Danas se pojavio (Izvjestaj o novim virusima)

**Hari Krisna** · 03-01-05, 10:22

Worm.Protoride.Bpokazao se zadnjih dana stare godine i napada uglavno lokalne mreze. Klasicno modifikuje registar Windowsa tako da se kopija automatski startuje pri svakom startu sistema a svoje kopije pravi u internat.exe i comands.exe jednako i na lokalnom disku i diskovima mreze.
Zavisno od sistema kopije su u:
Documents and Settings\All Users\Start Menu\Programlar\BASLANGI
Documents and Settings\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start-meny\Programmer\Oppstart
a moze se pojaviti i useri sa cudnim imenima kao Kuynnistu-valikko...
WIN95\Kuynnistu-valikko\Ohjelmat\Kuynnistys
WIN95\Menu Avvio\Programmi\Esecuzione automatica
WIN95\Menu Dumarrer\Programmes\Dumarrage
WIN95\Menu Iniciar\Programas\Iniciar
WIN98\Menu Inicio\Programas\Inicio
WIN98\Menu Start\Programma's\Opstarten
WIN98\Menu Start\Programy\Autostart
WIN98\Menuen Start\Programmer\Start
WINDOWS\Menuen Start\Programmer\Start
WINDOWS\Start Menu\Programlar\BASLANGI
WINDOWS\Start Menu\Programs\StartUp
WINDOWS\Start-meny\Programmer\Oppstart
WINME\Menu Avvio\Programmi\Esecuzione automatica
WINME\Menu Dumarrer\Programmes\Dumarrage
WINME\Menu Iniciar\Programas\Iniciar
WINME\Menu Inicio\Programas\Inicio ........
............
nije utvrdjena neka konkretna destruktivnost njega kao crvica ali se moze izgubiti kontrola nad kompjuterom preko IRCa. Crvic ceka komande u stavu mirno sa odredjenih kanala IRC-a i sa odredjenih servera koji se radi negativne instrukcije ne navode

**Hari Krisna** · 04-01-05, 10:42

Za one koji su nestrpljivo cekali i prvi virus u novoj godini docekali su. Malo ko se obradovao, ali Trojan.Zins je dosao. Pokusava da skine sve informacije koje user upise na www stranama odredjenih banaka.
Aktivni trojan na disku pravi svoju kopiju aux.exe modifikuje registar i pokusava iskljuciti aplikacije antivirusa i firewalla koje u svojim nazivima imaju:
drweb
spider
kavlite
avpm
avp32
nav
spysweeper
ad-aware
atguard
zonealarm
minilog
vsmon
outpost
rapapp
agnitum
firewall
black ice
blackd
nisserv
iamapp.
Trojan skenira naslove otvorenih strana i registruje izmedju ostalih:
enter memorable
building society - internet
egg security login
barclays ibank
first direct internet banking
woolwich internet
hsbc internet banking
natwest
digital banking
alliance & leicester internet banking
online service

****
Jutros je Trojan.Phel.A mnoge iznenadio otvarajuci dva prozora Internet Explorera, a u jednom je pokazivao navodnu gresku. Ta "greska" je skidanje trojana sa sajta ........ i zapisvanje u fajlu My.hta.
Sve je to u:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup ili
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Menu Inicio\Programas\Inicio
C:\Documents and Settings\All Users\Menu Demarrer\Programmes\Demarrage
C:\Documents and Settings\All Users\Menuen Start\Programmer\Start
C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Autostart.....
zahvaljujuci cemu My.hta je startovan sa sistemom.
Sljedeci korak infekcije je da sa tog sajta na na disk zapisuje kb3248.exe, startuje ga i u zavisnosti od sistema u C:\Windows\System - C:\Winnt\System32 ili C:\Windows\System32 ostaju uwyrl.exe i uwyrl.dll. Destruktivnost nije primijecena sto ne mora znaciti da je nema.

*****
Microsoft jos nije stavio zakrpe na 3 novonadjene rupe, a interesantna je rupa koja se tice SP2 i winhlp32.exe tj. dekodiranja Windows.hlp Preporucuje se ne koriscenje helpa ili instaliranje sa povjerljivih izvora, samo se ne kaze koji su to

Na netu se moze naci kod "proof of concept" na te rupe a kao uvijek preporucuje se aktualizacija programa AV.
Symantec otkriva probe koriscenja rupe vezane sa LoadImage API kao Bloodhound.Exploit.19.
http://securityresponse.symantec.com...xploit.19.html
Naravno ko nije sredio probleme sa WINS i NetDDE ima na:
http://www.microsoft.com/technet/sec.../ms04-031.mspx
http://www.microsoft.com/technet/sec.../ms04-045.mspx

**Hari Krisna** · 06-01-05, 14:22

Trojan.Feutel na disku stvara svoje kopije u fajlu G_Server.exe dodatno ostavlja G_Server.DLL, G_ServerKey.DLL, G_Server_Hook.DLL. Klasicno mijenja kljuc..... a na kraju se povezuje sa stranom vvv.75558889.com i vip.huigezi.com i tamo ostavlja podatke sa zarazenog kompjutera ili skida dodatne programcice.

*
namjerno je www zamijenjeno sa vvv da ne bi bilo linka

**Hari Krisna** · 08-01-05, 15:19

Rumunsku firmu Microsoft je preuzeo dosta davno, ali ovu godinu najavljivanu kao godinu borbe protiv virusa poceo je ne samo najavljivanjima.
http://www.vnunet.com/news/1160338

**Hari Krisna** · 12-01-05, 12:27

Pokazao se i crvic Dimi cije je jedino dejstvo da aktivira malo starijeg kolegu Sobera koji je vec opisan.
Prosti crvic Hako salje poruke na kineskom preko ICQ dok W32.Looked.B iako prema kategorijama crvic ima i karakteristike virusa (infekcija izvrsnih faljova...)
Prvo sto uradi je da iskljucuje ZoneAlarm i rezidentne procese: ravmon.exe, eghost.exe, mailmon.exe, kavpfw.exe, iparmor.exe.
Kasnije sa neta "skida" aplikaciju koja cita sifre sa sistema, inficira sve exe fajlove u katalozima koji imaju u sebi dio naziva:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
........ itd.....
U lokalnoj mrezi stvara kopije u fajlovima sa praznom sifrom (oni koji imaju enter umjesto neke rijeci) a zatim modifikuje hosts a kao efekat je preusmjeravanje internet veze na
www.hinet.net
www.pchome.com.tw
www.msn.com.tw
www.yam.com
www.google.com.tw
www.gamer.com.tw
tw.games.yahoo.com
www.iogc.com.tw
www.transakt.com.tw
www.softking.com.tw
groups.msn.com
www.mofa.com.tw
dir.pchome.com.tw
www.sa.game.tw
www.books.com.tw
www.gamemaster.com
www.newspace.com.tw
www.e-box.net.tw
gnn.gamer.com.tw
pc.gamebase.com.tw
twbbs.net.tw
www.twindex.com.tw
www.t2t.com.tw
www.girl-tw.com
www.sogi.com.tw
hdvd.com.tw
cgi.tw.ebay.com
movie.kingnet.com.tw.......

**Hari Krisna** · 17-01-05, 13:31

Microsoft je stavio 3 popravke na stranama:
http://www.microsoft.com/technet/sec.../ms05-001.mspx
http://www.microsoft.com/technet/sec.../ms05-002.mspx
http://www.microsoft.com/technet/sec.../ms05-003.mspx
Pokazao se Linkbot.H - crvic koji se siri lokalnom mrezom i koristi rupu opisanu u biltenu/MS04-011.aspx od prosle godine.
Dobro poznati Mydoom.poceo je sa AI a novi je Worm.Mugly.E ( ne mugy vec mugly

)
Svoju kopiju salje el. postom a obicno je tema:
Hhahahah lol!!!!
Your Pic On A Website!!
You have an Admirer
Rate My Pic.......
sadrzaj
I was looking at a website and came across
this pic they look just like you! infact im sure
it is lol , did you send this pic into them ? or
is it someonce .....
Hi ive sent 5 emails now and nobody will rate
my pic!!

please download and tell me what you....
Zakacen je : attached.zip a kad se startuje na lokalnom disku se raspakuju attached.zip, ANSMTP.DLL, bszip.dll, uglym.jpg, winprotect.exe, SVKP.sys, bt32.exe i sopstvenim SMTP salje kopije dalje.

**Trinity from Zion** · 19-01-05, 16:48

Crv maskiran kao apel za pomoć
----------------------------------------------------------------------
Više antivirusnih kompanija uopozorilo je početkom nedelje na pojavu novog Internet crva koji zavarava korisnike maskirajući se kao poruka za pomoć žrtvama cunamija.

Antivirusni stručnjaci kompanije Sophos utvrdili su da crv korisnicima stiže
uz poruku e-pošte koja nosi naslov "Donacija žrtvama cunamija! Pomozite!" (Tsunami Donation! Please help!). U tekstu poruke stoji: "Pogledajte priloženu datoteku i pomozite nam vašom donacijom! Potrebni ste nam!" (Please help us with your donation and view the attachment below! We need you!). Kada neoprezni korisnik pokrene priloženu datoteku tsunami.exe, aktiviraće virus VBSun.A koji napada nemačku hakersku lokaciju www.hacksector.de i izaziva uskraćivanje usluga.

Ta lokacija je početkom nedelje bila oborena i nedostupna, a prema rečima Grejama Klulija, starijeg tehnološkog savetnika u kompaniji Sophos, moguće je da se radi o sukobu dve hakerske grupe. Po njegovim rečima, kompanija je primila nekoliko izveštaja o incidentima koje je izazvao crv VBSun. Sophos je prošle nedelje već upozorio na pojavu prevara vezanih za žrtve cunamija, vrlo sličnih poznatim "nigerijskim" prevarama poznatim pod imenom 419.

Iako je upozorio korisnike e-pošte na sadržaj poruka koje poslednjih dana
kruže Internetom, Kluli je naveo da, kada su u pogledu virusi, početak 2005. godine protiče relativno mirno. "Najzastupljeniji virus trenutno je Nestky.P koji je otkriven pre više od devet meseci", izjavio je Kluli.

**Hari Krisna** · 19-01-05, 17:29

Samo da se doda da ga neki AV raspoznaju i kao Worm.Zar.A i da salje svoje kopije samo iz adresara Microsoft Outlook.
Aktivan je i trojan VBS.Rowam.A dobije se postom, a
Tema:
Free Msn Upgrade
Sadrzaj:
Please open attached file for email upgrade.
Youll also get msn 8 and messanger 7.
Za cijeli januar predvidjeno je da na lokalnom disku stvara:
C:\vbsrashdate.txt
C:\Infection.txt
C:\bad\bad.txt
Ako to imate na disku deletnite jer kad se pocne pokazivati simulacija stisnutog *, Num Lock, Scroll Lock, Caps Lock, ESC i F4 moze biti kasno.

*****
Google je zakrpio rupu u servisu Froogle, koja je stvarala moguce probleme za korisnike GMail. ( tehnika Cross-Site-Scripting.....)
www.theregister.co.uk

**Trinity from Zion** · 19-01-05, 23:40

Crv maskiran kao antipornografska alatka
----------------------------------------------------------------------
Antivirusna kompanija Sophos PLC izvestila je o pojavljivanju Internet crva koji se maskira kao antipornografska alatka.

Radi se o crvu Baba.C koji korisnicima stiže kao priložena datoteka uz
poruku elektronske pošte. U poruci se tvrdi da je na računaru primaoca
otkriven pornografski sadržaj i savetuje upotreba priložene antipornografske alatke.

Kada neoprezni korisnik pokrene datoteku, crv se aktivira i šalje sopstvenu kopiju na adrese koje je ukrao iz adresara napadnutog računara. Osim toga, Baba.C otvara mala vrata na inficiranom računarau omogućavajući zlonamernim hakerima da preuzmu računar.

Sophosovi stručnjaci kažu da je opasnost od novog crva ograničena, budući da napada samo računare sa Windowsom, ali navode da Baba potencijalno može biti veoma opasan. Po njihovim rečima, autori crva zloupotrebljavaju zabrinutost korisnika računara zbog širenja pornografskog materijala, tako da se može desiti da neki primalac poruke brzopleto aktivira virus.

Originalna verzija crva Baba.A pojavila se u oktobru prošle godine, a smatra se da je njen autor student nekog od južnokorejskih univerziteta. Sophosovi analitičari nisu pouzdano utvrili da li nova verzija dolazi iz istog izvora, mada navode da jezik kojim je poruka napisana govori da se radi o osobi kojoj engleski nije maternji.

**Hari Krisna** · 21-01-05, 08:52

Worm.Bropia prenosi se pomocu komunikatora Microsoft MSN Messenger. Prije nego se pocne sam slati na lokalnom disku stvara kopije u: Drunk_lol.pif, Webcam_004.pif, sexy_bedroom.pif, naked_party.pif i love_me.pif.

**Hari Krisna** · 25-01-05, 12:58

Ako dobijete e-mail od :
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
sa temom:
Memorandom to all staff
Urgent Document
Alterations to my last letter
Amendments for...
Extremely Important
Sorry my mistake here's the...
najrazlicitijih sadrzaja, vjerovatno se radi o Worm.Mirsa.A i uz postu je zakacen jedan od fajlova:
Memo.exe, Memorandon.exe,Important.exe,Protocol.exe, promotions.exe ili DataBase.exe

**Hari Krisna** · 29-01-05, 13:36

Aktivni su Mydoom.AM , Beagle.AY, Mugly.G a od novih je crvic Crowt.A . Osim sto se salje svima iz adresara Microsoft Outlooka na portu 137 povezuje se sa domenom vvv.cocorosa.ath.cx i vvv.cocoazul.ath.cx.. U katalogu TEMP stvara mali fajl keys.tmp u kojem je istorija nekih lozinki, a kasnije se veze preko porta 80 sa domenom cocoazul.ath.cx cekajuci na hakera.

Microsoft je najavio svoju namjeru u borbi sa piraterijom i nacin te borbe. Sve popravke sistema u buducnosti ce biti instalirane samo na legalnim verzijama sistema, a pilot proba pocinje vec od 7 februara 2005 za Kinu, Norvesku i Cesku.
Ako se test pokaze kao uspjesan vrlo brzo ce i svi ostali biti pocasceni tim kolacem.

**Trinity from Zion** · 30-01-05, 14:59

Par vijesti o virusima:

Dve nove verzije virusa Bagle
----------------------------------------------------------------------
Više antivirusnih kompanija upozorilo je sredinom nedelje na pojavu dve nove verzije virusa Bagle koje se šire Internetom i mrežama za razmenu datoteka.

Radi se o virusima Bagle.AX i Bagle.AY, pedesetoj i pedeset prvoj verziji
originalnog virusa koji se prvi put pojavio u januarau 2004. godine. Kao i
sve verzije dosad, najnovije korisnicima stižu kao datoteka sa nastavkom
.exe. Kada neoprezni korisnik pokrene datoteku, virus se aktivira i menja
Windowsove sistemske datoteke da bi se automatski pokrenuo svaki put kada se zaraženi računar uključi. Osim toga, Bagle krade adrese iz adresara napadnutog računara i na njih šalje sopstvenu kopiju koristeći protokol SMTP, sakrivajući pritom adresu sa koje dolazi. Virus šalje poruke sa nasumice odabranim naslovima, a najčešće korišćeni su su "Delivery service mail", "Registration is accepted" i "You are made active". Priložena datoteka najčešće nosi naziv "Jol03", "upd02" ili "zupd02".

Nova verzije virusa Bagle pokušavaju da zavaraju antivirusni softver
instaliran na napadnutim računarima na taj način što sopstvenu kopiju
smeštaju u direktorijum koji u imenu sadži pojam "shar". Direktorijum sa tim imenom obično prave programi za razmenu datoteka preko mreže, kao npr. KaZaa, Bearshare i Limewire.

Antivirusne kompanije su već ponudile alatke za uklanjanje novih verzija
virusa Bagle i preporučile korisnicima računara da ažuriraju svoj
antivirusni softver.

Nov crv napada MySQL
----------------------------------------------------------------------
Varijanta mrežnog crva Forbot širi se po Internetu preko MySQL servera na Windowsu. To je prvi poznat slučaj automatizovanog napada na program MySQL, a primećen je u sredu u Australiji. Karakteristična infekcija prepoznaje se po programu spoolcll.exe koji se povezuje na IRC server u Švedskoj, i skenira priključke 3306 (na kojima se obično nalazi MySQL).

Nova verzija Forbota zloupotrebljava sisteme na kojima nisu zadate
administratorske lozinke za MySQL ili se te lozinke lako pogađaju. Johanes
Ulrih, rukovodilac centra Internet Storm u institutu SANS, kaže da taj crv
isprobava kombinacije oko 1000 najčeščih lozinki i da je provera IRC kanala u četvrtak ujutro pokazala da se preko 8000 računara povezalo na njega. Ulrih smatra da još hiljade računara već mogu biti zaražene, ali da širenje usporava zagušeni IRC server.

Nakon što crv dobije administratorski pristup sistemu MySQL, zloupotrebljava propust u dinamičkoj biblioteci UDF i instalira trojance na sistem. Zaraženi računari zasad samo skeniraju Mrežu i traže druge potencijalne žrtve, ali antivirusni stručnjaci smatraju da se funkcija trojanca može promeniti slanjem komandi putem IRC kanala.

Virus napao Lexusa
----------------------------------------------------------------------
Kompanija Kaspersky Labs prošle nedelje je registrovala prvi slučaj
"infekcije" automobila od strane računarskog virusa.

Koliko god ova vest zvučala neverovatno, radi se ustvari o mogućoj zarazi
računara u automobilu. Kaspersky Labs je, naime, dobio pismo jednog
korisnika koji sumnja da je neki od "mobilnih" virusa napao računare u više modela Lexusa - LX470, LS430 i Landcruiser 100. U pismu se navodi da je virus u automobilski računar stigao najverovatnije sa mobilnog telefona.

Antivirusni stručnjaci kompanije Kaspersky Labs smatraju da je do infekcije računara moglo doći putem Bluetooth priključka kojim se telefon povezuje na automobilski GPS i navigacioni sistem. Po njihovim rečima, najverovatnije se radi o crvima Cabir ili Skulls, koji se poslednjih dana šire napadajući uređaje sa operativnim sistemom Symbian.

Stručnjaci kompanije Kaspersky Labs trenutno ispituju ovaj neobičan slučaj zaraze, a Jevgenij Kasperski tvorac antivrusnog paketa Kaspersky Antivirus, izjavio je da ceo slučaj zvuči verovatno, budući da proizvođači automobila u njih sve češće ugrađuju računare sa postojećim operativnim sistemima. Kao primer, Kasperski je naveo saradnju Fiata i Microsofta na razvoju telematičkog softvera Windows Automotive, koji se ugrađuje u automobile čuvenog italijanskog proizvođača.

Ima, međutim, i onih u svetu automobila koji su poodavno na oprezu kada su u pitanju virusi. Rukovodioci timova u Formuli 1 svojevremeno su koristili dvosmernu radio-vezu za komunikaciju sa svojim vozačima i telematičku vezu sa računarima u bolidima. Ti računari su (sad je shvatljivo zbog čega) imali instaliran antivirusni softver.

Novi trojanci ugrožavaju mobilne telefone
----------------------------------------------------------------------
Antivirusna kompanija SimWorks International izvestila je o pojavi dva nova trojanca koji ugrožavaju mobilne telefone sa operativnim sistemom Symbian.

Radi se o trojancima Gavno.A i Gavno.B koji se prerušavaju u softverske
zakrpe kako bi zavarali korisnike. Da bi inficirao svoj telefon, korisnik
treba da sa neke od mnogobrojnih Web lokacija preuzme i instalira zakrpu.

Osim što na napadnutim telefonima pokušavaju da instaliraju virus Cabir,
trojanci šalju kopiju virusa drugim uređajima koji koriste operativni sistem
Symbian. Cabir se prenosi koristeći specijalno formatirane datoteke
patch.sis (Gavno.A) i patch_v2.sys (Gavno.B). Kada se tražena datoteka
pokrene, virus menja operativni sistem i onesposobljava antivirusne programe i druge aplikacije na napadnutom telefonu. Za razliku od drugih "mobilnih" virusa Gavno otežava i osnovnu funkciju uređaja - telefoniranje, pretvarajući ga u neupotrebljivu spravicu. Da bi osposobili svoje telefone, korisnici moraju da primene fabrički podešenu konfiguraciju telefona, ali to, nažalost, izaziva gubitak podataka iz imenika i rokovnika.

Gavno napada mobilne telefone kompanije Nokia iz serija 6600 i 7610, koji koriste operativni sistem Symbian 7.0, mada neki drugi Nokijini modeli, kao i telefoni drugih proizvođača nisu ugroženi. To su na primer, Nokijin model 3650, Siemensov SX1, modeli P900 i P910 kompanije Sony Ericsson i Motorolini modeli A925 i A1000.

Stručnjaci kompanije SimWorks International pretpostavljaju da Gavno potiče iz Rusije.

**Hari Krisna** · 02-02-05, 11:04

Windows XP Reduced Media Edition je novi naziv za XP koji ce biti plasiran za Evropu. Antimonopolska Komisija EU nije dozvolia da se u sistemu nadje Windows Media Player.

**Trinity from Zion** · 08-02-05, 21:43

Nova verzija crva Bropia
----------------------------------------------------------------------
Stručnjaci za bezbednost računara označili su opasnost od Internet crva
Bropia.F, novom, višom oznakom, pokušavajući da na taj način upozore
korisnike na njegovo ubrzano širenje, naročito u SAD, Kini, Tajvanu i
Koreji.

Crv Bropia se pojavio sredinom januara šireći se sistemom trenutnih poruka MSN Messenger. Bropia koristi adrese iz liste kontakata na napadnutom računaru, a kada se aktivira, crv na zaraženom računaru instalira trojanca Rbot i snima sopstvenu kopiju, pod nekim od sledećih imena: "Drunk_lol.pif", "Webcam_004.pif", "sexy_bedroom.pif", "naked_party.pif" ili "love_me.pif".

Za razliku od nekadašnjih crva koji su se širili sistemima trenutnih poruka
tako što su slali hiperveze ugrađene u poruke, Bropia šalje komande direktno Messengeru, koji zatim prosleđuje datoteke sa crvom na sve adrese sa liste kontakata. Osim toga, Bropia onesposobljava neke funkcije korisnikovog miša, što dodatno otežava njegovo uklanjanje. Trojanac Rbot otvara mala vrata na inficiranom računaru, prikuplja vitalne informacije o napadnutom računaru, snima otkucaje na tastaturi i šalje neželjene poruke e-pošte.

Stručnjaci kompanije Trend Micro su, u prvi mah, opasnost od crva Bropia
označili oznakom "niska", ali su najnoviju varijantu crva Bropia.F označili
oznakom "srednja".

Kompanija Trend Micro označava opasnost od Internet crva oznakama "veoma niska", "niska", "srednja" i "visoka".

**Hari Krisna** · 09-02-05, 10:52

Aktivan je crvic Bropia.J trojan Comxt.B koji se trudi skidati i instalirati programe sa chisilic.com, transferro.biz, 64245323768.com...ali do prije neki dan to sto on pokusava skinuti
nije bilo na tim stranama.
Crvic VBS.Redlof.B mijenja startnu stranu IE i do svih fajlova *. htm, html, htt na lokalnom disku dodaje svoj kod. Ako je na kompjuteru 26. septembar onda kao dodatak resetuje kompjuter.

Prema ispitivanju Spy Audit,ISP Earthlink i Webroot Software, krajem 2004 g. primijecen je znacajan porast infekcija kompjutera: programima tipa spyware 230%, trojanima 114%..... Ispitano je 1 390 883 kompjutera i otkriveno 33 096 255 tragova nezeljenih programa. Prema procjenama ukupno 2004.g nadjeno je 116,5 miliona spyware sto bi znacilo u prosjeku 25 po kompjuteru.

**Trinity from Zion** · 13-02-05, 17:02

Nova verzija crva Bropia
----------------------------------------------------------------------
Stručnjaci za bezbednost računara označili su opasnost od Internet crva
Bropia.F, novom, višom oznakom, pokušavajući da na taj način upozore
korisnike na njegovo ubrzano širenje, naročito u SAD, Kini, Tajvanu i
Koreji.

Crv Bropia se pojavio sredinom januara šireći se sistemom trenutnih poruka MSN Messenger. Bropia koristi adrese iz liste kontakata na napadnutom računaru, a kada se aktivira, crv na zaraženom računaru instalira trojanca Rbot i snima sopstvenu kopiju, pod nekim od sledećih imena: "Drunk_lol.pif", "Webcam_004.pif", "sexy_bedroom.pif", "naked_party.pif" ili "love_me.pif".

Za razliku od nekadašnjih crva koji su se širili sistemima trenutnih poruka
tako što su slali hiperveze ugrađene u poruke, Bropia šalje komande direktno Messengeru, koji zatim prosleđuje datoteke sa crvom na sve adrese sa liste kontakata. Osim toga, Bropia onesposobljava neke funkcije korisnikovog miša, što dodatno otežava njegovo uklanjanje. Trojanac Rbot otvara mala vrata na inficiranom računaru, prikuplja vitalne informacije o napadnutom računaru, snima otkucaje na tastaturi i šalje neželjene poruke e-pošte.

Stručnjaci kompanije Trend Micro su, u prvi mah, opasnost od crva Bropia
označili oznakom "niska", ali su najnoviju varijantu crva Bropia.F označili
oznakom "srednja".

Kompanija Trend Micro označava opasnost od Internet crva oznakama "veoma niska", "niska", "srednja" i "visoka".

**Hari Krisna** · 15-02-05, 11:33

Trojan.Rplay.A sa strana: mmjunsd.nease.net, online.riing.net, go.riing.net skida i zapisuje na lokalni disk: realp1ayer.exe, rea1p1ayer.exe, folder.exe, folder.bat. a zatim iz registra brise niz znakova sa nazivima:
KAV
Symantec
Norton Antivirus
Norton
Symantec
SKYNET
PANDA
IPARMOR
NORTON
MIR
ZONEALARM

Worm.Aimdes.A siri se mrezom kao email sa temom Service Pack 2 BUG!! u Fix_SP2.zip ili preko komunikatora AOL Instant Messenger uz sadrzaj: Hey whats up!! look what I did to my hair...lol!!.

**Trinity from Zion** · 19-02-05, 12:16

Nova varijanta virusa MyDoom širi se pretraživačima
----------------------------------------------------------------------
Antivirusna kompanija Sophos upozorila je korisnike na novu varijantu viusa MyDoom, koja se širi Internetom koristeći adrese elektronske pošte ukradene na nekom od poznatih pretraživača Weba.

Prema rečima Grejama Klulija, starijeg tehničkog savetnika antivirusne
kompanije Sophos PLC, nova varijanta virusa uočena je sredinom nedelje.
Virus šalje sopstvenu kopiju elektronskom poštom koristeći protokol SMTP, a zatim pretražuje čvrste diskove napadnutih računara pokušavajući da sa njih ukrade adrese primalaca e-pošte. Programski kod virusa sadrži listu više desetina uobičajenih imena i prezimena za kojima virus traga koristeći pretraživač Interneta. Ako virus, na primer, pronađe adresu [email protected], on će nastaviti da traga za drugim adresama u domenu yahoo.com ne bi li bi i na njih poslao sopstvenu kopiju.

U julu prošle godine pojavila se varijanta virusa MyDoom slična najnovijoj,
i prouzrokovala usporen rad najvećih svetskih pretraživača. Iako Kluli
smatra da nova varijanta neće biti opasna kao prošlogodišnja, korisnicima se preporučuje da ažuriraju svoj antivirusni softver.

**Hari Krisna** · 23-02-05, 10:13

Aktivni su novi klonovi Bropia.Q, Sober.K, Mydoom.BA, a o greskama u putty moze se naci na adresama:
http://www.chiark.greenend.org.uk/~s...p-readdir.html
http://www.chiark.greenend.org.uk/~s...tp-string.html

**Trinity from Zion** · 23-02-05, 15:39

Putem mail-a sam dobila ovu poruku i nije sala:

Paznja svima!

Svi korisnici mobilnih telefona!!!

Ako dobijete poziv i na displeju se pojavi napisano "ACE" ne odgovarajte, nego odmah odbijte poziv. Ako odgovorite, vas ce telefon biti napadnut virusom koji ce obrisati sve IMEI i IMSI informacije iz telefona, a takodje i sim karticu cime ce onemoguciti vezu sa bilo kojim mobilnom mrezom.
Moracete da kupite novi telefon. Ova informacija je potvrdjena od firmi Motoroloa i Nokia!!!. Telefoni 3 miliona ljudi su napadnuti ovim virusom sirom sveta.

Ovu informaciju mozete da proverite i na sajtu CNN.

**Trinity from Zion** · 23-02-05, 16:00

Nova varijanta Sobera brzo se širi
----------------------------------------------------------------------
Više antivirusnih kompanija upozorilo je korisnike na pojavu nove varijante crva Sober koja se brzo širi Internetom, napadajući računare u Evropi i SAD.

Radi se o virusu Sober.K koji, kao i ranije verzije, korisnicima stiže kao
datoteka priložena uz poruku elektronske pošte. Nalik njegovim
prethodnicima, Sober.K krade adrese iz adresara zaraženog računara, na koje šalje sopstvenu kopiju koristeći protokol SMTP.

Prvu poruku e-pošte sa novom varijantom Sobera zabeležila je u ponedeljak u ranim jutarnjim satima, kompanija MessageLabs. U prvom satu širenja crva, registrovano je 663 inficiranih poruka, da bi između 11:00 i 12:00 bilo zabeleženo više od 2200 zaraženih poruka, što je primoralo kompaniju MessageLabs da novoj verziji crva dodeli oznaku "visoko rizično".

Antivirusni stručnjaci pretpostavljaju da najnovija varijanta Sobera potiče
iz Nemačke, mada je do podneva registrovana i u Francuskoj, Velikoj
Britaniji i SAD. Maksim Šipka, predstavnik kompanije MessageLabs, smatra mogućim da je autor originalne verzije Sobera, koja se prvi put pojavila u oktobru 2003. godine u Nemačkoj, autor i najnovije nove varijante crva.

Sober korisnicima stiže priložen uz poruku e-pošte sa nasumice odabranim
naslovom, a najčešće korišćeni su "Opasnost! Nova varijanta Sobera", "Seksi video Paris Hilton", "Posetili ste ilegalnu Web lokaciju" ili "Vaša nova lozinka". Crv generiše i lažne poruke pokušavajući da zavara primaoce i ubedi ih da otvore priloženu datoteku u formatu .zip. Neke poruke izgledaju kao da dolaze od antivirusne kompanije koja nudi bezbednosnu zakrpu koja štiti od nove varijante Sobera, a u stvarnosti sadrže upravo tu varijantu crva. Druge navodno stižu iz američkog saveznog istražnog biroa (FBI), a datoteka koja je uz njih priložena nosi naziv "indictment" (optužnica).

Kada se priložena datoteka otvori, crv se aktivira, kopira datoteke
csrss.exe, winlogon.exe i smss.exe u Windowsov sistemski direktorijum, menja sadržaj baze Registry i automatski se pokreće svaki put kada se zaraženi računar pokrene.

Antivirusni stručnjaci su preporučili korisnicima da što pre ažuriraju svoj
antivirusni softver.

Cabir stigao u SAD
----------------------------------------------------------------------
Nekoliko meseci nakon što je po prvi put registrovan na Filipinima, crv
Cabir koji napada mobilne telefone sa operativnim sistemom Symbian, stigao je u SAD.

Miko Hiponen, rukovodilac finske antivirusne kompanije F-Secure, saopštio je da je Cabir pronađen u dva Nokijina modela u prodavnici mobilnih telefona u Santa Klari, u Kaliforniji. Cabira je, sasvim slučajno, otkrio stručnjak antivirusne kompanije Symantec, koji je na njegovo postojanje upozorio vlasnika prodavnice. Ispostavilo se, međutim, da je i telefon vlasnika prodavnice inficiran.

Prena Hiponenovim rečima, broj zemalja u kojima je Cabir do sada registrovan dostigao je dvanaest. Osim zemalja iz Azije i Južne Amerike, crv je primećen i u četiri evropske zemlje - Italiji, Finskoj, Rusiji i Velikoj Britaniji. Cabir se prenosi po mrežama koristeći specijalno formatiranu SIS datoteku, maskiranu kao alatku za bezbednost. Kada se zaražena datoteka pokrene, na ekranu telefona prikazuje se reč Cabir, a virus menja operativni sistem tako da se pokreće svaki put kada se uključi telefon.

Na udaru Cabira su naročito telefoni čija verzija Symbiana nosi oznaku 6.0 i kojima se Bluetooth priključak nalazi u režimu "discoverable", odnosno otvoren za povezivanje. Kada zarazi mobilni telefon, Cabir traži i druge ranjive telefone pomoću Bluetooth veze, a zatim šalje kopiju zaražene datoteke prvom takvom telefonu. Korisnici najlakše mogu primetiti da im je telefon zaražen, po tome što se baterija telefona neuobičajeno brzo prazni.

**Hari Krisna** · 02-03-05, 16:26

Aktivan je crvic Mytob.b koji sam salje svoje kopije kroz mrezu.
adresant: [lazna adresa]
Tema: [neka od ovih]
hello
hi
error
status
test
Mail Transaction Failed
Mail Delivery System
SERVER REPORT
sadrzaj [slican]:
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary
attachment.
attachment: [naziv neki od navedenih- extenzije].[bat, cmd, exe, pif, scr, zip]
body
data
doc
document
file
message
readme
test
Poslije startovanja attach. svoju kopiju stvara u msnmsgr.exe i salje dalje.
*****
Aktivan je virus koji napada mobilne telefone tj. njihov sistem Symbian. Cabir se dobija preko transmisje Bluetooth, u obliku fajla CARIBE.SIS koji se automatski instalira u katalogu APPS i na ekranu se dobije poruka: Caribe - VZ/29a.
To je znak da je u telefonu crvic napravio:
\system\apps\caribe\caribe.app
\system\apps\caribe\caribe.rsc
\system\apps\caribe\flo.mdl
\system\symbiansecuredata\caribesecuritymanager\ca ribe.app
\system\symbiansecuredata\caribesecuritymanager\ca ribe.rsc
\system\symbiansecuredata\caribesecuritymanager\ca ribe.sis
\system\recogs\flo.mdl
\system\installs\caribe.sis
Vjerovatne ce na odgovarajucem forumu bolje opisati, ali je osnovna preporuka ne prihvatati transmisije za koje se nije sigurno sta su i od koga su.

**Trinity from Zion** · 03-03-05, 19:49

Najrašireniji virusi u februaru
----------------------------------------------------------------------
Kompanija Kaspersky Labs objavila je rang-listu dvadeset najraširenijih
virusa u februaru.

Listu predvodi varijanta Internet crva Zafi.B koja se prvi put pojavila
sredinom prošle godine. Crv korisnicima stiže kao priložena datoteka
elektronske pošte sa nastavkom .pif, .exe ili .com, a prema izveštaju
antivirusne kompanije F-Secure, zatvara sve programe koji u imenu imaju
naziv "firewall" ili "virus". Zafi se širi tako što krade adrese iz adresara
zaraženih računara i na njih šalje sopstvenu kopiju. Poruke su napisane na
engleskom, italijanskom, španskom, ruskom, švedskom, nemačkom i finskom jeziku.

Nakon aktiviranja, Zafi.B se instalira u Windowsovom sistemskom
direktorijumu, a zatim sopstvenu kopiju pod imenom "winamp 7.0
full_install.exe" ili "Total Commander 7.0 full_install.exe" smešta u
direktorijum koji u imenu sadrži naziv "share" ili "upload".

Mnogi analitičari smatraju da Internet crvi koji se šire elektronskom poštom polako odumiru i ustupaju mesto mrežnim crvima sa karakteristikama trojanaca. Po njihovom mišljenju, radi se o prvim uspešnim rezultatima borbe koju protiv crva koji se šire e-poštom vode antivirusne kompanije. U poslednje vreme otkriven je čitav niz novih načina za borbu protiv crva i primenjene nove tehnologije koje treba da povećaju bezbednost elektronske pošte. Radi se o otkrivanju crva u arhivama koje su zaštićene lozinkom, preliminarnoj analizi dolaznih poruka koje sadrže priloženu izvršnu datoteku itd.

Lista najraširenijih virusa u februaru izgleda ovako:

1. Zafi.B
2. NetSky.Q
3. Zafi.D
4. Bagle.AY
5. NetSky.B
6. Win32.Bagle.AT
7. NetSky.AA
8. Mydoom.M
9. Bagle.BA
10. NetSky.Y

**Hari Krisna** · 05-03-05, 20:39

Myfip.R je crvic koji se siri mrezom preko "ustupljenih" djelova lokalnog diska. Aktivni crvic na disku ostavlja: kernel32dll.exe, Dfsvc.exe, temp.exe modifikuje registar za automatsko slanje.....
Svoju kopiju pravi u Dfsvc.exe.a autoru crvica salje fajlove: pdf, doc, dwg, sch, pcb, dwt, dwf, max koje je nasao.
Worm.Comdor.A je dosadan i salje se sam, a obicno se dobije kad je radoznalost jaka i klikne se na adresu: vvv.avstreaming.tv. koja se nudi pod raznim izgovorima.