ну приходила мне эта ссылка ну ходил я по ней но
оутпост с плокировкой явы + панда антивирус и всё спокойно:)
оутпост с плокировкой явы + панда антивирус и всё спокойно:)
Первая глобальная эпидемия ICQ-червя
|
24.02.2004 18:12:50
|
|
|
|
|
|
24.02.2004 18:43:10
разобрал вирус
вот ftp куда все сливается... давайте загадим этому уроду ftp что бы мнесто там что ли кончилось... |
|
|
|
|
|
24.02.2004 19:50:21
Ктонить был на этом фтп, судя по содержимому много людей эту заразу подцепило.
|
|
|
|
|
|
24.02.2004 20:22:56
Не так уж и много, кстати файло читать не дает, сволочь!
ftp> ls 200 PORT Command successful. 150 Opening ASCII mode data connection for /bin/ls. drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:19 . drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:19 .. drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:12 10_0_0_19 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:19 10_11_11_5 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:13 10_40_0_3 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:15 130_126_77_203 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:17 147_229_205_242 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:19 169_254_130_64 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:14 169_254_217_197 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:13 169_254_25_129 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:13 169_254_83_74 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:18 172_16_193_240 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:19 172_20_34_203 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:17 172_20_44_194 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:17 172_20_45_145 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:16 172_20_66_154 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:12 172_31_83_180 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:17 192_168_0_1 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:15 192_168_0_11 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:15 192_168_0_3 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:14 192_168_0_6 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:19 192_168_1_100 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:17 192_168_1_15 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:06 192_168_1_226 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:15 192_168_1_55 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:17 192_168_200_142 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:11 192_168_2_163 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:14 192_168_2_2 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:12 192_168_2_29 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:14 192_168_3_42 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:16 192_168_4_38 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:13 194_145_138_13 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:12 195_91_181_245 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:19 202_125_205_141 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:15 203_173_134_126 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:16 217_122_234_114 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:14 218_253_160_66 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:06 219_74_118_108 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:12 219_77_26_5 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:18 61_92_186_9 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:17 64_175_34_153 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:17 80_230_103_15 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:18 82_80_22_162 drw-rw-rw- 1 user group &nb sp; 0 Feb 24 11:18 90_0_0_179 226 Transfer complete. |
|
|
|
|
|
24.02.2004 20:51:58
Маловато у меня было раз в 20 больше
|
|
|
|
|
|
24.02.2004 20:53:23
я так понимаю, если можно писать, то можно и стирать?
|
|
|
|
|
|
24.02.2004 21:25:35
Открываешь асю - а там ... - глобальный ICQ червяк -
Хамммм... тебя [IMG][/IMG] ням..ням..ням...ням.. аааа... [IMG][/IMG] [IMG][/IMG] [IMG][/IMG] [IMG][/IMG] [IMG][/IMG] |
|
|
|
|
|
24.02.2004 21:27:52
а теперь лажы статьи.
(кроме того что прогнав на своем ПО стареньком спец-но для тестов и не добившись ничего) если и есть такая беда, ТО: 1. уязвимость НЕ В ICQ (как написано), а в IE 2. Уязвимость не а Java, а в JavaScript (сами понимаете какая разница) 3. НЕ уверен, что все icq уязвимы, а если и уязвимы, то те версии, которые являются COM-серверами... пока все. |
|
|
|
|
|
24.02.2004 21:34:22
А что он на это FTP скидывает ?
|
|
|
|
|
|
24.02.2004 21:39:22
|
|||
|
|
|
|
24.02.2004 21:54:18
если всем приходила ссылка в основном от трояна, то мне сам чел послал
 )))))))))). еще улыбнулся.. ну бывает.. ко мне кстати на вин98 он влез под именем C:\%windir%\system\sysmon\sysmon.exe там же был еще и ~pass.log файл был.. кому интересна я залил его сюды: Rared with latest rar :P |
|
|
|
|
|
24.02.2004 21:58:22
у меня все на работе осталось, но там ничего хитрого... в html файле есть ссылка на scm файл его аккуратненько скачиваем в flashget'е например внутри небольшой заголовок а дальше начинается CHM файл его вырезаем, внутри файл iefucker.html внутри него VBScript, который пишет как раз WinUpdate.exe берем этот EXE файл, и находим внутри место где расшифровывается реальный URL вируса... URL лежит в конце и простненько покриптован. Вот скачали сам вирь уже с ustrading.info он пожат PECompact (придется малость попотеть  после распаковки получается файл около 800 кил. Ну там и KeyLogger (вроде) и DLL что бы хукать окошки с паролями... и DLL что бы пароли аськи декриптить... ну и часть которая выкладывает все на FTP P.S. с утра закину основной файл |
|||||
|
|
|
|
24.02.2004 22:20:24
icq 2003a
IE 6.0 Принял по аське - зашёл, вышел... Ничего не произошло. Решил перейти на другой аськ-клиент. |
|
|
|
|
|
25.02.2004 08:54:20
я про ирку ничего не сказал а сказал про клиента аси &RQ . а если ты пробовал клиентов , то значит не всех ... |
|||
|
|
|
|
25.02.2004 09:01:47
а почему мне ничего не пришло???? У МЕНЯ МИРАНДА 0.3.2 И КОНТАКТ БОЛЬШЕ 1000 ..... И ПУСТО [IMG][/IMG] obidno....
|
|
|
|
|
|
25.02.2004 09:42:30
Заходил по УРЛу Мозиллой м включенной явой... И ничего... Чисто.
|
|
|
|
|
|
25.02.2004 10:18:57
Я вчерась тоже ходил по указанной ссылке - просто открыл страницу не кликая по мультам сразу закрыл - хрен ли там делать было.
Конфигурация - ВинХР, Керио ПФ, Ф-секур. Ни сообщений, ни обвалов, ничего. Но не обидно 8)))) |
||||
|
|
|
|||
Читают тему