"Свежие" черви

[Minos]

http://www.uinc.ru
07.10.2004

Symantec предупреждает о появлении очередной модификации червя Mydoom. Вариант Mydoom.AD распространяется по электронной почте в виде вложений с различными именами, через популярные файлообменные сети, а также через каналы IRC. После проникновения на компьютер-жертву вредоносная программа регистрируется в ключе автозапуска системного реестра, завершает ряд процессов, связанных со службами безопасности, и пытается запретить доступ к сайтам антивирусных компаний. Далее червь осуществляет сканирование жестких дисков в поисках адресов электронной почты, по которым затем отправляются копии вредоносного кода. При организации массовых рассылок Mydoom.AD применяет встроенный SMTP-сервер.
http://[email protected]

[Minos]

В сентябре появилось 8 новых разновидностей MyDoom, причем одна из разновидностей научилась распространятся через ICQ (http://www.viruslist.com/viruslist.html?id=145865731). В общем MyDoom штурмует новые высоты !!!

[Minos]

В сети обнаружен новый Beagle. В классификации лаборатории Касперского он получил название I-Worm.Bagle.as. В червя заложены BackDoor функции: при заражении он открывает 81 порт. Распространяется по почте и P2P сетям. Подробнее смотрите на http://www.viruslist.com/viruslist.html?id=145990369.

[Minos]

Сотрудники антивирусных компаний обнаружили очередную модификацию известного сетевого вируса MyDoom, в которой содержатся угрозы в адрес специализирующихся на компьютерной безопасности фирм F-Secure, Symantec, Trend Micro и McAfee, а также высмеивается автор "конкурирующего" вируса NetSky. Как сообщает CNET News, авторы запустили новый вирус в минувшие выходные. Он содержит стандартные средства для несанкционированного проникновения в системы семейства Windows и саморепликации. Эксперты ожидают в ближайшее время новой волны распространения вируса среди незащищенных компьютеров. Вирус содержит текстовое сообщение, где высмеивается ожидающий суда немецкий подросток Свен Яшан (Sven Jaschan), признавшийся в авторстве широко распространившихся вирусов Sasser и NetSky, обладающих функциональностью, схожей с MyDoom. Авторы MyDoom (за информацию об их местонахождении обещана награда в 250 тысяч долларов) заявляют, что после поимки Яшана они "выиграли вирусную войну" и теперь намерены "атаковать" антивирусные компании и продолжать свою вредоносную деятельность. Вместе с тем, специалисты компаний отмечают, что не понимают, каким именно образом их собираются атаковать. В теле вируса не обнаружено каких-либо специальных средств для этого, остается лишь возможность организованной DDOS-атаки на серверы упомянутых фирм, однако компании такого профиля обычно хорошо подготовлены к таким инцидентам.
unic.ru

[Geser]

Сотрудники компании Trend Micro зафиксировали появление в интернете новой вредоносной программы, получившей название Wootbot. Этот червь заражает компьютеры через дыру в локальной подсистеме аутентификации пользователей операционных систем Windows (LSASS).

После проникновения на машину вирус создает на жестком диске свою копию с именем Serviced.exe и регистрируется в реестре с целью обеспечения собственного автозапуска при старте ОС. Кроме того, червь пытается украсть регистрационные ключи к популярным компьютерным играм, таким как Command and Conquer: Generals: Zero Hour, Need For Speed: Underground, Unreal Tournament 2004 и Shogun: Total War: Warlord Edition.
http://compulenta.ru/

[Geser]

Компания Panda Software предупреждает о появлении в интернете новой вредоносной программы Swash. Этот червь распространяется по электронной почте в виде файлов-вложений с различными именами и расширениями ZIP, EXE или SCR, а также через популярные пиринговые сети, в том числе KaZaA, eDonkey, iMesh и LimeWire. После запуска вирус создает в системной директории Windows свою копию с именем Lsasrv.exe и регистрирует данный файл в ключе автоматического запуска реестра. Далее вредоносная программа пытается завершить процессы, связанные со службами безопасности, и, кроме того, закрывает доступ к веб-сайтам производителей антивирусов.
Подробное описание червя Swash можно найти http://www.pandasoftware.com/virus_i...&idvirus=53716
security.compulenta.ru/2004/10/28/51343/

[Geser]

Появилась новая версия червя Sober, Sober.i

[Зайцев Олег]

Появилась новая версия червя Sober, Sober.i

Да, его поймали авторы "ВирусБлокАда" - вероятно, дело закончится эпидемией. Сам вирус имеет размер 56808 байт, сжат UPX, распакованный размер 87161. При запуске прописывает себя на автозапуск через ключик Run в реестре.
Вирус написан на VBA. Работает только при наличие MSVBVM60.DLL на поражаемом ПК (в Win98 его по умолчанию нет). В момент первого запуска вирус создает в папке System32 два файла с именами, которые явно генерируются по некоему списку/алгоритму Один из созданных в System32 файлов запускается с ключом - %srun%.

[Minos]

Набирает обороты эпидемия Zafi.D. Червь распространяет себя по электронной почте, а также через файлообменные сети.

[Minos]

Как сообщает www.theregister.co.uk в менувшие выходные, после трехмесячного перерыва, была зафиксирована рассылка новой версии MyDoom. В письме сообщается, что в приложенном файле находятся пароли к "клубничным" сайтам, на деле же оказывается, что вместо паролей вы получаете MyDoom-AI, который отключает некоторые антивирусы и firewall и зомбирует компьютер. Рассылка не отличалась большим размахом, однако появление новых мадификаций старого "друга" не предвещает ничего хорошего.

[Minos]

Новый "червь" атакует через MSN Messenger
Компании F-Secure и Symantec, которые занимаются разработкой антивирусных программ, сообщили сегодня об обнаружении нового "червя", который атакует пользователей интернет-пейджера MSN Messenger.

Новый Brobia.A написан с использованием исходного кода вируса Rbot, который можно применить, например, для атаки с целью сбора системной информации, чтения нажатий клавиш и распространения спама.

После поражения компьютера "червем" система перестает реагировать на нажатия правой кнопки мыши.

Программа копирует себя в корень диска С под одним из следующих имен: drunk_lol.pif, webcam_004.pif и других. А затем пытается переслать созданный файл при помощи MSN Messenger всем активным пользователям в списке контактов. Для успешного распространения на пораженном компьютере должно быть открыто окно MSN Messenger.

gazeta.ru

[RiC]

Свежачёк, набирает обороты, таким темпом часа через 3 станет хитом недели.

This is a report processed by VirusTotal on 09/13/2005 at 07:52:21 (CET) after scanning the file "newprice.zip" file.

Antivirus Version Update Result
AntiVir 6.31.1.0 09.12.2005 DR/Bagle.P
Avast 4.6.695.0 09.12.2005 Win32:Mitglieder-BK
AVG 718 09.12.2005 I-Worm/Bagle.gen
Avira 6.31.1.0 09.12.2005 DR/Bagle.P
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.12.2005 no virus found
ClamAV devel-20050725 09.13.2005 Worm.Bagle.BB-gen
DrWeb 4.32b 09.13.2005 Win32.HLLM.Beagle.12288
eTrust-Iris 7.1.194.0 09.13.2005 no virus found
eTrust-Vet 11.9.1.0 09.12.2005 no virus found
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.13.2005 security risk named W32/Mitglieder.FB
Ikarus 0.2.59.0 09.12.2005 no virus found
Kaspersky 4.0.2.24 09.13.2005 Email-Worm.Win32.Bagle.ct
McAfee 4579 09.12.2005 no virus found
NOD32v2 1.1214 09.12.2005 no virus found
Norman 5.70.10 09.12.2005 no virus found
Panda 8.02.00 09.12.2005 W32/Bagle.EK.worm
Sophos 3.97.0 09.13.2005 Troj/Dropper-BD
Symantec 8.0 09.13.2005 Trojan.Tooso.N
TheHacker 5.8.2.105 09.12.2005 W32/Bagle.cs
VBA32 3.10.4 09.12.2005 no virus found

[pig]

Предыдущая модификация (заловлен вчера вечером):
Antivirus Version Update Result
AntiVir 6.31.1.0 09.13.2005 DR/Bagle.P
Avast 4.6.695.0 09.12.2005 Win32:Mitglieder-BK
AVG 718 09.12.2005 no virus found
Avira 6.31.1.0 09.13.2005 no virus found
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.12.2005 no virus found
ClamAV devel-20050725 09.13.2005 Worm.Bagle.BB-gen
DrWeb 4.32b 09.13.2005 Win32.HLLM.Beagle.12288
eTrust-Iris 7.1.194.0 09.13.2005 no virus found
eTrust-Vet 11.9.1.0 09.13.2005 Win32.Glieder.BG!ZIP
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.13.2005 security risk named W32/Mitglieder.FB
Ikarus 0.2.59.0 09.12.2005 no virus found
Kaspersky 4.0.2.24 09.13.2005 Email-Worm.Win32.Bagle.cs
McAfee 4579 09.12.2005 no virus found
NOD32v2 1.1214 09.12.2005 Win32/Bagle.BI
Norman 5.70.10 09.12.2005 W32/Bagle.CS
Panda 8.02.00 09.12.2005 W32/Bagle.EK.worm
Sophos 3.97.0 09.13.2005 Troj/Dropper-BC
Symantec 8.0 09.13.2005 no virus found
TheHacker 5.8.2.105 09.12.2005 no virus found
VBA32 3.10.4 09.12.2005 no virus found

[SDA]

W32.Iberio
обнаружен 16 сентября.
Тип: червь.
Длина кода: 6 кб.
Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Технические детали:
Добавляет значение "MSPRO32" = "[PATH TO WORM FILE]" в реестр
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun

Загружает файлы:
VfProtect.exe с [http://]strtt.interfree.it/[REMOVED]/VfProtect.exe
Hiberium.rar с [http://]strtt.interfree.it/[REMOVED]/Hiberium.rar
VfProtect2.exe с [http://]utenti.lycos.it/[REMOVED]/VfProtect2.exe
Hiberium2.rar с [http://]utenti.lycos.it/[REMOVED]/Hiberium2.rar

Выполняет VfProtect.exe и VfProtect2.exe, которые распознаются как Keylogger.Trojan.
Червь эксплуатирует уязвимость Microsoft Windows Plug and Play Buffer Overflow Vulnerability (Microsoft Security Bulletin MS05-039).

Распространяется по случайным ip адресам, избегая:
0.*.*.*
10.*.*.*
127.*.*.*
224.*.*.* through 255.*.*.*
172.16.*.* through 172.31.*.*
192.168.*.*

[pig]

Пришло письмо. Зверь не свежий - Worm.Win32.Eyeveg.l, его даже Dr.Web 4.31b с базами двухмесячной давности знает. Но письмо не ловится, поскольку в нём только ссылка - хттп://africaplc.com/readme.zip
Осторожно, ссылка живая!

P.S. Пока отвлекался, нарисовалось ещё одно, с похожей ссылкой. Этот africaplc.com, видимо, гнездо для зверья.

[Minos]

Вот еще зеркала africaplc.com:
www.neptuncaffe.com scheduleconsult.com www.sismodular.com.

[santy]

Complete scanning result of "_sv__1089", received in VirusTotal at 08.08.2006, 09:43:13 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.08.2006 HEUR/Crypted.Modified
Authentium 4.93.8 08.08.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.07.2006 no virus found
BitDefender 7.2 08.08.2006 no virus found
CAT-QuickHeal 8.00 08.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.08.2006 no virus found
DrWeb 4.33 08.08.2006 Trojan.PWS.LDPinch.1026
eTrust-InoculateIT 23.72.89 08.08.2006 no virus found
eTrust-Vet 12.6.2329 08.08.2006 no virus found
Ewido 4.0 08.07.2006 no virus found
Fortinet 2.77.0.0 08.08.2006 suspicious
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.08.2006 no virus found
Kaspersky 4.0.2.24 08.08.2006 no virus found
McAfee 4823 08.07.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1696 08.07.2006 a variant of Win32/PSW.LdPinch
Norman 5.90.23 08.07.2006 no virus found
Panda 9.0.0.4 08.07.2006 Suspicious file
Sophos 4.08.0 08.07.2006 no virus found
Symantec 8.0 08.08.2006 no virus found
TheHacker 5.9.8.187 08.07.2006 no virus found
UNA 1.83 08.07.2006 no virus found
VBA32 3.11.0 08.07.2006 suspected of Trojan-PSW.PdPinch.1
VirusBuster 4.3.7:9 08.07.2006 no virus found

Aditional Information
File size: 20930 bytes
MD5: 682e61d78500b5308b7977ef6e3ed9ce
SHA1: 35ec558f16c35fd726f38c93a59688b961d4a921
packers: FSG
-------------
ОБЫДНО ЗА НОД. На антивирусной базе сборки 1.1694 сканер не распознал вирус, прописанный в автозагрузку, и только на версии 1.1696 распознал как вариант LdPinch.

[lerson]

Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде.
Идут в комплекте.
VirusTotal не определяет.
Вольготно чуствует себя в провайдерских подсетках.

[MOCT]

Есть Trojan program Trojan.Win32.Agent.py
и Worm.Win32.Rahak.a в живом виде.
Идут в комплекте.
VirusTotal не определяет.

ну если ни один антивирус на VirusTotal не определяет, то откуда же вам известны их имена? :-)

[lerson]

ну если ни один антивирус на VirusTotal не определяет, то откуда же вам известны их имена? :-)

Каспер их видит Ж) с последними базами. Больше ничем не проверял...