W32.Sobig.F: další červ útočí, tentokrát poštou

Podrobnější informace na:

Linux v kanceláři

http://www.root.cz/tutorialy/linux_v_kancelari/



Linux v domácnosti

http://www.root.cz/tutorialy/linux_v_domacnosti/

Zapomenout můžete, vir vás bude ale spamovat i tam. tady nejde o to, že se to šíří, ale že to otravuje značně i ty, co mají pochopitelně antiviry, a jen jim chodí jeden mail za druhým. Mám pravidlo na házení virových mailů (antivir už odstranil přílohu) do koše, i tak mi ale přes noc přišlo okolo stovky mailů, že se někam nepodařilo doručit mail s virem z mé adresy, to mne otravuje víc.

Nejkurióznější odpověď na zaslání viru mým jménem někam jinam byla "děkujeme za zaslání vašeho životopisu a budeme vás dále informovat .... atd. atd."

Jenže:

1) Kdyby došlo k většímu rozšíření jakéhokoliv alternativního operačního systému k M$ (třeba Linuxu), byla by to pro viry úplná pohroma. Ani by to nemuselo být zas tak moc. Není lepší živná půda pro viry, než zastoupení stejného OS a mailového klienta na 99.9% koncích drátu kterému se říka Internet.

2) To, že má někdo nainstalovaný (i legálně) antivirus, ješte neznamená že:
a) bude vždy aktualizovany - pokud už vůbec potřebna aktualizace už na světě je - to se stalo i Symantecu
b)si k němu nesedne BFU které virus neodstraní, nebo to ani ndokáže.


Neznám leší argument na boj s viry, než zlikvidovat jeden monopol na který jsme si už tak zvykli, takže většině lidí už ani nevadí. Linux je už k tomuto ideální.

Mno,ono to tak nebude ani operačním systémem.Spíš to je tím,jak moc je uživatel opatrný.Když uživatel je neopatrnej,a otvírá každej mail a každou jeho příponu,tak se není ani čemu divit.Takovejch virů,co už bylo,a ještě jsem neměl ani jednoho,a to mám jako operační systém Windows.A pořád nedokážu pochopit,proč brojíte proti Microsoftu.Je to tím,že vydělává takový peníze???Nebo jen obyčejná závist???Nebo jde jen o pocit nadřazenosti,když mám doma instalovanej Linux,a ostatní "jenom" Wokna???Já bych se nad kritizováním Microsoftu nejdřív raději pozastavil,a trošku si zametl před vlastním prahem,a raději než jiné,kritizoval chvíli sám sebe.Pak byste možná došli k jiným názorům.Ale je to jen věc volby.

P.S.Ani ten Linux není dokonalej!!!Už sem ho zkoušel,a raději jsem se vrátil k MS Windows.

A opověď na Váš příspěvek je uplně shodná s tou, kterou jsem právě dopsal na příspěvek jiný, takže se omlouvám, že jí z časových sůvodů prostě jen zkopíruji:


1) Kdyby došlo k většímu rozšíření jakéhokoliv alternativního operačního systému k M$ (třeba Linuxu), byla by to pro viry úplná pohroma. Ani by to nemuselo být zas tak moc. Není lepší živná půda pro viry, než zastoupení stejného OS a mailového klienta na 99.9% koncích drátu kterému se říka Internet.

2) To, že má někdo nainstalovaný (i legálně) antivirus, ješte neznamená že:
a) bude vždy aktualizovany - pokud už vůbec potřebna aktualizace už na světě je - to se stalo i Symantecu
b)si k němu nesedne BFU které virus neodstraní, nebo to ani ndokáže.


Neznám leší argument na boj s viry, než zlikvidovat jeden monopol na který jsme si už tak zvykli, takže většině lidí už ani nevadí. Linux je už k tomuto ideální.

Chodi mi jich asi 500 za den :( pulka primo me, pulka jako nedorucitelna zprava nekomu "ode mne" :((( Peklo. prekvapuje me, ze to je jenom na jeden account, pac oba maji adresy verejne velmi hojne publikovane... a na tento treti taky nic :)

No mne chodia aj vypisy 'undelivered' a to som testoval cely pocitac. V tych vypisoch je samozrejme oznamenie, ze som poslal infikovany mail, avsak pouzivam Outlook ale v hlavicke je mailer:Outlook Express. Taktiez IP adresa nesedi, ani postovy server.
Dokonca mam ako primarnu (default) odosielaciu adresu nastavenu uplne inu.
Je to velmi podivne. Tu adresu pouzivam velmi malo, mailbox, ktory maju stovky ludi zatial nebol infikovany.

Chodi mi cca. 1 mail/ minuta. Dost casto sa divim naco ludia robia cervov, ktori vobec nie su zabavni. Keby tak aspon vymysleli nieco funky, clovek by sa aspon zasmial...

Cavte,
Karol

To je přece jeho vlastnost, červ to odesílá z podvržených e-mailových adres, není to nic neobvyklého. Už by myslím bylo ale na čase, aby antivirové servery monitorující poštu neposílaly to zpětné oznámení o viru, v posledních letech žádný červ nevyužíval skutečnou adresu odesílatele.

Zdravim! Zatim se tomu uspesne nase firma brani, mame nejaky firewall a nejaky antivirus. Nedovedel jsem se ktery, protoze nase firma je propojena se Svycarskem a tak jsem nezjistil, co tam maji! Ale zatim to k nam nedoslo! Mam soukromy mail u seznamu a tam mi take zatim zadny podezrely mail nedosel! Ale uz jsem mel domo toho Blaster Worm-Lovesan. Odebral jsem ho z registru! Chtel jsem se zeptat co dela krome toho ze restartuje PC? Napada i nejake soubory? Ma s tim nekdo zkusenosti? Predem diky! 

Proboha, to i takovyhle lidi maji pravo volit !?

Ten Blaster Worm-Lovesan je velmi zákeřný - umí se nastavit jako tzv. keyboard-hook-program a přemapuje veškeré výskyty znaku tečka na vykřičník nebo otazník a navíc filtruje znak čárka. Nemáš zaco!!!

Muheeheehehe muhehehehe

No a heleme se. IMHO student Muhehak ze Strahova ?

Dnes rano som otvoril MailWasher a ... 708!!!!
PrxRST();

Dobré ránko,
v popisu viru mi chybí jedna informace. A to, co dělá mimo to, že se umí šířit.

?

Zrovna jsem si cetl tuhle diskusi, mezitim stahoval update AVG, a poté co se nainstaloval se mi obevila takova ta "dosova" AVG hlaska ze ho nasel, dal jsem lecit a restartoval se mi kompl... tak nevim jestli za to muze AVG nebo vir

BTW ja mam zatim jen kolem 15 kopii, uz se tesim na dalsi :)

Na Symantecu se pise, ze to pry v nejakou urcitou dobu a cas pokud comp bezi stahne backdoor, umi SE SAM AKTUALIZOVAT, ale nepise se odkud. I dalsi vecicky / blbosti.

By brecite, ze vam parkrat prisel, byl sem u klienta 2 hod, prisel za tu dobu 130x!!!! Nechci nasobit, ale jestli chce zavadet TeleShit mesicni limit u ADSL na 10 GB tak to v tomhle bordelu za chvili nebude stacit ani na mail.

To mate z toho, ze nepouzivate IMAP ...

no ja imap mam a dorazil asi 2500x (od vcerejsiho vecera doted). zatim nikdo z @cpress.cz ;)

Cervik se mi poslal 300x za den, tj. 30MB, za mesic by to bylo 1GB, Par takovych cerviku a je po limitu ADSL.

Taky jste mohli zminit, ze ona prekvapiva uspesnost sireni je zapricinena hlavne tim, ze tenhle Sobig bezi ve vice vlaknech a dokaze na rozdil od predchudce posilat hafo emailu naraz. (http://news.com.com/2100-1002_3-5065494.html)

Me to taky prislo, dokonce od pana Holcika a Kunese Doufam ze sfalsoval adresy

Sakra, tys mě předběh! Sedm dalších, z toho jeden od Holčíka

Jen pro upresneni. Ty prilohy nemaji priponu .ZIP, ale jsou to primo spustitelne soubory s priponou .PIF nebo .SCR. Neni tedy treba nic rozbalovat.

Mam zatim 50 kopii za 2 hodiny, navic 2 x 50 upozorneni na novy mail na mobilu
if(document.layers){document.captureEvents(Event.MOUSEUP);}document.onmouseup=PrxOMUp;

Mne od 3 hodin rano, kdy sem prisel z hodpody doted prislo dalsich 70 mailu. JE to nejake divne a byla tam i adresa petr.broza@cpress.cz

Mě jen sedmkrát.

Za posledni dve hodiny mi prisel 70x na jednu adresu, snazi se

Me tu chodily dva co minutu. Ale uz to prestalo, asi ten blbec z Danska vyplnul pocitac a sel domu.

Nevíte někdo, jak zjistim skutečnýho odesílatele? Taky sem dostal celkem záplavu. Díky, Vláďa

Lze zjistit SMTP server, ze kterého byl mail odeslán. Protože dle symantecu obsahuje červ vlastní SMTP, zjistíte IP stroje, ze kterého je červ šířen.

V mém případě je určující hlavička

Received: from VK3 ([62.138.57.18])
by relay2.post.cz (8.12.8p1/8.12.8) with ESMTP id h7JG16Ll079901
for ; Tue, 19 Aug 2003 18:01:13 +0200 (CEST)
(envelope-from golias2@tiscali.cz)

která říká, že červ je rozesílán z IP 62.138.57.18.

Právě jsem dostal nášup 9 infikovaných e-mailů a jejich počet stále roste. Všechny Received: from VK3 ([62.138.57.18]).

Jo jo, VK3 mi taky posílá pěknou dávku. Asi je to nějaký počítač s moc velikou zásobou emailových adres.

Jojo mame vyhodu ja automaticky vsechny anglicky psany emaily mazu jelikoz neznam nikoho kdo by me anglicky psal. Doufam ze ale nejaka firma nevyvine prekladac viru pod Outlook.

A jak se automatickz pozná, že je mail anglicky?

Chodí mi to taky, používám MailWasher Pro, takže v tom to rovnou smažu a až teprve pak použiju email clienta.

Již jsem si myslel, že jsem osamocený uživatel tohoto špičkového programu! Program mám samozřejmě v češtině a pokud by se někomu nelíbila původní angličtina, všichni češi jistě umí i anglicky, tak mám hotovou češtinu pro MailWasher Pro 3.1. Kdo by měl zájem, může se ozvat.

Angličtina mi nevadí (kolikrát se jen v En dá pochopit, o co jde), rád bych se ale podíval na tu češtinu. Můžeš mi hodit link? (ev. i do mailu).

TIA