| 08.
06. 2004.
ŠIRI
SE NOVI CRV, Korgo.F
Organizacija US-CERT je primala obavijest o novom crvu Korgo.F ili
Padobot. Crv koristi manjkavost u operativnom sistemu koji udaljenom
napadaču omogućuje izvođenje koda sa sistemskim pravima. Crv traži
ranjive sisteme skeniranjem slučajnih IP-adresa na portu 445/tpc.
U koliko je pritom uspješan, uspostavlja vezu na portu 113/tpc ili
3067/tpc i pokušava se povezati s IRC-serverima.
Dalje...
PONOVO
Mydoom
Kaspersky Labs uočio je novog internet crva - imenom Plexus.a, koji
za širenje koristi čak tri metode. Plexus se širi preko priključenih
dodataka u e-mailu, u mrežama za razmjenu datoteka te preko propusta
LSASS i RPC DCOM u okruženju Windows. Temeljna analiza izvornog
koda crva je pokazala da je temeljen na izvornom kodu crva Mydoom.
17.
05. 2004.
NOVI TROJANAC
Kaspersky
Labs je dao informaciju o širenju novog trojanca koji za nosioca
koristi BMP fajlove. Ovaj trojanac
je dobio naziv "Agent", a koristi nedostatak u MS
Internet Exploreru verzije 5.0 i 5.5 koji omogućava aktivaciju
malicioznog koda putem modifikovanog BMP fajla.
Ovaj nedostatak MS IE-a je prvi put otkriven 16. februara 2004.
godine.
Trenutno,
"Agent" napada samo mašine koje koriste lokalizovanu rusku
verziju Win 2000, a po infekciji, mašina se konektuje na udaljeni
server koji se nalazi na libijskom domenu i instalira trojanca sa
imenom "Throd". Prema riječima g. Jevgenija Kasperskog,
"Throd" je očigledno napisan za potrebe spamera pošto
sa zaraženih mašina sakuplja e-mail adrese iz adresara i organizuje
mrežu zombi mašina za masivne spamerske napade. Prema g. Kasperskom,
ovo je još jedan dokaz o povezanosti pisaca virusa i spamera.
Nažalost,
Microsoft još nije objavio zakrpu za ovaj propust, a očekuje se
uskoro neka od mutacija pomenutog trojanca bude primjenjena i na
sve ostale verzije Win 2000, a ne samo na rusku.
Trenutno,
jedini nacin odbrane je redovno ažuriranje baza, (informacije o
"Agentu" i "Throdu" se nalaze u KAV bazi) i
korisnici koju su ažurirali bazu su bezbjedni.
Više
detalja o ovom možete naci u Kaspersky Virus Enciklopediji:
http://www.viruslist.com/eng/viruslist.html?id=1503649
http://www.viruslist.com/eng/viruslist.html?id=1499171
13.
05. 2004.
PAŽNJA: NOVI VIRUS WALLON
U
vrlo kratkom roku Internetom se proširio novi virus Wallon.
Riječ je o virusu koji na računar dolazi nakon što korisnik odabere
link u pristigloj e-mail poruci, koji je "zamaskiran",
te djeluje kao da vodi do neke od poznatih web stranica. Nakon preuzimanja,
virus se aktivira kada korisnik pokuša pokrenuti mp3 ili video datoteku
putem Windows Media Playera, te briše program sa računara. Rješenje
protiv ovog virusa je u instaliranju posljednjih Microsoftovih
bezbjednosnih zakrpa te nadogradnja antivirusnih programa,
a nakon eventualne infekcije biće potrebno reinstalirati Windows
Media Player. Dalje...
12.
05. 2004.
NOVA VERZIJA CRVA SASSER
Anti
Virus stručnjaci su saopštili da je došlo do pojave novih verzija
crva Sasser, uprkos hapšenju navodnih autora.
Pretpostavlja se da se iza napada krije organizovana grupa koja
će i dalje stavljati u optjecaj nove zlonamjerne kodove. Naime,
otkrivena je nova verzija crva Sasser (Sasser.E),
koja, prema podacima međunarodne mreže tehničke pomoći Pande
Software, uzrokuje zaraze u čitavom svijetu. Sasser.E
putem Interneta traži ranjive računare. Nakon što ih napadne, stvara
svoju kopiju u folder Windows pod nazivom LSASSS.EXE.
Posljedica je sistemska greška koja zaraženi računar prisiljava
da se gasi i ponovno uključuje svakih 60 sekundi. Za razliku od
svojih prethodnika, Sasser.E briše sistemske verzije
crva Bagle.
03.
05. 2004.
NOVI VIRUS
Tokom
vikenda pojavio se novi crv Sasser, koji kao Blaster
inficira računare bez znanja korisnika. Prema izjavama stručnjaka,
broj zaraženih računara tokom vikenda mjeri se u milionima. Crv
napada korisnike operativnog sistema Windows (2000, XP, Server 2003)
koji nisu
nadograđeni bezbjedosnom zakrpom. Na Microsoftovim stranicama
objavljena su upustva
za čišćenje računara od ovog crva, a neophodno je i nadograditi
i definicije antivirusnih programa. Dalje...
Zakrpa
za MSBlast ne pomaže, već morate da skinete ovu zakrpu:
MS Windows 2000
ftp://ftp.prijedor.com/pub/sass/LSASS_patch_Win2000.exe
MS
Windows XP
ftp://ftp.prijedor.com/pub/sass/LSASS_patch_WinXP.exe
I Sasser
kao i MSBlast pogada samo Windows 2000 i XP familiju, dok su korisnici
Windows 95, 98 i Millenium sigurni.
Ako
vam je računar vec zaražen Sasser virusom, potrebno
je da izuzev zakrpe preuzmete i sledeći alat za čišcenje:
ftp://ftp.prijedor.com/pub/sass/Stinger.exe
Diskonektujte
se, upotrijebite Stinger, pa nakon toga i zakrpu. Resetujte računar
i možete ponovo na Internet bez brige.
19.
03. 2004.
TRI
NOVE VERZIJE CRVA BAGLE SA NOVIM NAČINOM ŠIRENJA
Finska
firma F-Secure Corporation obavještava korisnike
interneta da su se po njemu počele širiti poruke koje uzrokuju infekciju
računara crvom Bagle.Q, Bagle.R i Bagle.S. Crvi
koriste novi nacin širenja; na zaraženom računaru podese web server
koji prosleđuje zaraženu datoteku. To znači da neke poruke koje
crv pošalje, ne sadrže crva, već samo vezu sa računarom već zaraženog
korisnika. Ako primalac poruke nema instaliran Microsoftov
patch MS03-040, prenos i pokretanje datoteke se izvrši
samostalno.
09.
03. 2004.
VIRUS
SE LAŽNO PREDSTAVLJA KAO PRIJEDOR.COM
Upozoravamo
korisnike da se pojavio novi virus "I-Worm.Bagle.i."
koji se lažno predstavlja kao zvanični e-mail prijedor.com Interneta.
U pitanju je nova verzija "pametnog" crva Worm.Bagle
koji je specifičan je po tome što se lažno predstavlja koristeći
neku od zvaničnih e-mail adresa provajdera, kao što su: abuse, support,
staff, administrator, management i dr.
Tekst
poruke u e-mailu je na engleskom jeziku, a prilog uz e-mail sadrži
ZIP fajl zaštićen passwordom, zbog čega ga većina antivirus programa
ne detektuje. Postoje razne varijante teksta ovog e-maila, ali u
svakom stoji izmišljena poruka da ste, kao korisnik, napravili prekršaj
zbog koga Vas je provajder kaznio, te da za dalje informacije konsultujete
fajl prikačen uz poruku. U samom tijelu poruke se nalazi i password
kojim se ZIP fajl raspakuje.
Tekst
poruke:
Dear
user, the management of Prijedor.com mailing system wants to let
you
know that,
Your
e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
Please,
read the attach for further details.
Attached
file protected with the password for security reasons. Password
is
40782.
Kind
regards,
The Prijedor.com team
Kako
se radi o virusu, apelujemo na korisnike da ne otvaraju priloge
koje su dobili na opisani način, vec da taj e-mail odmah obrišu.
Službenicima
prijedor.com Interneta je izričito zabranjeno da uz e-mail poruke
šalju fajlove (attachmente). Ukolko je potrebno da primite neki
fajl od nas, za tu svrhu imamo WWW server i FTP server (http://www.prijedor.com/,
pa ce Vam službeno lice poslati samo link do potrebnog fajla.
Ukoliko
niste sigurni da li je Vaš racunar zaražen, alatku za čišćenje virusa
možete preuzeti na sledecoj lokaciji: ftp://ftp.prijedor.com/pub/stinger.exe
04.
03. 2004.
Virus
koji se širi koristeci ICQ
Ativirusna
kuća Kaspersky Labs obaviještava o novom računrskom
crvu koji se širi putem programa za instant messaging ICQ. Crv koristi
mogućnost programa da korisnici medusobno šalju "pozivnice"
za posjete određenim web stranicama. U ovom slučaju, ukoliko korisnik
dobije "pozivnicu" da posjeti web stranicu "Jokeworld"
za vrijeme učitavanja sadržaja iz popularnih crtanih filmova i stripova,
na računar, će pokušati prodrijeti crv napisan u Javi, koji će ukoliko
u tome uspije poslati adresu spomenute web stranice svim osobama
sa kontakt liste korisnika. Više
o ovoj temi...
02.
03. 2004.
I-Worm.Netsky.d
Proteklih
dana pojavila se nova verzija crva Netsky, koji
se velikom brzinom širi Internetom. Za svoje širenje koristi elektronsku
poštu, a aktivira se otvaranjem zaražene poruke.
Zaražena
poruka kao subject ima:
Re:
Re: Document, Re: Re: Thanks!, Re: Thanks!, Re: Your document, Re:
Here is the document, Re: Your picture, Re: Re: Message, Re: Hi,
Re: Hello, Re: Re: Re: Your document, Re: Here, Re: Your music,
Re: Your software, Re: Approved, Re: Details, Re: Excel file, Re:
Word file, Re: My details, Re: Your details, Re: Your bill, Re:
Your text, Re: Your archive, Re: Your letter, Re: Your product,
Re: Your website...
Sadržaj zaražene
poruke je jedan od sljedecih:
Your
document is attached.
Here is the file.
See the attached file for details.
Please have a look at the attached file
Please read the attached file.
Your file is attached.
Attachment
je fajl cije ime se nasumice bira od veceg broja imena, a karakteristicno
je da svaki ima ekstenziju .pif
Kad
se pokrene, virus u Windows direktoriju kreira fajl pod imenom winlogon.exe,
a e-mail adrese na koje ce se kasnije sam slati nalazi skenirajuci
sve fajlove na disku koji u sebi mogu imati takve podatke.
Virus
je programiran da po aktiviranju pronalazi i briše virus Mydoom,
kao i Kaspersky antivirusni softver.
Izvor:
BLIC.NET ISP blic.abuse
Preporucujemo
vam da iskoristite Symantec-ov
program za uklanjanje ovog virusa.
22.
02. 2004.
I-Worm.Bagle.b
Pojavio
se još jedan virus pod imenom I-Worm.Bagle.b, a
neki proizvodaci antivirusnog softvera nazivaju ga još I-Worm.Tanx-a
i I-Worm.Alua. Prenosi se putem elektronske pošte,
koristeci pri tome vlastiti SMTP server.
Pri
aktiviranju, virus u sistemskom direktoriju Windows-a kreira au.exe
fajl. Potom se pokušava spojiti na veci broj Web lokacija, koje
su povezane na Trojan Proxy server.
Širi se slanjem zaraženih poruka na adrese koje pronade u wab, txt,
htm i html fajlovima, a zaražene poruke imaju sljedece elemente:
zaglavlje
poruke: ID x..... thanks, gdje je x slucajno odabran karakter
sadržaj poruke: Yours ID x -- thank, gdje je x slucajno odabran
karakter
Attachmenti
mogu biti sa razlicitim imenima, odabranim slucajno, a velicina
im je 11 KB.
Nakon
instalacije, virus otvara port 8866, preko kojeg otvara mogucnost
kontrole zaraženog racunara. Prema tvrdnjama proizvodaca antivirusnog
softvera, virus je programiran da zaustavlja svoje širenje 25. februara
2004. godine.
31.
01. 2004.
Lažna obavještenja o virusu Jdbgmgr.exe
Iako
je lažna obavijest o postojanju virusa pod imenom Jdbgmgr.exe
pocela kružiti još u maju 2001. godine, mnogi naši korisnici nisu
upoznati sa ovom informacijom. Stoga se u zadnje vrijeme pojavljuje
sve više pitanja vezanih za postojanje ovog "virusa".
Ne
radi se ni o kakvom virusu, vec o regularnom Microsoft Debugger
Registrar for Java fajlu, koji je sastavni dio svih Windows
XP, Windows NT 4.0, Windows 98 Second Edition, Windows 98 i Windows
95 operativnih sistema.
Dakle, postojanje tog fajla u vašem sistemu ne znaci postojanje
virusa. Neki virusi, poput I-Worm.Efortune.31384, ciljno
pogadaju upravo pomenuti fajl, kako bi izazvali njegovo brisanje
od strane antivirusnog softvera ili samog korisnika racunara.
Ako
ste fajl vec izbrisali, u vecini slucajeva nece biti potrebna njegova
reinstalacija, zavisno od vrste poslova koje radite na vašem racunaru.
Ako vam ipak zatreba, uputstvo za reinstalaciju možete pogledati
na stranici Microsoft-a.
Više
informacija o ovom problemu možete procitati na Web stranici firme
Symantec, koja proizvodi poznati Norton antivirusni softver.
29.
01. 2004.
Pojavila
se nova verzija crva MyDoom
Antivirusna
kuća KasperskyLabs
objavila je kako je izolovala novu verziju crva MyDoom. Riječ je
o modifikovanoj verziji originalnog crva, koji je nazvan MyDoom.b.
Vjeruje se da se MyDoom.b širi sa racunra koji su vec zaraženi prethodnom
verzijom, a najvažnija razlika je u tome što je meta za DoS napad
uz SCO sada i Microsoftova internet stranica. Prema posljednjim
informacijama, preko 600.000 računara zaraženo je MyDoomom. Opširnije...
29.
01. 2004.
Kako ocistiti
računar od crva MyDoom
Symantec
je na svojim web stranicama omogućio download malog programa (148KB)
nazvanog "Novarg
removal tool" koji je namijenjen isključivo uklanjanju
najnovijeg crva koji je u posljednjih nekoliko dana poharao sto
hiljada računara širom svijeta. Ukoliko sumnjate da je vaš računar
zaražen crvom MyDoom (koji se još naziva i Mimail.R, Novarg.A, Shimg,
W32.Novarg.A@mm, W32/Mydoom@MM) preuzmite
ovaj besplatan program i slijedite upustvo za korištenje.
|
