Ezt most én sem értem, a fenti hozzászólás nem az enyém, hiába a nick-emen ment, furcsa...

Na ennyit az e-mail -es fórumozásról ((
Én maradok a WEB nél...
Üdv: Szabe

Fatal Error:

User hagyjatok@intermail.hu is unknown!

Original message follows:

Héj hó !
Becsusszant a kicsi drága, megjött, és pirosan vigyorgott: ALERT ! W32.Bugbear.tökömtudja.comm !
Ezt figyeljétek: Feladó: Kövesdy, cím: msiehun@microsoft.com
Úgyhogy lancsihh ne aggódj, nem Rád haragszunk, csak az a lényeg, hogy mindenki legyen résen !
Ja, az I.Worm az a féreg, amit a Bugbear vírcsi beköp a winsystem32-be...
Egészségetekre...



--
Üzenet a csoportnak: list@windows.lx.hu
Feliratkozás: subscribe@windows.lx.hu
Leiratkozás: unsubscribe@windows.lx.hu

jaja !

Ha lancsihhtól jött, akkor sem rá haragszunk, hanem arra a baromállatra, aki útnak indította.

Héj hó !
Becsusszant a kicsi drága, megjött, és pirosan vigyorgott: ALERT ! W32.Bugbear.tökömtudja.comm !
Ezt figyeljétek: Feladó: Kövesdy, cím: msiehun@microsoft.com
Úgyhogy lancsihh ne aggódj, nem Rád haragszunk, csak az a lényeg, hogy mindenki legyen résen !
Ja, az I.Worm az a féreg, amit a Bugbear vírcsi beköp a winsystem32-be...
Egészségetekre...

Zsoca-M5!

Azért csak finoman azzal a megnyithatsz minden csatolmányt, úgysem engedi ha gázos... Elég éles kritikát szokott kapni a nav a vírusvédelemről, csak hát nagy cég oszt jó az... Szóval egyik vírusirtó SEM FOG NEKED teljes védelmet biztosítani. És ha a csatolmány gyanús nem kell megnyitni!!! Miért kísértsük a sorsot? És ha csak egy spy van benne vagy egy "házilag kreált egyedi trojan"? Akkor a NAV sem sokat ér... Vagy egy tök friss vírus?

Szóval Zsoca nem kísértd a sorsod, és pláne ne buzdíts senkit erre!!!

SF

Na hi megint!

Bocs úgy látom lavinát indítottam

Szóval nálam NAV-van (eddig nem mondtam) legfrisseb VDB-vel és az jelezte már a levél letöltésekor. Amúgy, ha fut a NAV nyugodtam megnyithattok mindenféle csatolmányt úgysem engedi ha gázos.
Szóval amit írtam az az I.Worm..... az ugyanaz mint az új néven futó Bugbear, legalábbis ahogy én értem, ugyanaz.
És bárkinél lehet aki hozzászólt a topichoz. Sőt az is lehet, hogy mástól jött akinek a levlistájában benne van lancsih mondjuk, de sokminden lehetséges! Mivel a levlista alapján mindenkinek továbbítja magát a worm-ocska. Mindegy szerintem nem kell beszarni. És szerintem egy friss NAV futtatása után mindenki nyugodt lehet, hogy EZ a vírus nincs nála, mivel ismeri, ezért futtatás után ha nem talál akkor nincs is.

Bocs, hogy elvittelek benneteket a témától, de nem árt az óvatosság!

Üdv,
Zsoca-M5

Panda már a levél letőltése közben irtota a leveleiteket 4* ugatot hogy
virus töbször törölte egyet nem de a levelet kidobtam mert elvileg exe nem
szoktunk csatolva kuldeni ezt a jánlom mindenkinek.
----- Original Message -----
From: "Roland Roland" <lancsihh@freemail.hu>
To: <list@windows.lx.hu>
Sent: Wednesday, June 11, 2003 7:17 AM
Subject: Re: [windows] Registry


> Errol van szo?
>
> http://www.terminal.hu/newsread.php?id=06203306031614
>
>
>
> --
> Üzenet a csoportnak: list@windows.lx.hu
> Feliratkozás: subscribe@windows.lx.hu
> Leiratkozás: unsubscribe@windows.lx.hu
>
>
>

Ja, errol.

Errol van szo?

http://www.terminal.hu/newsread.php?id=06203306031614

Nem szoktam megnyitogatni a csatolt allomanyokat, ha ismeretlen cimrol jonnek, de a virusirtom meg nem jelzett, pedig szuri a ki/bejovo leveleket is

A fertozott levelek virusveszely cimmel jottek, gondolom a szolgaltato torolte oket.

Hogyan lehet leszedni ezt a virust? Hogyan tudnam megnezni, hogy biztosan van-e?

Megneztem a NAV2002-t ismeri a virust, szoval nem tudom mi van.

Hogyan lehet leszedni?

Sziasztok!

Sorry mindenkitol! Nalam nincs ilyen virus, NAV2002 legalabbis nem jelzett es nem is Roland Roland neven kuldozgetem a leveleimet, de a lancsihh stimmel , viszont a domain nem.

Ellenben az elmult napokban rengeteg fertozott levelet kaptam.

Szoval, ha a virus tolem jott, bocsanat, nem direkt volt!

Aki megkapta, annak segítség lehet:
http://securityresponse.symantec.com/av ... .tool.html

Hmm, tök jó, nekem igy néha, hébe hóba egy explorer.exe jelenik meg a
gyökérben, amit a NAV egyből kiszúrja hogy vírusos és törli, de ez az
explorer.exe vagy 3x megjelent, és ha jol emléxek valami olyan vírus volt
amit írtatok itt többen... de ha pl full scan-t csinálok a gépemen, akkor
nem talál semmit, szal elég érdekes... :/

jnorbi

Sziasztok! Csak egy kis nyalánkság képpen. Ama bizonyos levél óta, még háromszor kaptam fertőzött e-mailt. Kettőt egy ismerősömtől, egyet meg valaki mástól. Az ismeretlen fejlécbe "Vírusveszély" volt beírva, amit ugyebár egy vírusírtó cég szokot használni, ha valami gond van a világhálón. A NAV mind a hármat kiszurta, kettőt karanténba rakott, egyet pedig törölt. FElhívtam az ismerősömet akitöl kettő jött. Leesett az álla a csodálkozástól, hogy Ő nem küldött nekem semmit. ( Tudniillik ez a vírus önmagát küldözgeti az összes gépen talált e-mail címre) A vírusírtó cég, A levél után néhány percel már küldte az e-mailt, hogy nem Ők voltak, senki se nyissa meg a csatolt fájlt. Szerencsére eddig sikerült megúsznom.... Legalábbis nem tudok az ellenkezőjéröl.

Üdv: Bobby G.

Lefuttattam a teljes scan-t, a vírus adatbázis frissítés 06.07-i, tehát a Live Update szerint a legfrisebb, nem talált semmit. (mondjuk a mellékletet nem nyitottam meg, de attól kellett volna jeleznie !)
Természetesen nem azt mondtam, hogy lancsihh fertőzött meg néhányunkat, csak azt, hogy az enyém onnan jöhetett. Majd én szólok neki...

Akkor gy jutott el utini-ig, h csak értesítést kapott (szolgáltató).
Bár lehet, hnem elég friss az adatbázis(a)? Nem hinném. Finomságról
pedig: mindegy az, ha van kedved/időd, szólj... én lusta vagyok.

Üdv, Cov.
ui: számomra az nem olyan érdekes téma, ezért nem

Mint már írtam, nálam is csak a domain volt más lancsihh valódi címéhez képest... Finoman érdeklődni kéne nála vírusvédelmi helyzetéről... de nekem nem erősségem a finomság. (Érdekes, hogy Bobby G.-nél meg kiszúrta a NAV.)

Talán nem vette észre, ha valóban eljutott egészen Hozzád.
De nekem már csak 1 infó jött, h törölték (Freemail-en).

Üdv, Cov.

Ne azt nézd ki volt, az hamis, teljes fejlécben IP cím a valós infó.

Nekem is Roland Roland küldte, azthittem, Ő lancsihh barátunk. Akkor ha megkaptam, van egy hapcim ? Nekem nem jelzett a NAV !

Mindenkinek aki ehhez a topichoz hozzászólt:

Valamelyikőtöknél egy vírus van a gépen, mely email-ben továbbítja magát!
Neve: I-Worm.Tanatos.b
Szerezzetek be egy friss víruskeresőt és nézzétek át a winyókat!
Nálam az email küldője: Roland Roland volt!
Akinek nem inge....

Üdv,
Zsoca-M5

Hozzám már csak a kiszűrés (freemail) után került

Üdv, Cov.

az en gepemen nincsenek .exe kiterjesztesu fajlok !!!

powered by Red Hat Linux !!! cool

Aktiválódása esetén lezajló események

- felmásolja magát a Startup könyvtárba egy olyan file-névvel, mely csak pár, véletlenszerűen választott karakterből áll; kiterjesztése pedig EXE
- az Inboxban található e-mailcímeket megkeresi, illetve az összes olyan file-ból kigyűjti a címeket, melynek kiterjesztése: .mmf, .nch, .mbx, .eml, .tbb, .dbx, .ocs
- a fertőzött rendszer e-mailcímét és SMTP szerverét megszerzi a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts Registry kulcsból
- saját SMTP motorja révén a fent összegyűjtött e-mail címekre továbbítja magát úgy, hogy a From: mezőben levő adatot meghamisítja
- az e-mail oly módon kerül megszerkesztésre, hogy amennyiben a célrendszeren nincsen telepítve az Incorrect MIME Header Can Cause IE to Execute E-mail Attachment javítás, akkor azonnal, automatikusan megfertőzi a címzett számítógépét, mihelyst a levelet megkapta
- megfertőzi a helyi és a helyi hálózaton található állományokat; hozzáfűzi (polimorf) kódját azon file-okhoz, melyek megtalálhatók az alábbi listában:
. scandskw.exe
. regedit.exe
. mplayer.exe
. hh.exe
. notepad.exe
. winhelp.exe
. Internet Explorer/iexplore.exe
. adobe/acrobat 5.0/reader/acrord32.exe
. WinRAR/WinRAR.exe
. Windows Media Player/mplayer2.exe
. Real/RealPlayer/realplay.exe
. Outlook Express/msimn.exe
. Far/Far.exe
. CuteFTP/cutftp32.exe
. Adobe/Acrobat 4.0/Reader/AcroRd32.exe
. ACDSee32/ACDSee32.exe
. MSN Messenger/msnmsgr.exe
. WS_FTP/WS_FTP95.exe
. QuickTime/QuickTimePlayer.exe
. StreamCast/Morpheus/Morpheus.exe
. Zone Labs/ZoneAlarm/ZoneAlarm.exe
. Trillian/Trillian.exe
. Lavasoft/Ad-aware 6/Ad-aware.exe
. AIM95/aim.exe
. Winamp/winamp.exe
. DAP/DAP.exe
. ICQ/Icq.exe
. kazaa/kazaa.exe
. winzip/winzip32.exe
- felméri a hálózati megosztásokat, és természetesen ezt a lehetőséget sem hagyja ki a szaporodásra: felmásolja magát minden hálózati megosztásba is
- a féreg igyekszik minden távoli számítógép Startup könyvtárába is felmásolni magát
- mivel nem tesz különbséget számítógép és nyomtató között, ezért előfordulhat az, hogy elküldi magát a printerre is
- egy véletlenszerűen generált nevű, 5632 byte-os DLL-t felmásol a System könyvtárba, amely képes a leütött billentyűk (további kódolt file-okban való) tárolására
- meghatározza az alapértelmezett e-mailcím alapján, hogy a helyi rendszer milyen bankkal áll kapcsolatban, majd engedélyezi az automatikus tárcsázást a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings Registry kulcsban való EnableAutodial=0000001 bejegyzés létrehozásával
- a féreg több mint ezer bank domainjének listájával rendelkezik, mely a világon szerteszét megtalálható pénzügyi intézményekhez tartozik; a fenti módosítások révén jelszavakat képes megszerezni
- képes leállítani a rendszerre telepített behatolásvédelmi szoftverek futó processeit


Trójai képességek

- megnyitja a 1080-as portot, és azon hallgatózik; ennek révén a támadó képessé válik az alábbi műveletek végrehajtására:
- file-ok törlése
- futó processek leállítása
- processek listázása és a hacker számára való elküldése
- file-ok másolása
- processek indítása
- file-ok listázása és a hacker számára való elküldése
- a megszerzett billentyű-leütések alkotójának való elküldése
- rendszerinformációk (név, processzor típus, Windows verzió stb.) elküldése
- stb.

Hozzám is eljutott, de a NAV kiszúrta....)))

EN IS MEGKAPTAM !!!

URAK-HÖLGYEK FIGYELEM!

E topic nyitó hozzászólásával megegyező szövegű levelet kaptam a lancsihh@rynartce.com címről, "my comárlist.xls.scr" mellékletként küldött W32/Bugbear.b@MM vírussal egyetemben!

Szóval csak óvatosan!

droland:
(Nem kötekedni akarok!)

"Meg aztán a regisztrációs bejegyzések nevei önmagukért beszélnek..."
"[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E96A-E325-11CE-BFC1-08002BE10318}001]"

Szerintem azért ebből nem mindenkinek világos, hogy az 1-es IDE csatlakozóról van szó!

Üdv,
Zsoca-M5

Nálam van 1-2 reg fájl, abban pontosvessző van a megjegyzés sorában (előtte).

Üdv, Cov.

Lehet commentet is...

Talán(?) a / jellel, azt nem csinálom, nem volt rá szükséges:))) Meg aztán a regisztrációs bejegyzések nevei önmagukért beszélnek...tehát nem tartom szükségesnek, de biztos lehet...

"Van olyan is, hogy a felhasznalohoz tartozik egy {5353-534534-stb} szam, de ezt nem tudom elore, ilyenkor hogyan lehet ra hivatkozni?"

No ez gubancos...nálam eddig ez azért nem jelentett problémát, mert mindent rendszerszinten nyomok, tehát független a felhasználótól, mert csak egyedül használom a gépet, ezért ezt megent:) nem tudom, hogy hogyan lehetne megoldani...de a rendszerszinten való belemászás (tehát nem a HKEY_CURRENT_USER-ből való kiindulás) mindenkire hatással van...

ennyi...

Aha, kiralysag

Lehet commentet tenni bele?
Van olyan is, hogy a felhasznalohoz tartozik egy {5353-534534-stb} szam, de ezt nem tudom elore, ilyenkor hogyan lehet ra hivatkozni?

Hali!
Ha senki sem segít, exportálj ki egy részt a registryből , és szerintem azalapján ellehet boldogulni.


Pacseee!

Sziasztok!

Hogyan kell olyan fajlt irni, ami beallitana egy csomo mindent a registryben.

Tok uncsi allandoan turkal benne.

Szoval hogyan kell kineznie egy ilyen fajlnak?

koszi

udv, lancsi