[Nik]

Виндузятники, атас! Мне пришло сегодня 4 экземпляра, 2 с ящика Рембы, с чем я его и поздравляю! Смотрю в системный монитор, как троян мучительно пытается замаскироваться под Winamp5. И это, я так понимаю, только начало.

Mail-вирус Win32.MyDoom (Novarg), базирующийся на Mimail, рассылается под видом уведомлений о недоставленной почте, приходящих от "Mail Delivery System", личных сообщений с заголовком "Test" или случайно сгенерированным. В теле письма может присутствовать строка "The message contains Unicode characters and has been sent as a binary attachment." или "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.", а также приложение(-ия) (.bat, .scr, .pif и т.п.). Будучи запущенным, "троян" устанавливает "черный ход" ("backdoor"), копируется в каталог Kazaa (для дальнейшего распространения) и маскируется под Winamp5, RootkitXP, Officecrack, Nuke2004 (всего 7 вариантов). Скомпрометированные системы объединяются в сеть для нанесения распределенного DOS-удара на сайт SCO Group 1 февраля.

[Nik]

The virus—known as MyDoom, Novarg and as a variant of the Mimail virus by different antivirus companies—arrives in an in-box with one of several different random subject lines, such as "Mail Delivery System," "Test" or "Mail Transaction Failed." The body of the e-mail contains an executable file and a statement such as: "The message contains Unicode characters and has been sent as a binary attachment."


In one hour, Network Associates itself received 19,500 e-mails bearing the virus from 3,400 unique Internet addresses, Gullotto said. One large telecommunications company has already shut down its e-mail gateway to stop the virus.

Once the virus infects a Windows-running PC, it installs a program that allows the computer to be controlled remotely. The program primes the PC to send data to the SCO Group's Web server, starting Feb. 1, a virus researcher said on the condition of anonymity.


Antivirus companies were scrambling on Monday afternoon to learn more about the virus, which started spreading at about noon PST. The virus affects computers running Windows versions 95, 98, ME, NT, 2000 and XP.

"A lot of the information is encrypted, so we have to decrypt it," said Sharon Ruckman, a senior director of antivirus software maker Symantec's security response center. Symantec has had about 40 reports of the virus in the first hour, a high rate of submission, Ruckman said.


The virus installs a Windows program that opens up a "back door" in the system, allowing an attacker to upload additional programs onto the compromised device. The back door also enables an intruder to route his connection through the infected computer to hide the source of an attack.

The virus also copies itself to the Kazaa download directory on PCs, on which the file-sharing program is loaded. The virus camouflages itself, using one of seven file names, including Winamp5, RootkitXP, Officecrack and Nuke2004. Variations in the body text include: "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."

Early data indicated an epidemic several times the size of the Sobig.F virus, which caused widespread infections last summer, said Scott Petry, a vice president of engineering at e-mail service provider Postini.

[Consul]

Да, были сегодня в ящике письма с сабжем test
Прибиты там же, не читая. К обеду вроде бв почтовая служба сама наладила автоопределение и прибитие, во всяком случае не было их больше.

ЗэБат рулит

[Azs]

Да, были сегодня в ящике письма с сабжем test
Прибиты там же, не читая. К обеду вроде бв почтовая служба сама наладила автоопределение и прибитие, во всяком случае не было их больше.

OE рулит точно так-же

[Nik]

Рулит все! Тем временем:

Всего за несколько часов существования данная вредоносная программа успела вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Подробный анализ географии распространения позволяет говорить, что «Novarg» был создан в России.
По оценкам «Лаборатории Касперского», эпидемия «Novarg» является крупнейшей в этом году и имеет все шансы побить рекорды распространения в 2003 году. Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки «Novarg». Такая технология уже была применена ранее в почтовом черве «Sobig.F».

[Vovus]

[Consul]

http://zdnet.ru/?ID=312880

http://www.kasperskylabs.ru/news.html?id=145335904

[Nik]

SCO Group предлагает 250 000 USD за информацию об авторе стремительно распространяющегося по Интернету почтового вируса MyDoom (Novarg). Компания также привлекла к этому делу разведывательную службу (U.S. Secret Service) и ФБР. Хотя вероятность поимки злоумышленников невелика, SCO считает, что игра стоит свеч. "Честно говоря, мы уже просто устали от подобных вещей",-признался пресс-секретарь компании Блейк Стоуэлл (Blake Stowell).

Свое мнение по поводу MyDoom высказал также известный адвокат открытого ПО Брюс Перенс (Bruce Perens). Он призвал мир open-source не приветствовать атаки на сайт SCO и публично называть их попыткой скомпрометировать открытое сообщество.

[Consul]

http://ixbt.stack.net/news/soft/index.shtml?soft100880id

Virus Information Service выпустила небольшую утилиту, для удаления с компьютера Интернет-вируса Win32.Mydoom.A, о котором вчера подробно рассказывалась у нас в новостях (читайте архив за 27 декабря в Hard-разделе).

Напомню, что вирус распространяется либо по почте, либо через файловые обменные сети. Чаще всего письма приходят с заголовками "Error", "hello", "HELLO", "hi", "Hi", "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" и содержат вложения, которые нельзя запускать ни в коем случае. В файловых обменниках вирус скрывается за названиями "office_crack", "rootkitXP", "strip-girl- 2.0bdcom_patches", "activation_crack", "icq2004-final", "winamp5". Будьте внимательные!

Забирать утилитку отсюда (333 Кб, Freeware, Windows All).
http://www3.ca.com/Files/VirusInformationAndPrevention/clnshimg.zip

[Nik]

На Секьюритилаб любопытнейшая новость, если это не утка SCO пипец.

Как стало известно сегодня, ФБР произвело задержание нескольких сотрудников (программистов и менеджеров) компании SCO, а также осуществило обыск в головном офисе и изъятие одного из серверов и нескольких рабочих станций. Подробности операции спецслужб особо не разглашаются, однако известно (со слов представителя компании IBM по связям с общественностью) что операция связана напрямую с судебной тяжбой между компаниями IBM и SCO.

По имеющейся информации, все задержания связаны с расследованием, ведущимся ФБР в связи с эпидемией нового Интернет-червя. Предположительно, спецслужбам удалось проанализировать географию и скорость распространения червя, а так же выявить сам источник заражения – как ни парадоксально, саму компанию SCO. Возможно, таким неожиданным ходом кто-то из сотрудников компании планировал (по личной инициативе или по указанию руководства) настроить общественное мнение против Linux-сообщества, с которым ведет непримиримую юридическую войну SCO, пытаясь сорвать за лицензии на участки кода Linux/Unix «банк» в десятки миллиардов долларов.

[ВирусАллерт]

Как размножаются вирусы:

http://lithium.thru.net/staging/temp/message.html