PDA

Просмотр полной версии : Новая разновидность Bagle



Зайцев Олег
29.10.2004, 11:27
Зафиксирована новая разновидность Bagle - Касперский только-что научился ее ловить, называется она Bagle.at. Вирус рассылает себя по почте, файлы во вложении как правило имеют имена Joke.exe и Price.cpl, размер варьируется (у Joke.exe порядка 20 кб, у Price.cpl - порядка 36).
На диске он именует себя длинно и экзотически - типа "Porno, sex, oral, anal cool, awesome!!.exe", вариаций масса
Внеочередной апдейт AVZ для чистки ПК от этого червя приаттачен (у нас этот вирус прошел мимо лицензионного почтового AVP и теперь творится цирк :) )

Geser
29.10.2004, 11:34
А что, кто-то ещё запускает екзешники которые приходят по мылу?

Зайцев Олег
29.10.2004, 11:38
А что, кто-то ещё запускает екзешники которые приходят по мылу?

Все поголовно :)
У нас каждый пользователь дает подписку о том, что ознакомлен с правилами безопасности ... и тем не менее каждый второй это делает :( Причем не помогают инструкции, приказы, обучения - просто когда пользователей под тысячу, обязательно найдется 20-30 любопытных.

Дополнение по Bagle.at - попав на ПК, он раскидывает свои копии по куче папок (я на зараженных компьютерах сейчас находил по 50-200 его копий).
Кроме того, в папке Windows\System стабильно обнаруживается файл wingo.exe

Geser
29.10.2004, 11:57
Все поголовно :)
У нас каждый пользователь дает подписку о том, что ознакомлен с правилами безопасности ... и тем не менее каждый второй это делает :( Причем не помогают инструкции, приказы, обучения - просто когда пользователей под тысячу, обязательно найдется 20-30 любопытных.


Мда, весело :)

Зайцев Олег
29.10.2004, 12:20
Мда, весело :)

Не то слово :)
Спасает только то, что эта разновидность червя слушает порт 81. Можно быстренько сканернуть сеть и получить список зараженных ПК.

kps
29.10.2004, 13:14
А что, кто-то ещё запускает екзешники которые приходят по мылу?


Эпидемия Beagle показала, что по всему миру еще очень много умников, умудряющихся заразить свой комп несмотря на то, что червь сидит в запароленном архиве (а пароль сообщается подозрительными способами - например в картинке) :)
Хотя чему удивляться, ведь современные методы социальной инженерии, используемые вирусописателями, почти всегда оказываются очень эффективными. В основном для несведущих и любопытных людей.

Зайцев Олег
29.10.2004, 14:01
Ну, Bagle это не предельный случай ... пример из моей практики - беру некий ПК в сети, расшариваю папку с именем типа TopSecret, в нее кладу программу с именем типа SuperPuperPornoGame.exe. Пользователям тысячу раз говорено, что лазить по расшаренным ресурсам нельзя, а запускать непонятные программы - тем более. В этом exe - простейший "троян", посыляющий IP запустившего его пользователя на мой почтовый ящик. Так вот, в среднем одно срабатывание в неделю :)