Программы от Касперского...

[[USSR]ARIEtZ]

"Лаборатория Касперского" разъясняет текущую ситуацию с якобы крупнейшей со времен Sasser и Mydoom вирусной эпидемией

Zotob/Mytob/Rbot/IRCBot/Bozori - реальная эпидемия или истерия
средств массовой информации?

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, комментирует ситуацию с
появлением новых вредоносных программ Zotob и Bozori. В настоящее время
в ряде зарубежных СМИ опубликована информация о том, что некий червь
поразил сети множества крупных корпораций и вызвал крупнейшую эпидемию
этого года. По информации телеканала CNN, от червя пострадали ABCNews,
New York Times, Конгресс США. Одновременно эту информацию перепечатали
другие СМИ, в том числе и в �*оссии. Возникла путаница в событиях и
названиях вируса. Нам удалось установить, что в описанном CNN инциденте
речь шла о черве, который имеет следующие названия у разных антивирусных
компаний:

Zotob.e (Symantec)
WORM_RBOT.CBQ (Trend Micro)
IRCBot.Worm (McAfee)
Tpbot-A (Sophos)
Zotob.d (F-Secure)
Net-Worm.Win32.Bozori.a (Kaspersky)

"Лаборатория Касперского" была в числе первых антивирусных компаний
по скорости детектирования данного вируса. Процедуры его обнаружения
были добавлены в срочное обновление антивирусных баз, опубликованное
сегодня в 1:50 по московскому времени. Также следует отметить, что
вирусная лаборатория компании не получала информации от своих
пользователей в �*оссии и за рубежом о реальных случаях заражений,
вызванных данным червем. Не отмечено и увеличение сетевой активности как
возможного следствия работы червя. Если вспомнить ситуацию с эпидемией
червя Sasser в мае 2004 года, с которым некоторые СМИ уже сравнивают
Bozori.a, то тогда сетевой трафик вырос примерно на 20-40%, чего в
настоящее время не наблюдается.

Данный червь использует для своего распространения уязвимость в
службе Microsoft Windows - Plug'n'Play (MS05-039). Данная уязвимость
была исправлена 9 августа 2005 года специальным обновлением, доступным
для загрузки
(My Webpage)

За прошедшее с момента устранения уязвимости время было
зафиксировано около десяти вредоносных программ, использующих ее для
своего распространения. В первую очередь это три варианта червя Mytob
(ce, cf, ch), которые были названы некоторыми антивирусными компаниями
Zotob и вокруг появления которых также был поднят определенный шум в
средствах массовой информации, не подкрепленный реальной информацией об
эпидемиях. Также было обнаружено несколько троянских программ-ботов
- представителей семейств Rbot и IRCBot, не представляющих
серьезной опасности.

Таким образом, можно констатировать тот факт, что в настоящее время
в сети Интернет не наблюдается заметной вирусной эпидемии. "Лаборатория
Касперского" не обладает какой-либо подтвержденной информацией от своих
пользователей о случаях заражения червем Bozori.a.

Подробное технические описание Net-Worm.Win32.Bozori.a опубликовано
(My Webpage) в "Вирусной энциклопедии".

[USSRxMrKOT]

Цитата:

[b]Подробное технические описание Net-Worm.Win32.Bozori.a опубликовано
([URL=Приводной ремень передаёт крутящий момент от двигателя на вентилятор системы охлаждения, водяную помпу, компрессор, насос гидроусилителя и генератор. Если приводной ремень износится, он начнёт проскальзывать, и крутящий момент небудет передаваться в полной мере к приводимым механизмам, таким, как генератор или водяная помпа. Аккумуляторная батарея не будет полностью заряжаться, кондиционер и гидроусилитель руля не будут работать должным образом. Приводные ремни делятся на нарезные ремни и с ремни насечками. В свою очередь нарезные ремни бывают простые, многослойные (к простому ремню добавлено несколько дополнительных слоёв, чтобы удлинить край) и зубчатые (волнистая нижняя поверхность ремня снижает потери энергии, вызываемые изгибанием ремня). �*емни с насечуами тоньше и имеют большую, чем нарезные ремни, поверхность контакта со шкивом. Они более эластичны и более эффективно передают крутящий момент от двигателя. Нижняя поверхность оригинального приводного ремня имеет резиновое покрытие, чтобы предотвратить предотвращение трещин. Термоустойчивое армидное волокно используется для верхнего покрытия и элемента работающего на растяжение, поэтому они не склонны к растяжению и изнашиваются медленнее.
My Webpage) в "Вирусной энциклопедии".
[/b]

вот это...я что/то не понял)

[[USSR]ARIEtZ]

ну бывает, жене объяснял что к чему, и почему это надо менять

[[USSR]ARIEtZ]

�*попея с вирусной эпидемией Zotob продолжается
[18.08.2005 2300]

Продолжаем новость "Идет вирусная эпидемия?" о сетевом черве, который терроризирует не пропатченные компьютеры под управлением Windows 2000 в США, но почему-то обходит стороной �*оссию...

Прежде всего, успешные атаки червя Zotob уже зарегистрированы в нашей стране. Об этом сообщила "Лаборатория Касперского". По словам представителей компании, первый случай заражения был зарегистрирован минувшей ночью, затем утром было еще три обращения, на данный момент новых обращений по поводу обнаружения вируса нет. Таким образом, пока известно лишь о 4 инцидентах, связанных с этим червем. Согласитесь, по сравнению с размахом событий в США (например, в округе Сан-Диего пришлось удалять инфекцию с 12 тыс. компьютеров), в �*оссии червь "почти не появлялся".

Далее, стало известно о появлении нескольких версий червя Zotob. Более того, некоторые из них удаляют друг друга. Налицо война вирусописателей, площадкой для которой выступают компьютеры обычных пользователей.

В заключение замечу, что Microsoft выпустила утилиту для удаления червя с зараженных машин. Ее можно запустить как в режиме online (http://www.microsoft.com/security/ma...fault.mspx#top), так и автономно, предварительно скачав с Web-сайта софтверного гиганта.

[USSRxAgresor]

Поставил Каспера персонал про 5.0.383, реально быстрей работает при проверке.

[[USSR]ARIEtZ]

Обзор вирусной активности - август 2005

Время от времени в сети Интернет происходят кибервойны. Иногда это
войны между "конкурирующими" группами вирусописателей, которые пытаются
удалить "врагов" с зараженных компьютеров и стать единственными, кто
может управлять такой "зомби-машиной". �*ти войны иногда выливаются во
взаимный взлом сайтов или атаки хакеров из одной страны на
правительственные серверы другой страны. Отголоски этих войн отражаются,
в том числе, и в вирусных рейтингах.

Уже который месяц подряд за вершину нашей вирусной двадцатки борются
NetSky.q и Mytob.c. �*то совершенно разные черви, созданные с разницей в
один год и использующие разные уязвимости. NetSky.q вел войну против
червей семейства Mydoom и Bagle и, судя по текущим показателям, вышел из
этой схватки победителем. Но вот Mytob, в основе которого лежат исходные
коды самого первого Mydoom, оказался достойным преемником прародителя.
Несомненно, схватка между червями семейств Mytob и NetSky - это
наиболее заметная тенденция в наших ежемесячных вирусных отчетах.

13 позиций из 20 - это Mytob. 4 из 20 - это NetSky.
Однако, если посмотреть на первую десятку, то там наблюдается
практически паритет - 4 Mytob и 3 NetSky.

Июльское наступление на двадцатку со стороны "старых" червей -
Zafi, Bagle, Mydoom - практически провалилось. В августе в рейтинге не
осталось ни одного варианта Bagle или Mydoom, а два червя Zafi всего
лишь сохранили достигнутые позиции. Зато Mytob-ы смогли вернуть себе
показатели июня из-за того, что все три новичка двадцатки - это
именно очередные модификации Mytob.

Что удивительно, в числе этих новичков внезапно оказался самый
первый Mytob - вариант A, который, несмотря на успехи своих
клонов, еще ни разу не оказывался в поле нашего зрения. Возможно,
изначально он был разослан не при помощи спам-технологий, а путем
заражения крайне малого числа компьютеров, и все это время набирал
обороты. Подобные примеры уже случались ранее, и 8-е место августовской
статистики занимает представитель именно такого подхода к
распространению вирусов - LovGate.w. В июле мы делали прогноз о
том, что LovGate.w вот-вот покинет двадцатку (15-е место в июле), однако
он не только в ней удержался, но и практически полностью вернул себе
утраченное, совершив рост сразу на 7 пунктов.

Еще один странный новичок - Mytob.h. Впервые он был обнаружен
еще 25 марта этого года и, так же как и Mytob.a, был не заметен в
масштабах сети Интернет. И вот сразу 13-е место. Впрочем, в данном
случае у нас есть обьяснение произошедшему. Оригинальный Mytob.h был
упакован при помощи связки пакеров - Morphine\MEW. В августе
кто-то перепаковал оригинальный файл другими пакерами - Upack, UPX и FGS
- и выпустил в свет три "новых" варианта. Конечно же, все они
детектируются старой процедурой детектирования и под одним и тем же
именем.

Стоит отметить также историю с червем 'Zotob'. Я
умышленно беру это название в кавычки, поскольку в антивирусных базах
Антивируса Касперского такого названия вредоносной программы нет, а
другие антивирусные компании используют это имя для самых разных червей
и ботов, зачастую не имеющих ничего общего. Очевидно, что названия
Zotob.a, .b и .c получили черви семейства Mytob (по классификации
"Лаборатории Касперского"). Zotob.a соответствует Mytob.cg, Zotob.b
- Mytob.cf, Zotob.c - Mytob.ch. Функцией рассылки себя по
почте обладают только Mytob.ch и .cg, вариант .cf способен проникать на
компьютер только при помощи уязвимости в операционной системе Microsoft
Windows MS05-039.

26 августа из Марокко поступило известие об аресте
предположительного автора данных червей, которые были написаны им в
соавторстве с вирусописателем из Турции (он также был арестован). В
данной ситуации имеется четкое разделение обязанностей в преступной
группе - один человек был занят написанием вируса, а второй
занимался его распространением в сети Интернет. �*яд СМИ обьявил о том,
что именно эти черви стали причиной вирусной эпидемии в американских
телекомпаниях ABC и CNN, однако по нашим предположениям, виновником тех
инцидентов был червь из семейства Bozori, использующий ту же самую
уязвимость MS05-039.

Трудно предположить, наблюдали ли бы мы кого-нибудь из этих червей в
нашей статистике, если бы они обладали еще и функцией рассылки себя по
электронной почте. Единственные из них, имеющие такой функционал,
- Mytob.cg и .ch - не попали даже в число сорока наиболее
распространенных вирусов в почтовом трафике августа.

Прочие вредоносные программы, представленные в почтовом трафике,
составили значительный процент (20,36%) от общего числа перехваченных,
что свидетельствует о достаточно большом количестве прочих червей и
троянских программ, относящихся к другим семействам.

Итоги августа
В двадцатке появились 3 новых вредоносных программы: Mytob.h, Mytob.a,
Mytob.bw
В двадцатку вернулись NetSky.t и Mytob.r.
Повысили свой рейтинг Mytob.c, Mytob.bk, NetSky.b, LovGate.w, Mytob.q и Mytob.t.
Понизили свои показатели NetSky.q, Mytob.be, Mytob.u, Mytob.au и Mytob.bt
Не изменились показатели у Zafi.b, Zafi.d, NetSky.aa и Mytob.bi.

[USSRxMrKOT]

чем отличается новая версия от предидущей? как каспера так и анихакера?

[USSRxMrKOT]

почему Антивирус каспера ловик атаки а вот антихакер их не показывает? хотя включены оба

[USSRxMrKOT]

что значит слово макрокоманды?

[[USSR]ARIEtZ]

Цитата:

Originally posted by USSRxMrKOT@Oct 14, 2005, 09:29
почему Антивирус каспера ловик атаки а вот антихакер их не показывает? хотя включены оба

Quoted post

в антихакере есть журнал посмотри его ( у тебя выключины свплывающие окнав антихакере) скорее всего.

когда включены обе программы антивирус ( считается) гланее он и отслеживает все это.
если имеешь антивирус и постоянно держишь его включеным(в настройках есть, не запускать при старте винды) то и антихакер и не нужен тогда.