Все новости от 13 февраля 2001 г.

Вирус Курниковой покоряет интернет

«Он распространяется вдвое быстрее, чем знаменитый Love Bug», — прокомментировал технолог по антивирусам британской службы e-mail MessageLabs Алекс Шипп (Alex Shipp). За пять часов с момента обнаружения инфекции пользователи MessageLabs получили около 2900 зараженных писем, поступивших из более чем 290 разных доменов. Вирус, известный также под именем VBS/SST, приходит в форме вложения AnnaKournikova.jpg.vbs в сообщения, строка subject которых содержит одну из трех фраз: Here you are ;-), here you have ;o) и here you go ;-).

Используя язык Visual Basic, вирус, классифицируемый как червь, заражает системы под Windows, а затем отправляет свои копии через программу Microsoft Outlook, если она установлена, по всем адресам из адресной книги. По словам директора антивирусного центра Symantec (SARC) Винсента Уифера (Vincent Weafer), он не повреждает зараженные системы. Ограниченное число вариантов содержания строки subject этого вируса облегчает системным администраторам задачу его отлова, однако код червя зашифрован, так что антивирусному ПО с ним трудно справляться. «Внутри он высоко полиморфный, то есть меняет свою сигнатуру, прячась от антивирусного ПО», — говорит Уифер. По его словам, в SARC поступило только 20 копий вируса, но он ожидает быстрого распространения заразы. Крупные антивирусные фирмы либо опубликовали патчи для ее обнаружения, либо уже выпустили версии своих продуктов, которые обнаруживают ее. «Мы работаем над этим», — сказал Уифер. В понедельник утром в Symantec поступило 20 звонков от пострадавших клиентов, в Computer Associates — 25 и в Trend Micro — дюжина. Представители Trend Micro утверждают, что вирус поразил компании самого разного типа.

Несколько экспертов уверены, что червь является продуктом так называемого virus creation kit — программы, которая позволяет любому онлайновому хулигану с минимальными знаниями в области программирования создать зловредный код методом «укажи и нажми». Первоначально ПО Trend Micro обнаружило вирус под именем VBS_KALAMAR, а Kalamar, как считает компания, — это имя автора пакета virus creation kit.

Обсуждение и комментарии

	Skull - andrey_tigeri.am 13 Feb 2001 11:40 AM
Ежли кто получит - пришлите для коллекции на e-mail. Мои приветы любителям Винды! :))
	Мидас - amid77yahoo.com 13 Feb 2001 12:24 PM
Да, пожалуйста, киньте исходник в fido7.ru.javascript или мне на мыло тоже.
	Baza - bazasw.ru 13 Feb 2001 1:55 PM
А бабушки все падали и падали.....
	guest ? - themikemail.ru 13 Feb 2001 5:44 PM
О, прикольно, впервые встретил человека, который ставит смайлики так же как я ":о)", а он оказался каким-то хулиганишкой... Абыдно, да !
	bravo - bravoiname.com 13 Feb 2001 8:13 PM
еще один камень в огород виндов, по умолчанию отключающих показ расширения файла - в безнадежной гонке за макос, имеющей скрытый тип файла (не расширение) они спрятали расширение у большинства файлов - и злобные людишки не преминули-с воспользоваться-с. попсовость винды всему виной - блажен, кому чужда она!
	Доктор 13 Feb 2001 9:10 PM
Очередной словесный понос у линуксоидов..........
	Irsi - irsiextranet.ru 14 Feb 2001 12:09 AM
2bravo: нет - это еще один камень в огород линуксоидов, которые не знают о чем говорят...:) Скажите мне - при чем тут показ расширения файла? :) Во-первых в аттаче расширение не скрыватся, во вторых тип файла виден по иконке... И вообще - хоть проблема и имеется, но она заключается совсем не в том, что вы описываете... Извините это называется слышал звон, да не знает где он... Что впрочем очень типично для линуксоида...:)
	chip - chip_79hotmail.com 14 Feb 2001 1:34 AM
Вы меня извините, но по-моему, всему виной - излишнее любопытство. Я, например, все письма такого рода неизветсно от кого пришедшие, прямиком в корзину - и никаких проблем! всем привет
	AM 14 Feb 2001 2:26 AM
to Irsi: Вынимаю камень из огорода линуксоидов и аккуратно перекладываю в свой виндовый огородик. Дефолтная установка виндов прячет известные расширения у файлов (.exe .dll .vbs и тд). А в результате наш горячо любимый АутВГлюках показывает картинка.jpg вместо картинка.jpg.vbs Сам лично проверял после выхода Love! Хотя при средней квалификации виндовых юзеров ничего не поможет. У нас в конторе трое барышень посадили себе на машину Love-virus, и это после того как админ всем разослал письмо и обошел лично предупреждая НЕ НАДО ЭТО СМОТРЕТЬ. Так что народ не паникуйте, будет у линукса такое же распространение - будут те же проблемы.
	Van - vanbosspisem.net 14 Feb 2001 4:31 AM
Во падлы вирусники гнать их Позорят наших знаменитостей !!!
	eXOR - exormail.ru 14 Feb 2001 7:19 AM
2 Irsi: Ложу в твой огород 2 камня. Посмотри какой же бред ты пишешь... 1) Расширение файла: По нему человек ( и в кривой винде система ) определяют тип файла. 2) Про аттачи и расширение - ты чем почту смотришь? 3) Тип по иконке - у исполняемого файла иконку можно любую воткнуть. 4) А скольких ты линуксойдов знаешь? Не надо всех под одну гребенку чесать ы? 2 AM: Таких проблем у линукса никогда не будет - по причине того, что: 1) Дефолтная конфигурация линукса куда секурнее. 2) В линуксе специально сделано так, что многие программы нетривиально запустить из - под рута - поэтому пользователю на WS придется работать под кем - то другим. 3) В линуксе тип файла определяется не по расширению (по крайней мере его выполняемость) 4) Посчитай соотношение количества вирусов на под линукс, к количесву установок линукса на машины, подели это на такие же данные для винды (сколько стотысячных ты получишь?). 5) Сколько вирусов реально разошлось под линусом? (из тех 5 что существует?) 2 Van: Кто кого позорит? Анна хорошо играет в теннис, эти люди написали хороший полиморфный механизм - все они делают что - то хорошо. Профессионалы никак не могут позорить кого - нибудь. Кроме того, как данное обстоятельство сказалось на репутации нашей красавицы - спортсменки? 2 chip: Вот имхо ты абсолютно прав. Только не одно любопытство, а еще и глупость.
	Neo - www.hackzone.ru 14 Feb 2001 8:35 AM
Классная дурь !!!
	lamer 14 Feb 2001 8:55 AM
2 eXOR: Блин, проблема в том, что Linux - это система для профессионалов, которые знают что делают, а Windows - в том числе и для всех остальных, которых СИЛЬНО больше. Почитай письмо АМ - вот она, правда жизни. И ничего с этими дурехами-секретаршами и менеджерами не сделаешь... АМ прав - когда Linux дойдет до компьютеров секретарш, еще не то будет!
	admin 14 Feb 2001 8:57 AM
В принципе, это проблема админа - винды можно защитить так, что никаким вирусам шанса дано не будет. Да лень, видимо, изучить. Или некому - какие могут быть админы в конторах, где 5-6 машин?
	A XOR B XOR A = ? 14 Feb 2001 8:59 AM
4 eXOR: > 4) Посчитай соотношение количества вирусов > на под линукс, к количесву установок линукса > на машины, подели это на такие же данные для > винды (сколько стотысячных ты получишь?). Ну и сколько? Я думаю, ты и не пытался считать...
	Sergey - sergeygrewico.ru 14 Feb 2001 9:23 AM
2Chip, eXOR, Константин Мостов Вы видимо не обратили внимания на такую деталь, эта дрянь расслыает себя по адресной книге, а значит вы получаете ее не от асбтрактного "незнакомца", а от своего постоянного корреспондента. Так что заподозрить неладное не так что бы совсем уж просто. Хотя в общем солгасен, основная проблема-некомпетентность, администраторов и пользователей.
	PM 14 Feb 2001 9:34 AM
Я получил такой вчера. Кстати, от хорошо знакомого человека, т.к. рассылается вирус по АутГлюковой адресной книге. Ну что ж, посмеялся, посмотрел на код, позвонил знакомому, пожурил за посылку :-) Код удалил уже - поторопился что-то.
	Re:publica - republicaland.ru 14 Feb 2001 9:37 AM
Не надо обижать любимую МастДайку. Тем более проблема не ее а почтового клиента. Ставьте на Аутглюк Security Update и никакие VB скрипты выполняться не будут, и EXE тоже. У Мелкомягких все сделано и залатано, только надо поднастроить.
	Палец 14 Feb 2001 9:57 AM
to Re:publica Это называется махать кулаком после драки.
	Роман 14 Feb 2001 10:03 AM
2AM: Пустой файл qwerty.jpg.vbs оутглюк показывает как qwerty.jpg.vbs и эксплорер показывает, что это VBScript. Только что проверил. W2000 & оутлук 5.5.
	Stanislav Shapovalov - stanislavshapovalov.ru 14 Feb 2001 11:06 AM
У кого нибудб есть этот вирусик, пришлите пожалуйста. то Палец: проблема не в системе, а в обществе %)
	Сергей (DemoN) 14 Feb 2001 11:56 AM
Я тут однажды один вирус расковыривал, тоже VB. По сравнению с ним, обсуждаемый сдесь это нечто просто безобидное. Вот некоторые характеристики: 1) расширение файла .SHS В винде это некий Scrap object, как я понял, являющийся скомпилировынным vb скриптом (аналогично классам джавы). Хитрость втом, что ЭКСПЛОРЕР НЕ ПОКАЗЫВАЕТ ЭТО РАСШИРЕНИЕ ПРИ ЛЮБЫХ НАСТРОЙКАХ. Единственный способ заставить его это сделать - это поставить галочку "Always show extension" в настройках типа файла (win2k Tools->Folder Options->File types : .SHS : Advanced. Про другие версии win не знаю) 2) При активации меняет настройки типа файла ".SHS" так, что иконки файлов этого типа выглядят также, как иконки файлов ".TXT" (есть варианты под .mp3, .waw, .bmp, .jpg), что при наличии в имени файла окончания .txt делает их полностью неотличимыми от текстовых документов, более того, При рассылке АутГлюк скопирует именно эту иконку и получатель увидит текстовый файл (правда, к чеси АутГлюка, он показывает верное расширение, зато, как правило из за длинного имени файла оно не уберается в полосе, выделенной под аттачменты) 3) после собственной рассылки он сканирует все выши жесткие диски и заменяет собой все найденные файлы с известными и распространненными расширениями (.jpg, .mp3, bmp, .waw, .txt, ...) Такчто делайте выводы %)
	Мааленъкий Мух 14 Feb 2001 4:03 PM
Вопрос по существу - как отключить выполнение сценариев в винде или в MS Outlook??? Кстати, Линух тоже грешит сценариями, вот только заставить выполнить сценарий не просто, но все же можно. Однажды мне, рядовому юзеру, не стало хватать места на диске Unix, и я послал почту ~1000 пользователям одной большой UNIX махины с содержанием "Люди я нaшел способ как ускорить запуск man Зайдите в мой каталог и затустите script MANOWAR" - последсвия были не хилые - я захватил 80% дисковой квоты, многим поправил .rhosts, а мог и вообще навредить сильно. Так что =Администраторы всех ОС - защищайтесЬ!=
	Jesuit - jesuitnewmail.ru 14 Feb 2001 4:32 PM
Да конечно вся проблема в том что попсовые секретарши сидят на винде и запускают все что попадется. На линуксе просто нет таких секретарш, под линукс просто не пишут такого кол-ва вирусов. И люди, в данном случае письмо приходит не от левого человека, а от твоего знакомого... просто надо всегда проверять чего пришло и убрать в винде дурацкую функцию : не показывать расширение у известных типов файлов.
	Skull - andrey_tigeri.am 14 Feb 2001 5:11 PM
2 Мааленъкий Мух: дело касалось одной системы... На другие же системы вирус надо еще перенести и выставить бит выполнения :)))
	Александр 14 Feb 2001 5:36 PM
А у меня стоит Касперский под MS Exchange от ету Курникову еще в понедельник в 19-00 поймал, так юзерам боятся нечего.
	Irsi - irsiextranet.ru 14 Feb 2001 7:19 PM
2AM: отдыхаем - OE показывает именно как file.jpg.vbs... Правда если после jpg поставить 200 пробелов, то в строку не влезает и не видно... Но это не значит что он его "скрывает" и с срыванием расшерения в окне эксплорера это никак не связано. Так что возми камушек обратно...:) 2eXOR: ага... ты местами подошел к истине - определение типа файла по расшерению это действительно не есть правильно... Хотя см. x-mime - этот стандарт к мелкософту мало отношения имеет. В принципе как только мелкософт забъет на совместимость с 9х и соответственно на fat/fat32 это пройдет...:) ntfs это многопоточноя fs и увеличить/изменить кол-во атрибутов файла в ней не проблема...:) Почту я смотрю OE и расширения в нем видны по умолчанию...:) к тому же у меня вся почта в рестриктед зоне, так что скриптовые вирусы отдыхают...:) У исполняемого бинарника иконку подменить элементарно не спорю, но здесь-то речь идет о скриптовом вирусе... подмени-ка иконку у него..:) На счет знакомых линуксоидов - ну я все-таки в ISP работаю...:) Правда мы как и большинство нормальных ISP от линукса стараемся держаться подальше и используем фряху...:) А среди тех линуксоидов, которых я знаю лично, в реалити, преобладают весьма достойные люди... но они - редкое исключение из правила...:) Просто я не люблю общаться с дураками...:)
	bravo - bravoiname.com 14 Feb 2001 9:31 PM
Irsi! В больших конторах не пользуют аутлук экспресс! пользуют фул-блоун офисный аутлук. а вот он как раз расширение и не показывает - проверено очень много раз, у нас в основном вордовские док-файлы, пошлешь бывало, а у пользователя только имя видно. про .shs - расширение очень интересно. но не верю, что не покажет мне его винда. исполнение скриптов в корпорациях выключить нельзя, там при логоне они всякие действия запускают (на форде так, например, бекапят регистри каждый понедельник - видимо устали НТ поднимать)
	Irsi - irsiextranet.ru 14 Feb 2001 9:47 PM
2bravo: ну Outlook2000 у меня под рукой нет, но насколько я помню - показывает точно так же как и OE... Ну за исключением хохмы с 200ми пробелами...:) Далее, про скрипты - запрещать выполнение скриптов в пиходящей почте это вполне нормальная и обычная практика.
	eXOR 15 Feb 2001 7:26 AM
2 Sergey: Практика старая, еще в Love письме так делалось - чего тут не обратить внимания ? (у меня стоит pine как почтовый клиент дома и the Bat под виндой - все письма от друзей я смотрю антивирусом, и не только из - за всяких там love писем, а потому, что они и сами могут прислать чего - нить (ну чтоб не расслаблялся) :-) 2 irsi: Про отказ от fat 32 - ой не скоро это будет... лет через десять не меньше (вон с fat 16 сколько уже мутят). Про линуксойдов... ну чтож - значит тебе просто не повезло со знакомыми линуксойдами (в большенстве своем это люди ОЧЕНЬ не глупые, и по крайней мере не такие воинственные, как фришники)... линуксойды признают, то что работает (после некоторой настройки) так, как от этого ожидалось, фришники же признают только фрю :) и больше они уже никуда не смотрят ;)))) 2 Daemon: Классная штука - у тебя она еще есть? 2 Маленький Мух - СИ естественно никто не отменял, но в твоем случае ты сзасветился... если бы ты слал самовыполняющееся письмо - тогда про тебя никто бы и ничего не узнал... 2 admin: Абсолютно согласен, только кто платить за это будет админу, ы ? :) 2 непонятно кто (хоть бы какой-нить ник назвал): Я предложил посчитать, я не предлагал подробную статистику, кроме того я рассчитывал на то что собеседник поймет, что вопрос риторический - поясняю он не требует ответа, разумному человеку из вопроса становится понятной моя точка зрения, а на знание абсолютной истины я не претендую) ----------------------------------------- ПОД ЛИНУКС ВИРУСОВ МЕНЬШЕ НЕ ПОТОМУ, ЧТО ИХ ЛЕНЬ КОМУ - ТО ПИСАТЬ, А ПОТОМУ, ЧТО ПОД ЛИНУКСОМ ВИРУС ЗАВЕДОМО МЕРТВОРОЖДЕННЫЙ - МАКСИМУМ НА ЧТО ОН МОЖЕТ РАССЧИТЫВАТЬ - ЭТО МЕСЯЦ АКТИВНОГО РАСПРОСТРАНЕНИЯ (РАСЧЕРВЛЕНИЯ), ПОД ВИНДУ ЖЕ ДО СИХ ПОР ВОЗМОЖНА ЭПИДЕМИЯ ТОГО ЖЕ ONE HALF'а. - писать вирус под линукс - неблагодарное дело, поэтому и не пишут
	Сергей (DemoN) 15 Feb 2001 1:14 PM
2 bravo: А ты проверь ... Пока эту винду носом не ткнешь, низачто не покажет. 2 eXOR: К сожалению он недавно погиб в борьбе с антивирусом при наведении порядка в рабочем пространстве.
	Мааленъкий Мух 15 Feb 2001 5:08 PM
А что вы переживаете - вот напишу попсового почтового клиента, который будет очень классный и к тому же shell скрипты сам выполнять как дополнительный наворот, распространю его всем и потом буду орать что в Линухе вирусы завелись, что Линух-плохая муха. Чумовые вы ребята все из-за пустяков спорите, все сравниваете палец с анальным местом. 3ачем так переживать - не вы же Линух и Винду писа'ли, не вы и Жигули и Опель проектировали, не вы дворцы и трущебы строили. Вы - всего лишь пыль в большой игре, в которую не вы играюте.
	Skull - andrey_tigeri.am 16 Feb 2001 4:55 AM
2 Мааленъкий Мух: а ты напиши сначала, потом попробуй пробиться в нишу, так как среди популярных почтовых клиентов конкуренция очень высока! Далее - даже если и уничтожаться данные домашнего каталога пользователя (в самом для тебя благоприятном случае), система будет продолжать работать как ни в чем не бывало. Грош цена твоему предложению.
	Marina - marlicotfreenet.am 20 Sep 2001 8:31 AM
как могу из .waw сделать .mp3
	Sero - combo3yandex.ru 2 Oct 2003 10:19 AM
Был документ с расширением .doc. Почему-то он стал .SHS. Когда я его открываю он открывается на половину и выдает ошибку. Как можно восстановить этото файл???Спасибо.