Вирусы

[Gektor]

Ну не знаю по моему Касперский быстрее отслеживает новые вирусы чем Майкрософт новые дыры в IE.

[Gektor]

A кстати как сохранить на диске патчи Майкрософт?

[Gektor]

У меня перед тем как хапануть вирус при развороте страницы запускался скриптовый отладчик IE писал в конце че то типа возможно наличие обьекта...
На почту снова пришло 25 сообщений со спамом - реклама всякой фигни, но в некоторых какая то дрянь прицеплина, я их все убил не открывая.

[Beetle]

Originally posted by Gektor*17.04.2004 - 17:39
Ну не знаю по моему Касперский быстрее отслеживает новые вирусы чем Майкрософт новые дыры в IE.

На самом деле, сначала находят дырку... кто-нибудь, иногда и сами мелкомягкие. Потом выпускают патч, который никто не ставит А потом, глядишь, кто-то через полгода накоепает вирус, коотрый эту дырку использует. Ну Касперский конечно за пару дней сбацает противоядие, но патч-то уже дааавно есть
Впрочем, никакие патчи не спасут от ручного запуска троянов

A кстати как сохранить на диске патчи Майкрософт?

А там есть ссылка обычно в описании на статью, в статье есть ссылка на сам файл вида KBXXXXXX-LLL.exe
Где XXXXX - номер артикла, а LLL - в нашем случае RUS или (как у кого ) ENG

[quote][b]У меня перед тем как хапануть вирус при развороте страницы запускался скриптовый отладчик IE писал в конце че то типа возможно наличие обьекта...
На почту снова пришло 25 сообщений со спамом - реклама всякой фигни, но в некоторых какая то дрянь прицеплина, я их все убил не открывая.

[Gektor]

Спасибо Beetle, как говорится век живи, век учись.
Насчет почты советую всем *yandex.ru там весь спам убивают на дальних подступах, а на старом ящике у меня завал.

[EsatP]

Чей адрес, однако? В возврате письма токое есть

Original-Recipient: rfc822;и мой адрес

Ну разберитесь со своей живностью, задарали вконец. У меня абсолютный стопор для вирусов, я принимаю почту, а отправить не могу, пока специально не подключусь к старому адресу по другому номеру телефона, посему претензии не принимаются.
А хост везде civfanatics.ru, а не только в return mail.

Админы!!! Ау, чините ружжжжжо!!!!

[Gektor]

А вот что пишет Майкрософт как обнаружить распространенные черви на компе: >>>Щелкните «Пуск», затем щелкните «Выполнить».
В поле «Открыть» наберите: cmd
Щелкните OK. Появится черное окно командной строки, в которой отображается C:\…>.
Наберите cd \ и нажмите ENTER. Текущая папка изменится на C:\, отобразится курсор.
Для поиска вируса Mydoom.A щелкните курсор, затем наберите: dir shimgapi.dll /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Mydoom.A.
Если появится сообщение «Всего файлов», компьютер заражен вирусом Mydoom.A. Обратитесь к вашему разработчику антивирусных программ.
Для поиска вируса Mydoom.B щелкните курсор, затем наберите: dir ctfmon.dll /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Mydoom.B.
Если появится сообщение «Всего файлов», (см. рис.2), компьютер заражен вирусом Mydoom.B. Следуйте приведенным ниже шагам.
Для поиска вируса Doomjuice.A щелкните курсор, затем наберите: dir intrenat.exe /a /s
Нажмите Enter.
Подождите:
Если появится сообщение «Файл не найден», компьютер не заражен червем Doomjuice.A.
Если появится сообщение «Всего файлов», (см. рис.3), компьютер заражен вирусом Doomjuice.A. Следуйте приведенным ниже шагам.>>>

[EsatP]

Ну опять началось. Снова какая-то зараза рассылает спам. Опять вернулась почта с ошибочным адресом.

[Гость]

чудесный примерчик имеем письмо якобы с grandprix*civfanatics.ru на nonreload*civfanatics.ru

вот служебные поля (пример как можно посмотреть в аутлуке-5 - на письмо мышку, правый клик, Свойства) -
Return-path: <grandprix*civfanatics.ru>
Envelope-to: nonreload*civfanatics.ru
Delivery-date: Mon, 24 May 2004 09:55:22 +0400
Received: from [159.148.112.233] (helo=home-8fweyhtrme) by host.goldhost.ru with smtp (Exim 4.34) id 1BS8Qk-0007B6-8i for nonreload*civfanatics.ru; Mon, 24 May 2004 09:55:22 +0400
Date: Mon, 24 May 2004 08:55:26 +0200
To: nonreload*civfanatics.ru
Subject:
From: grandprix*civfanatics.ru
Message-ID: <cbftxofksrnclrixwqs*civfanatics.ru>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--------swfdphiqnlcunpirbghs"

обратите внимание на Received: from [159.148.112.233]
это ip-адрес отправителя... поищем-ка его среди форумчан - кто же заражён ? тэкс... нет похожих адресов среди наших....

Имя хоста для 159.148.112.233: 2-112.233.i-net.lv
смотрим чей адрес (какой сети, город, страна?)
тэкс... Латвия, сеть провайдера... вот контакты ответственных за сеть.... писать им жалобы нет смысла - зараза носится по всему миру и никто не будет гоняться за клиентом, умоляя его полечиться

вот и всё... к чему это я ? а! кое-кто до сих пор считает, что если письмо подписано president*whitehouse.gov , то это ОТТУДА неа, смотрите ip-адрес

... правда, кое-кто умеет подделывать и ip-адрес компьютера отправки письма, но это уже совсем другая история

[Boris]

Гость
Обычно сам отправитель и знать не знает, что с его компа едёт спам. Иногда даже посылают письма сами себе.
Один товарищ жаловался, что он запустил антивирус, а тот поудалял тьму файлов с его компа. Наверняка был настроен на автоматическое удаление заразы. С тех пор боится антивирусов, как огня. Не знаю, удалось ли доказать, что он не прав.

[swan]

Сегодня поприходило на оба моих адреса на первый якобы от info * civru.com и ещё от какого-то типа а на второй якобы от Цивилизатора
Во всех трех письмах был приаатачен файлик с одинаковым размером (ок 24 кб) - только названия файлика и текст писем был разный

[swan]

Уважаемый цивиломан, (я не знаю, кто ты, но точно знаю, что ты заходишь не только на форум civfanatics.ru, но и на форумы gameover.ru и civru.com, а дальше проследить тебя особо не сложно) - если ты не прекратишь эту фигню, то я приму меры и тогда я тебя найду и (просьба к Администрации - не удалять и не править этот пост) будем мы с тобой разговаривать по другому.

Если ТЫ (кто бы ты не был) сразу сознаешься и объяснишь причину своей неприязни ко мне, то я тебя прощу - иначе пеняй на себя (у меня тоже есть кое что "в кармане")

Если я тебя чем то обидел - то напиши - чем - если я действительно виноват - то я признаю свою вину и извинюсь

[Gektor]

Может будет кому любопытно вот советы по безопасности в сети от МТУ-интел
весьма солидной организации:
>>> В последнее время участились попытки несанкционированного получения от пользователей их логинов и паролей. В связи с этим хотелось бы дать ряд предупреждений и рекомендаций.

Вот самые распространенные способы мошенничества:

1. Письмо "от провайдера".

На ваш e-mail просто приходит письмо приблизительно такого содержания:

Дорогой пользователь!

Мы, группа поддержки компании MTU-inform, доводим до вашего сведения, что с 01.11.98 компания MTU проводит перерегистрацию пользователей сети Интернет, пользующихся услугами нашей компании.
С этой целью просим Вас по адресу mtu.support*mtu-net.ru выслать имя Вашего почтового ящика, Ваш логин (login) и пароль (password) в формате:
Почтовый ящик: "ваше имя ящика"*mtu-net.ru
Логин: "ваш логин"
Пароль: "ваш пароль"

Благодарим Вас за сотрудничество.
Группа поддержки.

Первое - мы НИКОГДА не рассылаем подобные письма! Даже, если и появится у нас необходимость в тех или иных работах над паролями, то информация об этом предварительно появится на нашей информационной страничке или на страничках статистики пользователей.

Второе - обращайте внимание на обратный адрес, указанный в подобных письмах. Все наши контактные адреса могут заканчиваться только на *mtu.ru (support*mtu.ru, billing*mtu.ru и т.д.)

Что делать с подобными письмами. Ни в коем случае НЕ ОТВЕЧАЙТЕ НА НИХ! Пришедшее подобное письмо отправьте нам на support*mtu.ru. Лучше всего, если вы его отправите "как вложенное", чтобы сохранилась вся информация из заголовка письма.



2. Так называемый "Троянский Конь"

Чаще всего "Троянский Конь" это некая программа, действие которой заключается в поиске на вашем компьютере определенных данных и отправки их своему "хозяину". Обычно такие программы распространяются через e-mail под видом рекламы или под другим "благовидным" предлогом. Что ни будь типа "Запустите приложенную программу, и вы узнаете, как получить бесплатный пылесос!". Поддавшись на призыв (устоять трудно - мы знаем ) и запустив, таким образом, программу вы можете собственноручно впустить к себе "Троянского Коня". Он покопается в ваших файлах (на это у него уйдут доли секунды), вполне вероятно, что найдет ваши логин/пароль и отправит их своему "хозяину" для дальнейшего нелегального пользования за ваш счет.

Как уберечься от "Троянских Коней":
Не запускайте программы "сомнительного происхождения", которые вам всучили через Интернет без вашего на то предварительного согласия. Иными словами, не запускайте программу, если не знаете наверняка, что она делает.

"Троянца" можно получить не только через почту. Бывает, что его распространяют через WEB или FTP под видом тех или иных "полезных" мелочей (русификатора, например). Иногда даже такие "утилитки" делают то, что было обещано (помимо "вынюхивания" ваших данных).

Принцип работы "Троянского Коня" чаще всего заключается в поиске пароля и логина в файле реестра Windows. В связи с этим не рекомендуем пользоваться опцией "Запомнить пароль" в программе удаленного доступа.

Если для авторизации вы пользуетесь скриптом, то лучше поместить его в "нестандартном" месте. По умолчанию скрипты хранятся в папке \Program Files\Accessories. Совершенно точно известно, что, как минимум один "Троянец" "приучен" выкачивать все скрипты из этой директории.

В остальном руководствуйтесь общими принципами защиты от компьютерных вирусов, разновидностью которых, собственно, и являются "Троянцы"...



3. Спасите себя сами.

Один из наших пользователей дал хороший хоть и весьма оригинальный совет по проблемме:

Совет очень простой. Хакеры получают пароли, в основном, скачивая с вашего винчестера стандартные файлы содержащие пароли и скрипты с в которых они хранятся. Выход из этого положения очень прост:

1) Необходимо запретить сохранение пароля в стандартном файле Windows.
2) Что-бы не вводить Login и Password каждый раз заново, необходимо написать и подключить простейший скрипт который будет хранить в себе Ваши данные (Пример). Но скрипт сохранить не на жестком диске, а на дискете т.е. дискетка станет вашим ключом к И-нет.
3) После того как подключение и авторизация прошли успешно можно вытащить дискетку из дисковода и теперь ни какая программа "троянский конь" не сможет скачать Ваши данные. >>>

[Civilizator]

Originally posted by Gektor*24.06.2004 - 14:34
.......2) Что-бы не вводить Login и Password каждый раз заново, необходимо написать и подключить простейший скрипт который будет хранить в себе Ваши данные (Пример). Но скрипт сохранить не на жестком диске, а на дискете т.е. дискетка станет вашим ключом к И-нет.

А можно по подробней-как это сделать- обьясните на пальцах если не затруднит.
Благодарю.

[Gektor]

Там большая статья сходи сюда: http://support.mtu.ru/helps/internet/ms-script_1.htm

[Mahler]

кто посылал письмо сегодня на ladder там вирусы были, у меня его антивирус автоматом удалил. Так что сейвов я не получал

[Mahler]

опять послали два других вируса на ladder c как бы info*microsoft.com

[Гость]

Originally posted by Mahler*28.07.2004 - 18:09
опять послали два других вируса на ladder c как бы info*microsoft.com

ключевое слово "как бы"

даже если письмо придёт "как бы" от меня, а тем более от Буша-младшего - не открывай, если там приложен файл, который предварительно не был нами согласован

если там лежит zip-архив размеров от 29 до 41 килобайт, письмо сразу в корзину (такова печальная судьба приблудных архивов такого размерчика)

если там пришит графический BMP-файл, письмо сразу в корзину - эти звери умудрились найти уязвимость и в bmp после умелой подготовки, при кликаньи этот бмп куда-то не туда заводит систему

... меня уже замотали письма "как бы" от меня "как бы" мне же, из нонрелоуда в гранпри и обратно если посмотреть ip отправления, то получается то Италия, то Урюпинск какой-нить, где антивируса отродясь не выдывали, причём эти айпи на форуме не фигуририровали никогда... 100% работа спамерских вирусов

кстати, у спамеров собирать адреса с сайтов прямотыком уже не модно позавчера они атаковали сам Великий Гугль поназаражали компов новым червём, компы прочесали Гугль и отослали результаты "куда надо"

[Mahler]

так у меня антивирус все автоматом удаляет

[Гость]

почтительней надо быть, почтительней перед Творцами Вирусов они всегда на полшага впереди Творцов Антивирусов не верь ... хм... жене и тормозам ... и антивирусу