Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

[Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.2006

[es] :: Security :: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.2006

[ Pregleda: 3730 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

BobMarley
Vedran B
Bologna

Član broj: 148
Poruke: 1161
*.fastres.net.

ICQ: 61882680


+1 Profil

icon [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200630.01.2006. u 19:24 - pre 221 meseci
3. VELJAČE mogao bi se pokazati kao koban datum za mnoge korisnike internete. Naime, tada bi na kompjuterima zaraženima virusom Nyxem trebali biti obrisani svi dokumenti Microsoft Officea (Word, Excel, Powerpoint, Acess), Adobe Acrobata, dokumenti Oraclea kao i komprimirane datoteke formata ZIP i RAR.

Radi se o izuzetno popularnim tipovima dokumenata, koji su općerašireni među milijardama korisnika osobnih računala. Sigurnosni stručnjaci preporučaju svim korisnicima interneta da do 3. veljače skeniraju svoje hard diskove, jer bi u protivnom mogli ostati bez važnih dokumenata.

Pretpostavlja se da je virusom Nyxem, poznatog i pod imenima Blackmal, MyWife, Kama Sutra, Grew i CME-24, zaraženo na stotine tisuća računala širom svijeta. Anti-virusne tvrtke tvrde da su uspjele spriječiti velik broj infekcija, ali su u isto vrijeme potvrdile da je velik broj računala već zaražen.

BBC piše kako virus prijavljuje svaku "uspješnu" infekciju jednom web siteu, na kojem se potom ispisuje broj zaraženih računala. No, tvrtka Lurhq, koja se bavi sigurnosnim pitanjima interneta, tvrdi kako je velik broj tih prijava lažan. No, Lurhq je iznijela procjenu da je zasad virusom Nyxem zaraženo oko 300,000 računala širom svijeta.

Virus Nyxem širi se, baš kao i velika većina virusa, putem e-maila koji korisnicima nudi pristup pornografskim materijalima ukoliko otvore privitak (attachment) u e-mailu, koji sadrži maligni kod. Naslovi e-maila kao i njegov sadržaj, variraju od maila do maila.

Kad virus Nyxem uspije zaraziti neko računalo, prvo sam sebe pošalje na sve e-mail adrese iz adresara, a potom traži računala u lokalnoj mreži koja također pokušava zaraziti. Osim toga, Nyxem pokušava onemogućiti instalirane antivirusne programe na način da im zabrani skidanje najnovijih virusnih definicija, a pojedini korisnici prijavili su prestanak rada tipkovnice i miša nakon zaraze Nyxemom.

No, prava opasnost Nyxema krije se u naredbi da 3. svakog mjeseca obriše 11 različitih tipova datoteka: Oraclove DMP datoteke, Word dokumente DOC, Acessove MDB i MDE datoteke, PDF dokumente, Powerpoint i Excel dokumente (PPS i XLS), Photoshop slike (PSD), te komprimirane datoteke s ekstenzijama ZIP i RAR.

Sigurnosni stručnjaci tako predviđaju da će najteži udar surferi pretrpiti 3. veljače, te poručuju internet korisnicima da podrobno skeniraju svoja računala te uklone svaki trag opasnog virusa Nyxem.

------------------
da li neko mozda zna o kojem se to siteu radi gdje se objavljuju podaci o zarazenima ?

MOD:Izmenjen naslov

[Ovu poruku je menjao AleksandarNS dana 01.02.2006. u 20:37 GMT+1]
BobMarley (me) ...the legend
 
Odgovor na temu

IcyImpact

Član broj: 64366
Poruke: 939
*.adsl.net.t-com.hr.



Profil

icon Re: 3. februara je-ba-da (u kulturnom smislu rjeci)30.01.2006. u 20:54 - pre 221 meseci
Sa adrese skinite alat koji će, između ostalog, ukloniti verzije Nyxem crva - ako ga imate.

Bilo bi dobro da odradite skeniranje tim alatom za svaki slučaj da budete sigurni da nemate Nyxem, posebice prije 3.2.


Knowledge is power.
 
Odgovor na temu

IcyImpact

Član broj: 64366
Poruke: 939
*.adsl.net.t-com.hr.



Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200601.02.2006. u 20:22 - pre 220 meseci
Email-Worm.Win32.Nyxem.e

Detection added: Jan 17 2006

Technical details

This worm spreads via the Internet as an attachment to infected messages and via open network resources.

It sends itself to email addresses harvested from the victim computer.

The worm itself is a PE EXE file written in Visual Basic, packed using UPX. The packed file is approximately 95KB in size, and the unpacked file is approximately 176KB in size.

Installation

Once launched, masking its main functionality, the worm creates and opens a ZIP archive in the Windows system directory. The ZIP archive has the name as the original executable file, e.g.

%System%\Sample.zip

When installing, the worm copies itself to the Windows root, system and start up directories under the following names:

%System%\New WinZip File.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
%Windir%\rundll16.exe

The worm then registers itself in the system registry, ensuring it will be launched each time Windows is rebooted on the victim machine:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry"="scanregw.exe /scan"

The worm also modifies the following registry keys:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"WebView"="0"
"ShowSuperHidden"="0"

Propagation via email

The worm harvests addresses from files with the following extensions:

dbx
eml
htm
imh
mbx
msf
msg
nws
oft
txt
vc

It also scans files if the names contain the following strings:

content
temporary

When sending infected messages, the worm attempts to establish a direct connection to the recipient's SMTP server.

Infected messages

Message subject:

*Hot Movie*
A Great Video
Arab sex DSC-00465.jpg
eBook.pdf
Fuckin Kama Sutra pics
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
Re: Sex Video
School girl fantasies gone bad
The Best Videoclip Ever
You Must View This Videoclipe!

Message body:

----- forwarded message -----
>> forwarded message
forwarded message attached.
Fuckin Kama Sutra pics
hello, i send the file. Bye
Hot XXX Yahoo Groups
how are you? i send the details.
i attached the details. Thank you.
i just any one see my photos. It's Free :)
Note: forwarded message attached. You Must View This Videoclip!
Please see the file.
Re: Sex Video
ready to be FUCKED ;)
The Best Videoclip Ever
VIDEOS! FREE! (US$ 0,00)
What?

Attachment name:

007.pif
04.pif
3.92315089702606E02.UUE
677.pif
Attachments[001].B64
document.pif
DSC-00465.Pif
DSC-00465.pIf
eBook.PIF
eBook.Uu
image04.pif
New_Document_file.pif
Original Message.B64
photo.pif
School.pif
SeX.mim
WinZip.BHX
Word_Document.hqx
Word_Document.uu

Propagation via open network resources

The worm copies itself to the following network resources as Winzip_TMP.exe:

ADMIN$
C$

Other

If the worm detects any of the registry values listed below on the victim machine, it will delete them:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
APVXDWIN
avast!
AVG7_CC
AVG7_EMC
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
BearShare
defwatch
DownloadAccelerator
kaspersky
KAVPersonal50
McAfeeVirusScanService
NAV Agent
OfficeScanNT Monitor
PCCClient.exe
pccguide.exe
PCCIOMON.exe
PccPfw
Pop3trap.exe
rtvscn95
ScanInicio
SSDPSRV
TM Outbreak Agent
tmproxy
Vet Alert
VetTray
vptray
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte

The worm also terminates active applications if the application name contains one of the following strings:

kaspersky
mcafee
norton
removal
scan
symantec
trend micro
virus
fix

It will delete all files from the following folders:

%ProgramFiles%\DAP\*.dll
%ProgramFiles%\BearShare\*.dll
%ProgramFiles%\Symantec\LiveUpdate\*.*
%ProgramFiles%\Symantec\Common Files\Symantec Shared\*.*
%ProgramFiles%\Norton AntiVirus\*.exe
%ProgramFiles%\Alwil Software\Avast4\*.exe
%ProgramFiles%\McAfee.com\VSO\*.exe
%ProgramFiles%\McAfee.com\Agent\*.*
%ProgramFiles%\McAfee.com\shared\*.*
%ProgramFiles%\Trend Micro\PC-cillin 2002\*.exe
%ProgramFiles%\Trend Micro\PC-cillin 2003\*.exe
%ProgramFiles%\Trend Micro\Internet Security\*.exe
%ProgramFiles%\NavNT\*.exe
%ProgramFiles%\Morpheus\*.dll
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%ProgramFiles%\Grisoft\AVG7\*.dll
%ProgramFiles%\TREND MICRO\OfficeScan\*.dll
%ProgramFiles%\Trend Micro\OfficeScan Client\*.exe
%ProgramFiles%\LimeWire\LimeWire 4.2.6\LimeWire.jar

All of this actions make the victim machine more vulnerable to subsequent attacks.

It may also download updates to itself via the Internet, without the knowledge or consent of the user.

It will also block the mouse and the keyboard.

On the 3rd of each month, 30 minutes after the victim computer is rebooted, the worm will rewrite files with the following extensions:

.doc
.xls
.mdb
.mde
.ppt
.pps
.zip
.rar
.pdf
.psd
.dmp

Datoteke koruptirane od strane crva sadrže slijedeći tekst:
DATA Error [47 0F 94 93 F4 F5]

Upute za otklanjanje

Restartaje računalo u Safe Mod, pritisnite i držite tipku F8 kod bootanja i odaberite Safe Mod u izborniku koji će se pojaviti. U Task Manageru, ubijte proces sa jednim od sljedećih imena:

rundll16.exe
scanregw.exe
Update.exe
Winzip.exe
WINZIP_TMP.EXE
New WinZip File.exe
WinZip Quick Pick.exe

Ručno obrišite sljedeće datoteke iz windowsovog root i system direktorija te registrya:

%Windir%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
%System%\WINZIP_TMP.EXE
%System%\New WinZip File.exe
%User Profile%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Obrišite sljedeće vrijednosti iz registrya:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "scanregw.exe /scan"

Restartajte računalo i provjerite da li ste obrisali sve zaražene e-mail poruke iz mail direktorija. Ako neka aplikacija poslije gornje procedure bude oštećena (najčešće će to biti antivirusi i firewalli) morat će te ih reinstalirati. Sada sa antivirusom (i najnovijim definicijama) pokrenite puno sistemsko skeniranje.

http://www.viruslist.com/en/viruses/encyclopedia?virusid=109064

Dodatni linkovi:

http://www.f-secure.com/v-descs/nyxem_e.shtml

[Ovu poruku je menjao IcyImpact dana 01.02.2006. u 21:37 GMT+1]
Knowledge is power.
 
Odgovor na temu

IcyImpact

Član broj: 64366
Poruke: 939
*.adsl.net.t-com.hr.



Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200601.02.2006. u 20:34 - pre 220 meseci
Nyxemovo uništavanje počelo ranije!

Crv Nyxem je počeo uništavati važne datoteke na zaraženim računalima, nekoliko dana prije nego li je to očekivano. F-Secure je u utorak izjavio kako su nekim korisnicima uništeni važni dokumenti odmah nakon inficiranja Nyxemom - zato što je sat na računalu bio pogrešan. Dakle, crv može udariti na vaše podatke bilo kada ako sat ne pokazuje dobro vrijeme.

http://news.zdnet.co.uk/internet/0,39020369,39250145,00.htm
Knowledge is power.
 
Odgovor na temu

Marax_98
Sisak

Član broj: 83284
Poruke: 9
*.dsl.iskon.hr.



Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200603.02.2006. u 10:48 - pre 220 meseci
Znači ako imam tog crva u račubnalu stavim da je 1.1. i neće me zajebavat narednih mjesec dana.
 
Odgovor na temu

Ser_Boyler
Stojkovic Vladimir
CBT, System and Network Administrator
Beograd

Član broj: 14424
Poruke: 377
*.belatehnika.co.yu.

Jabber: ser_boyler@elitesecurity.org
ICQ: 172456664
Sajt: www.google.com/webhp?comp..


Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200603.02.2006. u 11:04 - pre 220 meseci
Ovaj crv bi trebalo da se aktivira svakog treceg u mesecu, sto znaci da je bolje da stavis sistemsko vreme na cetvrti dan u mesecu. Ipak, bilo bi najbolje da ga obrises sa racunara nekim alatom za njegovo uklanjanje ukoliko vec nemas neki antivirus program sa svezim definicijama.
Slika govori više od 128K reči.
 
Odgovor na temu

Ser_Boyler
Stojkovic Vladimir
CBT, System and Network Administrator
Beograd

Član broj: 14424
Poruke: 377
*.belatehnika.co.yu.

Jabber: ser_boyler@elitesecurity.org
ICQ: 172456664
Sajt: www.google.com/webhp?comp..


Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200606.02.2006. u 10:15 - pre 220 meseci
Sta se desilo 03.februara?
Da li je neko nastradao od ovog crva? Obrisana dokumenta, vazni fajlovi...

Cela ova buka sa nyxem crvom koji bi navodno trebalo da brise sva dokumenta u wordu, excelu itd. mi lici na jednu igru antivirus kompanija.
Mislim da bi bilo zanimljivo saznati koliko je prodaja AV programa porasla posle ove "uzbune'.

Slika govori više od 128K reči.
 
Odgovor na temu

savanah

Član broj: 78922
Poruke: 410
*.3dnet.co.yu.



+4 Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200606.02.2006. u 13:07 - pre 220 meseci
sta konkretno da radim da ga ne zapatim u racunaru....
 
Odgovor na temu

IcyImpact

Član broj: 64366
Poruke: 939
*.adsl.net.t-com.hr.



Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200606.02.2006. u 13:51 - pre 220 meseci
Citat:
Sta se desilo 03.februara?
Da li je neko nastradao od ovog crva? Obrisana dokumenta, vazni fajlovi...

Cela ova buka sa nyxem crvom koji bi navodno trebalo da brise sva dokumenta u wordu, excelu itd. mi lici na jednu igru antivirus kompanija.
Mislim da bi bilo zanimljivo saznati koliko je prodaja AV programa porasla posle ove "uzbune'.


Kako se samo uvijek primite AV kompanija... Pravodobnom reakcijom je izbjegnuta katastrofa - vremena za zaštitu od Nyxema je bilo dovoljno i korisnici su se mogli na vrijeme očistiti. Većina AV kompanija je izjavila da nije primila ozbiljnije izvještaje o šteti nastaloj kao posljedici djelovanja Nyxemovog payloada. Procjenjuje se da je broj zaraženih računala oko 300 000 i to su uglavnom kućni korisnici.

http://www.vnunet.com/vnunet/news/2149758/quiet-nyxem-front
http://www.pcworld.com/news/article/0,aid,124617,00.asp
http://news.zdnet.co.uk/software/0,39020381,39250239,00.htm
http://news.bbc.co.uk/1/hi/technology/4677022.stm
http://www.pcpro.co.uk/news/83...-quiet-on-the-nyxem-front.html
Knowledge is power.
 
Odgovor na temu

Ser_Boyler
Stojkovic Vladimir
CBT, System and Network Administrator
Beograd

Član broj: 14424
Poruke: 377
*.belatehnika.co.yu.

Jabber: ser_boyler@elitesecurity.org
ICQ: 172456664
Sajt: www.google.com/webhp?comp..


Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200606.02.2006. u 14:29 - pre 220 meseci
Citat:
IcyImpact: Kako se samo uvijek primite AV kompanija...

A ko bi drugi mogao da ima koristi?

Citat:
Pravodobnom reakcijom je izbjegnuta katastrofa - vremena za zaštitu od Nyxema je bilo dovoljno i korisnici su se mogli na vrijeme očistiti. Većina AV kompanija je izjavila da nije primila ozbiljnije izvještaje o šteti nastaloj kao posljedici djelovanja Nyxemovog payloada. Procjenjuje se da je broj zaraženih računala oko 300 000 i to su uglavnom kućni korisnici.

I od tih 300.000 zarazenih nijedan nije prijavio izbrisane fajlove?
U Symantecu je prijavljeno ukupno NULA reporta, Kaspersky Labs - NULA,u F-Secure je prijavljeno nekoliko ostecenih excel dokumenta koji najverovatnije nemaju veze sa ovim.
http://www.f-secure.com/weblog...s/archive-022006.html#00000802

Ne pominjem nikakve teorije zavere da budem jasan, ali cela ova prica i dizanje uzbune se pomalo osecaju ...
Slika govori više od 128K reči.
 
Odgovor na temu

Conica
Aleksandra Gaborovic

Član broj: 7384
Poruke: 304
*.mediaworksit.net.



Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200607.02.2006. u 16:06 - pre 220 meseci
U stvari kako danas stvari stoje, u Indiji ima od 4800 do oko 5000 ostecenih racunara. Cekaju se izvestaji iz Turske i Peru-a posto su te zemlje zabelezile najveci broj zaraza tim crvom.
Web razvoj: www.homeofweb.com
Blog: (HRK)www.pljuc.com
 
Odgovor na temu

Goran Mijailovic

Član broj: 12684
Poruke: 6907



+437 Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200609.02.2006. u 21:01 - pre 220 meseci
Opis:
http://securityresponse.symant...nc/data/[email protected]
removal tools:
http://www.bitdefender.com/[email protected]
http://[email protected]

[Ovu poruku je menjao Goran Mijailovic dana 09.02.2006. u 22:08 GMT+1]
 
Odgovor na temu

Goran Mijailovic

Član broj: 12684
Poruke: 6907



+437 Profil

icon Re: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.200609.02.2006. u 21:07 - pre 220 meseci
Citat:
Also Known As: CME-24, Win32.Blackmal.F [Computer Associates], Email-Worm.Win32.Nyxem.e [F-Secure], Email-Worm.Win32.Nyxem.e [Kaspersky], W32/MyWife.d@MM [McAfee], W32/MyWife.d@MM!M24 [McAfee], Win32/Mywife.E@mm [Microsoft], W32/Small.KI@mm [Norman], Tearec.A [Panda Software], W32/Nyxem-D [Sophos], WORM_GREW.{A, B} [Trend Micro]
 
Odgovor na temu

[es] :: Security :: [Vest] Potencijalna opasnost od aktivacije crva Nyxem 03.02.2006

[ Pregleda: 3730 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.