели никто не поделится?
Адрес есть в личке.

вам че weiterleitung сделать чтоли?
- ♠ - - - - - - - - - - - - - - - - - - - - - - - - - ♥ -

оказывается W32.Novarg@mm и mydoom, одно и тоже, я почитал на symantic е ... просто в разных антивирусах он по разному называется....
There are 10 types of people in the world, those who understand binary and those who don't.

Да давай, у меня в списке вирусов его нет.

В ответ на:

---

оказывается W32.Novarg@mm и mydoom, одно и тоже

---

Тогда...
Автопопись:
Нам любое море по колено, нам любые горы по плечо.

Ему уже присвоили степень самого опасного зверя
Вот тут кое что вычитал
I-Worm.Novarg
Вирус-червь. Также известен как Mydoom.
Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.
Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.
Часть тела вируса зашифрована
При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"
Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = "%SysDir%\shimgapi.dll"
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".
Также червь создает файл "Message" во временном каталоге системы (обычно, %windir\temp). Данный файл содержит произвольный набор символов.
Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".
Содержание зараженных писем
Адрес отправителя:
[произвольный]
Тема письма выбирается произвольно из списка:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Тело письма выбирается произвольно из списка:
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been sent
as a binary attachment.
Mail transaction failed. Partial message is available.
Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body
Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:
bat
exe
scr
pif
Прочее
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.
В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта
Процедуры обнаружения и удаления данного червя уже добавлены в антивирусные базы "Антивируса Касперского".
труд из обезьяны сделал,уставшую обезьяну

В ответ на:

---

Процедуры обнаружения и удаления данного червя уже добавлены в антивирусные базы "Антивируса Касперского".

---

Не знаю как у Касперского, а у меня добавлен.

я пока себя тоже изгоем чувствую,...никто мне не пишет
http://diggy.strana.de/diggy.wav

оказывается W32.Novarg@mm и mydoom, одно и тоже
...а ты вообще мой пост то читал?
http://diggy.strana.de/diggy.wav

Читал, но не заметил.. И что тут такого?
There are 10 types of people in the world, those who understand binary and those who don't.

Не говори скушно как то, все вирусы цепляют, хоть бери и сам их запускай и разводи у себя на системе

ничего,...просто читать нужно внимательнее
http://diggy.strana.de/diggy.wav

и что это даст? Это не ввело меня в заблуждение
There are 10 types of people in the world, those who understand binary and those who don't.

Кто из вас это был
Germany.ru тоже крут

В ответ на:

---

Dear User,
The message sent to you by post@informeco.ru with following attributes
has not been delivered, because contains an infected object.
--- Dr.Web report ---
========
drweb.tmp_DyWDh2 - archive MAIL
[text:plain] - Ok
document.zip infected with Win32.HLLM.MyDoom.32768
========
known virus is found : 1
--- Dr.Web report ---
The original message was stored in archive record named:
drweb.infected_ht980O
In order to receive the original message, please send request to
<root>, referring to the archive record name
given above.
---
Antivirus service provided by Dr.Web(R) Daemon for Unix
(http://www.drweb.ru, http://www.dials.ru/english)
Уважаемый Получатель,
Сообщение, посланное Вам с адреса post@informeco.ru
инфицировано и не было доставлено.
--- Dr.Web report ---
========
drweb.tmp_DyWDh2 - archive MAIL
[text:plain] - Ok
document.zip infected with Win32.HLLM.MyDoom.32768
========
known virus is found : 1
--- Dr.Web report ---
Сообщение сохранено в карантине под именем:
drweb.infected_ht980O
Что бы получить это сообщение обратитесь к администратору
по адресу <root>, указав имя, под
которым сохранено сообщение для Вас.
---
Антивирусная защита почтовых серверов
Dr.Web(R) Daemon for Unix (разработан в Daniloff's Labs)
(http://www.drweb.ru, http://www.DialogNauka.ru)
Received: from [192.168.13.74]
by DrWeb Sendmail Filter v4.29 with id i0RGSqWj043525
Received: from informeco.ru (D97e0.d.pppool.de [80.184.151.224])
by ndb.germany.ru (8.12.10/8.12.10) with ESMTP id i0RGSjGe081090
for <hx-sl571@strana.de>; Tue, 27 Jan 2004 17:28:47 +0100 (CET)
Message-Id: <200401271628.i0RGSjGe081090@ndb.germany.ru>
From: post@informeco.ru
To: hx-sl571@strana.de
Subject: Error
Date: Tue, 27 Jan 2004 17:34:33 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0007_10A3881F.FD2B4737"
X-Priority: 3
X-MSMail-Priority: Normal
X-Spam-Status: No, hits=9.0 required=10.0 tests=MISSING_MIMEOLE,
MSGID_FROM_MTA_SHORT,NO_REAL_NAME,PRIORITY_NO_NAME,RCVD_IN_DYNABLOCK,
RCVD_IN_SORBS,UPPERCASE_25_50,WEIRD_QUOTING autolearn=no version=2.61
X-Spam-Level: ********
X-Spam-Checker-Version: SpamAssassin 2.61 (1.212.2.1-2003-12-09-exp) on
qt.germany.ru

---

Да уж, дожили, уже и сообщение нельзя прочитать. Беспокойство о здоровье граждан, кончится тем, что эти граждане забудут, что такое здоровье.
Нам любое море, море по колено, нам любые горы по плечо.

с маил. ру пришло.
Поставил касперского и проверил.
ПРи обрашении к файу верещит
http://asjornal.ru/as/nomer/2/6.html
http://copi.ru/22935/

<<<<<<<<<<
а мне сегодня (первый раз за 2,5 года ) пришло аж 2 письма с, к сожалению уже удал╦нными сервером , вирусами. Абыдна, да. Ща жалобу писать буду!

я тут ещ╦ пару интересных подробностей об этом вирусе вычитал...
эксперты крупнейшего российского производителя антивирусного ПО "Лаборатории Касперского" зарегистрировали Novarg (MyDoom) около часа ночи во вторник, причем сразу на нескольких специальных e-mail-ловушках, находящихся на территории России. Это, по их мнению, прямо указывает на российское происхождение вируса.
Вирус Novarg распространяется по электронной почте во вложенном в письмо зараженном файле. Письма имеют произвольное название, тему и несуществующий адрес отправителя. Примечательно, что домен (часть адреса электронной почты после значка @) может быть реальным. Таким образом, очень сложно определить визуально, заражено письмо или нет. Единственный признак, указывающий на вирус,- это постоянный размер приложения 22 Кб.
http://diggy.strana.de/diggy.wav

И у меня тоже такая же фигня,тока мне один приш╦л!!!
MfG:wawbew

Ты уже не изгой.Ты один из нас
MfG:wawbew
was ich nicht weiß,macht mich nicht heiß╘

я уже громогласно заявил миру об этом.
теперь я как все ((
я накапал на маил ру,пусть работают.
http://asjornal.ru/as/nomer/2/6.html
http://copi.ru/22935/

Вот у меня вопорос,может он и наивный,но вс╦ таки...
С какой вс╦ таки целью распространяют такую вещь,как ВИРУСЯКИ?Я понимаю что принцип один-это подорвать что-то...а что конкретно?Или я не прав о подрыве?
MfG:wawbew
was ich nicht weiß,macht mich nicht heiß╘

и у меня два письма, и тоже сервер сел
Лучше десять раз спросить, чем один раз натворить
http://www.ulitka.de/

Лаборатория Касперского и ещё многие другие этим занимаются, потом они первые сообщают, что у них есть лекарство и этим поднимают свой рейтинг.

вирусы бывают разные.
Дитсруктивные, шпионы, приколы, сейчас роеклама с помощью из идет,ради и еще море...
В основном воруют информацию, и реклама.
Пишутся умышленно и ради провеки своих сил.
перву. свою программу, почти первую (первая была о цветовой маркировке радиоэлементов,в досе мучился) вируса написал резидентого.
Последний вот вирус в сети несколько целей преследует.
одна из них атака на сервер.
раньше толпа соьиралась народа и со всех точек мира атаку произволи, сегодня один человек это может сделать, автоматизация !!!)))
http://asjornal.ru/as/nomer/2/6.html
http://copi.ru/22935/

Спасибо за предупреждение!
зашол вот почитал..думаю дай ка посмотрю нет ли мне подарков захожу а там:
peter@attglobal.net..............hello............28.01.04............ 31kb
trak@list.ru............hi...........28.01.04.............33kb
sibir@weinig-ag.ru............Mail Deriveri Sistem............27.01.04...........33kb
так что с ними делать просто стереть?

если адресс отправителя тебе не знаком,то стирай незадумываясь
http://diggy.strana.de/diggy.wav

Видишь как быстро мутирует. Был 22 КБ, стал 33 КБ.

во первых с чего ты решил что это вирус (33кб),а если вирус то именно тот о котором я писал? во вторых я писал только то что сам читал об этом вирусе (ничего сам не выдумывал),в третьих свои подьёбки можешь оставить при себе...
http://diggy.strana.de/diggy.wav

Простите великодушно! Я не знал что некоторые ищут в каждом сообщении подтекст.
Каждый видит, что хочет увидеть. Не комплексуй, я даже не думал, о чём ты подумал.
Когда я хочу подъебнуть я ставлю вот такой смайлик.
Я думаю не трудно создать вирус, который при каждом обращении, добавлял несколько байт.

Не один отпровитель мне не знаком..
уверен, что все три письма заражены.
Да и писем я не от кого не жду тем более от петеров

Тогда этот вирус вырастет до бешеных размеров и не будет распространяться быстро.
There are 10 types of people in the world, those who understand binary and those who don't.

Ну не знаю, может через 1000 обращений, антивирусники то настроены на определённые параметры и если он будет мутировать, то обнаружить его будет сложно.

проверь вложения,-сохрани на диске, только не пытайся их открыть.
сходи на сайт к касперскому и проверь.
http://asjornal.ru/as/nomer/2/6.html
http://copi.ru/22935/

Я думаю не трудно создать вирус, который при каждом обращении, добавлял несколько байт.

Всего за несколько часов существования этот вирус поразил более 300 тысяч компьютеров по всему миру,сколько будет весить приложение через сутки в случае если оно будет постоянно увеличиваться??
http://diggy.strana.de/diggy.wav

Думаю что у меня не получится...я могу только открывать и стирать да и у касперскова никогда небыл.
если кто хочет поэксперементировать могу переслать

заходишь на сайт, давишь Online проверка,
далее Обзор, выбираешь файло, письмо там или архив,
И Проверка.
тебе скажут
или шли сюда
quench@mail.ru
только не запускай и не открывай архив.
http://asjornal.ru/as/nomer/2/6.html
http://copi.ru/22935/

Я уже второй день прошу, пришлите что-нибудь такое.
Адрес в личке.

послал на майл я проверял у каспера
сказали что вирусов нет но не сто процентов
я его открыл там ироглифы никакая кодировка не подходит.

посмотри свой майл я вислал один экземпляр пойду проверю другие.

Проверил все каспер говорит что вирусов нет
Странно у меня в почте письма были 33кв у каспера 44кв

В ответ на:

---

Всего за несколько часов существования этот вирус поразил более 300 тысяч компьютеров по всему миру,сколько будет весить приложение через сутки в случае если оно будет постоянно увеличиваться??

---

я думаю что ты мал╦хо ошибся,мне стало интерессно тоже это, тока в Росси было пораженo 300.000компов,а по миру как пишут СМИ уже заражено порядка полмиллиона.
MfG:wawbew
was ich nicht weiß,macht mich nicht heiß╘

не получил ((((
quench@mail.ru
???
http://asjornal.ru/as/nomer/2/6.html
http://copi.ru/22935/

я два раза пробывал, назад приходит..
дай другой адрес..
так где вирус в датае обычно сидит?
я датай не открывал.

Спасибо т╦зка! Получил все твои послания. Я уже сидел правда дремал, когда Нортон запищал.
Только вирусы какие-то обрезанные один 4 другой 2 кб и никаких прикрепл╦нных файлов. Может это уже и не вирус, а вакцина.
Странно что Каспер его не узнал, они первые хвалились.

Незнаю почему так.
у меня они 33кв с прекрепл╦нными файлами
может файлы по дороге оторвались? скорость пересылки высокая

Да, но мой антивирусник нашёл их до того как я аутлук открыл, я их пока изолировал, может кто ещё попросит.

я думаю что ты малёхо ошибся...
ну тогда почитай сам http://www.cnews.ru/newtop/index.shtml?2004/01/27/154261
http://diggy.strana.de/diggy.wav

я ету заразу подцепила, еше до вихода новостей, и повелась на то что пришло писмо от фирми-партнера.
лечилас 2 дня,,,, похоже что виличились
уххх

все понял, в нем вирус вот и его ворачивает, мне сообщение приходило,что ты пытаешься мне вирус всучить
I-Worm.Mydoom.a
ты письмо в архив закатай и пароль поставь на архив.
сегодня маил ру профилактику делали, видать поправили все, и теперь этот вирус мне не пропускают.
Давай сюда попробуем,попробуем германи ру
quench@germany.ru
quench@strana.de
http://asjornal.ru/as/nomer/2/6.html
http://copi.ru/22935/

Сегодня ещё 2 получил чё они меня так любят аа? может что в почте фильтры не настроены?
первое с заголовком " hello" 31kb второе "Keine Betreff" 31kb
Проверя у касперского. Ничего
В нутри писем:

В ответ на:

---

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

---

В ответ на:

---

Mail transaction failed.
Partial message is available

---

В ответ на:

---

test

---

http://www.securitylab.ru/42464.html
интересненько.

а это ещ╦ интереснее:
http://www.securitylab.ru/42451.html
похоже на бульварную прессу, по моему мнению..
здесь могла бы быть моя автоподпись

Вчера уже новая модификация появилась, MyDoom.b http://www.viruslist.com/viruslist.html?id=144497704

похоже на бульварную прессу, по моему мнению..

securitylab бульварная пресса?
от СКО можно действительно всего ожидать,после их облома на суде с IBM.Долбаны мозги всем выеб...ли
Оказывается всё таки нет там их кода
Немножечко ошиблись.
Такая херня действительно может только в америке произойти,дегенераты какие-то.

Ряд разработчиков антивирусного ПО сообщил об обнаружении новой версии сетевого червя Mydoom (Novarg) - Mydoom.B. Вечером 28 января поступили сообщения о случаях заражения этой вредоносной программой. Специалисты не исключают, что для распространения Mydoom.B были использованы компьютеры, зараженные предыдущей версией червя. По этой причине не исключено, что в ближайшие часы начнется новая вирусная эпидемия, по масштабам многократно превосходящая Mydoom.A.
Известно, что червь также распространяется по электронной почте и файлообменной сети KaZaA. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing personal, sorry". Кроме того, объект DDoS-атаки сменен с сайта www.sco.com на www.microsoft.com.
http://diggy.strana.de/diggy.wav

Даааааа.....не дураки создавали вирус...это точно.
Скорей всего запутывают следы этими атаками.
Ну а как обьяснить что вирус у меня в почте 33кв а при проверки у касперского 44кв?

...вот ты у касперского и спроси,чувствует моё сердце что они к этому вирусу непосредственное отношение имеют
http://diggy.strana.de/diggy.wav

за голову програмиста, SCO уже 250 штук зеленых предлагает. (!шепотом! никто его не знает?)
мой Нортон уже 19 штук отловил, блин когда закончиться.
- ♠ - - - - - - - - - - - - - - - - - - - - - - - - - ♥ -

В ответ на:

---

Такая херня действительно может только в америке произойти

---

вообще-то впервые этот вирус был выслан из России с более чем ста компов одновременно.
сегодня показывали по ТВ, и интервью у Касперского брали.
3 января будет полный пи...ц.прогнозируют, что Микрософт буден атакован по полной программе, хуже чем с прошлогодним WormBlaster'ом будет.
Welcome to Fight Club...

3 января или февраля?

Привет.А что ты скажешь про эту хренотень hpoipm07.exe(hpoipm07.exe) rtl ....переодически эта падла появляется,в виде рамки,но где она прячется не пойму.

#70