Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Эпидемии вирусов, критические ошибки, эксплоиты...
Частный клуб Алекса Экслера > Наши сети притащили > Администрирование сетей
Chief
24 октября 2006, 13:39
Собственно в этой теме предлагаю предупреждать о всем, что перечислено в названии...
Зачастую мы не отслеживаем такие эпидемии, однако пользователи заносят это в нашу сеть...
Начну с малого: По ICQ распространяется новый вирус
Цитирую Mixa1024:


Прив!
Зацепил я трояна(как последний лох), НОД32 его пропустил и теперь при попытке запустить НОД тот на ГЛУХО виснет и ни
в какую, что посоветуите - инф. файлы отловленны и убиты руками в досе, но всеравно при загрузке НОДА(был убит и
переустановлен после чистки) опять висит. Есть подозрение что засела эта [сволочь] где-то в системе.
История залета - сижу ... смотрю сайт ... и тут не с того ни с сего от кореша залетает линк(в асю) на ссылку и я (как последний
[долбодятел]) прусь туда - линк ICQCRYPT.EXE вес 61 кило - и понеслось [дурно пахнущее] по трубам!!!!
Одно слово ЛОХ! И это после 10 лет в инете - ЛОХ!

http://forum.exler.ru/index.php?act=ST&t=1...post&p=10830627
az2005
1 января 2007, 01:38
Какой ресурс по сабжу уважаемый ALL рекомендует посещать в первую очередь?
Рассылка securitylab.ru не очень удобна.

Всех с НГ!
прохожий
16 апреля 2007, 23:08
Новость не совсем новая, но всё-таки.

Компания Microsoft выпустила предупреждение о том, что в операционных системах Windows 2000 и Windows Server 2003 обнаружены уязвимости, которые уже активно эксплуатируются злоумышленниками.
Специалисты отмечают, что найденные бреши в сервисе Windows DNS позволяют проникнуть в систему в результате отправки специально сформированного запроса сервису доменных имен.
...
В Microsoft говорят, что пока работают над соответствующей заплаткой, а для безопасности пользователям серверных Windows советуют отключить возможность приема RPC-пакетов от удаленных машин.

http://www.secblog.info/2007/04/16/windns.html
Mixa1024
18 июля 2007, 00:24
Кажется, опять началось.
По интернету гуляет зараза, утверждающая, что зашифровала документы пользователя по алгоритму RSA4096, оставляющая в каталогах с зашифрованной инфой файл "read_me.txt", следующего содержания:

Hello, your files are encrypted with RSA-4096 algorithm
(http://en.wikipedia.org/wiki/RSA).

You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.

If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.

Glamorous team

Вольный перевод:
"Привет, ваша информация была зашифрована алгоритмом RSA4096 (ссылка). Вам потребуется несколько лет, чтобы расшифровать*. Вся ваша частная информация за последние 3 месяца была отослана нам. Для того, чтобы расшифровать, надо приобрести наше ПО, за 300 баксов. Чтобы купить это ПО пишите на почту, указав ваш личный код: ХХХХХХХ. После покупки, вышлем программу, которая расшифрует вашу информацию и сотрет ее следы в нашей системе.

Если не свяжетесь с нами до 15 июля, ваша частная информация будет выложена, а все данные -- потеряете.

Команда Гламурного."

На самом деле, для шифрования используется не RSA а RS4.
По неподтвержденным данным, работает в определенный промежуток дат -- с 10 до 15 числа, то ли июля, то ли каждого месяца.

Будьте аккуратны smile.gif

* Не несколько лет, а миллионы....
Mixa1024
18 июля 2007, 17:44
Mixa1024
29 июля 2007, 18:48
ВНИМАНИЕ
Кто-то проводит очередную фишинговую спам-рассылку, с подобным текстом:

Уважаемый пользователь,

Согласно пункту 4.6.2.5. Соглашения об использовании Системы ⌠Яндекс.Деньги■, Ваш счет заблокирован.
Необходима реактивация счета в системе.

Для реакцивации проследуйте по линку:

https://money.yandex.ru/login.html

Либо свяжитесь с одним из наших операторов:

ООО ⌠ПС Яндекс.Деньги■. 101000, г. Москва, ул. Вавилова, дом 40
тел.: +7 (495) 739-23-25

ООО ⌠ПС Яндекс.Деньги■, Петербургский филиал. 191123, г. Санкт-Петербург, ул. Радищева, д. 39,
тел.: +7 (812) 334-7750

Письмо сгенерировано автоматически, не отвечайте на него

С уважение, ООО ⌠ПС Яндекс.Деньги■ 

Ссылка на самом деле ведет на http://kosma.ru/money.ya.ru/Index.html
Внимательно проверяйте source ссылок, куда Вы переходите из писем.

Системным администраторам рекомендуется прикрыть *.kosma.ru на уровне прокси.

Этот адрес уже внесен в фишинговую базу FireFox.

P.S.: https://money.yandex.ru/doc.xml?id=522951
Mixa1024
28 сентября 2007, 22:23
Опять началось то же самое, в этот раз адреса сайтов разные. Защититься можно, блокируя подстроку *money.ya* из URL. Линки на настоящий Яндекс.Деньги ее не содержат, насколько я знаю.
Alex E Leonov
27 октября 2007, 16:19

Mixa1024 написал: Опять началось то же самое, в этот раз адреса сайтов разные.

Получил только что. Линк ведет на //pornos-de.com/money.ya.ru/Index.html%22
Блокируем, господа Администраторы.
Mixa1024
28 октября 2007, 00:12

Alex E Leonov написал: Блокируем, господа Администраторы.

Бессмысленно. Ко мне приходило как минимум 5 писем, адреса серверов всегда разные. Их обьединяет только "money.ya.ru" в адресе. Заблокировал собственно эту подстроку в адресе -- от греха подальше.

Хотя у нас и так по твоей ссылке не зайдут, причина -- *porno* в адресе smile.gif.
Alex E Leonov
28 октября 2007, 00:38

Mixa1024 написал: Бессмысленно. Ко мне приходило как минимум 5 писем, адреса серверов всегда разные.

Я написал на abuse@yandex, мне через часик ответили:

Здравствуйте, ХХХХХ!

Благодарим за сообщение! Это была попытка мошенников получить Ваши
регистрационные данные, ни в коем случае не вводите их на незнакомых сайтах.
Обратный адрес в этом письме поддельный.
Мы уже приняли меры по закрытию указанного сайта.

--
С уважением, ХХХХ ХХХХ
Служба поддержки Яндекс.Ру

Думаю, у Яндекса есть сила и возможность "гавкнуть" даже на иностранного хостера. smile4.gif
Mixa1024
28 октября 2007, 00:45
О! Тоже воодушевился пересылкой гадости куда_надо smile.gif
Mixa1024
27 февраля 2008, 22:12

Mixa1024 написал: Кажется, опять началось.
По интернету гуляет зараза, утверждающая, что зашифровала документы пользователя по алгоритму RSA4096, оставляющая в каталогах с зашифрованной инфой файл "read_me.txt", следующего содержания:

Вольный перевод:
"Привет, ваша информация была зашифрована алгоритмом RSA4096 (ссылка). Вам потребуется несколько лет, чтобы расшифровать*. Вся ваша частная информация за последние 3 месяца была отослана нам. Для того, чтобы расшифровать, надо приобрести наше ПО, за 300 баксов. Чтобы купить это ПО пишите на почту, указав ваш личный код: ХХХХХХХ. После покупки, вышлем программу, которая расшифрует вашу информацию и сотрет ее следы в нашей системе.

Если не свяжетесь с нами до 15 июля, ваша частная информация будет выложена, а все данные -- потеряете.

Команда Гламурного."

На самом деле, для шифрования используется не RSA а RS4.
По неподтвержденным данным, работает в определенный промежуток дат --  с 10 до 15 числа, то ли июля, то ли каждого месяца.

Будьте аккуратны smile.gif

* Не несколько лет, а миллионы....

Внимание, появилась новая версия этой заразы. Размер -- 412160 байт.
Несколько часов назад была внесена в БД Касперского.

Не пренебрегайте обновлением антивирусных баз!
Mixa1024
17 мая 2008, 16:37
Посредством социальной сети vkontakte.ru распространяется вирус, по слухам вызывающий деструктивные последствия.

Рекомендуется блокировать доступ пользователей к социальным сетям, вроде одноклассников и вконтакте.
Topicalist
22 мая 2008, 10:18
fuser
25 июня 2009, 21:53
Кстати говоря, на одной из конференция я спросил сотрудника ЛК, мол, что с автором GPCode? А он в ответ - ничего конкретного сказать не могу, но он уже в руках правосудия. Или что-то подобное, и мол, не без нашей помощи. Но слова были размыты, и надо было читать между строчек smile.gif А вообще каспер по зомбоящику говорил, мол, иногда нам приносят компы, которые надо прошманать для помощи следствию.
Mixa1024
30 июля 2009, 22:26
Появился вирус, ворующий аккаунты на Vkontakte.ru

По классификации Касперского -- Trojan.Win32.VkHost.an

Хоть и все вменяемые админы закрывают подобные ресурсы юзерам на работе, но я бы предупредил.
Chief
2 августа 2009, 21:11

Mixa1024 написал: Хоть и все вменяемые админы закрывают подобные ресурсы юзерам на работе

У меня в обед, до и после работы даже порнуха разрешена, что уж о вконтакте говорить... Это в рабочее ремя ни куда не вылезти, а те, кто могут вылезти - просто не ходят на такие сайты, но все же предупредить надо...
-=89=-
29 октября 2009, 21:41
Требуется помощь системного администратора

Коллеги,
Порталу QRZ.RU требуется помощь системного администратора в настройке spamassassin, который используется для фильтрации спама. Необходимо дать рекомендации по повышению качества фильтрации (байесовы фильтры и тп) - сейчас часто spam маркируется как ham, получая чуть ли не отрицательные оценки (т.е. нормальная почта). Ответы - в личку
__________________

ham - (перевод) Радиолюбитель.

Если кто в этом спец - помогите, плыс.
Mixa1024
22 июля 2010, 23:29
Внимание, новая уязвимость: http://habrahabr.ru/company/eset/blog/99506/
ilya_ya
25 июля 2010, 18:49

Mixa1024 написал: Внимание, новая уязвимость

Эта уязвимость может также эксплуатироваться через Internet Explorer и через документы MS Office.
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»