Login
nimda
91
29.09.01 16:38
по тех. причинам пришлось отформатировать одну партицион и ось по новой ставить. w2000prof. поставил. драйверы там, туда сюда. диал-ап поставил опять же, и мылер (thebat фарева!). думаю, надо ж диал-ап попробовать, и почту заодно заберу. всё функционирует, связь есть, почта забирается. писем не открывал, ничего не смотрел и не читал. стал нортон ставить, пакет утилити/свипер/антивирус. минут так 5-10 ставил. перегрузился - сразу на тебе. fritzfax.exe содержит вирус. запустил проверку. 91 файл заражён!
вот сволочь, подумал я,- ничего не запускаю, не открываю и никого не трогаю. и он за 5 минут весь винт прожевал.
во как бывает!;)
В этом и есть сермяжная правда!
Единственный наследник лейтенанта Шмидта
вот сволочь, подумал я,- ничего не запускаю, не открываю и никого не трогаю. и он за 5 минут весь винт прожевал.
во как бывает!;)
В этом и есть сермяжная правда!
Единственный наследник лейтенанта Шмидта
мы рождены, чтоб сказку сделать пылью
NEW 01.10.01 22:30
in Antwort derminator 29.09.01 16:38
и у меня такаяже ж..а случилась но только 1256 зараженных файлов.
www.trendmicro.de поставил ихний антивирус и почти все выличил а что невыличил ампутировал.
"....взорвать бы вс╦"
Сапер
www.trendmicro.de поставил ихний антивирус и почти все выличил а что невыличил ампутировал.
"....взорвать бы вс╦"
Сапер
NEW 02.10.01 11:07
in Antwort derminator 29.09.01 16:38
Новый червь W32/Nimda-A (также известен, как Nimda, Minda, Concept V, Code Rainbow, ╚рабочее имя╩ ≈ W32/Nimda-a@mm) проявил активность 18 сентября 2001 года. Он пытается распространяться тремя способами: как почтовое вложение, файл на зараженном веб-сервере, или через уязвимости IIS. Червем были выведены из строя (DoS) даже некоторые серверы Apache.
При распространении по e-mail червь приходит в письме с вложенным файлом readme.exe. Это письмо составлено так, чтобы воспользоваться дыркой в старых версиях Internet Explorer. Outlook и Outlook Express используют его для отображения текста писем.
После заражения, червь рассылает копии себя другим потенциальным жертвам, и начинает поиск уязвимых серверов IIS. При поиске используется юникод-баг. Также червь пытается использовать root.exe, бэкдор, оставляемый Code Red II. После нахождения уязвимого сервера червь устанавливает свою копию так, чтобы посетители зараженного веб-узла получили специальный .eml-файл, это, как было сказано выше, может привести к заражению компьютера (в случае, если жертва использует уязвимую версию IE).
Червь шл╦т следующие запросы:
/scripts/..\..
/_vti_bin/..\../..\../..\..
/_mem_bin/..\../..\../..\..
/msadc/..\../..\../..\/..Б ../..Б ../..%
/scripts/..Б ..
/scripts/..А/..
/scripts/..А╞..
/scripts/..Б°..
/scripts/..\..
/scripts/..\..
/scripts/..\..
/scripts/../..
Ко всем этим строкам добавляется строка /winnt/system32/cmd.exe?/c+dir
Кроме того, запрашиваются следующие файлы:
/scripts/root.exe?/c+dir
/MSADC/root.exe?/c+dir
Ссылки администраторам:
Bugtraq ID: 2524 / CVE ID: CAN-2001-0154
Microsoft Security Bulletin MS01-020
Bugtraq ID: 2708 / CVE ID: CAN-2001-0333
Microsoft Security Bulletin MS01-026
Bugtraq ID: 1806 / CVE ID: CVE-2000-0884
Microsoft Security Bulletin MS00-078
Microsoft IIS Lockdown Tool
Автор: Dave Ahmad
Источник: SecurityFocus
by ShooTer╝,2001
При распространении по e-mail червь приходит в письме с вложенным файлом readme.exe. Это письмо составлено так, чтобы воспользоваться дыркой в старых версиях Internet Explorer. Outlook и Outlook Express используют его для отображения текста писем.
После заражения, червь рассылает копии себя другим потенциальным жертвам, и начинает поиск уязвимых серверов IIS. При поиске используется юникод-баг. Также червь пытается использовать root.exe, бэкдор, оставляемый Code Red II. После нахождения уязвимого сервера червь устанавливает свою копию так, чтобы посетители зараженного веб-узла получили специальный .eml-файл, это, как было сказано выше, может привести к заражению компьютера (в случае, если жертва использует уязвимую версию IE).
Червь шл╦т следующие запросы:
/scripts/..\..
/_vti_bin/..\../..\../..\..
/_mem_bin/..\../..\../..\..
/msadc/..\../..\../..\/..Б ../..Б ../..%
/scripts/..Б ..
/scripts/..А/..
/scripts/..А╞..
/scripts/..Б°..
/scripts/..\..
/scripts/..\..
/scripts/..\..
/scripts/../..
Ко всем этим строкам добавляется строка /winnt/system32/cmd.exe?/c+dir
Кроме того, запрашиваются следующие файлы:
/scripts/root.exe?/c+dir
/MSADC/root.exe?/c+dir
Ссылки администраторам:
Bugtraq ID: 2524 / CVE ID: CAN-2001-0154
Microsoft Security Bulletin MS01-020
Bugtraq ID: 2708 / CVE ID: CAN-2001-0333
Microsoft Security Bulletin MS01-026
Bugtraq ID: 1806 / CVE ID: CVE-2000-0884
Microsoft Security Bulletin MS00-078
Microsoft IIS Lockdown Tool
Автор: Dave Ahmad
Источник: SecurityFocus
by ShooTer╝,2001
by [син]ShooTer[/син]-,2001
NEW 02.10.01 11:08
in Antwort derminator 29.09.01 16:38
При подозрении на заражение рекомендуется предпринять следующий ряд действий (системы w9x).
а) проверить файл %WINDIR%/system.ini на содержание строки вида shell= explorer.exe load.exe -donotloadold
При наличие этой строки вы, скорее всего, были заражены и вам следует перезагрузиться в DOS-режиме. После перезагрузки следует заменить эту строку на shell=explorer.exe и перейти в %WINDIR%\system:
1) выполняем attrib -s -h riched20.dll (делаем видимыми)
2) attrib -s -h load.exe
3) удаляем riched20.dll, 56kb
4) удаляем load.exe
Windows 98 хранит резервный файл system.ini в:
%WINDIR%\sysbckup\rb000.cab (001.cab и т. д)
в котором может быть зараженный system.ini.
Червь также сохраняет ряд файлов во временной директории (windows\temp).Данные файлы могут содержать тело червя load.exe.
После перезагрузки, wininit.ini переименует эти файлы и восстановит load.exe, включая резервную копию system.ini из rb000.cab, после чего будет загружен load.exe, также будут перезагружены все процессы.
Вместе с riched20.dll, вам необходимо будет удалить и восстановить MAPI.DLL, возможно также и winzip32.dll.
Список файлов которые, вероятнее всего, необходимо заменить (включая и прочие типы windows-клонов, более старшие, чем windows millenium):
winzip32.exе
riched20.dll
MAPI32.DLL
MPR.DLL
mmc.exe
system.ini
load.exe
Найдите и уничтожьте все подозрительные файлы типа: .eml, *.nws,
readme*.exe, load.exe.
by ShooTer╝,2001
а) проверить файл %WINDIR%/system.ini на содержание строки вида shell= explorer.exe load.exe -donotloadold
При наличие этой строки вы, скорее всего, были заражены и вам следует перезагрузиться в DOS-режиме. После перезагрузки следует заменить эту строку на shell=explorer.exe и перейти в %WINDIR%\system:
1) выполняем attrib -s -h riched20.dll (делаем видимыми)
2) attrib -s -h load.exe
3) удаляем riched20.dll, 56kb
4) удаляем load.exe
Windows 98 хранит резервный файл system.ini в:
%WINDIR%\sysbckup\rb000.cab (001.cab и т. д)
в котором может быть зараженный system.ini.
Червь также сохраняет ряд файлов во временной директории (windows\temp).Данные файлы могут содержать тело червя load.exe.
После перезагрузки, wininit.ini переименует эти файлы и восстановит load.exe, включая резервную копию system.ini из rb000.cab, после чего будет загружен load.exe, также будут перезагружены все процессы.
Вместе с riched20.dll, вам необходимо будет удалить и восстановить MAPI.DLL, возможно также и winzip32.dll.
Список файлов которые, вероятнее всего, необходимо заменить (включая и прочие типы windows-клонов, более старшие, чем windows millenium):
winzip32.exе
riched20.dll
MAPI32.DLL
MPR.DLL
mmc.exe
system.ini
load.exe
Найдите и уничтожьте все подозрительные файлы типа: .eml, *.nws,
readme*.exe, load.exe.
by ShooTer╝,2001
by [син]ShooTer[/син]-,2001
NEW 02.10.01 13:00
in Antwort Anonymous 02.10.01 11:51
Это можно сделать до...А я написал помошь,если его Нет...
by ShooTer╝,2001
by ShooTer╝,2001
by [син]ShooTer[/син]-,2001