Nova varijanta virus Netsky

[Trinity from Zion]

Početkom nedelje uočena je pojava nove varijante virusa Netsky koja napada mreže za razmenu datoteka (P2P) pokušavajući da izazove uskraćivanje usluge.

U pitanju je sedamnaesta verzija virusa otkako se Netsky po prvi put pojavio u februaru ove godine. Za razliku od ranijih verzija, najnovija sadrži poruku kojom se korisnici P2P mreža optužuju za širenje virusa i nelegalnu razmenu datoteka.

Netsky.Q korisnicima stiže uz poruku e-pošte, kao priložena datoteka sa
nastavkom .pif ili .zip. Virus pokušava da iskoristi poznati propust koji se
ogleda u tome da se priložene datoteke automatski aktiviraju kada se poruka pregledava. Virus zavarava neoprezne korisnike na taj način što maskira poruke tako da liče na one koje automatski generiše server za e-poštu. Poruke često nose naziv "Greška u isporuci" (Delivery Error), ili "Greška" (Error) ili "Greška servera" (Server Error). Kada pokuša da otvori poruku, korisnik dobija obaveštenje da je pregledavanje poruke nemoguće. Istovremeno, korisnik se upućuje da otvori priloženu binarnu datoteku koja navodno sadrži odbijenu poruku i na taj način se navodi da aktivira virus.

Kao i ranije verzije virusa, Netsky.Q krade adrese na koje naiđe u adresaru inficiranih računara. Stručnjaci kompanije Sophos tvrde da je virus programiran tako da pošalje sopstvenu kopiju na adrese koje ukrade 31.marta, 5. aprila, 12. aprila, 19. aprila i 26. aprila ove godine. Inficirani računari će zatim pokušati da 7. i 12. aprila izazovu uskraćivanje usluga na P2P mrežama i nekim Web lokacijama kao npr. www.kazaa.com,
www.edonkey2000.com i www.cracks.am.

Poruka otkrivena u kodu virusa otkriva svrhu ovih programiranih napada na P2P mreže. Autor virusa u njoj tvrdi da pripada ruskoj grupi SkyNet
Antivirus Team, čije namere nisu kriminalne. "Mi ne šaljemo crve koji
otvaraju mala vrata na drugim računarima ili ih oštećuju", kaže nepoznati
pisac poruke, koji tvrdi da se grupa protivi hakerskom delovanju, nelegalnoj razmeni datoteka i drugim ilegalnim aktivnostima na Internetu.

Autori novih verzija virusa Netsky i Bagle poslednjih nedelja su se
upetljali u pravi obračun skoro svakodnevnom pojavom novih verzija virusa. Čini se da je glavni razlog za pojavljivanje virusa bila želja da se
konkurentu upute nove primedbe i uvrede.

Većina antivirusnih kompanija je ponudila zakrpe za uklanjanje virusa
Netsky.Q i pozvala korisnike da ažuriraju svoj antivirusni softver.

[Trinity from Zion]

Netsky u martu "počistio" konkurente
----------------------------------------------------------------------
Prema podacima sa martovske top-liste najraširenijih virusa koju je objavila antivirusna kompanija Sophos PLC, virus Netsky "počistio" je sve svoje konkurente, budući da su različite varijante tog virusa zauzele prva tri mesta.

Varijante virusa Netsky odgovorne su za skoro 60 posto zaraza registrovanih u martu, a najopasnija među njima bila je verzija Netsky.D koja se pojavila 1. marta i bila uzročnik 30 posto svih zaraza. Prvi virus koji ne potiče iz familije virusa Netsky je verzija virusa Bagle.C koja se plasirala na četvrto mesto.

Martovskom top-listom kompanije Sophos dominiraju varijante virusa Netsky i Bagle koje su zauzele devet od prvih deset mesta. Jedini virus koji ne potiče iz ovih porodica virusa je MyDoom.A koji se nalazi na desetom mestu liste najraširenijih virusa.

Stručnjaci kompanije Sophos izveštavaju da uvredljiva prepiska između autora virusa traje i dalje. U kodu virusa otkriveni su komentari koje autori
upućuju konkurentima. Komentari su sačuvani u binarnoj datoteci nakon što je kod virusa preveden i pretvoren u izvršnu datoteku. U kodu virusa Bagle.R na primer, u poruci se navodi da je Bagle zlonameran virus jer otvara mala vrata na zaraženom računaru, za razliku od virusa Netsky koji je, naravno, "dobar softver" koji to ne radi i čiji su autori "dobri momci".

Sophosovi stručnjaci savetuju korisnicima da instaliraju programe koji
blokiraju poruke e-pošte s opasnim prilozima, kao i da ažuriraju antivirusni
softver na računarima.

[Hari Krisna]

Danas je aktivan sljedeci klon ili Netsky.S, salje se kao i prethodni elektronskom postom, a poslije infekcije crvic ostavlja u c:\windows ili c:\winnt (zavisno od sistema Windows) fajlove PandaAVEngine.exe, temp09094283.dll i uinmzertinmds.opm
- startujuci PandaAVEngine.exe modifikuje registar i pri svakom startovanju notepad.exe startuje se i crvic.
- do kljuca HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
upisuje se PandaAVEngine.exe
Kao i prethodni koristi sopstveni motor SMTP, i za slanje nije mu potreban nikakav "postarski" program
Takodje vas odmijeni i sam pise pisma koja izgledaju slicno ovom dolje
Tema:
RE: Document [izbor je slucajan]
Sadrzaj:
Excuse me, the important document is attached, Your sincerely
Zakaci do toga:
Document[bilo sta].pif

[Trinity from Zion]

Nove verzije virusa Netsky
----------------------------------------------------------------------
Nove verzije virusa Netsky koje se poslednjih dana šire Internetom mogle bi biti delo drugih autora, smatraju stručnjaci više antivirusnih kompanija.

Antivirusne kompanije su u ponedeljak zabeležile pojavljivanje verzije
virusa Netsky.S, a u utorak verzije Netsky.T. Radi se o devetnaestoj i
dvadesetoj varijanti originalne verzije virusa koja se prvi put pojavila u
februaru ove godine. Za razliku od prethodnih, nove verzije na napadnutim
računarima otvaraju mala vrata, što je navelo antivirusne stručnjake na
zaključak da se možda radi o delu drugih autora.

Tim za hitne intervencije AVERT (Anti-Virus Emergency Response Team)
kompanije Network Associates označio je opasnost od novih varijanti virusa kao osrednju. Kao i kod ranijih varijanti, virus korisnicima stiže kao
priložena datoteka, sa nastavkom .pif ili .zip. Virus menja imena poruka a
najčešće korišćena su "My details", "Request" ili "Thank you".

Ranije verzije virusa Netsky nisu na napadnutim računarima otvarale mala
vrata, već su se zadovoljavale time da sa njih obrišu virus Bagle, ako na
njega naiđu. Antivirusni stručnjaci su otkrili u kodu virusa Bagle i Netsky
poruke koje upućuju da se u stvari radi o međusobnom obračunu dve grupe autora virusa. Najnovija verzija virusa Netsky, međutim, otvara mala vrata na TCP priključku 6789, pokušavajući da preuzme napadnuti računar.

Većina antivirusnih kompanija preporučila je korisnicima da ažuriraju svoj
antivirusni softver, i da prilikom povezivanja na Internet koriste zaštitni
zid.

[Hari Krisna]

Za promjenu opet Dumaru.
Danas je aktivan Dumaru.AI, poslije infekcije crvic kopira samog sebe do fajlova Load32.exe i Vxdmgr32.exe u c:\windows\system32, c:\windows\system ili c:\winnt\system32 (zavisno od sistema Windows)
kao i do Rundllw.exe u Autostart (StartUp).
U katalog sistema stvara sock32.dll, vxdload.log, rundllx.sys i rundlln.sys
- modifikuje sekcju [boot] u System.ini (Windows 95/98/Me) ostavljajuci:

shell=explorer.exe [sistemski katalog]\vxdmgr32.exe

- do kljuca HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
mijenja "explorer.exe" na "explorer.exe %System%\vxdmgr32.exe" ( Windows NT/2000/XP) i jos dodaje u kljucu HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"="[....]\dllreg.exe"
Startuje se i salje pri svakom ukljucivanju kompjutera.

[NAGUAL]

Gospodo hvala na pravovremenim informacijama.

[Hari Krisna]

14.04 2004

NetCrack.B, mali trojan koji se kaci uz Mswin.exe u HKEY_LOCAL_MACHINE\SOFTWARE\NetCrack ostavlja "Shell"="Explorer.exe mswin.exe"
Osim onih starih zezalica da se moze nekome otvarti i zatvrati CD-ROM, sakrivanje ikona, gasenje monitora... ostavlja rupu na portovima 777 i 778. Narocito moze biti nezgodno za racunare u mrezi jer omogucava zaobilazenje pass. i user-a, skida informacije sa mreze ili instalira FTP server.
Ako kompjuter nalo uspori provjeriti da neko ne skida filmice na vasem
kompjuteru.

[Hari Krisna]

Od juce aktivan Netsky.V danas Mydoom.I a posto je skoro sve isto kao i kod prethodnih ostaje samo da se ceka kakav ce znak dati kad dodju Z.

[Trinity from Zion]

Nova, još opasnija verzija virusa Netsky
----------------------------------------------------------------------
Najnovija varijanta virusa Netsky mogla bi biti najopasnija dosad, budući da virus primaocima ne stiže kao priložena datoteka, već se aktivira
jednostavnim otvaranjem i pregledanjem poruke elektronske pošte.

Iako nova varijanta virusa još uvek nije masovno raširena, antivirusni
stručnjaci upozoravaju da je potencijalno opasna kao i drugi virusi iz
porodice Netsky. "Osam od deset prvih sa liste najraširenijih virusa su neka od varijanti virusa Netsky", kaže Grejam Kluli, tehnološki konsultant
kompanije Sophos.

Budući da Netsky.V zloupotrebljava propust poznat skoro godinu dana, svi
korisnici koji su instalirali bezbednosne zakrpe i ažurirali antivirusni
softver nemaju razloga za brigu. Propisno konfigurisan zaštitini zid takođe
bi trebalo da spreči otvaranje komunikacionih priključaka 5557 i 5556, koje
virus koristi za slanje izvršnih datoteka. Antivirusni stručnjaci
upozoravaju da, ipak, postoji mogućnost da zakrpa nije instalirana na većini kućnih računara kao i onima u malim preduzećima, kao i da korisnici tih računara nisu ažurirali antivirusni softver, tako da je opasnost od širenja virusa Netsky.V prilično ozbiljna.

Kao i ranije varijante, Netsky.V stiže u poruci sa imenom "Mail delivery
failed", a Internetom se širi koristeći ukradene adrese iz adresara
inficiranih računara. Umesto u priloženoj datoteci, zlonamerni kod se nalazi
u telu poruke, a daljinsko upravljanje inficiranim računarom virus omogućava tako što otvara komunikacione priključke 5557 i 5556, menja bazu Registry i automatski se aktivira svaki put kada se napadnuti računar pokrene. Kao i ranije varijante, nova verzija virusa pokušava da izazove uskraćivanje usluga u periodu između 22. i 28. aprila na hakerskim Web lokacijama i mrežama za razmenu datoteka.

Antivirusne kompanije su već ponudile alatke za uklanjanje virusa Netsky.V.

[Hari Krisna]

Netsky je dosao i do Z.
Slican je prethodnim i vjerovatno nece uspjeti da izvrsi namjeru atak DoS na servere www.nibis.de www.medinfo.ufl.edu www.educa.ch planiran za vrijeme od 2-5 maja 2004
Danas je otkrivena rupa SNMP na ruterima Cisco IOS. Greska na "pretvaranju" komunikata SNMP standardno na portu 161/UDP i 162/UDP, a na Cisco IOS takodje i slucajno izabrani portovi od 49152/UDP - 59152/UDP, (potencijalno cak i do porta 65535).
http://www.cisco.com/warp/public/707...420-snmp.shtml

*
Nijedan dan bez Microsofta pa se i danas pojavio exploit na rupu
u biblioteci SSL.
http://www.microsoft.com/technet/sec.../ms04-011.mspx

Ako je neko zainteresovan bugovima i greskama na novou C i asemblera moze pogledati Bugfun
http://lists.immunitysec.com/mailman/listinfo/bugfun

Od virusa novi je Trojan.Mercurycas.A koji pripremi fajl system.ing u kojem su informacjie o inficiranom kompjuteru kao IP, naziv kompjutera, sistem.... zatim ga salje pomocu startovanog servera proxy i skripta PHP koji se nalazi na sopstvenoj adresi.
Ako je neko zanteresovan za testiranje adresa strane je bbb.mercuryloungecasino.com

PS.
bbb je namjerno napisano da ne bude direktan link jer ne znam kakve mogu biti posljedice.