ICQ-вирус!

Worm.Win32.Bizex
[ 24.02.2004 13:26, GMT +03:00, Москва ]
Опасность : средняя

"Лаборатория Касперского" сообщает об обнаружении нового сетевого червя Worm.Win32.Bizex, распространяющегося через ICQ, используя уязвимости самой ICQ, а также MS Internet Explorer.

Пользователю ICQ приходит сообщение с приглашением посетить страницу на сайте "jokeworld" и дополнением ":)) LOL". В процессе демонстрации находящегося по этому адресу мультфильма из популярного сериала Joecartoon на компьютер пользователя через уязвимость в ICQ проникает вирус, изменяющий конфигурацию ICQ таким образом, чтобы разослать вышеприведенное сообщение всем контактам из контакт-листа программы.

"Лаборатория Касперского" рекомендует в случае получения ссылки на веб-сайт "jokeworld" немедленно удалить данное сообщение и ни в коем случае не посещать указанный сайт.



С утра таких три сообщения пришло.

К счастью, у меня Опера и Миранда, так что вирус этот пофиг

Но других - предупреждаю.

Ну, пока все-таки не ICQ-вирус, сам то ссылку не открывает , без юзера не обойтись
Мы доступ на сайты с похожими адресами закрыли да аськеров предупредили, их к счастью, мало.

Вирус, вирус. То, что в его размножении пользователи учавствуют - это уже дело десятое Факт размножения имеется? Да. Несанкционированные действия выполняет? Да.

А то, эдак, можно сказать, что и последние doomaru/mydoom - не вирусы. Там ещё тупее было, никаких замаскированных iframe-уязвимостей, пользователь тупо запустить должен был его

Guest>Бесполезно. Сколько раз уже дураков предупреждали вложения в непонятных письмах не открывать, а все без толку

Дураков не держим, см. мою подпись

Balancer>То, что в его размножении пользователи учавствуют - это уже дело десятое Факт размножения имеется? Да.

Насчет участия пользователей в размножении звучит несколько двусмысленно

Его с таким же успехом можно TCP-вирусом обозвать..

Однако измельчали вири. Тупость человеческая побеждает. А какие вири были под ДОСом!

ЗЫ А еще были такие письма счастья - txt-вирусы.

TEvg, 24.02.2004 15:18:56 :

Его с таким же успехом можно TCP-вирусом обозвать..

 

Почему? ICQ-вирус он потому что использует дыры в ICQ для своей рассылки. Если появится что-то, что дыры в TCP-стеке будет использовать, не поднимаясь выше, то тогда да, можно будет его TCP-вирусом обозвать

>Однако измельчали вири. Тупость человеческая побеждает. А какие вири были под ДОСом!

Однако, не сильно измельчали. Шедевры и в наше время неплохо живут. Slapper, RedCode...

>ЗЫ А еще были такие письма счастья - txt-вирусы.

Они и сейчас есть.

>ICQ-вирус он потому что использует дыры в ICQ для своей рассылки.

Какие ж тут дыры? ICQ-протокол - это дыра чтоль?

Самый жуткий вирус будет - тот который резидентно на таймер садится, снизу операционки (то есть запускает операционку в своей виртуальной машине), пишет себя в биос, во флеш, и убивает на компе все известные антивирусы, получая обновление их списка через инет или через служебную область самого себя. С таким, если его хорошо написать - только перепрошивкой флешки хотсвапом на другой машине можо справиться, с одновременным форматированием винта, иначе никак не отчистишь.

TEvg, 24.02.2004 15:51:33 :

>ICQ-вирус он потому что использует дыры в ICQ для своей рассылки.
Какие ж тут дыры? ICQ-протокол - это дыра чтоль?

 

Раз рассылается он только через стандартного ICQ-клиента, и не опасен юзерам Миранды той же (равно, как и полагаю, &RQ, SIM и т.п.), то дыра таки в ICQ-клиенте.

hcube, 24.02.2004 15:53:50 :

Самый жуткий вирус будет - тот который резидентно на таймер садится, снизу операционки (то есть запускает операционку в своей виртуальной машине)

 

Посмотри на то, сколько весит та же VMWare. Кроме, как запуском операционки в виртуальной машине, больше ничем не занимается

Вот и вирус такого же порядка будет
Как думаешь, влезет такое во флэш?

>и убивает на компе все известные антивирусы

Если он будет внизу сидеть, это ему не потребуется

>С таким, если его хорошо написать - только перепрошивкой флешки хотсвапом на другой машине можо справиться, с одновременным форматированием винта, иначе никак не отчистишь.

А винт зачем одновременно форматировать? Достаточно просто не грузиться с него до излечения

В общем, на этот вирус столько человеколет придётся угрохать, что для компани, которая будет этим заниматься, будет выгоднее его продавать, как виртуальную машину, а одиночка, осиливший такое, ещё на пол-пути написания получит просветление и займётся чем-то более креативным

AlexDrozd, 24.02.2004 15:13:36 :

Guest>Бесполезно. Сколько раз уже дураков предупреждали вложения в непонятных письмах не открывать, а все без толку

Дураков не держим, см. мою подпись

 

Хорошо вам, однако...

Ну... у него может во флеше только загрузчик сидеть, а тело - на винчестере? Или скажем - из инета подгружаться, если на винчестере нету? Или - вот страшная идея - вирус с постепенным проникновением - целое семейство. Макровирус, почтовый вирус, червяк использующий дырки уязвимости, традиционый резидентник, флешвирус-виртуальная машина . Каждый, как на комп пролез - старается протащить другие вирусы из своего семейства?

Что же до форматирования - а ежели это махровый полиморфник? который запакован случайным образом, и имеет модифицируемый заголовок - распаковщик, например? Такой никакими регекспами не выцепишь. А ежели под какую-нибудь системную библиотеку закосить...

Balancer, 24.02.2004 16:05:00 :

TEvg, 24.02.2004 15:51:33 :

>ICQ-вирус он потому что использует дыры в ICQ для своей рассылки.
Какие ж тут дыры? ICQ-протокол - это дыра чтоль?

 

Раз рассылается он только через стандартного ICQ-клиента, и не опасен юзерам Миранды той же (равно, как и полагаю, &RQ, SIM и т.п.), то дыра таки в ICQ-клиенте.

 

А пофигу ему клиент. У меня &RQ, но вирь этот был.
Расскажу как он у меня вылез.
Приходит от чела из контакт листа ссылочка и типа глянь приколись. Вам знакомые по аське такого никогда не слали ? Ну открыл я это дело. Сразу смекнул что дело нечисто потому как попытался хелп завестись. Слава богу у меня линия слабая и ничего подхватить кажись не успел — раньше все окна поубивал, все проверил. Врде чисто.
Так что не асечный это вирь. Скорее он использует тот факт, что по аське мы общаемся более интенсивно чем почтой.
Очевидно, что самый надежный способ — закрыть на проксе доступ на урл.

hcube, 24.02.2004 17:37:00 :

Ну... у него может во флеше только загрузчик сидеть, а тело - на винчестере? Или скажем - из инета подгружаться, если на винчестере нету?

 

Эта тема уже недавно обсуждалась

>Или - вот страшная идея - вирус с постепенным проникновением - целое семейство. Макровирус, почтовый вирус, червяк использующий дырки уязвимости, традиционый резидентник, флешвирус-виртуальная машина . Каждый, как на комп пролез - старается протащить другие вирусы из своего семейства?

А то антивирус при очередном обновлении это безобразие не поймает?

>Что же до форматирования - а ежели это махровый полиморфник? который запакован случайным образом, и имеет модифицируемый заголовок - распаковщик, например?

Ну, были такие. Тот же onehalf. Я сам такой писал из теоретического интереса лет 10 назад, ни одного постоянного бита не оставалось в нём.

Но лечили же и их

>Такой никакими регекспами не выцепишь. А ежели под какую-нибудь системную библиотеку закосить...

Ты знаешь, как DrWeb работает? Он запускает исполняемый код внутри себя в эмуляции процессора (даже не в виртуальной машине). Вирус со временем распаковывается, и вот тут-то он и выцепляется.

Полиморфики - это изобретение ещё XX века, хотя сейчас и вымершее за ненадобностью

Fakas, 24.02.2004 18:22:50 :

А пофигу ему клиент. У меня &RQ, но вирь этот был.

 

Ну, в любом случае - ICQ-вирус. А то, с таким подходом, и большинство почтовых вирусов почтовыми не назовёшь пользуется для своей рассылки ICQ-транспортом - значит ICQ

>Приходит от чела из контакт листа ссылочка и типа глянь приколись. >Вам знакомые по аське такого никогда не слали ? Ну открыл я это дело. >Сразу смекнул что дело нечисто потому как попытался хелп завестись.

А вот я и получил, но проигнорировал. ссылки мне шлют постоянно, а трафик у меня платный... Получил потом от друого - решил заглянуть потом с работы. Получил от третьего - решил, что это что-то типа "пингвина", что-то новое и суперское и полез смотреть. Ничего интересного не увидел и отписал этому человеку, мол, предупреждать надо на счёт объёмов (флешка на 2Мб).

А не смекнул я потому что Оперой пользуюсь, и ей на все эти дыры IE глубоко положить

>Так что не асечный это вирь. Скорее он использует тот факт, что по аське мы общаемся более интенсивно чем почтой.

Ну так, повторюсь, большинство "почтовых" вирусов тогда тоже не почтовые
Факт, что его механизм распространения включает ICQ. Слал бы ту же фигню через почту - был бы почтовым.

Кроме того, ещё момент. Из-за того, что у тебя &RQ, вирус от тебя дальше разослаться бы не смог. Значит ты - тупиковая машина для него. Нет аси - нет размножения

>Очевидно, что самый надежный способ — закрыть на проксе доступ на урл.

Самый надёжный способ - держать антивирусный монитор с оперативными ежедневыми обновленями Есть, правда, ещё более эффективный - использовать Оперу, Миранду и т.п.

>Приходит от чела из контакт листа ссылочка и типа глянь приколись. >Вам знакомые по аське такого никогда не слали ? Ну открыл я это дело. >Сразу смекнул что дело нечисто потому как попытался хелп завестись.

А вот я и получил, но проигнорировал. ссылки мне шлют постоянно, а трафик у меня платный... Получил потом от друого - решил заглянуть потом с работы. Получил от третьего - решил, что это что-то типа "пингвина", что-то новое и суперское и полез смотреть.

 

Ну мне от одного и того же валило.

Ничего интересного не увидел и отписал этому человеку, мол, предупреждать надо на счёт объёмов (флешка на 2Мб).

 

Хе ! Тогда у меня точно чисто — флеша у меня на проксе закрыты нафиг ! И открываются только по стеклянной заявке .

>Очевидно, что самый надежный способ — закрыть на проксе доступ на урл.

Самый надёжный способ - держать антивирусный монитор с оперативными ежедневыми обновленями Есть, правда, ещё более эффективный - использовать Оперу, Миранду и т.п.

 

Да монитор дело хорошее... Но накладное .

Fakas, 24.02.2004 18:51:51 :

Хе ! Тогда у меня точно чисто — флеша у меня на проксе закрыты нафиг ! И открываются только по стеклянной заявке .

 

Флешка-то как раз ничего и не значит
Она там отвлекающим маневром.
Дыра там используется во входной HTML-странице.

>Да монитор дело хорошее... Но накладное

Ну, по ресурсам - терпимо. По деньгам... хм...

>Или - вот страшная идея - вирус с постепенным проникновением - целое семейство.

Я об этом давно мечтаю. Но как сделать хорошо? Что вири друг друга не светили?

>Но лечили же и их

Лечили. Но с трудом.

>Ты знаешь, как DrWeb работает? Он запускает исполняемый код внутри себя в эмуляции процессора (даже не в виртуальной машине). Вирус со временем распаковывается, и вот тут-то он и выцепляется.

Ну и обламывают этот др.веб. выходя в коде за пределы проца.

>Самый надёжный способ - держать антивирусный монитор с оперативными ежедневыми обновленями

Самый надежный - юзать правильный софт и не тыкать мышой куда попало.

TEvg, 25.02.2004 11:11:07 :

Ну и обламывают этот др.веб. выходя в коде за пределы проца.

 

Это как??

>Самый надежный - юзать правильный софт и не тыкать мышой куда попало.

Скажи это Слапперу или Рэдкоду
Если бы всё так просто было, Жень, давно бы уже при коммунизме жили.

>Скажи это Слапперу или Рэдкоду

Хы. А что в них такого? Сами в дыры залазят? Так надо БеОС юзать.

>Это как??

Тсс... Есть такая хорошая штука - порты. Читаем из порта и отталкиваясь от этого числа декриптуем полиморфик. Поскольку др.веб не знает что там в порту, он выпадает в осадок.

Или ОС за титьки подергать. За API то есть. Ответ который она вернет можно использовать как промежуточний ключ для дальнейшей расшифровки. Эмулятор др.веба в себе эмулятора виндов не содержит!

Простой пример - спросить у винды какой-нить строго определенный и прописанный в реестре GUID. С целью использования его в качестве ключа. Казалось бы что мешает др.вебу спросить его же? А не может! Так тупо сделан!
А если и сделают его умнее - все равно возможностей сражаться с эмулятором немерянно! Тогда наверное и появятся интересные вирусы!

Фактически эмулятор построен на чистой математике и ловит вирусы с декриптовщиками "в себе"

TEvg, 25.02.2004 12:44:42 :

Хы. А что в них такого? Сами в дыры залазят? Так надо БеОС юзать.

 

Жень, вернись в реальный мир. Вирусов под BeOS нет не потому, что там дыр нет, а потому что они никому не интересны.

>Тсс... Есть такая хорошая штука - порты. Читаем из порта и отталкиваясь от этого числа декриптуем полиморфик. Поскольку др.веб не знает что там в порту, он выпадает в осадок.

А что в том порту - LPT-ключ с телом вируса, что ли?
Вообще, как ты себе это представляешь?
Ты, вообще, с железом PC хоть немного знаком?