|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Янв 27, 2004 20:20:50 Люди, ко мне пришло письмо с таким вложением от адреса geller@atom.ru. Похоже на код пожатый UPX-ом. Но он странный какой-то. Кто сможет больше сказать о нём? Для меня он похож на вирус. Не запускайте этот файл неосторожно.  _1522347428__file.zip |
|
|
Дата: Янв 27, 2004 20:27:46 Да, это вирус новый. Можешь распаковать(upx -d) и покопаться в коде. Я так чуть-чуть посмотрел вроде он на асме написан, все строки пошифрованы, только тексты писем в чистом виде лежат. |
|
|
Дата: Янв 27, 2004 20:31:03 Гы.. гы.. мне тоже пришло пару файлов с именем test, я их покилял и даже в коде не копался.. Сегодня по телеку сказали что это новый червьььььььььь. |
|
|
Дата: Янв 27, 2004 21:01:42 I-Worm.Novarg (Касперски ругнулся) |
|
|
Дата: Янв 27, 2004 21:26:08 · Поправил: SolidCode Я его распаковал. Прицепляю его в распакованном виде. Интересная чума. Stub файла без текста. .rdata вставлена в .text. Я его пропустил через IDA. Полученный листинг занял 600Kb. Если кто хочет, пишите на solidx на серваке mail.ru, и я вышлю вам его в zip архиве (100Kb). Впечатление, что он написан на VC++ c обильными вставками на ассемблере. Компилировали со знанием дела. Иконкой он имеет страницу текста. Это с рассчётом на ламеров, у которых винда по умолчанию скрывает расширение файла. Тогда видна лишь иконка текстового файла и имя файла. А прочитать страсть как хочется! Да и к тому же по виду это простой текст. А текст, как известно не исполняется и вирусов содержать не может. Так и заражаемся. Подробная инфа о нём здесь http://www.avp.ru/news.html?id=145335904 и http://www.viruslist.com/viruslist.html?id=144488783 Однако он не очень действеннен против знающих людей. Когда я открыл его ещё в форме зипа в HEX редакторе, то сразу понял, что это - муть. В файле явно видно екзешник, пожатый UPX-ом. Хоть бы уж собственный пакер/криптер написали. Это при том, что мой Касперский его пропустил (были старые базы), а я нутром чуял, что это не шутки. Когда обновил базы, то Касперский сразу завизжал от удовольствия. ;-) _431662812__file.zip |
|
|
Дата: Янв 27, 2004 21:41:13 А мне пришёл test.cmd |
|
|
Дата: Янв 27, 2004 21:51:36 SolidCode Иконкой имеет страницу текста. Действенный приём. Беру на заметку! :-) |
|
|
Дата: Янв 27, 2004 22:02:32 [url=] http://www.gfi.com/news/en/novarg.htm [/url] Тут расписано с какими темами,телом и файлами он себя рассылает SolidCode пришло письмо с таким вложением от адреса geller@atom.ru Получаеться что твоё мыло у него на винте хранилось . Оно и понятно - Ты дизайнер и он дизайнер . Вот так , все вирусы от друзей :) |
|
|
Дата: Янв 28, 2004 11:16:05 Гы гы гы 10:25 - Вирус был запущен секретарями 13:13 - Была проверена почта [входящие 753 писем] 14:08 - Маты на секретарей ^^ 15:31 - Вирус маздай |
|
|
Дата: Янв 28, 2004 12:17:43 |