Головна сторінка
Top.Mail.Ru Яндекс.Метрика
Форум: "пошарпану";
Поточний архів: 2003.06.09;
Завантажити: [xml.tar.bz2];

Вниз

Мелкософта спамить? Знайти схожі гілки


RIMMER   (2003-05-22 01:18) [0]

Слушайте, письмо прикатило:
From: support@microsoft.com {натурально, я заголовки смотрел в параметрах}
Subject: Re: My details
Attach: screen_temp. pi
All information is in the attached file.


Файл внутри - PE. И как это пониьмать? Я им точно ничего не слал, тем более с таким обратным адресом, на который пришло.



Ihor Osov'yak   (2003-05-22 01:27) [1]

вирусок однако.. IP посмотри, с которого пришло.. IP не подделаешь.. В остальное, втч from пишется любая лажа..


Зы - таких писем за последнюю неделю с десяток получил.. Все в корзине, неглядя..



Aristarh   (2003-05-22 01:33) [2]

>IP не подделаешь

Вы, Игорь, не подумайте, что это автоматическое противоречие, но подмена ip адреса - одна из самых распространенных атак.



RIMMER   (2003-05-22 01:40) [3]

А почему расширение у файла .pi и "Kaspersky" не реагирует?



Ihor Osov'yak   (2003-05-22 02:07) [4]

2 Aristarh © (22.05.03 01:33)

Подмена ip адреса для пакета при атаке - это одно дело.. его юзают все, кому не лень.. Но подменять ip адрес при связи с smtp сервером не имеет смысла. Ибо ответы от сервера будут уходить на подменненый адрес.. А Вам нужно как-бы диалог с smtp сервером вести, а не монолог.. То есть - ip подменить то подменим, но сообщения тогда не отправим..

Зы - а вообще то я не специалист по атакам и подмене ip - просто елементарная логика..




Ihor Osov'yak   (2003-05-22 02:13) [5]

> и "Kaspersky" не реагирует?
Ну базы старые, или этого вируса еще не обработали.. Говорю же, что не более, как неделю такие вещи летать стали..

> А почему расширение у файла .pi

На расширение не смотрел - сейчас, сорри -

Subject: FWD: Watch this pack which came from Microsoft.

немного не то и файл filename="q401750.exe" - значит, ко мне не то летало..




Вася Пупкин   (2003-05-22 02:20) [6]

http://www.viruslist.com/viruslist.html?id=2304774



gn   (2003-05-22 07:18) [7]

"Palyh" доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты или записанного в систему через локальную сеть. Червь активизируется при запуске этого файла-носителя, после чего заражает компьютер и запускает процедуру распространения.
При установке "Palyh" копирует себя под именем "MSCCN32.EXE" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при старте операционной системы. По причине ошибки, в некоторых случаях "Palyh" копирует себя в другие каталоги и поэтому функция автозапуска иногда не срабатывает.
После этого червь начинает процедуры распространения. Для рассылки по электронной почте он сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем "Palyh" в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.
В качестве отправителя все письма червя имеют фальсифицированный адрес (support@microsoft.com), но содержат различные заголовки, тексты и имена вложенных файлов. Следует отметить, что все файлы имеют расширение PIF(например, PASSWORD.PIF), хотя на самом деле являются обычными EXE-файлами. В данном случае "Palyh" использует ложное представление пользователей о безопасности PIF-файлов и недостаток Windows.
Как известно, эта операционная система обрабатывает файлы не по расширению, но по внутреннему формату. Для распространения по локальной сети червь сканирует другие сетевые компьютеры и, если находит на них каталоги автозапуска Windows, записывает туда свою копию. В целом "Palyh" нельзя назвать опасным. Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. Червь имеет функцию загрузки с удаленных web-серверов дополнительных компонентов. Таким образом, он в состоянии незаметно устанавливать свои более "свежие" версии или внедрять в систему программы-шпионы.
Автор "Palyh" встроил в программу временной триггер: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает "Palyh", поскольку web-серверы, откуда он скачивает свои обновления, в ближайшее время будут закрыты.

gn
cn 1101



RIMMER   (2003-05-23 00:02) [8]

2 gn

Точно. Откуда такая подробная инфа?

Всем прочим подтверждаю - все сказанное про Palyh чистая правда, испытано на себе, в моем первом посте все приведено дословно.

Предохраняйтесь.



Плохой человек   (2003-05-23 00:08) [9]

По-моему, лучше открыть файл затем, чтобы раз и навсегда решить, что там.



RIMMER   (2003-05-23 00:30) [10]

2 Погана людина
Что я благополучно и сделал. Ничего, все обошлось, я неплохо знаю систему.



Ihor Osov'yak   (2003-05-23 01:17) [11]

2 RIMMER © (23.05.03 00: 02)

http://www.kaspersky.ru/news.html?id=1236412
http://www.viruslist.com/viruslist.html?id=2304774
http://groups.google.com.ua/groups?q=%22Palyh%22+%D0%B4%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D1%8F%D0%B5%D1%82%D1%81%D1%8F+%D0%BD%D0%B0+%D1%86%D0%B5%D0%BB%D0%B5%D0%B2%D0%BE%D0%B9+%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80+%D0%B2+%D0%B2%D0%B8%D0%B4%D0%B5+%D1%84%D0%B0%D0%B9%D0%BB%D0%B0,+%D0%B2%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE+%D0%B2+%D0%BF%D0%B8%D1%81%D1%8C%D0%BC%D0%BE+%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9+%D0%BF%D0%BE%D1%87%D1%82%D1%8B+%D0%B8%D0%BB%D0%B8&hl=uk&lr=&ie=UTF-8&oe=UTF-8&selm=baa3ub%24789%24109%40www.fido-online.com&rnum=1



сторінки: 1 вся гілка

Форум: "пошарпану";
Поточний архів: 2003.06.09;
Завантажити: [xml.tar.bz2];

наверх









Пам'ять: 0.6 MB
Час: 0.048 c
14-26720
phantom2040
2003-05-22 10:20
2003.06.09
Помогите с IExplorer


8-26611
Yuri_V
2003-02-26 14:02
2003.06.09
Інструмент


1-26596
Valeris
2003-05-28 16:25
2003.06.09
Як дізнатися які функції експортує DLL


7-26825
Smok_er
2003-04-04 12:14
2003.06.09
Определение наличия файервола


8-26621
Sergeys
2003-02-19 20:03
2003.06.09
сглаживание картинки





африкаанс албанський арабська вірменин азербайджанець баскський білоруський болгарська каталонський Китайська (спрощене письмо) Китайський традиційний) хорватський чеська данську мову нідерландський Ukranian естонець Філіппінська фінську мову французький
галісійська грузинський німецький грецький гаїтянський креольський давньоєврейську хінді угорський ісландський індонезієць ірландський італійський японський корейський латиська литовець македонець малайський мальтійський норвежець
перс полірування португальська румунський російська сербський словацький словенський іспанська суахілі шведську мову тайський турецька український урду в'єтнамський валлійський ідиш бенгальський боснійський
кебуано есперанто гуджараті хауса хмонг ігбо яванський каннада кхмерская Лао латинь маорі маратхі монгольський непальська панджабі сомалійський тамільська телугу йоруба
зулуський
Англійська Французький Німецький Італійський Португальська Русский Іспанська