Pozor na červíky! Nový český červ zasahuje

Neni snad jednou ze zasad bezpecneho pouzivani neotvirat nevyzadane prilohy???

Zvedavost je zhouba lidstva (prestoze je zaroven i jednim z motoru pokroku), a proto mam pro vsechny, kteri jste tento mail automaticky nesmazali a spustili si cervicky vetu:

Dobre vam tak.... kdyby blbost nadnasela jste po cely zivot prilepeni na stropech....

J.Q.

Nevite, jak zjistuje jmeno, kterym ten mail podepisuje?

Vymazal jsem ho z registru, vymazal ho i z disku, ale stejne mi AVG hlasi samo od sebe, ze byl nalezen vir Cervicek v c:/System Volume Information/.... bohuzel  se do tohodle adresare nedostanu, ale pokud spustim Jakykoli Test i Kompletni, tak mi AVG v tomto adresari nic nenajde.... Mam XP a nevim v cem by mohl byt zakopanej pes...

Nemáte někdo podobnej problém?

System Volume Information pouzivaji XPcka pro skladovani smazanych souboru s urcitymi priponami, ktere by mohly pouzit pro opetovne nahozeni systemu pote, co ho neco rozhodi.

Takze to tam nejspis vzalo toho vira (je to EXE a ty se samozrejme skladuji)

Do tohoto adresare ma standartne pridelena prava jen SYSTEM, ale pokud jste admin, tak si muzete pravo pristupu (i zapisu) pridelit.

Jak si nastavím práva pro tuto složku?

Mno, úplné stejně jako pro každý jiný adresář :)

Ve vlastnostech je položka Zabezpečení, tam se dá třeba přidat konkrétní uživatel nebo skupina uživatelů (Administrators, Users, Everyone, ...)

cau , taky jsem se nechal nachytat timhle vejrusem.. ale zajima mne, co to dela, protoze kamosovi  lehnul disk - odesel celej rozsirenej oddil - je sice pravda,ze si pred tim hral s partition magicem..  a pak teprve jsem si to stahnul a u nej spustil... otazkou tedy je, kdo za ten prepsanej oddil muze, jestli jeho hokus pokuskareni nebo me spusteni vejra.

Lada

z 99% za to muze Partition Magic. Me uz se jim taky podarilo parkrat poskodit partition

Bohuzel jsem se nikde na Symantecu nedocetl, jak tu aktualizaci pridat do Norton Antiviru for Gateways a dal taky do System Center, aby se automaticky rozeslala i na vsechny podrizene stanice....

Takze asi budu muset cekan naz itrek....

No abych se priznal tak ze je to virus sem zjistil az tady - me to prislo od kamarada podepsany jeho jmenem AVGcko neprotestovalo a tak sem to spustil a myslel sem ze je to normalni takova ta kravina co lezou vzdycky ty ruzny potvory po obrazovce, tak sem to vypnul. Za boha mi to teda neprislo jako ze je to virus

Diky za navod na vyruseni toho kasparka

AVG Vam nedovoli smazat ntkrnl.exe ("systemovy soubor"), nejde Vam to ani ve Windows nebo Wincmd?

Mate jej v pameti. Po vymazani zaznamu v registru provedte restart. Slozku SYSTEM32 odznacte jako systemovou, smazte ntkrnl.exe a vsechny ostatni uvedene soubory, pokud tam jeste jsou. Vysypte kos. Prohledejte cely PC na uvedene soubory. Ja jsem puvodni worms.zip nasel na trech mistech: C:\Windows\TEMP, dale take vnoreny v TEMP\Content.IE5\F3533TOW a do tretice v C:\WINDOWS\SYSTEM32, kde byl spolu s worms.exe, ntoskrnl.dat a ntkrnl.exe.

Zajimave je, ze po vymazani zaznamu z registru a po restartu se znovu objevil na puvodnim miste jiz odstraneny ntoskrnl.dat, zrejme se vytvoril pred vypnutim PC. Po opetovnem odstraneni spolu s ntkrnl.exe a restartu je vse vporadku. Zatim. Nez dorazi neco jineho.

Zaverem dekuji svemu svagrovi Liborovi za pomoc a za odkaz na tyto dulezite stranky. Vyplati se je navstevovat casto.

No myslim, ze par mych kontaktu take zachranil Norton personal firewall. Jako vul jsem toho cerva taky spustil, pak musel restartovat a uz mi to hlasilo pokus o pripojeni( tedy rozeslani) kurva drat. Tak jsem to zakazal a sel na Zive.cz  

Moc diky za tento clanek. Dneska mi ti cervi prolezli monitor a pocitac a Norton Antivirus mi to nenasel a jen diky Norton Fire Wallu jsem snad doufam zarazil rozsireni ode me. Diky kamaradovi jsem se pres ICQ dozvedel o tomto clanku a cervy jsem zlikvidoval  Jen se mi nepodarilo po auktualizaci antiviru to odstranit automaticky a tak jsem plne vyuzil navod z clanku

Mne to prislo jenom jednou, i kdyz ja mel podezreni ze to je neco nekaleho (ale ze to je virus, to jsem netusil), tak jsem to otevrel rovnou v disassembleru...

Ale je fakt, ze tenhle virus nezneuziva zadne bugy v mailerech, pouze blbosti uzivatelu.

Cao.

Jak to delate? Mne neprisel ani jeden cerv, vzdycky je pracne shanim dodatecne, abych se pokochal zdrojakem, protoze to obvykle byva pekny programatorsky kod.

Cao. Mejte se fajn.

Koudy

Ani se nedivim, kdyz se ten virus siri jen prostrednictvim Windows .

ještě že mi stajná zprava přišla od 3 lidí najednou...

Příspěvek měl vulgární charakter, proto byl redakcí smazán.

Příspěvek měl vulgární charakter, proto byl redakcí smazán.

Co je na magorovi a idiotech vulgarniho ? Bojite se, ze si to precte naky detatko ?  Zajdete si nekdy pred zakladku

Prosím, bylo by příště možno zprávy o security problémech operačního systému WINDOWS označovat přímo v titulku? Takhle jsem tuto zbytečnou zpávu musel otevřít a prohlédnout si ji, čímž jste mi zcela zbytečně ukradli několik minut života, což vám do smrti nezapomenu.

To je naprosto cool zpusob sireni "nevyzadanych" programu. Zadny slozity maskovani v exacich, strkani do nejakejch boot sektoru. Proste at si ho obet spusti sama, dobrovolne a jeho ukolem je pak zaridit sve dalsi poslani.

Mozna takovy technicky naprosty tupovirus a "psychosocialni" "hezkovirus" konecne lidem ukaze, ze nemuzou nikomu verit, vsechno si musi radne overovat. No a pak uz bude nejvetsi casti techto viru inteligentni system, ktery bude zajistovat konverzaci s tim, komu byl cerv zaslan a on se pta, je-li to opravdu od jeho kamarada a jestli to ma spustit. Casem se to navesi na icekvecka, mobily, ....... Pak bude ta spravna zabava

degerzrtz

rtzrtzrtz

krasne se vyuziva icq a podobnych deravych veci

...jenom mi bylo trochu divny, že ten co mi to poslal se podepsal jako KArel (když se jmenuje Pavel).... ae stejně- avg mi zahlásilo problém, takže se nic nestalo

tenhle cervik je genialni a silny prave v tom socialnim inzenyrstvi. Kdyz vam prijde exe, scr tak ho bud rovnou smazete nebo projedete antivirem, tohle je zip, takze vas asi nenapadne ze je to vir... Dobrej napad Autor ma u mne pivo. Ale jinak si myslim ze spousta lidi stale podcenuje antiviry a jejich aktulizace

Kvuli zodpovednosti k lidem - zablokuju si na routeru port 25 a napsal jsem si gateway na SMTP. Aktualizace neaktualizace, chci vedet, co se komu a kam rozesila. Jestli mi vir smaze disk je jedna vec, ale nechci mit na zodpovednost smazane disky mych kamosu. Az bude ten gateway funkcni a spolehlivy, tak sem hodim odkaz aby si ho kazdy mohl stahnout. Jeho cinnosti je jen od uzivatele si nechat potvrzovat kazdy odesilany mail.

Tak koukam, ze argument: viry jsou psany pro cizince a budete mit cas si updatnout antivirak, driv nez to do ty nasi exoticky zeme dorazi uz taky padnul.

Na druhou stranu kdo ma majler, ktery automaticky otvira attachmenty, ten se nema narok divit:)

ZIP bys otevrel i ty po ulozeni. I ja bych ho asi otevrel.
Vetsinu vtipu od znamych prohlizim se zpozdenim.

Jestli to dobre chapu, tak to je problem prave proto, ze to neni zip. Ja pouzivam takove majlery, ktere mi reknou jak se priloha skutecne jmenuje... tj finty s hahaha.jpg.vbs apod na ne neplati. Premejsleni o nazvech, jejich upravy a spousteni je totiz ficura jen tech "superchytrych" majleru, ktere cloveku strasne usnadnuji zivot.

No ... a pokud uvidim, ze se to tvari jako zip a zip to neni, tak to prece nebudu rozbalovat:)

sice jsem ho jeste nedostal, ale podle informaci, ktere mam, by to mel byt opravdu zip, ne ze se jenom tak tvari. takze duveryhodny soubor od znameho s bezpecnou priponou, ktera projde pres firemni antiviry... nekdo tady psal, ze uz slovni spojeni "neni to virus" je varovani, ale ja si to nemyslim - mam zname, kteri mi posilaji spoustu srandicek, a proto mi to podezdrele nepripada.

zip fiajl by som otvoril ale ak by som videl ze v nom je exe subor tak ten by som uz nepustil... zasadne nespustam exe,com, bat a ine spustitelne subory prichadzajuce emailom(ak ho samozrejme neocakavam) . Len snad neni urobeny aj virus ktory sa spusta cez obrazky ci videa ci hudbu, take subory spustam....

Len snad neni urobeny aj virus ktory sa spusta cez obrazky ci videa ci hudbu, take subory spustam....
no to te uklidnim to ani dost dobre nejde

 davat bacha nejen na *.exe,*.com,*,bat ale taky na doc,xls,mdb

ale hlavne na ruzny skriptiky hlavne v iframe s nulovou sirkou a vyskou

mazat kesku a obcas juknout na nainstalovany moduly a pak jsi relativne v bezpeci:)))

Děkuji Bohu, autorovi článku a tomuto serveru, že jsem sem zašel a tenhle článek si přečetl, protože zrovna před pěti minutami jsem tenhle soubor stáhnul z mailu a určitě bych ho spustil... Teď aspoň můžu varovat další :o)

zkuste se kouknout na ntoskrnl.dat - tam to mate cerne na bilem.............

s problémama jsem to všechno smazal snad z dosu........ doufam, ze uz to tam nikde ta kurva neni, další kurva se uložila do recent!!!!!!!!!

snad jsem se ty kurvy zbavil, poslal mne to kamos, kterej mne posila hodne srand, treba vcera soubor, kterej se jmenoval headfucking - no fakt sila......... takze tomu verim............

mejte se F

No jestli je pravda, že kontakty přebírá z databáze ICQ, tak jsem v pohodě, protože místo nabobtnalého klasického ICQ již pěknou řádku měsíců používám velmi zdařilý klon pro Windy - Miranda ICQ ... jedině, že by existovala i verze pro tento program

Jinak je pravda, že je to pěkně nechutné, zneužívat kontaků přátel ...

MaD

Stačí prostě neotevírat nevyžádané přílohy. Já osobně už to delší dobu tak dělám, že pokud přijde nevyžádaná příloha, tak tomu druhému napíšu a klidně si počkám, než mi odpoví, že je to bez viru.

Jinak tentokrát byl vyloženě podezřelej už ten text obsahující slovní spojení (není to virus)

Dalsi zaznamy v registru jsem nasel v HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/INTERNET EXPLORER/EXPLORER BARS/*vase iD cislo*/FilesNamedMRU - hodnoty 000 - worms.exe a 001 - ntkrnl.exe ... doporucuji prohledat cely registr na jmena souboru.

Tenhle zaznam nikomu neublizi, je to neco jako seznam naposled otevrenych souboru. A pokud zmazed ten klic, ktery oznacujes jako /* vase ID cislo */, mimochodem je to class ID nejake komponenty nainstalovane do exploreru, dela to napr. Go!zilla nebo Real player, tak si ten panel znicis.

Skvělé, další do sbírky.

No ja teda nevim, ale s datumem 22.3. je spojena newska a popis tohoto cerva. Neni mi jasny, proc tvrdite, ze nestiha ?

Včera ráno jsem databázi aktualizoval a červa přesto nezachytil.

Kouknul jsem se na Symantec a vše je jasné. Červ W32.Cervivec.A@mm je Norton Antivirem detekován pouze pokud si aktualizaci sami stáhnete a nainstalujete. Pro on-line aktualizaci pomocí LiveUpdate bude nová definice tohoto červa dostupná až 27. března.

nechapem? Virus sa spusti uz po kjliknuti na worms.zip alebo az po kliknuti na rozpakovany subor?  zip fajly mozu spustat virusy?

Nejdříve musíte archiv rozbalit.

Ten soubor neni ve formatu ZIP, ma jen takovou priponu. Je to spustitelny soubor typu PE EXE komprimovany pomoci UPX a spusti se ihned, nerozbaluje se.

Asi mas nainstalovanou plug-inu ktera ti zip prejmenuje na exe a spusti to.

co ze to mam mit? Ne, nic takoveho nemam. Pouzivam  mailer The Bat!, pripony EXE. COM a tuny dalsich vcetne ZIP mam zablokovane proti nahodnemu rucnimu spusteni a stejne by se nesiril, pokud by to vubec delal. Ted jsem koukal ke Kasperskym a cituji:

"The worm activates from infected email only if a user clicks on the attached file. The worm then installs itself into the system, runs its spreading and 'effect' routines (colored "worms" eating the desktop)."

Tedy hned, i kdyz ma priponu ZIP, protoze v tu chvili nezajima Windows pripona, ale typ souboru, ktery je spustitelny, ac se jevi jako archiv.

Samozrejme ze by operacni system mohl poznat typ souboru podle obsahu (dela to napr. Linux) a ne podle pripony. Operacni system Windows urcuje typ souboru podle pripony. Jedine co vim ze lze spustit exe pokud ho prejmenujete na com (nejsem si jist jestli ve vsech verzich OS). Pokud exe prejmenujete treba na xls urcite ho nespusite!

Cituji Avast :

Worm se posílá ve formě souboru ZIP, takže program nemůže být spuštěn přímo. Používá však psychologické metody, aby přinutil uživatele soubor rozbalit a spustit. Naštěstí neobsahuje žádnou destrukční činnost.

Až M$ "vynalezne" MIME hlavičky, to bude paráda

Posila se jako skutecny ZIP a teprve uvnitr je ten EXE soubor.

Včera v noci mi taky přišel, od člověka, který se zabývá webdesignem a flashem, takže jsem usoudil, že udělal nějakou malou hříčku nebo animaci. Jen díky tomu, že jsem měl práci, jsem nechal prozkoumání přílohy až na dnešek - naštěstí jsem si před tím přečetl Živě

Mě už došli i zprávy s názvem "Cervici", takze pozor i na toto.

Teda ne, že bych chtěl dělat reklamu, ale Grisoft zareagoval velice rychle a dneska se objevil AVG update 343, který již tento virus údajně detekuje.

No nechci delat reklamu, ale pro nekomercni vyuziti mam AV*ST zadarmo a vcera jsem updatoval a uz ho nasel. A to si myslim, ze to v updatu bylo driv nez vcera...

Mimochodem, Taky jsem se nachytal - stalo se mi to poprvy!  

Aleq

jenze ja potrebuji plnou 343 a ne rozdilovku

No, AVG sice zareagovalo, ale jen rozdilova aktualizace, a jelikoz pouzivam ve firme sitovou aktualizaci, je to dost schyza - uplna je 342 a ta wormika neumi, a 343 jde jen pokud mas 342, a uzivatele aktualizujou automaticky, ale musej zapnout PC, takze nekdo uz tu 342 a nekdo ne, takze nemuzu dat automaticky tu 343, protoze kdo nema 342, tak by mu to neslo...takovej zacarovanej kruh, rucne to uzivatele nezvladaj :(

Viz zprava z AVG_CZ:

From: Petr Prazak
To: avg-cz@lists.grisoft.cz
Subject: [avg-cz] Aktualizace 343

Váľení přátelé,

V patek jsme vydali dve aktualizace :

342, ktera obsahovala mimo jine opravu restartu pri aktualizaci a dale aktualizaci 343, obsahujici definici viru Cervivec.

Z duvodu zabraneni restartu je bezpominecne nutne, aby tyto aktualizace probehly jednotlive. Z tohoto duvodu jsme aktualizaci 343 zatim vydali pouze jako rozdilovou k aktualizaci 342.

Dnes vydame i uplne aktualizace 343, ale kdo nechce na stanicich nebo serverech rady Windows NT pri aktualizaci restartovat, mel by obe aktualizace aplikovat postupne.

Dalsi upravou bude vydavani vice rozdilovych souboru tak, aby ti, co nestihli aktualizovat hned, nemuseli stahovat uplnou aktualizaci, ale jen rozdil zhruba 14 dni. S tim bude souviset drobna uprava skriptu pro generovani odkazu na aktualizacni soubory. O teto zmene vam dame vcas vedet.

--
Petr Prazak
GRISOFT(c) SOFTWARE

V popisu aktualizace lze mít i více řádků, takže stačí mít v aktualizačním adresáři oba aktualizační soubory.

A už je to tady, dříve když vám došlo něco od někoho koho znáte nějaký anglicky psaný email s podivnou přílohou tak bylo jasný že to bude asi červ, ale teď už si musíme dávát bacha i na kamarády, kteří vám rádi posílají, nějaké ty srandičky z internetu, aby to náhodou nebyl virus! I čeští virus "makeři" se chtějí stát slavnými. A doplatíme na to samozřejmě zase mi uživatelé.

No me tato srandicka prisla od devcete s nimz nejsem uz dva roky v kontaktu, tak jsem to sice ulozila na disk, ale zacala patrat po inetu a ejhle, moje paranoia se vyplatila, je to potvora virova.... (:o))) BTW pozdravuji Nikitu

Napodobne :), mi to prislo od kamosa, ktery mi nedavno poslal takovou ptakovinu a jelikoz sem na neco podobnyho nemel chut tak jsem to nechal byt na priste. A priste uz sem tam mel to samy od vice lidi, coz uz je podezrele :)) Navic o tom byla zminka v konfere k webdesignu...timto diky :)

Ted jen vymyslet jak si se znamyma vymenovat exe soubory beze strachu, vono to je nekdy potreba... :O

posli to spakovane

smazte nasledjici soubory z adressare windows/system32:

NTKRNL.*

worms.*

potom v registech smazte polozku

KEY_CURRENT_USER (nebo HKEY_LOCAL_MACHINE uz si presne nepatuju :)) )/SOFTWARE/MICROSOFT/ RUN/ Kernel loader , ktery ma nasledujici hodnotu

C:\WINDOWS\system32\ntkrnl.exe -LOADDRIVERS=TRUE

a jste v poho, teda aspon myslim :))

Ale bacha! Ja s WinXP tam mam dva soubory, ktery se taky tvari na cerva - ntkrnlpa.exe a ntoskrnl.exe, ale ty sou z widli a kdyz je smazu, tak za pet vterin sou tam zas :)) mimochodem, me prisel taky od kamose a nic divnyho na tom nebylo (az na to, ze dopis byl cesky a on je slovak :))

--admix

No tohle znam

Delaj to uz Win2K, kdyz jsem si misto Notepadu chtel nahrat svuj oblibeny textak, musel jsem ho prepsat rovnou na trech mistech naraz. Pak uz to nemelo kde vzit puvodni, tak se to dozadovalo instalacniho CD s tim, ze je integrita systemu porusena :)

např. pod mandrakem v gnome voknech s evolution mailerem (takovej outlook) bys ten problém neměl.
ale třeba máš zase jiný důvody, proč používat winy.

btw: to neni výzva k flamewar linux vs win, uznávám že někdo má reálný důvody používat winy.
na druhou stranu mě docela zaráží, že trio word, excel, outlook vytvoří zhruba před pěti lety jedinečnej prostor (označil bych to jako bugy v návrhu, ale možná se pletu a jsou to featury )  pro masovou kulturu e-mailových červů a dokumentových virů, která se hned chytí a celou dobu vesele rozvíjí, ale všichni jste i po těch letech pořád docela v pohodě..

Ono to zrejme bude spis tim, ze hodne lidi ma windowsy a malo lidi ma linux. Proto se na linuxy asi nevyplati psat viry.

Ondra.

to, ze zminene trio vytvari prostor pro masovou kulturu viru, je dano zrejme jejich masovym rozsirenim :o) nerekl bych, ze budou "deravejsi" nez ostatni software - ba naopak, lepsi se to :o)

Zklidni hormon, tady jde o uzivatele, ne o OS. Kdyz ti nekdo posle nejakej ELF na tom tvym linuxu a ty ho spustis, jsi v uplne stejny prdeli.

No a kdo by pochopitelne delal viry/cervy pro linux, kdyz ho stejne nikdo na desktopech moc nepouziva a kdyz ano, jsou tu bud magori, kteri se ho pokousi pouzivat proto, ze je to moderni a za chvili od toho stejne odejdou, nebo nadsenci, kteri si tu prilohu nejdriv prohlednou v nejakym hexaprohlizeci, aby zjistili, co je to vlastne zac, nez to spusti

co dodat?
jen magor spousti xka jako root

No zaprve ELF nebude mit prava pro zpusteni ... zadruhe nenapadne system ... dostane se jen na data uzivatele. Pak taky standartni soucasti linuxu (Unixu) je strace, z cehoz jasne plyne, ze worm moc sanci nema.

Jo a kernel si klidne prekompiluji .... mam pripravene CD a az zase potkam windows, tak je fixpknu na 2.4.17-mosix driv nez nejaky worm poskodi Bios.

chod si prekompliovat jadro a daj nam pokoj

Zdravim

To me prisel mail od ciziho cloveka ze Slovenska a maily od cizich lidi automaticky mazu bez cteni. Ale tento mel prilohu,

a jak jsem v outlooku mail jenom oznacil pro smazani, tak probliklo okno stazeni prilohy a uz jsem mel cerva na disku.

Prisel jsem na nej az druhy den po pripojeni k netu, protoze se asi snazil dal sirit, ale byl hajzlik narocny na systemove

prostredky a nasledkem chyby jej W2K ukoncily. Kompletni odstraneni mi trvalo asi 2 dny (vzhledem k tomu, ze si virus hlidal spusteni AVG a vsechny dulezite exe, ktere mu patrily okamzite smazal).

Tom-tom