Novi virus sa client/server arhitekturom!!! (?)

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Tokom prošle noći vodila se teška bitka da se razume nova invazija daunloadera koji podsećaju na Bagle ali koji se ne repliciraju. Postoji nekoliko različitih vrsta ovih daunloadera i svaki od njih pokusava da sa nekoliko desetina sajtova povuče misteriozni program kako bi ga startovao.

Tada smo ukapirali šta se dešava: postoje najmanje dve nove varijante Bagle crva koji se takođe šetkaju po divljini. Jedna od stvari koje ove nove nemani rade je da koriste inficirane kompjutere kako bi sa njih slali spam sa fajlom "doc_01.exe" u attachmentu. (ovaj fajl kada se startuje dropuje winshost.exe i wiwshost.exe koji pokusavaju da "svuku" izvršni fajl z02.jpg).

Dakle, ne samo da šalju email sa virusom nego i veliki broj emailova sa daunloaderom koji se sam ne širi dalje.

Do sada smo primetili 4 različita daunloadera i 2 različita Bagle-a... a najverovatnije ima još 2 na koje još nismo naleteli (15:30).

Ima još. Ova nova varijanta Bagle-a koristi client / server arhitekturu da bi se dalje širio.

Molim? Klijent/server virus?

Normalni Bagle pretražuje lokalni hard drajv kako bi našao email adrese na koje će se poslati. Ove nove varijante, pak, se povezuju na web back-end. Back-end server uzvraća informaciju sa 50 jedinstvenih email adresa koji generiše koristeći directory harvesting tehnike. Tada virus šalja kopiju sebe na te adrese i vraća se na početak petlje.

Tipično, lista adresa koju server šalje u povratnoj informaciji izgleda ovako:



Ovaj back-end server je hostovan na hakovanoj stranici na adresi oceancareers.com. Mi smo im poslali jedan email sa odabranim re;ima i nadamo se da će prestati sa tim akcijama.

Inače ovu stvar detektujemo kao Email-Worm.Win32.Bagle.bb ali ćemo ga uskoro sigurno drugačije kategorizovati.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Dobio sam neko obavestenje>>>
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
UPOZORENJE !

Od Microsofta i Nortona je stiglo obavestenje da od subote po mailovima kruzi virusna poruka: "Life is beautiful.pps". Ako ga otvorite, na ekranu se ispise: "It is too late now, your life is no longer beautiful" i iz PC se izbrise sve sto je bilo u njemu. AOL upozorava da antivirusni Sofrware za njegovo unistenje jos uvek ne postoji. Virus je napravio haker pod imenom "Life owner".

Prosledite ovo upozorenje svima koje poznajete
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
jel to ima veze sa tim?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Meni to vise lici na hoax

jedno od onih lancanih pisama ... ne salji nikome dalje ali ipak ne otvaraj .ppt-ove koje ne ocekujes

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Izvini ali mozes li malo da pojasnis za nas obicne gradjane.
Iskreno nista ne razumem ono sto si napisao.
Da li mi stize na mail ili prilikom otvaranja neke stranice se aktivira virus?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Izvini, ovo je bila vise prica o "novom" konceptu nego upozorenje...

Dakle downloader moze da se pokupi na sajtovima ako niste adekvatno zasticeni a sam crv ide emailom.

U svakom slucaju i za ovaj "virus" vaze pravila kao i za svu ostalu gamad ... ne otvarati attachmente koje ne ocekujete