Головна сторінка
Top.Mail.Ru Яндекс.Метрика
Форум: "пошарпану";
Поточний архів: 2003.06.09;
Завантажити: [xml.tar.bz2];

Вниз

Мелкософта спамить? Знайти схожі гілки


RIMMER   (2003-05-22 01:18) [0]

Слухайте, лист прикотив:
From: support@microsoft.com {натурально, я заголовки дивився в параметрах}
Subject: Re: My details
Attach: screen_temp. pi
All information is in the attached file.


Файл всередині - PE. І як це поніьмать? Я їм точно нічого не слав, тим більше з таким зворотною адресою, на який прийшло.



Ihor Osov'yak   (2003-05-22 01:27) [1]

вірусок однако .. IP подивися, з якого прийшло .. IP не підроблений .. В інший, втч from пишеться будь-яка лажа ..


Зи - таких листів за останній тиждень з десяток отримав .. Все в кошику, не дивлячись ..



Aristarh   (2003-05-22 01:33) [2]

> IP не підроблений

Ви, Ігор, не подумайте, що це автоматичне протиріччя, але підміна ip адреси - одна з найпоширеніших атак.



RIMMER   (2003-05-22 01:40) [3]

А чому розширення у файлу .pi і "Kaspersky" не реагує?



Ihor Osov'yak   (2003-05-22 02:07) [4]

2 Aristarh © (22.05.03 01: 33)

Підміна ip адреси для пакета при атаці - це одна справа .. його юзают все, кому не лінь .. Але підміняти ip адресу при зв'язку з smtp сервером не має сенсу. Бо відповіді від сервера будуть йти на подменнений адресу .. А Вам потрібно як-би діалог з smtp сервером вести, а не монолог .. Тобто - ip підмінити то підмінимо, але повідомлення тоді не відправимо ..

Зи - а взагалі то я не є фахівцем з атакам і підміні ip - просто елементарно логіка ..




Ihor Osov'yak   (2003-05-22 02:13) [5]

> І "Kaspersky" не реагує?
Ну бази старі, або цього вірусу ще не обробили .. Кажу ж, що не більше, як тиждень такі речі літати стали ..

> А чому розширення у файлу .pi

На розширення не дивився - зараз, сорри -

Subject: FWD: Watch this pack which came from Microsoft.

трохи не те і файл filename = "q401750.exe" - значить, до мене не те літало ..




Вася Пупкин   (2003-05-22 02:20) [6]

http://www.viruslist.com/viruslist.html?id=2304774



gn   (2003-05-22 07:18) [7]

"Palyh" доставляється на цільовий комп'ютер у вигляді файлу, вкладеного в лист електронної пошти або записаного в систему через локальну мережу. Черв'як активізується при запуску цього файлу-носія, після чого заражає комп'ютер і запускає процедуру поширення.
При установці "Palyh" копіює себе під ім'ям "MSCCN32.EXE" в каталог Windows і реєструє цей файл у ключі автозапуску системного реєстру. Таким чином, черв'як забезпечує своє завантаження в пам'ять комп'ютера при старті операційної системи. Через помилки, в деяких випадках "Palyh" копіює себе в інші каталоги і тому функція автозапуску іноді не спрацьовує.
Після цього хробак починає процедури поширення. Для розсилки по електронній пошті він сканує файли з розширеннями TXT, EML, HTML, HTM, DBX, WAB і виділяє з них рядки, схожі на електронні адреси. Потім "Palyh" в обхід встановленої поштової програми підключається до використовуваного SMTP-сервера і розсилає через нього на ці адреси свої копії.
В якості відправника всі листи хробака мають фальсифікований адреса (support@microsoft.com), але містять різні заголовки, тексти та імена вкладених файлів. Слід зазначити, що всі файли мають розширення PIF (наприклад, PASSWORD.PIF), хоча насправді є звичайними EXE-файлами. В даному випадку "Palyh" використовує неправильне уявлення користувачів про безпеку PIF-файлів і недолік Windows.
Як відомо, ця операційна система обробляє файли не по розширенню, але по внутрішньому формату. Для поширення по локальній мережі черв'як сканує інші мережеві комп'ютери і, якщо знаходить на них каталоги автозапуску Windows, записує туди свою копію. В цілому "Palyh" не можна назвати небезпечним. Однак у нього є ряд особливостей, які є потенційною небезпекою для власників заражених комп'ютерів. Черв'як має функцію завантаження з віддалених web-серверів додаткових компонентів. Таким чином, він в змозі непомітно встановлювати свої більш "свіжі" версії або впроваджувати в систему програми-шпигуни.
Автор "Palyh" вмонтував в програму тимчасової тригер: якщо системна дата зараженого комп'ютера перевершує 31 травня, то черв'як автоматично відключає всі свої функції за винятком завантаження додаткових файлів. Ця особливість практично прирікає "Palyh", оскільки web-сервери, звідки він викачує свої оновлення, найближчим часом будуть закриті.

gn
cn 1101



RIMMER   (2003-05-23 00:02) [8]

2 gn

Точно. Звідки така докладна інфа?

Всім іншим підтверджую - все сказане про Palyh чиста правда, випробувано на собі, в моєму першому пості все приведено дослівно.

Охороняйтеся.



Плохой человек   (2003-05-23 00:08) [9]

По-моєму, краще відкрити файл для того, щоб раз і назавжди вирішити, що там.



RIMMER   (2003-05-23 00:30) [10]

2 Погана людина
Що я благополучно і зробив. Нічого, все обійшлося, я непогано знаю систему.



Ihor Osov'yak   (2003-05-23 01:17) [11]

2 RIMMER © (23.05.03 00: 02)

http://www.kaspersky.ru/news.html?id=1236412
http://www.viruslist.com/viruslist.html?id=2304774
http://groups.google.com.ua/groups?q=%22Palyh%22+%D0%B4%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D1%8F%D0%B5%D1%82%D1%81%D1%8F+%D0%BD%D0%B0+%D1%86%D0%B5%D0%BB%D0%B5%D0%B2%D0%BE%D0%B9+%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80+%D0%B2+%D0%B2%D0%B8%D0%B4%D0%B5+%D1%84%D0%B0%D0%B9%D0%BB%D0%B0,+%D0%B2%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE+%D0%B2+%D0%BF%D0%B8%D1%81%D1%8C%D0%BC%D0%BE+%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9+%D0%BF%D0%BE%D1%87%D1%82%D1%8B+%D0%B8%D0%BB%D0%B8&hl=uk&lr=&ie=UTF-8&oe=UTF-8&selm=baa3ub%24789%24109%40www.fido-online.com&rnum=1



сторінки: 1 вся гілка

Форум: "пошарпану";
Поточний архів: 2003.06.09;
Завантажити: [xml.tar.bz2];

наверх









Пам'ять: 0.6 MB
Час: 0.032 c
14-26735
Sergey13
2003-05-16 09:39
2003.06.09
Америка строит коммунизм?


1-26451
Зростання
2003-05-29 11:48
2003.06.09
_SystemTime


3-26412
prihod
2003-05-21 18:39
2003.06.09
Команди компонента Query.Sql


3-26358
mrcat
2003-05-20 16:29
2003.06.09
Type mismatch in expression


7-26812
V Lab
2003-04-07 11:06
2003.06.09
Обчислення завантаження процесора





африкаанс албанський арабська вірменин азербайджанець баскський білоруський болгарська каталонський Китайська (спрощене письмо) Китайський традиційний) хорватський чеська данську мову нідерландський Ukranian естонець Філіппінська фінську мову французький
галісійська грузинський німецький грецький гаїтянський креольський давньоєврейську хінді угорський ісландський індонезієць ірландський італійський японський корейський латиська литовець македонець малайський мальтійський норвежець
перс полірування португальська румунський російська сербський словацький словенський іспанська суахілі шведську мову тайський турецька український урду в'єтнамський валлійський ідиш бенгальський боснійський
кебуано есперанто гуджараті хауса хмонг ігбо яванський каннада кхмерская Лао латинь маорі маратхі монгольський непальська панджабі сомалійський тамільська телугу йоруба
зулуський
Англійська Французький Німецький Італійський Португальська Русский Іспанська