Danas se pojavio (Izvjestaj o novim virusima)

[Hari Krisna]

Posto je ljeto izgleda da i virusi miruju. Doduse pojavljuje se mutirani Mytob a
zloupotreba najnovijih dogadjaja u Londonu je i Worm.Spexta
Ako dobijete postu sa temom: TERROR HITS LONDON ili neki drugi naslov a do poste je zakaceno: London Terror Moovie.avi izbrisite jer provjerom tog fajla svoj kompjuter pretvarate u masinu za slanje spama.
Mikrosoft nas je obradovao novim biltenom, a ta literatura je na:
http://www.microsoft.com/technet/sec.../MS05-037.mspx

[Trinity from Zion]

Najrašireniji virusi u avgustu
----------------------------------------------------------------------
Kompanija Kaspersky Labs objavila je rang-listu dvadeset najraširenijih virusa u avgustu. Najvažnija karakteristika najnovije liste je povratak jedne od varijanti virusa NetSky na prvo mesto rang-liste i prestanak dominacije virusa iz familije Mytob.

Virus Mytob.C se nalazio na prvom mestu liste tri meseca uzastopce, nasledivši u tom periodu prošlogodišnjeg "pobednika" virus NetSky.Q, međutim
u avgustu se situacija preokrenula. Netsky.Q je povratkom na prvo mesto
obeležio presudu izrečenu njegovom autoru Svenu Jašanu, a viruse iz familije
Mytob, čliji se broj pripadnika na listi smanjio, potisnuli su "veterani" - virusi Bagle, Zafi, Mydoom i NetSky.

Na avgustovskoj listi se nalazi samo jedna pridošlica - virus Mytob.BT. Ta
verzija virusa je skoro potpuno identična svojim prethodnicima, a analitičari smatraju da članovi hakerske grupe HellBot dodaju u programski kod novih varijanti Mytoba naredbe koje zavaravaju antivirusne stručnjake, navodeći ih da pomisle da se radi o običnim programskim instrukcijama.

Mytob se od marta ove godine, kada se pojavila njegova originalna verzija,
pojavio u više desetina verzija, koje se neznatno razlikuju jedna od druge. Za svaku od njih je, međutim, karakteristično da onesposobljava antivirusni softver na napadnutom računaru i preusmerava vezu sa Internetom, kako bi
onemogućila korisnika da pristupi Web lokaciji nekog od proizvođača
antivirusnog softvera. Novije verzije crva otvaraju mala vrata na napadnutom
računaru, što omogućava napadačima da ga preuzmu.

Lista najraširenijih virusa u avgustu izgleda ovako:

1. NetSky.Q
2. Mytob.C
3. Zafi.B
4. Zafi.D
5. Mytob.BE
6. Mytob.BK
7. NetSky.AA
8. Mytob.BT
9. NetSky.B
10. Mytob.BI
11. Mytob.AU
12. NetSky.D
13. Mytob.U
14. Mytob.AR
15. LovGate.W
16. Mytob.Q
17. Mytob.T
18. Mydoom.L
19. Mydoom.M
20. Bagle.AH

[Trinity from Zion]

Otkriven prvi virus koji napada Vistu
----------------------------------------------------------------------
Antivirusna kompanija F-Secure objavila je saopštenje u kome se navodi da je
neimenovani austrijski haker zaslužan za pojavljivanje prvog virusa koji napada novi Microsoftov operativni sistem Windows Vista.

Virus se pojavio u julu, a antivirusni stručnjaci iz kompanije F-Secure navode da iskorišćava bezbednosne propuste u Vistinom novom komandnom okruženju, čije je radno ime Monad. Zanimljivo je da je programski kod virusa objavljen u priručniku za pisanje virusa koji je objavila hakerska grupa pod imenom Ready Ranger Liberation Front.

Za razliku od ranijih verzija Windowsa koje su imale uobičajeno grafičko
korisničko okruženje, u kome korisnik većinu komandi zadaje mišom, Vistino
komandno okruženje omogućava upotrebu tekstualnih komandi, nalik korisničkom okruženju u DOS-u.

Istraživači kompanije F-Secure dali su novom virusu ime Danom (Monad
unatraške). "Virus je napisao haker čiji je nadimak Second Part to Hell, mada znamo da ponekad koristi i nadimak Mario", kaže Mika Hiponen iz kompanije F-Secure. Po njegovim rečima, Danom se pojavio 21. jula, samo nekoliko dana uoči pojavljivanja prve beta verzije operativnog sistema. Hiponen navodi i da je Second Part to Hell napisao u priručniku da će "zbog svojih naprednih mogućnosti, Monad biti pravi zlatni rudnik za hakere".

Nakon što je ispitao Danom, Hiponen smatra da se radi o remetilačkom virusu
koji neće naneti veću štetu korisnicima računara. Po njegovim rečima, radi se o "ispitivanju terena" i pripremama pisaca virusa za pojavljivanje nove platforme, mada tako brzo pojavljivanje virusa predstavlja iznenađenje. Poslednja verzija virusa koja je registrovana nosi naziv Danom.D.

Zbog mogućnosti da hakeri zloupotrebe Monad za izvršavanje svojih skriptova,
Hiponen veruje da komandno okruženje neće biti deo standardne verzije
Windows Viste. Pritom, on podseća na iskustvo koje je Microsoft imao sa
softverom Windows Script Host, koji je podrazumevano bio deo Windowsa 2000. "Bezbednosne propuste u tom softveru zloupotrebljavali su brojni pisci
virusa", kaže Hiponen.

[Trinity from Zion]

Zotob napada i Windows XP
----------------------------------------------------------------------
Kompanija Microsoft objavila je saopštenje u kome se navodi da Internet crv
Zotob, osim računara sa instaliranim operativnim sistemom Windows 2000,
napada i korisnike Windowsa XP.

U saopštenju se navodi i da su pojedini računari sa instaliranim servisnim
paketom 1 (SP1) ranjivi na isti način kao računari sa Windowsom 2000.

Zotob, ali i drugi Internet crvi koji su se pojavili prethodnih dana,
odgovorni su za rušenje više računarskih sistema ili njihovo neprekidno
restartovanje. Na udaru su se našli računarski sistemi najvećih američkih
medijskih kuća kao što su npr. ABC, CNN ili Njujrok Tajms. Crvi se šire
preko TCP/IP priključka 445 koji računari sa Windowsom koriste za razmenu
datoteka. Nakon što preuzme napadnuti računar, crv čeka na dalje instrukcije
koje mu stižu sistemom za mrežno ćaskanje Internet Relay Chat (IRC).

Analitičari smatraju da od nove epidemije Internet crva ne preti velika
opasnost, budući da je većina korisnika instalirala servisni paket 2 za XP
(SP2), ali su za svaki slučaj pozvali korisnike da ažuriraju svoj
antivirusni softver.

[Trinity from Zion]

Nova generacija "pametnih" Internet crva
----------------------------------------------------------------------
Više antivirusnih kompanija upozorilo je korisnike sistema za trenutno
slanje poruka na pojavu nove generacije "pametnih" Internet crva koji
proveravaju konfiguraciju njihovih klijenata za slanje poruka, a zatim šalju
poruke na odgovarajućem jeziku.

Kompanije Akonix Systems i Symantec izvestile su o pojavi crva Kelvir.HI i
navele da se radi o prvom crvu koji proverava konfiguraciju napadnutog
računara. Korisnicima sistema za trenutno slanje poruka MSN Messenger stiže
poruka "Ha ha pronašao sam tvoju sliku" (Haha I found your picture) sa
priloženom hipervezom; u slučaju da neoprezni korisnik odabere hipervezu,
crv prodire u njegov računar, instalira se i počinje da šalje poruke na
holandskom, engleskom, francuskom, nemačkom, grčkom, portugalskom,
švedskom, španskom i turskom jeziku.

Kelvir.Hi napada računare sa raznim verzijama Windowsa, (95, 98, Me, NT,
2000 i XP) ali i Windows Server 2003.

[Trinity from Zion]

Dvadeset najraširenijih virusa u avgustu
----------------------------------------------------------------------
Kompanija Kaspersky Labs objavila je rang-listu dvadeset najraširenijih virusa u avgustu.

Ovomesečnu top-listu virusa obeležila je smena na vrhu - virus NetSky.Q
smenio je prošlomesečnog lidera virus Mytob.C. Analitičari kompanije
Kaspersky Labs ističu da je ovog meseca poredak na listi, na neki način,
odredio rat koji poslednjih dana besni među autorima virusa - hakerske grupe
međusobno napadju jedna drugu, puštajući na Mrežu viruse-ubice drugih virusa. Neretko, Web lokacije tih grupa bivaju oborene koordiniranim napadom
pripadnika druge grupe.

U izveštaju kompanije Kaspersky navodi se da je Internet crv Mytob.C dobio
višemesečnu borbu za prevlast koju je vodio sa virusom Netsky.Q, ali se
upozorava i na crve iz porodice Zotob čije najnovije verzije korisnicima stižu elektronskom poštom. Taj crv napada računare sa instaliranim Windowsom
2000, a odgovoran je za rušenje računarskih sistema u mnogim poznatim
kompanijama i medijskim kućama, kao što su npr. Njujork Tajms, CNN, ABC,
Caterpillar i General Electric. Lokalne policijske vlasti uhapslile su nedavno Marokanca Farida Esebara (18) i Turčina Atilu Ekičija (21) i optužile ih za stvaranje i distribuciju crva Zotob, Rbot i Mytob.

Lista najraširenijih virusa u avgustu izugleda ovako:

1. Mytob.C
2. NetSky.Q
3. Zafi.B
4. Zafi.D
5. Mytob.BK
6. NetSky.B
7. NetSky.AA
8. LovGate.W
9. Mytob.BE
10. Mytob.BI
11. Mytob.Q
12. Mytob.T
13. Mytob.H
14. Mytob.U
15. NetSky.T
16. Mytob.AU
17. Mytob.BT
18. Mytob.R
19. Mytob.A
20. Mytob.B

[Hari Krisna]

Pohvale Trinity, za vijesti i sto ne zaboravlja ovaj topic, a sto se tice novih virusa interesantno je da se pojavio virus koji je brzi i od beta 1 verzije Outlook Expresa Windowsa Vista.
Jedna od novina tog windowsa je koriscenje komande monad koja ima mogucnosti kao i linuxova bash i bas preko nje nadjena je rupa za virus Danom. Nadajmo se da ce se to popraviti do finalne verzije i da ce vec spremljeni virusi zakucati na zatvorena vrata.

[Trinity from Zion]

Hvala, Hari. ;-)

Trojanac moralista
----------------------------------------------------------------------
Antivirusna kompanija Sophos PLC izvestila je o pojavi novog trojanca na
Internetu, čiji autori su na sebe, izgleda, preuzeli ulogu moralnih čuvara
Weba.

Radi se o trojancu Yusufali.A koji, za razliku od svojih "kolega" koji
tragaju za osetljivim finansijskim i ličnim informacijama, motri na navike
korisnika Interneta. Ukoliko u adresnoj liniji čitača Weba primeti nepoćudan
termin kao npr. "seks" (sex) ili "izlaganje" (exhibition), trojanac sakriva
Web lokaciju i umesto nje na monitoru računara ispisuje poruku inspirisanu
izrekom iz Korana. Jedna od zabeleženih poruka glasi: "Alah zna šta radite i
kako se ponašate u svojim kućama". Ukoliko korisnik odmah ne napusti Web
lokaciju na kojoj je boravio, Yusufali.A mu šalje novu poruku koja glasi
"Oh, ne, u zatvoru sam" i odjavljuje korisnika iz operativnog sistema.

Iako mnogi poistovećuju "trojanske konje" sa virusima, pre svega zato što i
jedni i drugi sadrže zlonamerne programe, trojanci ne pokušavaju da se šire
sa računara na računar, već se zadovoljavaju njihovim preuzimanjem i
otkrivanjem poverljivih informacija. Što se tiče "čistunca" kakav je, bar
zasad Yusufali.A, čini se da on ne nanosi nikavu štetu računarima do kojih
stigne, navode analitičari kompanije Sophos.

Trojanac Yusufali.A korisnicima stiže prikačen uz poruku elektronske pošte,
a instalira se na napadnutom računaru ako neoprezni korisnik pokuša da
otvori priloženu datoteku. Iako se izgleda radi o dobroćudnom trojancu,
Sophosovi stručnjaci su preporučili korisnicima da ažuriraju svoj
antivirusni softver i objavili Web adresu
http://www.sophos.com/virusinfo/anal...yusufalia.html, na kojoj svi
koji su naišli na novog trojanca mogu potražiti pomoć.

[Trinity from Zion]

"Mobilni" trojanci napadaju i računare
----------------------------------------------------------------------
Predstavnici antivirusne kompanije F-Secure saopštili su da su autori virusa
izgleda pronašli način da svoje zlonamerne programe prenesu sa mobilnih
telefona na PC računare. Po njihovim rečima, zabeležena je pojava novog
trojanca, koji se predstavlja kao piratizovani zabavni softver za mobilne
telefone, pokušavajući da zarazi PC računare uz pomoć memorijske kartice iz
telefona.

"Iako novi trojanac ne predstavlja ozbiljnu opasnost po korisnike računara,
on ipak predstavlja prvi slučaj napada jednog mobilnog virusa na PC
računar", izjavio je Miko Hiponen, rukovodilac istraživačkog odeljenja
kompanije F-Secure. Antivirusna kompanija Trend Micro označila je
potencijalnu opasnost od novog trojanca oznakom "niska".

Trojanci se obično instaliraju na napadnutim uređajima tako što zavaravaju
njihove korisnike maskirajući se u neku drugu vrstu softvera. Među
trojancima se nalazi čitav niz raznovrsnih zlonamernih programa, uključujući
i viruse koji se šire mobilnim mrežama prenko Bluetooth veze ili putem MMS
poruka. Zlonamernici napadaju mobilne telefone sa operativnim sistemom
Symbian 60, ali i Microsoftov operativni sistem Windows Mobile. Operativni
sistem Symbian 60 koristi veliki broj proizvođača mobilnih telefona,
uključujući kompanije Nokia i Siemens AG.

U zabeleženom slučaju, trojanac Sybos/Cardtrap.A se krije u piratizovanoj
verziji igrice za mobilne telefone koju korisnici preuzimaju sa Interneta.
Trojanac pokušava da se prebaci na PC računar, tako što kopira dve datoteke
na memorijsku karticu telefona. Kada korisnik tu karticu poveže sa računarom
i odabere jednu od inficiranih datoteka, trojanac pokreće Internet crva koji
se širi na sve računare u računarskoj mreži.

Prema navodima stručnjaka iz kompanije F-Secure, napadi mobilnih virusa su u
porastu, mada oni još uvek nisu ni približno rašireni kao računarski virusi.
Istraživači iz kompanije F-Secure procenjuju da je crv Cabir, koji koristi
Bluetooth vezu da bi se širio na telefonima sa Symbianom, dosad zabeležen u
28 zemalja. Drugi virus koji napada telefone sa operativnim sistemom
Symbian, Commwarrior, registrovan je u 19 zemalja. Taj crv se širi pomoću
Bluetooth veze ili putem MMS poruka.

[BOLOGMO]

Attention!Your computer has been atacked from the Internet.
Network attack Helkern from adres 60.191.129.114 has been successfuly repelled

Po 3-4 puta mi se javlja ovo na dan !! Jel zaeban koliko ovaj virus !! Nekad se pojavi i kad nemam nijedan otvoren sajt,mirc, itd.

[Hari Krisna]

Kaspersky Anti-Hacker blokira vecinu popularnih napada iz mreze (DoS, Ping of Death, Land, Helkern, Lovesan...), a instaliraj neki firewal pa ti nece dosadjivati.

[Hari Krisna]

http://www.trendmicro.com/vinfo/defa...er=desc&page=1

[Trinity from Zion]

Trojanac zavarava korisnike programa Skype
----------------------------------------------------------------------
Antivirusna kompanija MessageLabs izvestilo je o pojavi trojanca koji se
širi Internetom predstavljajući se najnovija verzija programa za glasovnu
komunikaciju preko Interneta Skype.

Trojanac stiže priložen uz poruku elektronske pošte u kojoj se tvrdi da se
radi o verziji 1.4 programa Skype. Neoprezni korisnici koji pokrenu
priloženu datoteku, dobijaju lažnu poruku o grešci u instalaciji; za to
vreme zlonamerni program se instalira na njihovim računarima. Trojanac na
napadnutom računaru menja bazu Registry, onemogućava korišćenje Microsoftove usluge Update Service i pokušava da uspostavi vezu sa nekim od IRC servera.

Kompanija Skype je objavila saopštenje u kome navodi da korisnici njenog
istoimenog programa ne dobijaju elektronskom poštom informacije o izlasku
novih verzija programa. Osim toga, kompanija koristi digitalni potpis kojim
obezbeđuje autentičnost svog softvera.

Uputstva za proveru autentičnosti progranma Skype potražite na adresi
http://www.skype.com/security/.

[Trinity from Zion]

Najrašireniji virusi u oktobru
----------------------------------------------------------------------
Kompanija Kaspersky Labs objavila je rang-listu dvadeset najraširenijih
virusa u oktobru. Mesec koji je za nama bio je prebogat virusima, tako da su
analitičari kompanije Kaspersky Labs oborili sopstveni rekord, dodavši više
od 1400 novih definicija virusa u svoju bazu podataka. Ipak, predvodnik
liste je ostao nepromenjen, budući da se virus Mytob.C i dalje nalazi na
čelu liste.

Na drugo mesto se plasirao virus Doombot.B, jedan od pripadnika nove
generacije virusa, koji je veoma sličan virusu Mytob. Kao i Mytob, virus
Doombot korisnicima stiže prikačen uz poruku elektronske pošte, a širi se i
po kanalima za mrežno ćaskanje Internet Relay Chat (IRC). Neke od njegovih
karakteristika ipak su znatno drugačije, tako da su ga analitičari kompanije
Kaspersky Labs označili kao pripadnika druge porodice virusa. Vredi pomenuti
i virus Mytob.BI koji se nezaustavljivo probija ka vrhu top-liste. Taj virus
je u septembru zauzimao 19. mesto, dok se u oktobru popeo na četvrto mesto.

Kao ilustracija problema sa kojima se suočavaju antivirusni stručnjaci u
kompaniji Kaspersky Labs, može da posluži virus Doombot. D, koji je u
početku bio klasifikovan kao virus Mytob.DC. Naknadno je uočeno da se u kodu
virusa nalazi izraz "H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H" koji je pronađen
jedino u programskom kodu virusa iz porodice Doombot, tako da je njegov
naziv morao da bude promenjen. Takvi slučajevi ne treba da čude budući da
većina današnjih virusa predstavlja klonove virusa Mydoom, koji će uskoro
"proslaviti" svoj drugi rođendan.

Rang-lista najraširenijih virusa u oktobru, prema podacima kompanije
Kaspersky Labs, izgleda ovako:

1. Mytob.C
2. Doombot.B
3. Zafi.D
4. Mytob.BI
5. LovGate.W
6. NetSky.Q
7. Doombot.D
8. NetSky.B
9. Mytob.BK
10. Mytob.T
11. Mytob.Y
12. Mytob.BE
13. Mytob.Q
14. Mytob.U
15. Zafi.B
16. Fanbot.F
17. Bagle.DX
18. Bayfraud.HN
19. Mytob.R
20. NetSky.AA

Crv sa "skrivenim administratorom" napao AOL-ovu mrežnu uslugu
----------------------------------------------------------------------
Više kompanija specijalizovanih za bezbednost računara izvestilo je o pojavi
crva koji kruži mrežom za slanje trenutnih poruka (Instant Messenger, IM)
kompanije AOL.

O pojavi crva izvestile su kompanije Websense i FaceTime Communications,
koje su u AOL-ovom odeljku za mrežno ćaskanje uočile poruku sa sumnjivom
hipervezom. U tekstu poruke stoji "Vidi nešto!!" (see thing!!) ili "Veselo"
(hilarious).

Ako neoprezni korisnik odabere hipervezu, aktivira se crv W32/Sdbot-ADD koji
na računar korisnika prenosi datoteku lockx.exe, u kojoj se krije zlonamerni
program. Taj program omogućava napadaču da nadgleda zaraženi računar i
snima, odnosno preuzima datoteke sa njega. Program pokušava da na napadnutom
račuanru onesposobi instalirane antivirusne programe, kao i da otvori mala
vrata koja mogu biti iskorišćena za neopaženu instalaciju softvera. Datoteka
lockx.exe koja sadrži "skrivenog administratora" povezuje se i sa serverom
sistema za mrežno ćaskanje Internet Relay Chat (IRC) i čeka na instrukcije
svog autora.

Da podsetimo, termin "rootkit" je veoma star i vodi poreklo iz sveta
korisnika operativnog sistema Unix. Radi se o softverskoj alatci koja
omogućava korisniku sistema da za sebe prigrabi administratorska ovlašćenja.
Kada je u pitanju verzija te alatke za Windows, ona uglavnom služi za
sakrivanje ili instaliranje zlonamernih programa na napadnutom računaru.
Alatka sama po sebi nije opasna, ali je virusi, crvi i špijunski programi
koriste u zlonamerne svrhe. Problem leži u tome što "skrivenog
administratora", i program koji skriva, ne otkriva nijedan operativni sistem
ili uobičajeni antivirusni programi.

[Trinity from Zion]

Trojanac na čvrstim diskovima kompanije I-O Data
----------------------------------------------------------------------
Japanski proizvođač periferijskih uređaja, kompanija I-O Data, saopštila je da je izvesna količina prodatih i već isporučenih čvrstih diskova zaražena
virusom. Kompanija se izvinila kupcima i ponudila im da zamene kupljene diskove.

Radi se o čvrstim diskovima iz serije HDP-U, koji su namenjeni za ugradnju u prenosivim računarima. Stručnjaci kompanije sumnjaju da je jedna količina diskova zaražena trojancem Tompai.A, koji otvara vrata na zaraženom računaru i omogućava napadaču da preuzme računar.

Kompanija I-O Data je objavila serijske brojeve zaraženih diskova i pozvala
kupce da ih besplatno zamene. Istovremeno, odgovorni u kompaniji najavili su novu proceduru za proveru valjanosti finalnih proizvoda, koja bi trebalo da spreči slične probleme u budućnosti. Prema rečima predstavnika kompanije, do zaraze je najverovatnije došlo zbog toga što je računar programera koji je razvijao upravljačke programe za diskove bio zaražen. Sa tog računara, zlonamerni kod se raširio na proizvodne linije kompanije.

Slični incidenti su se u prošlosti dešavali i najvećim poizvođačima, poput
kompanija Hewlett-Packard, IBM i Dell. Najveći udarac pretrpela je kompanija Dell, koja je 1999. godine morala na četiri dana da zatvori svoj pogon u Limeriku u Irskoj, zbog straha da su njeni računari inficirani virusom FunLove; taj virus nije bio previše opasan, ali se teško uklanjao sa
inficiranih računara.

[Trinity from Zion]

Najrašireniji virusi u novembru
----------------------------------------------------------------------
Antivirusna kompanija Kaspersky Labs objavila je rang-listu 20 najraširenijih virusa u novembru. Analitičari te kompanije posvećuju posebnu pažnju pretposlednjem mesecu u godini budući da poslednjih godina važi nepisano pravilo po kome, ako nema promena na vrhu novembarske rang-liste, prikaz o aktivnosti virusa u toj godini je gotovo kompletiran. Šta god da se
desi u decembru, nema previše uticaja na distribuciju zlonamernog softvera, u celini gledano, smatraju u kompaniji Kaspersky Labs.

Ovogodišnji novembar ostaće upamćen po svojoj postojanosti; šest prvoplasiranih virusa sa oktobarske liste zadržalo je svoje pozicije na
novembarskoj listi. Virus Mytob.C se ponovo plasirao na prvo mesto rang-liste, s tom razlikom što je u novembru njegovo vođstvo ubedljivije nego u oktobru. Analitičari kompanije Kaspersky Labs, čak navode da se sa velikom sigurnošću može uzeti da će neki od članova porodice Mytob biti
proglašen za "crva godine" ili, čak, rangiran i upamćen kao zloglasni virusi
Sobig, odnosno NetSky.

Rang-lista najraširenijih virusa u oktobru, prema podacima kompanije
Kaspersky Labs, izgleda ovako:

1. Mytob.C
2. Doombot.B
3. Zafi.D
4. Mytob.BI
5. LovGate.W
6. NetSky.Q
7. NetSky.B
8. Mytob.T
9. Mytob.BK
10. Mytob.U
11. Mytob.H
12. Mytob.Q
13. Sober.Y
14. Mytob.BT
15. Mytob.Y
16. Doombot.G
17. Bagle.DX
18. Zafi.B
19. NetSky.Y
20. Doombot.D

[Trinity from Zion]

Otkriven čudni kod u jednoj varijanti Sobera
----------------------------------------------------------------------
Više antivirusnih kompanija izvestilo je o otkriću varijante crva Sober koja
će idućeg meseca pokrenuti preuzimanje za sada nepoznatog softvera sa
nekoliko različitih Internet adresa, što može dovesti do značajnog povećanja neželjenog saobraćaja na Webu.

Zaposleni u kompaniji iDefense su okviru jedne varijante Sobera, koja je
otkrivena prošlog meseca, otkrili šifrovani kod koji će se aktivirati 5.
januara 2006. godine. Analitičari kompanije procenjuju da je ovom varijantom Sobera do sada moglo biti zaraženo više miliona računara širom sveta. Pomenuti datum u stvari predstavlja osamdesetsedmu godišnjicu osnivanja Nacističke partije Nemačke, pa se pretpostavlja da je crv namenjen nekoj vrsti nacističke propagande na Internetu.

Miko Hiponen, rukovodilac istraživačkog odeljenja kompanije F-Secure smatra da će crv pokušati da preuzme misteriozni kod sa 14 različitih URL adresa smeštenih kod četiri davaoca Internet usluga. Po njegovim rečima, kompanija F-Secure je obavestila te davaoce i preporučila da se pomenute adrese blokiraju.

Najnovija varijanta Sobera se raširila Internetom sakrivena u porukama
e-pošte koje su navodno poslate od strane američkog Saveznog istražnog biroa (FBI), Centralne obaveštajne agencije (CIA) i drugih bezbedonosnih agencija. Nakon što uspešno zarazi neki računar, crv se automatski širi na sve adrese elektronske pošte koje pronađe u inficiranom računaru.

Crv Sober je jedan od najčešćih virusa na Internetu; od oktobra 2003. kada se prvi put pojavio, zabeleženo je više od 30 njegovih različiith varijanti.

[funestis]

19.12.2005. Crv Dasher poceo harati Internetom
Crv imena Dasher.B koji instalira odredjene maliciozne programe poceo se širiti Internetom. Dasher.B koristi sigurnosni propust u Microsoft Distributed Transaction Coordinator - MDTC aplikaciji.

Microsoft je izradio sigurnosnu zakrpu još u oktobru kada se prva verzija crva i pojavila, no prema Sophosu, zakrpa nije potpuna te nova verzija crva uspješno zaobilazi sve zaštite.

Najizlozeniji napadima ovog crva jesu korisnici Windows 2000 operativnog sistema.

Shuplja zakrpa

[Trinity from Zion]

Ne verujte Deda Mrazu
----------------------------------------------------------------------
Više antivirusnih kompanija zabaležilo je pojavljivanje novog crva koji
koristi predstojeće praznike da bi se širio sistemima za trenutno slanje
poruka (Instant Messaging, IM).

Radi se o crvu IM.GiftCom koji je primećen u sistemima za slanje trenutnih
poruka kompanija America Online, Yahoo i Microsoft. Crv pokušava da zavara
korisnike i navede ih da posete Web lokaciju Deda Mraza. Korisnici pomenutih
sistema dobijaj poruku koja navodno stiže od osobe koja se već nalazi u imeniku,
sa hipervezom čiji jedan deo sadrži tekst "santaclause.aol/com/".

Ako neoprezni korisnik odabre hipervezu, ona ga vodi na Web lokaciju sa
crvom koji se, zatim, instalira na napadnutom računaru. Budući da je
zlonamerni program napisan tehnikom kojom se služe tzv. skriveni
administratori (rootkit), jako ga je teško otkriti. Da podsetimo, pod
terminom "rootkit" podrazumeva se softverska alatka koja omogućava
korisniku sistema da za sebe prigrabi administratorska ovlašćenja. Kada
je u pitanju verzija te alatke za Windows, ona uglavnom služi za sakrivanje
ili instaliranje zlonamernih programa na napadnutom računaru. Alatka sama
po sebi nije opasna, ali je virusi, crvi i špijunski programi koriste u
zlonamerne svrhe.

Antivirusni stručnjaci preporučili su korisnicima sistema za slanje trenutnih
poruka da ne biraju hiperveze ili preuzimaju datoteke, ukoliko nisu sigurni
u njihovu pouzdanost.

[Trinity from Zion]

Ozbiljan propust u antivirusnom programu kompanije Syantec
----------------------------------------------------------------------
Nezavisni istraživač Aleks Viler otkrio je propust u antivirusnom programu
kompanije Symantec koji omogućava napadačima da preuzmu kontrolu nad
računarima na kojima je instaliran taj program.

Viler je u utorak obavestio Symantec o svom otkriću. U izveštaju koji je
poslao kompaniji opisao je kako se može upasti u računar sa Symantecovom
zaštitom. Uočeni propust se javlja prilikom raspakivanja datoteka koje su
arhivirane u formatu RAR. Napadač može da pošalje veliki broj takvih datoteka
i izazove prelivanje bafera zaduženog za privremeni smeštaj podataka. Kada
antivirusni program započne skeniranje RAR datoteka dolazi do prelivanja bafera,
pa se korisnicima preporučuje da privremeno isključe tu opciju.

Informacije o propustu i o tome kada će moći da se preuzme ispravljena
verzija programa mogu se naći na adresi
http://www.securityresponse.symantec...dvisories.html
Dosada nije prijavljen nijedan slučaj napada korišćenjem ovog propusta.

[Trinity from Zion]

Panda upozorava na trojanskog konja koji krade lozinke
----------------------------------------------------------------------
Panda Software SL je objavila upozorenje o dva trojanska konja koji se šire
preko MSN Messengera i skupljaju lozinke korisnika nekih šanskih bankarskih
sistema.

Prvi od njih, sa imenom Nabload.U, preuzima drugog trojanca ako korisnik
izabere španski jezik u poruci u Messengeru, a zatim prikaže dve hiperveze za
preuzimanje konfiguracionih datoteka. U Pandi smatraju da poruka spada u lične
kontakte.

Posle toga, trojanac Banker.BSX otvara port 1106 i čeka da korisnik poseti
neku od deset španskih bankarskih lokacija, kojom prilikom preuzima
korisničko ime i lozinku za pristup i šalje ih na unapred pripremljenu
adresu.

Ovaj virus ne koristi tradicionalni metod za prikupljanje podataka sa
tastature, već napredni, koji prevazilazi standardnu zaštitu metodom
virtualne tastature. Trojanca nije lako ni prepoznati, jer ne ostavlja
nikakav trag za sobom.

[Trinity from Zion]

MSN Messenger virus
----------------------------------------------------------------------
Finska kompanija F-Secure objavila je u utorak vest o pojavi novog virusa
koji se širi putem trenutnih poruka. Radi se o novoj verziji virusa Virkel,
a maskiran je u navodno "procurelu" kopiju novog MSN Messengera 8.
Žrve se inficiraju pokretanjem datoteke BETA8WEBINSTALL.EXE. Glavni
istražitelj F-Securea Miko Hiponen, objavio je informaciju da Microsoft nije
objavio taj program, a više detalja možete pročitati na adresi
http://www.f-secure.com/weblog/#0000751.

Kada se nađe na računaru, virus koristi Messengerov modul clients da bi
preuzeo sve kontakt adrese žrtve, i istovremeno sa svog servera instalira
neželjeni program.

Predstavnici Microsofta nisu komentarisali ove vesti.

[Hari Krisna]

Novi virus, tj. klon starog dobro poznatog beagle Bagle.FE pojavio se 22 decembra i jos uvijek se siri mrezom kao DFC00027.EXE. ili u zipovanoj formi.
Strucnjaci koji su desifrovali kod Sobera koji se predstavlja da je sa servera cia.gov najavljuju da je glavni napad "cia" i "fbi" predvidjen za danas.
Aktualizujte definicije virusa jer se u najavama nista ne govori sta bi danas ili ovih dana taj virus mogao uraditi.

[Thomas_O_Malley]

Jednom mi je NAGUAL rekao da kad uspijes da bez icije pomoci sam "unistis" virus ulazis u drustvo "besmrtnih"!

Pa da vam se poFalim (a vidjeh i da je noviji u registru i Nortona i E-Trust-a)


Win32/Blackmal.F

Description Published: Tuesday, January 17, 2006
Description Modified: Tuesday, January 24, 2006

Type: Worm

Category: Win32

Also known as Win32.Blackmal.F, Win32/Cabinet!Worm, WORM_GREW.A (Trend), W32/Nyxem-D (Sophos)

Description

Win32/Blackmal.F is a worm that spreads via e-mail and network shares.

Method of Infection

When executed, Win32/Blackmal.F copies itself to the %System% directory using the following file names:

Winzip.exe
Update.exe
scanregw.exe

It also copies itself to the %Windows% directory using the following file names:

WINZIP_TMP.EXE

Rundll16.exe

It then modifies the registry so that "scanregw.exe" is executed at each Windows start:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ScanRegistry = "scanregw.exe /scan"

Note: '%System%' and '%Windows%' are variable locations. The malware determines the location of these folders by querying the operating system. The default installation location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95,98 and ME is C:\Windows\System; and for XP is C:\Windows\System32.The default installation location for the Windows directory for Windows 2000 and NT is C:\Winnt; for 95,98 and ME is C:\Windows; and for XP is C:\Windows.
The worm also drops the legitimate DLL "MSWINSCK.OCK" into the %System% directory.

[Trinity from Zion]

Nyxem napada 3. februara
----------------------------------------------------------------------
Više antivirusnih kompanija zabeležilo je pojavljivanje novog Internet crva
koji je programiran da određenog datuma briše datoteke sa zaraženog
računara. Radi se o crvu Nyxem (ponegde se naziva i Kama Sutra) koji je
programiran da 3. februara obriše ili ošteti datoteke koje se nalaze na
računarima koje je prethodno inficirao.

Miko Hiponen, rukovodilac istraživačkog odeljenja kompanije F-Secure,
kaže da postoji mogućnost i da je Nyxem programiran da svakog trećeg
dana u mesecu briše datoteke za zaraženih računara. Prema njegovim
rečima, još uvek nije utvrđeno odakle crv dolazi. Iako su antivirusne
kompanije objavile ažurirane verzije svog softvera, Nyxem se širi velikom
brzinom. Kompanija F-Secure je zbog toga na svojoj Web lokaciji postavila
svojevrstan brojač koji registruje prijavljene slučajeve pojavljivanja crva.
Hiponen navodi da za samo nekoliko dana registrovano više od 500.000
slučajeva pojavljivanja crva. Posebna opasnost preti računarima na kojima
je antivirusni softver prethodno onesposobljen dejstvom nekog drugog virusa,
kao što je npr. Bagle, dodaje Hiponen.

Nyxem korisnicima stiže priložen uz poruku e-pošte u kojoj se navodi da se
radi o datoteci sa pornografskim sadržajem. Kada lakoverni primalac pokuša
da otvori datoteku, crv se aktivira, krade adrese iz adresara napadnutog
računara i na njih šalje sopstvenu kopiju koristeći protokol SMTP, sakrivajući
pritom adresu sa koje dolazi. Virus šalje poruke sa nasumice odabranim
naslovima, a najčešće korišćeni su su "Miss Lebanon 2006", i "School girl
fantasies gone bad".