От	Олег Грановский
К	All
Дата	11.03.2002 01:14:15
Рубрики	Прочее;

Осторожно - вирусы!

---

Здравствуйте!

Пришло мне письмо вроде как от Чобитка (vchobitok)

В теме написанно Boris

Антивирус выдал придупреждение - тип вируса w32.klez.E@mm

(к письму прилагался attachment, который я понятное дело не раскрывал).


Олег Грановский, http://waronline.org/IDF/index.shtml

---

От	Vadim
К	Олег Грановский (11.03.2002 01:14:15)
Дата	12.03.2002 08:15:04

Ре: Осторожно -...

---

Приветствую

То несчастное послание "от Давида" с аттачментом уже 2-й день пытается залезть в mailbox каждый раз как я проверяю mail, на что Касперский говорит "Code, suspected for virus: Exploit.IFrame.FileDownload"

Т.е. мой адрес ПОСТОЯННО атакует один и тот же message. Есть какие метОды кроме блокировки данного e-mail адреса?

---

От	Богенбай
К	Vadim (12.03.2002 08:15:04)
Дата	12.03.2002 08:23:40

Ре: Осторожно -...

---

>Приветствую

>То несчастное послание "от Давида" с аттачментом уже 2-й день пытается залезть в mailbox каждый раз как я проверяю mail, на что Касперский говорит "Code, suspected for virus: Exploit.IFrame.FileDownload"

>Т.е. мой адрес ПОСТОЯННО атакует один и тот же message. Есть какие метОды кроме блокировки данного e-mail адреса?

Письмо это валяется на сервере и пытается скачаться. Я делаю либо так - залезаю на сервер (бат позволяет получить только заголовки и убить ненужное письмо прямо на сервере) и там убиваю, либо отключаю АВП, скачиваю письмо и убиваю его у себя.
Вирусов пока от меня никто не получал...

---

От	Vadim
К	Богенбай (12.03.2002 08:23:40)
Дата	12.03.2002 09:00:36

Не

---

Приветствую

Что ты будешь делать, оно все равно продолжает приxодить, не смотря на то, что я все мессаджи с сервера удалил.

Вот так. Блокировал адрес.

---

От	СанитарЖеня
К	Олег Грановский (11.03.2002 01:14:15)
Дата	11.03.2002 08:59:52

Особенность вируса.

---

Помимо распространения обычным путем - создает файлы (исполняемые или архивы) с хитроумным именем типа
tank.jpg (Это имя, а не расширение! расширение идет далее...), rammstein.mp3, 300$.htm, manual.doc и т.п. в надежде, что на них кликнут... И они начнут выполняться (писхологическое оружие, однако...). Благодаря архивации они могут не обнаруживаться обычными антивирусами. Признаки:
- имя, содержащее точку и "расширение" после нее
- длина около 80К

---

От	Dmitri
К	СанитарЖеня (11.03.2002 08:59:52)
Дата	12.03.2002 09:39:01

Re: Особенность вируса.

---

Прикручиваешь drweb к почтовику на релеэ и спишь спокойно. И все спят спокойно. И нет
таких длинных тредов.

---

От	Artur Zinatullin
К	СанитарЖеня (11.03.2002 08:59:52)
Дата	11.03.2002 17:16:17

Re: Особенность вируса.

---

> Помимо распространения обычным путем - создает файлы (исполняемые или архивы)
> с хитроумным именем типа tank.jpg (Это имя, а не расширение! расширение идет далее...)
В том числе и из-за этого надо говорить винде, чтобы никогда никаких расширений не прятала.

> они могут не обнаруживаться обычными антивирусами. Признаки:
Наши батарейки в четырнадцать раз лучше, чем обычные.
Тот же Касперский в архивах ищет.

artur@merit.ee :: Artur Zinatullin :: GSM +37 251 11859
guitar, blues, love, friends, summer, !violence, !rush

---

От	Alexey A. B.
К	Олег Грановский (11.03.2002 01:14:15)
Дата	11.03.2002 07:25:23

Re: ДА они ползают уже пару дней. "Касперский" постоянно предупреждает (+)

---

Привет!

>Здравствуйте!

>Пришло мне письмо вроде как от Чобитка (vchobitok)

>В теме написанно Boris

>Антивирус выдал придупреждение - тип вируса w32.klez.E@mm

>(к письму прилагался attachment, который я понятное дело не раскрывал).


>Олег Грановский, http://waronline.org/IDF/index.shtml
====================================

... к вам "троян" лезет. Причем, просто зашел на какой-то даже неподозрительный сайт - и... Отключаюсь и полный антивирус делаю...
Счастливо!

---

От	Олег К
К	Alexey A. B. (11.03.2002 07:25:23)
Дата	11.03.2002 10:46:04

Re: ДА они...

---

Это "клецка" как миленького касперсокого из компьютера вычищает. И полный привет.
И еще с пяток самых распространенных антивирусов. Dr.Web помогает. А еще лучши запускать антивирус с сидюка.

---

От	Rash
К	Олег К (11.03.2002 10:46:04)
Дата	11.03.2002 12:44:37

Re: У касперского на сайте лежит утилита. Грузишь из командной строки и все ОК (-)

---

---

От	Олег К
К	Rash (11.03.2002 12:44:37)
Дата	11.03.2002 15:28:14

У касперского может и ок.

---

А реально она ничего не делает.

http://www.voskres.ru/

---

От	Rash
К	Олег К (11.03.2002 15:28:14)
Дата	11.03.2002 15:57:14

Re:Что значит не делает ? Лично два компа пролечил (Вин2К) (-)

---

---

От	Олег К
К	Rash (11.03.2002 15:57:14)
Дата	11.03.2002 16:59:39

То и значит.

---

Запускается и завершается.
ничего не делая.



http://www.voskres.ru/

---

От	Mike
К	Олег К (11.03.2002 16:59:39)
Дата	11.03.2002 21:05:21

Re: То и...

---

я DrWeb'ом свежим данного виря извел с полпинка. уже было в привычку вошло каждый день их получать. сейчас, слава Богу, этот период прошел

---

От	Тов.Рю
К	Олег Грановский (11.03.2002 01:14:15)
Дата	11.03.2002 02:10:15

Червь опасный, но лечится легко

---

>Антивирус выдал придупреждение - тип вируса w32.klez.E@mm

Зайдите сюда - прямо на титульной странице:
http://www.viruslist.com/index.html?tnews=1007&id=79978

Запускать лучше с рабочего стола.

>Олег Грановский
С уважением

---

От	Чобиток Василий
К	Олег Грановский (11.03.2002 01:14:15)
Дата	11.03.2002 01:26:09

Администрации.

---

Привет!


Поскольку не первый случай и может коснутся и остальных, до выяснения обстоятельств дела просьба ветку не удалять.


С уважением, В.Чобиток http://armor.kiev.ua/

---

От	М.Свирин
К	Чобиток Василий (11.03.2002 01:26:09)
Дата	11.03.2002 02:25:20

Вася! Мне регулярно приходят письма с "ворм-клецом" от имени якобы ВИФовцев. (-)

---

---

От	Коля-Анархия
К	М.Свирин (11.03.2002 02:25:20)
Дата	11.03.2002 07:50:48

Амне ни разу не приходило... (-)

---

---

От	М.Свирин
К	М.Свирин (11.03.2002 02:25:20)
Дата	11.03.2002 04:17:56

Снгодня опять два письма. (-)

---

---

От	Богенбай
К	М.Свирин (11.03.2002 04:17:56)
Дата	12.03.2002 08:21:00

Re: Снгодня опять...

---

Мне в свое время как раз с адреса Свирина пришло письмо с вирем;) Ну, убил и все. А то столько разговоров...
Юзайте Бат;)

---

От	М.Свирин
К	Богенбай (12.03.2002 08:21:00)
Дата	12.03.2002 12:55:28

У меня его нет. (-)

---

---

От	Кирасир
К	М.Свирин (11.03.2002 04:17:56)
Дата	11.03.2002 16:05:18

Ну это же естественно - с кем переписываешься, от того червяков и получаешь.

---

мне вот все больше под маркой писем от авторушников валят..
WBR Андрей aka Kirasir

---

От	М.Свирин
К	Кирасир (11.03.2002 16:05:18)
Дата	12.03.2002 02:02:41

В том-то и беда, что больше не с теми, а с другими, но с ВИФ-2. (-)

---

---

От	Чобиток Василий
К	Олег Грановский (11.03.2002 01:14:15)
Дата	11.03.2002 01:22:49

УБЕДИТЕЛЬНАЯ ПРОСЬБА!!

---

Привет!

Покажи полный текст письма (для этого аттач открывать не нужно) с заголовками (RFC-822).

С уважением, В.Чобиток http://armor.kiev.ua/

---

От	Олег Грановский
К	Чобиток Василий (11.03.2002 01:22:49)
Дата	11.03.2002 21:23:59

Не могу - я его сразу стёр. (-)

---

---

От	Wadim A. Sigalov
К	Чобиток Василий (11.03.2002 01:22:49)
Дата	11.03.2002 16:19:14

Re: УБЕДИТЕЛЬНАЯ ПРОСЬБА!!

---

Пламенный шалом!

Два дня назад я сделал это и вместо награды получил предупреждение от Администрации... 8-)
А теперь уже поздно.
Интересно другое - каким образом я оказался в числе Ваших адресатов, если до этого дня мы ни разу не обменивались письмами.
Или это проявление деятельности некой третьей стороны, попытка подставить подписчика?

Леhитраот, Мидав

---

От	Чобиток Василий
К	Wadim A. Sigalov (11.03.2002 16:19:14)
Дата	11.03.2002 22:47:34

Re: УБЕДИТЕЛЬНАЯ ПРОСЬБА!!

---

Привет!

>Пламенный шалом!

>Два дня назад я сделал это и вместо награды получил предупреждение от Администрации... 8-)

Надо было к администрации верно обратиться :)

>А теперь уже поздно.
>Интересно другое - каким образом я оказался в числе Ваших адресатов, если до этого дня мы ни разу не обменивались письмами.

Это во-первых, а во-вторых по причине крайней неорганизованности у меня нет адресной книги :)

>Или это проявление деятельности некой третьей стороны, попытка подставить подписчика?

Об этом я и говорил. Одно из двух, или это кто-то с mail.ru балуется или вирус слишком умен и попадая в чью-то адресную книгу рассылает письма как бы от людей из этой адресной книги.

Потому я и хотел посмотреть полный текст.

С уважением, В.Чобиток http://armor.kiev.ua/

---

От	Wadim A. Sigalov
К	Чобиток Василий (11.03.2002 22:47:34)
Дата	12.03.2002 00:04:41

Вот потроха полученного мной письма

---

Пламенный шалом!

===
Received: from mx4.mail.ru ([194.67.57.14]) by *; Fri Mar 8
07:50:51 2002
Received: from mx1.mail.ru (mx1.int [10.0.0.32])
by mx4.mail.ru (mPOP.Fallback_MX) with ESMTP id D677719F36A
for ; Fri, 8 Mar 2002 18:49:09 +0300 (MSK)
Received: from slip139-92-208-132.tel.il.prserv.net ([139.92.208.132] helo=Uet)
by mx1.mail.ru with smtp (Exim 3.14 #1)
id 16jMaT-000BSd-00
for wadim@*; Fri, 08 Mar 2002 18:47:18 +0300
From: vchobitok
To: wadim@*
Subject: A very funny game
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=C56ffL26yX49TMF0Z496i67PU5R4h
Message-Id:
Date: Fri, 08 Mar 2002 18:47:18 +0300


This is a special funny game
This game is my first work.
You're the first player.
I expect you would like it.

===

Леhитраот, Мидав

---

От	Чобиток Василий
К	Wadim A. Sigalov (12.03.2002 00:04:41)
Дата	12.03.2002 15:02:37

Ответ с mail.ru

---

Привет!

====
Здравствуйте, Василий Чобиток.

Скорее всего, кто-то указал при рассылке писем через почтовую программу Ваш адрес как обратный.
Очень часто так делают вирусы - берут произвольный адрес из адресной книги,
подставляют в письма его как обратный и рассылают сами себя.
Попробуйте обратиться к Вашим корреспондентам - пусть они проверят свои компьютеры на наличие
вируса.
И свой ПК проверьте обязательно.

С уважением, Михаил.
Служба поддержки пользователей
почтовой системы Mail.ru
====

В общем эта фигня будет продолжаться.

С уважением, В.Чобиток http://armor.kiev.ua/

---

От	Чобиток Василий
К	Wadim A. Sigalov (12.03.2002 00:04:41)
Дата	12.03.2002 11:44:31

Спасибо!

---

Привет!

>===
>Received: from mx4.mail.ru ([194.67.57.14]) by *; Fri Mar 8
>07:50:51 2002
>Received: from mx1.mail.ru (mx1.int [10.0.0.32])
> by mx4.mail.ru (mPOP.Fallback_MX) with ESMTP id D677719F36A
> for ; Fri, 8 Mar 2002 18:49:09 +0300 (MSK)
>Received: from slip139-92-208-132.tel.il.prserv.net ([139.92.208.132] helo=Uet)
> by mx1.mail.ru with smtp (Exim 3.14 #1)
> id 16jMaT-000BSd-00
> for wadim@*; Fri, 08 Mar 2002 18:47:18 +0300

По этому участку видно, что я к происхождению этого письма никакого отношения не имею.

>From: vchobitok

В поле From вставили мое имя из базы данных mail.ru, как могли вставить совершенно любое имя.

>To: wadim@*
>Subject: A very funny game
>MIME-Version: 1.0
>Content-Type: multipart/alternative;
> boundary=C56ffL26yX49TMF0Z496i67PU5R4h
>Message-Id:
>Date: Fri, 08 Mar 2002 18:47:18 +0300


>This is a special funny game
>This game is my first work.
>You're the first player.
>I expect you would like it.

Кстати, я вспомнил этот текст, ко мне тоже такое письмо приходило от кого-то из mail.ru, я его сразу удалил.

Сейчас буду ругаться с администрацией mail.ru.

Спасибо нашей Администрации за проявленное терпение! :)

С уважением, В.Чобиток http://armor.kiev.ua/

---

От	Mike
К	Чобиток Василий (11.03.2002 22:47:34)
Дата	11.03.2002 23:04:48

Re: УБЕДИТЕЛЬНАЯ ПРОСЬБА!!

---

>Об этом я и говорил. Одно из двух, или это кто-то с mail.ru балуется или вирус слишком умен и попадая в чью-то адресную книгу рассылает письма как бы от людей из этой адресной книги.

именно это он и делает

>Потому я и хотел посмотреть полный текст.

клеза заслать? их есть у меня :)
но ничего там интересного нету

---