Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: niezły wirusik/spyware dla bojaźliwych
Forum PHP.pl > Inne > Hydepark
sagittariuspl
29.05.2007, 15:11:28
dziś na maila dostałem pseudo powiadomienie o krytycznej poprawce microsoftu i oczywiście link do niej. nadawca nie jest taki zły, ale skąd w ms mają moge maila? poczytałem, poczytałem, najeżdzam na link i ciekawy adres widzę. poniżej zamieszczam maila ku przestrodze
Cytat
From - Tue May 29 15:52:20 2007
X-Account-Key: account2
X-UIDL: 1403685693.1240209664.4177812550
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <nobody@gold.eg7.net>
Received: by o2.pl (o2.pl mailsystem) with LMTP;
Tue, 29 May 2007 12:48:25 +0200
Received: from egmix.com [75.126.151.122]
by mx6.go2.pl with ESMTP id 118043570456633014
for <dawid_chojnacki@o2.pl>; Tue, 29 May 2007 12:48:24 +0200
Received: from nobody by gold.eg7.net with local (Exim 4.66)
(envelope-from <nobody@gold.eg7.net>)
id 1HszFY-0008BF-2D
for dawid_chojnacki@o2.pl; Tue, 29 May 2007 13:48:24 +0300
To: dawid_chojnacki@o2.pl
Subject: Uwaga: Twoj komputer jest zagrozony!
Message-ID: <7e15543301230daed1044a2ada933670@usa.net>
From: Microsoft Centrum Bezpieczenstwa <support@microsoft.com>
Reply-To: Microsoft Centrum Bezpieczenstwa <support@microsoft.com>
Date: 29:05:2007
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - gold.eg7.net
X-AntiAbuse: Original Domain - o2.pl
X-AntiAbuse: Originator/Caller UID/GID - [99 32002] / [47 12]
X-AntiAbuse: Sender Address Domain - gold.eg7.net
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -DSSL
X-Source-Dir: alrowadschool.com:/public_html/rchat/inc/cmses
X-o2-Trust: 2, 64


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<style type="text/css">
<!--
body,p,td,div,li,ul,input { font-family:Arial, Helvetica, sans-serif;font-size:12px;color:#666;}
-->
</style>
</head>
<body>
<table cellpadding="5" cellspacing="0" border="0" width="60%">
<tr>

<td align="center">
<table cellpadding="5" cellspacing="0" border="0" width="60%">
<tr>
<td width="31%"> </td>
</tr>
</table>
</tr>
<tr>
<td align="center"><table cellpadding="10" cellspacing="0" border="0" width="60%">
<tr>
<td>
<img src="http://v5.windowsupdate.microsoft.com/library/toolbar/3.0/images/banners/windows_masthead_ltr.gif"><br>
Witamy w systemie Aktualizacji Microsoft Windows.<br><br>
Zaktualizuj swój komputer!<br>
System Aktualizacji Microsoft Windows zeskanował<br> Twój
komputer i znalazł krytyczne błędy w systemie.<br>
Prosimy o jak najszybszą aktualizację systemu.<br>
Zignorowanie tej wiadomości i brak aktualizacji może<br>
spowodować całkowitą i bezpowrotną
utratę danych z komputera.<br>
(W celu aktualizacji kliknij w przycisk niżej "Pobierz teraz i zainstaluj")<br><br>

<b><li><font color="red"> Krytyczna Aktualizacja dla Microsoft Windows XP/2000/2003/Vista<br> MS07-023 (934233)</b></font><br><br>
<a href="http://update.microsoft.strangled.net"><button id="eDownload">Pobierz teraz i zainstaluj</a></button><br>
<br>Więcej informacji pod adresem:
<li><a href="http://www.microsoft.com/technet/security/bulletin/ms07-023.mspx">http://www.microsoft.com/technet/security/bulletin/ms07-023.mspx</a><br><br>

<b>Microsoft Centrum Zabezpieczeń</b><br>
<b>©2007 Microsoft Corporation. All rights reserved</b>
</td>
</tr>
</table>
</td>
</tr>
</table>
</body>
</html>


nie klikajcie w to, chyba, że naprawdę chcecie ;]

ma ktoś podobne doświadczenie?
Nitryt14
29.05.2007, 15:39:45
Ja sie odwazylem i zajrzalem w linku zrzut ekranu tongue.gif

Zrzut ekranu

Pierwszy raz widze... smile.gif coraz cwanszy sa z tymi wirusami.
kwiateusz
29.05.2007, 15:40:24
przecież to norma.. nie raz już takiego maila dostałem tyle że gmail zazwyczaj je do spamu wrzuca
sagittariuspl
29.05.2007, 15:49:09
@Nitryt14: uruchom jeszcze ten programik i wtedy zrób zrzut ekranu biggrin.gif
@kwiateusz: ale nie zaprzczysz, że 90% jak zobaczy takie maila bez wachania kliknie
Nitryt14
29.05.2007, 15:52:14
nie zadziala mam linuxa tongue.gif i tylko z tego powodu tam sie wbilem.

No moze przez cedege albo wine by dalo rade uruchomic tongue.gif
sagittariuspl
29.05.2007, 16:01:32
na linuxie to i u mnie nie będzie działać i dlaego nie wiem co to nawet jest. cedega, ani wine nic ci nie da, jeżeli to ustrojstwo ingeruje w system
kwiateusz
29.05.2007, 16:12:43
Cytat
@kwiateusz: ale nie zaprzczysz, że 90% jak zobaczy takie maila bez wachania kliknie


to za przeproszeniem muszą być idioci :] ja już chyba ze 4 maile dostałem od admina M$ żeby gdzieś kliknąć, coś ściągnąć i ani razu mi nie przyszły odo głowy że moze to być prawdziwy mail... zwłaszcza ze po 1 system mi sie sam aktualizuje, 2 M$ wysyła bardzo graficzne maila więc z tego co widzę takiego prymitywa nawet by nie wysłał...

no ale po dłuższym zastanowieniu jak ludzie sie nabierają na maile od banków to na to tez sie mogą złapać.. ehh

btw. aż takie to tragiczne że trzeba był o sie tym z forumowiczami dzielić tongue.gif
Sedziwoj
29.05.2007, 17:48:57
Adres serwera nadawczego dużo mówi.
Ja tam zazwyczaj od razu wywalam e-mail'e nie spodziewane, chyba że nadawca lub tytuł mi coś mówią.
Używam windowsa i jakoś problemów nie mam. Wystarczy tylko myśleć przy korzystaniu...
Dlatego pewnie dużo osób (użytkowników win) kliknie w ten link i to coś zainstaluje.
sagittariuspl
29.05.2007, 18:22:48
czyli użytkownik linuxa jest z reguły mądrzejszy od tego używającego windowsa? biggrin.gif taki wniosek mi się nasunął po porzednim poście
Turgon
29.05.2007, 18:25:24
To zależy, linuxa sobie najpierw lubi pooglądać syf atakujący windowsa, a potem wywalić winksmiley.jpg A windowsa nie ma wyboru... Musi wywalić!
sagittariuspl
29.05.2007, 19:04:20
@Turgon: tu mnie zaskoczyłeś. a jak ty odpalasz wirusy dla windowsa na linuxie?
sztosz
29.05.2007, 19:08:11
A ktoś wie co to za gówno jest? Jak się pozbyć, etc...? Mi to uruchamia tylko:
Kod
E:\PROGRAMY\FIREFO~1.02\FIREFOX.EXE -url "%1" -requestPending
czyli teoretycznie FX'a ale bez GUI i zajmującego 4 MB ramu, i do tego samo restartującego się po Killnięci. Nic z czym nie można sobie poradzić biggrin.gif Tylko nie wiem gdzie cholerstwo siedzi smile.gif Na razie winksmiley.jpg
Nitryt14
29.05.2007, 19:27:37
@sztos przeszukaj rejestr napewno tam siedzi... smile.gif
sztosz
29.05.2007, 19:43:41
Właśnie nie bardzo, to znaczy i tak i nie smile.gif

Zmieniłem defaultową przeglądarkę na operę i znów się to dzieje, ale przy FX'ie najnowszym z trunka już takie rzeczy się nie dzieją smile.gif

Zaczynam się bać co by było jakbym miał IE jako defaultową przeglądarkę biggrin.gif

Rootkit jak nic biggrin.gif
Sedziwoj
29.05.2007, 20:21:45
Oj z tym syfem to są kłopoty, czyściłem już niektórym osobą komputery, no i to jest pracochłonne...
A najczęściej wina użytkownika, używa IE http://www.webdevout.net/ie-is-dangerous czy otwiera listy od nie wiadomo kogo, czy pliki niepewnego pochodzenia.
sztosz
29.05.2007, 20:32:40
@Sedziwoj: Jakieś wskazówki, gdzie to siedzi, czym usunąć? Zainstalowałem sam z własnej nie przymuszonej woli (nie pragnę wysłuchiwać żadnych zbędnych komentarzy!), ale pomoc mi się tym razem chyba na pewno przyda smile.gif
Sedziwoj
29.05.2007, 20:49:30
Jest taki przydatny programik: HijackThis
do tego czasem przydaje się np. http://www.processlibrary.com/directory?files=

choć czasem trzeba inny system aby ustrojstwo wywalić, bo miałem takie coś co ładowało się przy starcie, w sumie nie mogłem dojść gdzie, bo na pewno nie usługa (win serii NT), ani nic z autostartu(nie chodzi mi tylko o folder i rejestr)... sam nie wiem, w trybie awaryjnym sterowniki też nie powinny być ładowane :|

Na stronie tego programu jest forum (en/de) i tam jest sporo informacji, w tym i FAQ (jak dobrze pamiętam)
sztosz
29.05.2007, 20:50:51
Wiesz, myślałem że powiesz mi jak sobie poradzić z tym konkretnym ustrojstwem winksmiley.jpg

Hijackthis nic nie wykazuje, GMER niewiele mi mówi, a-squared i rootkit revealer zawieszają nagle cały system przy próbie uruchomienia.

Ale doszedłem już do tego że ten mutex "\BaseNamedObjects\)!VoqA.I4" jest odpowiedzialny za "restart" tego Firefoxa smile.gif to już coś winksmiley.jpg
nitro18
29.05.2007, 20:50:55
Ja miałem prawie to samo.. może nie wirus.. ale podszycie się pod znane firmy u mnie to pod Nokie, nie dałem się nabrać bo Nokia wysyła tekst, np. Witaj jarku i ma bardziej rozwiniętą graficznie szatę w emailu smile.gif
W tym screenie co pokazałeś to też można się nie nabrać. Od kiedy to po update.microsoft (w linku) jest doczepiona jeszcze inna domena? Na linki warto też zwracą uwagę.
Sedziwoj
29.05.2007, 20:53:46
Cytat(sztosz @ 29.05.2007, 21:50:51 ) *
Hijackthis nic nie wykazuje,


Hmm hmm, podeślij mi PW co tam Ci znajduje, bo tak jakoś dziwnie ;>
A czytałeś forum, czy próbowałeś wyszukać? może już ktoś miał ten problem.
sagittariuspl
29.05.2007, 21:33:05
Cytat(nitro18 @ 29.05.2007, 21:50:55 ) *
Ja miałem prawie to samo.. może nie wirus.. ale podszycie się pod znane firmy u mnie to pod Nokie, nie dałem się nabrać bo Nokia wysyła tekst, np. Witaj jarku i ma bardziej rozwiniętą graficznie szatę w emailu smile.gif
W tym screenie co pokazałeś to też można się nie nabrać. Od kiedy to po update.microsoft (w linku) jest doczepiona jeszcze inna domena? Na linki warto też zwracą uwagę.

warto zwracać uwagę, ale ilu to robi, lub inaczej - ilu umie przeciętnych użytkowników pc'ta
Sedziwoj
29.05.2007, 21:44:03
A pytanie kto takim użytkownikom takie informacje podaje?
Bo mi się wydaje że problem jest w niedoinformowaniu.
nitro18
30.05.2007, 13:41:12
Ja się nauczyłem że... jeżeli nadawca nie jest mi znany, nie otwieram tylko ląduje do kosza... na GG ignoruj teksty osób (przez blokadę na liście) których nie znam lub nie chcą się przestawić lub mam podejrzenie że wysłany przez nich link jest podejrzany. Moja mama powtarza, że: "Strzeżonego, Pan Bóg strzeże" więc sotsuje tą zasadę i radzę ją innym... winksmiley.jpg

Cytat
warto zwracać uwagę, ale ilu to robi, lub inaczej - ilu umie przeciętnych użytkowników pc'ta


no nie wiadomo...

Cytat
A pytanie kto takim użytkownikom takie informacje podaje?


myślę że częściowo ponoszą za to winę np. googlebot które indeksują także emaile...
sztosz
31.05.2007, 12:43:38
W końcu, z pomocą programu Filemon (google nie boli winksmiley.jpg ) znalazłem cholerstwo biggrin.gif w <drive>:WINDOWS\SYSTEM32\ instaluje się pliczek iexplorer.exe na razie (nie wiem czemu) ani NOD ani parę innych rzeczy nie widzą w nim nic szkodliwego. Cholerstwo się doczepia w jakiś przedziwny sposób (nie mam czasu na sprawdzanie w jaki) do Explorer.exe, czyli normalnego windowsowego shell'a po czym uruchamia przeglądarkę (domyślną w systemie) w trybie bez GUI i ogólnie potrafi zwiesić czasem cały komp na kilka, kilkanaście minut lub w nieskończoność. Zwyczajnie kursor działa, klawisz Windows też, ale nic nie można zrobić :|

Rozwiązanie? Wypier****ć <drive>:WINDOWS\SYSTEM32\iexplorer.exe, jeśli nie można to w awaryjnym, spod linuxa, lub killnąć Explorer.exe. Nie restartowałem kompa (nie mogę na razie nawet wylogować się) więc nie wiem czy to rozwiązanie na 100% skuteczne, a nie znalazłem nigdzie indziej iexplore.exe winksmiley.jpg

PS. Cały czas mówię o tym syfie z maila ~sagittariuspl, czemu to zainstalowałem? Bo lubię wyzwania, a usuwanie wszelakiego syfu jest częścią mojej pracy biggrin.gif
Nitryt14
31.05.2007, 14:40:59
Według mnie najproszym rozwiązaniem jest przejscie na linuksa (ja tak zrobilem i jestem naprawde zadowolony a poprzednio uzywalem WIN 2000PRO). A co do wiadomości na gg od nieznajomych, moja siostra dostała wirusa który się podczepił pod obrazek wysłany przez jej koleżanke na gg (nie pytac mnie jak) i przy czym ta kolezanka nie miala tego wira... Gdzies na laczu sie skubany podczepil i caly system roznius w pyl... (moje biedne zdjecia, muzyka i filmy sad.gif )
sztosz
31.05.2007, 17:20:11
Cytat(Nitryt14 @ 31.05.2007, 15:40:59 ) *
Według mnie najproszym rozwiązaniem jest przejscie na linuksa.


Nie jest :| Przejście na GNU/Linuxa, jest wyjściem dobrym, ekonomicznym, satysfakcjonującym, ale nie najlepszym :| Mi workaround na ten syf zajął 10 min, znalezienie i usunięcie ~2h (mówię to o rzeczywiście poświęconym czasie). Natomiast w systemach GNU/Linux gubię się, nie wiem gdzie czego szukać, jak coś mi nie działa to muszę zaglądać w dokumentację. W windowsie prawie wszystko robię "z palca". Ale to tylko i wyłącznie kwestia doświadczenia. gdybym 12 lat temu zabawę z kompami zaczynał od Linuxa to pewnie bym na Windowsa nie spojrzał, ale niestety zacząłem od Windowsa. I ludzi takich jak ja jest mnóstwo :|
sagittariuspl
31.05.2007, 17:36:26
ja używałem windowsa ~8 lat. przeszedłem przez 95, 98, 98se, xp home i pro, a jednak pewnego dnia zamówiłem darmowe (i cholerne biggrin.gif ) ubuntu i już zostałem. dobra, nie mówię, że to jest system dla wszystkich (instalacja kodeków w 6.06 lts zajęła mi ok. 2 h i do dzisiaj nie mam polskich liter w filmach), ale w linuxie trzeba się zakochać - to nie jest system dla mas tylko dla tych, którzy lubią raz na jakiś czas coś podłubać i lubią sobie google odpalić ;] ale instalacji aplikacji z repo nic nie zastąpi...
nitro18
3.06.2007, 20:46:18
Cytat
wirusa który się podczepił pod obrazek wysłany przez jej koleżanke na gg (nie pytac mnie jak) i przy czym ta kolezanka nie miala tego wira...


ktoś musiał podsłuchać jej rozmowę i podczepić wira... z reguły wiem, że da się w kod obrazka wsadzić kod wirusa mimo że obrazek wyświetla się prawidłowo.... nie pytać jak bo ja nie wiem sam... tongue.gif podczas uruchomienia obrazka uruchamia się wirus... pewnie będzie to samo co przytrafiło się twojej siostrze...

Cytat
Nie jest :| Przejście na GNU/Linuxa, jest wyjściem dobrym, ekonomicznym, satysfakcjonującym, ale nie najlepszym :|


Ja bym prawie przeszedł ale... w ostatnim momencie przeniosłem się na Windows bo w Mandriva nie mogę znaleźć programu do obsługi skanera sad.gif
sagittariuspl
3.06.2007, 20:54:08
Cytat(nitro18 @ 3.06.2007, 21:46:18 ) *
Ja bym prawie przeszedł ale... w ostatnim momencie przeniosłem się na Windows bo w Mandriva nie mogę znaleźć programu do obsługi skanera sad.gif
na ubuntu to jest XSane, a że każy linux to to samo...
nitro18
3.06.2007, 21:06:40
a mi jednak podpasował Mandriva... każdy lubi inny system smile.gif
sagittariuspl
3.06.2007, 21:13:09
nie odradzam ci tego systemu tylko napisałem ci jakiego masz szukać programu do skanera ;]
sztosz
3.06.2007, 22:22:00
Cytat(nitro18 @ 3.06.2007, 21:46:18 ) *
z reguły wiem, że da się w kod obrazka wsadzić kod wirusa mimo że obrazek wyświetla się prawidłowo.... nie pytać jak bo ja nie wiem sam...


Luka jest w GDI+, pozwala na przepełnienie bufora, ale nie wsadzisz wirusa w obrazek tak żeby sam się uruchomił.
nitro18
5.06.2007, 14:59:09
Cytat
nie odradzam ci tego systemu tylko napisałem ci jakiego masz szukać programu do skanera ;]


ale ja Ci takiego nie napisałem smile.gif Dziękuję za info o programie do skanera. smile.gif
W sumie muszę chyba zacząć używać zasady, nie wiesz pytaj na forum linuxowym (mandriva, ubuntu...)

Cytat
Luka jest w GDI+, pozwala na przepełnienie bufora, ale nie wsadzisz wirusa w obrazek tak żeby sam się uruchomił.


Oczywiście że nie, bo uruchomienie będzie wtedy gdy użytkownik uruchomi obrazek, znaczy będzie go chciał wyświetlić smile.gif
sagittariuspl
5.06.2007, 16:08:58
Cytat(nitro18 @ 3.06.2007, 21:46:18 ) *
Ja bym prawie przeszedł ale... w ostatnim momencie przeniosłem się na Windows bo w Mandriva nie mogę znaleźć programu do obsługi skanera sad.gif

czego mi nie napisałeś @nitro18? szukałeś programu to daję ci odpowiedź.

to tak poza tematem głównym
nitro18
5.06.2007, 17:00:41
no i za to podziękowałem smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.