Внимание! Обнаружена новая версия червя "Mydoom" ("Novarg")

Уже пришел репорт Нортона с почтового сервера провайдера, что ко мне ломилась такая бяка...

 

Нашу сетку сегодня атаковал вирус Win32.HLLM.MyDoom.32768
Вломился через майловый антивирь в письме от неизвестных, но судя по всему, реальных адресов...
Содержал вложение заzipованный файл document.exe, что и есть тело виря...

Рассылал себя по почте... по адресам из адресной книжки, причем подставлял мнимые адреса...

При стартовке виря в процессах появляется taskmon.exe (!!! не путать с taskmgr.exe !!!), а в папке sustem32 появляются два новых файла - taskmon.exe и dll-ка (вот не помню как называется...), причем длл-ка прописывается в дефаул-процессах сервера винды... а taskmon.exe прописываятся в автостарте...
Вышибить taskmon.exe как с реестра так и с sustem32 вполне легко... с длл-кой сложнее - из под DOS'а она удаляется... все корни вышибить из реестра тоже труда не составляет...
Таким образом можно обойтись без антивиря...

 

если у тебя прав нет, то как оно сервисом станет?
PS я думаю, просто остановить службу, а потом просто грохнуть в папке dllку.

 

Мне за последнии 3 дня уже штук 10 пришло ..

 

!!!

http://securityresponse.symantec.com/avcenter/FxNovarg.exe
Бесплатная утилита для удаления этого вируса

с уважением QWER

 

В винде достаточно дырок что бы без прав поставить сервис... мы тоже думали что сервис остановим и длл-ку грохнем... не тут то было... процесс заблокирован и остановке не поддается... и соответственно длл-ку грохнуть тоже из под оси не получилось... пришлось грузиться в DOS...

Спасибо за ссылку...

 

хм, не так это просто. что за ось и sp?
в принципе можно её принудительно выгрузить утилитами.
Выложите кто нибудь вирус, я хочу его запытать

 

T800 - у меня есть коллекция... может тебе их по почте переслать???

 

Да, только потом доказывай, что твой интерес чисто исследовательский :D
Я тут на symantec слазил, кто знает, что за процесс ctfmon.exe, у меня висит, я думал это из дистрибутива microsoft?
а то ужасно похоже на ctfmon.dll из W32.Mydoom.B@mm

 

На мой ящик за три дня всего только пять вирусов свалилось. Антивирь рубит их нещадно, даже поглядеть не дает

 

на вынь 2000 с СП4 и всеми доступными обновлениями от майкрасофт этот вирус прописывается и в реестр и во все остальные места как не фиг делать. Вчера лечил его на 3 машинах

 

Утилита от Гость очень хорошо вылечила, т.к. я к своему ужасному стыду его все-таки поймал....

 

bii
Не только ты, но и у тебя на работе. Клинический случай - сколько не объясняй, все равно кликают на всех подряд аттачах

 

Вирусняк гуляет по волгограду

Всем внимание !!
о вирусе можно узнать на
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Базы для нортона для поимки (общая база 7.3м от 28янв)
http://www.symantec.com/avcenter/download/us-files/20040128-017-x86.exe
Просто ремувер от нортона
http://securityresponse.symantec.com/avcenter/FxNovarg.exe
Удачи

 

Poops
Знаю, я им уже утилиту отправил почтой.....

 

Думаю с вирусами - как с вулканизациями на дорогах, расбрасывающими неподалёку гвозди, если у машин не будут прокалываться колёса, то соответственно и вулканизации окажутся не нужны.
Не сам ли Касперский- папа этого вируса, да и многих других.....

 

Багамут
Вряд ли это относится именно к этому вирусу. А вот про макро и бластеры - у меня тоже давно такой вывод напрашивался.

 

А сколько впаяли тому кретину что бластер изобрёл?