Wirus!!!!!

Liczba wypowiedzi w tym wątku: 45

21. Data: 2001-11-30 15:37:43

Temat: Re: Wirus!!!!!
Od: "Pearl" <p...@p...onet.pl> szukaj wiadomości tego autora

"algraf" <a...@i...org.pl> w news:002b01c177dd$5cdab780$94a463d9@pol...
pisze tak:
> Jak to leczyc ??????????????? !!!!!!!!!!!!

He, he, he...

Gdybyś zastosował się do mojej rady z 20.10.01 09:49, to przedwczoraj nie
musiałbym przechwytywać pustego listu od Ciebie z załącznikiem
Humor.mp3.scr.
Ładny mi humor. :-)
Można wyczaić wiruski bez programów antywirusowych.

Tak dla przypomnienia, żebyś nie musiał szukać po archiwach:

Ja u siebie zrobiłem tak:
Utworzyłem folder PODEJRZANE.

W Regułach wiadomości (poczta) na **pierwszym** miejscu wstawiłem
regułę "Podejrzane załączniki".
1. Wybierz warunki dla tej reguły:
x Kiedy wiadomość posiada załącznik
2. Wybierz akcje reguły:
x Przenieś ją do folderu
x Przestań przetwarzać kolejne reguły
3. Opis reguły
Zastosuj tę regułę po przyjściu wiadomości
Kiedy wiadomość posiada załącznik
Przenieś ją do PODEJRZANE
i Przestań przetwarzać kolejne reguły
4. Nazwa reguły
Podejrzane załączniki

Regułę tę stosujemy do Skrzynki odbiorczej. Jeśli przyjdzie jakakolwiek
wiadomość z załącznikiem, automatycznie jest przekierowywana do folderu
PODEJRZANE.

Wystarczy teraz zadbać, by okno podglądu było zamknięte i przy zamkniętym
oknie podglądu zapisać tę wiadomość na dysk jako *.eml, a później podejrzeć
ją Nortonem Commanderem (F3) lub Notatnikiem i zobaczyć w nagłówku
wiadomości co to za załącznik, jakie ma rozszerzenie itp.

Nie stosować opcji "zapisz załączniki" jak to zrobił Józek, bo d... mokra.

Zwracam uwagę, że w OE plik (załącznik) np.
nazwa_pliku.txt.exe
może być widziana jako
nazwa_pliku.txt
- nie dajmy się nabrać. Natomiast, jak wyżej napisałem, Nortonem podejrzymy
pełną nazwę (oprócz tego przeczytamy bezpiecznie treść wiadomości).

Poza tym w Norton Commander jest opcja dekoduj. Można ją wykorzystać.
Zapisany do jakiegoś katalogu plik poczty *.eml zostanie zdekodowany i
rozłożony na czynniki pierwsze, tzn. część txt, html, załącznik.

--
Pozdrawiam
Perła
_________________________________________________
Archiwum pl.soc.inwalidzi
http://niusy.onet.pl/pl.soc.inwalidzi
http://www.newsgate.pl/archiwum/pl-soc-inwalidzi/

› Pokaż wiadomość z nagłówkami

Do góry

Zobacz także

22. Data: 2001-11-30 19:41:25

Temat: Re: Wirus!!!!!
Od: "Pearl" <p...@p...onet.pl> szukaj wiadomości tego autora

"Pituś" <p...@a...waw.pl> w news:9u3pah$15mo$1@pingwin.acn.pl... pisze tak:
> > Ladny wykladzik tylko ja tez dostalem taka powiastke od serwera
> >
> > Sender of the infected attachment: algraf
> > Subject of the message: Re:
> > One or more attachments were quarantined.
> > Attachment README.MP3.scr was Quarantined for the following reasons:
> > Virus W32.Badtrans.B@mm was found.

Chyba już mam wyjaśnienie. Właśnie przed chwilą otrzymałem wiadomość,
cytuję:

> W internecie pojawil sie wirus-robak, ktory sam dostalem juz od paru ludzi
> wiec przesylam info ktore pojawilo sie na stronie www.virus.pl :
>
> Baza wirusów - Badtrans.II
>
> Również znany jako: Badtrans.B
> Typ: robak
> Niszczący dyski: nie
> Niszczący pliki: nie
> Efekty wizualne: nie
> Efekty dźwiękowe: nie
>
> BadransII jest robakiem internetowym, którego działanie polega na
rozsyłaniu
> własnych kopii za pomocą poczty elektronicznej oraz instalowaniu w
systemie
> konia trojańskiego przechwytującego naciśnięcia klawiszy klawiatury.
>
> Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu
> elektronicznego o następujących parametrach:
>
>
> Temat: Re:
>
> Treść:
>
> Załącznik: [nazwa zgodnie z poniższym schematem]
>
> Plik załącznika ma nazwę składającą się z trzech elementów, losowo
> wybieranych z poniższych list:
>
> Element 1:
>
> HUMOR
> DOCS
> S3MSONG
> ME_NUDE
> CARD
> SEARCHURL
> YOU_ARE_FAT!
> NEWS_DOC
> IMAGES
> PICS
> README
> New_Napster_Site
> Fun
> HAMSTER
> SETUP
> News_doc
> Sorry_about_yesterday
> INFO
> Stuff
>
> Element 2:
>
> .DOC
> .MP3
> .ZIP
>
> Element 3:
>
> .pif
> .scr
>
> W rezultacie nazwy załącznika wyglądają podobnie do np. takiej:
> HUMOR.DOC.scr.
>
> Po uruchomieniu pliku załącznika robak tworzy na dysku swoją kopię w pliku
> c:\windows\system\kernel32.exe oraz tworzy plik c:\windows\system\kdll.dll
> (pliki te należy usunąć, najprościej wykonać to przy wyłączonych
> Windows'ach), a także modyfikuje rejestr tak by był uruchamiany przy
każdym
> starcie systemu Windows. Modyfikowany rejestr to:
>
> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
> RunOnce\Kernel32=kernel32.exe
> Na koniec robak rozsyła swoje kopie do wszystkich adresatów odnalezionych
w programie pocztowym.
>
> Badtrans.II jest wykrywany oprogramowaniem mks_vir z bazą wirusów z dnia
> 2001-11-26 i nowszymi.

--
Pozdrawiam.
Perła
____________________________________________________
____________________
Rozpasanie i hulaszczy tryb życia emerytów i rencistów rujnują budżet RP.
(C) Pearl

› Pokaż wiadomość z nagłówkami

Do góry

23. Data: 2001-11-30 20:29:44

Temat: Re: Wirus!!!!!
Od: "Leszek Marażewski" <l...@c...pl> szukaj wiadomości tego autora

A ja myślałem, że tak - więc przepraszam
i wprowadzam z powrotem.

--
Leszek Marażewski
l...@c...pl
Użytkownik "RS/Szymon" <r...@p...onet.pl> napisał w wiadomości
news:9u65fr$5cu$1@news.onet.pl...
> Nie o Pana mi chodzilo .
> ___________________
>
> Użytkownik "Leszek Marażewski" <l...@c...pl> napisał w wiadomości
> news:9u5v6p$ist$1@news2.ipartners.pl...
>
> > ZAŁATWIONE
> >
> > --
> >
> > Leszek MARAŻEWSKI
> > l...@c...pl
> > Użytkownik "RS/Szymon" <r...@p...onet.pl> napisał w wiadomości
> > news:9u50hp$dde$1@news.onet.pl...
> > >
> > > Użytkownik "Leszek Marażewski" <l...@c...pl>
> > >
> > > > Prosiłbym szanownych grupowiczów o usunięcie moich
> > > > namiarów ze skrzynki adresowej. Liczę na zrozumienie,
> > > > bo mój adres - to kilkaset .
> > > > --
> > > > Leszek Marażewski
> > > > l...@c...pl
> > > >
> > >
> > > Jezeli moge Prosic o to samo co P.Leszk M.
> > > to bede bardzo wdzieczny.
> > >
> > > -
> > > Pozdr.....
> > > RS/Szymon
> > > r...@p...onet.pl
> > > ______________
> > >
> >
> >
>

› Pokaż wiadomość z nagłówkami

Do góry

24. Data: 2001-12-01 09:39:35

Temat: Re: Wirus!!!!!
Od: a...@i...org.pl (algraf) szukaj wiadomości tego autora

Dzieki, juz zrobione :-)
Czlowiek uczy sie na bledach.
pozdr.
Arek

----- Original Message -----
From: "Pearl" <p...@p...onet.pl>
To: <p...@n...pl>
Sent: Friday, November 30, 2001 4:37 PM
Subject: Re: Wirus!!!!!

"algraf" <a...@i...org.pl> w news:002b01c177dd$5cdab780$94a463d9@pol...
pisze tak:
> Jak to leczyc ??????????????? !!!!!!!!!!!!

He, he, he...

Gdybyś zastosował się do mojej rady z 20.10.01 09:49, to przedwczoraj nie
musiałbym przechwytywać pustego listu od Ciebie z załącznikiem
Humor.mp3.scr.
Ładny mi humor. :-)
Można wyczaić wiruski bez programów antywirusowych.

Tak dla przypomnienia, żebyś nie musiał szukać po archiwach:

Ja u siebie zrobiłem tak:
Utworzyłem folder PODEJRZANE.

W Regułach wiadomości (poczta) na **pierwszym** miejscu wstawiłem
regułę "Podejrzane załączniki".
1. Wybierz warunki dla tej reguły:
x Kiedy wiadomość posiada załącznik
2. Wybierz akcje reguły:
x Przenieś ją do folderu
x Przestań przetwarzać kolejne reguły
3. Opis reguły
Zastosuj tę regułę po przyjściu wiadomości
Kiedy wiadomość posiada załącznik
Przenieś ją do PODEJRZANE
i Przestań przetwarzać kolejne reguły
4. Nazwa reguły
Podejrzane załączniki

Regułę tę stosujemy do Skrzynki odbiorczej. Jeśli przyjdzie jakakolwiek
wiadomość z załącznikiem, automatycznie jest przekierowywana do folderu
PODEJRZANE.

Wystarczy teraz zadbać, by okno podglądu było zamknięte i przy zamkniętym
oknie podglądu zapisać tę wiadomość na dysk jako *.eml, a później podejrzeć
ją Nortonem Commanderem (F3) lub Notatnikiem i zobaczyć w nagłówku
wiadomości co to za załącznik, jakie ma rozszerzenie itp.

Nie stosować opcji "zapisz załączniki" jak to zrobił Józek, bo d... mokra.

Zwracam uwagę, że w OE plik (załącznik) np.
nazwa_pliku.txt.exe
może być widziana jako
nazwa_pliku.txt
- nie dajmy się nabrać. Natomiast, jak wyżej napisałem, Nortonem podejrzymy
pełną nazwę (oprócz tego przeczytamy bezpiecznie treść wiadomości).

Poza tym w Norton Commander jest opcja dekoduj. Można ją wykorzystać.
Zapisany do jakiegoś katalogu plik poczty *.eml zostanie zdekodowany i
rozłożony na czynniki pierwsze, tzn. część txt, html, załącznik.

--
Pozdrawiam
Perła
_________________________________________________
Archiwum pl.soc.inwalidzi
http://niusy.onet.pl/pl.soc.inwalidzi
http://www.newsgate.pl/archiwum/pl-soc-inwalidzi/

--
Archiwum grupy: http://niusy.onet.pl/pl.soc.inwalidzi

› Pokaż wiadomość z nagłówkami

Do góry

25. Data: 2001-12-01 10:08:01

Temat: Re: Wirus!!!!!
Od: "Pituś" <p...@a...waw.pl> szukaj wiadomości tego autora

"Pearl" <p...@p...onet.pl> wrote in message
news:9u8o9e$kb4$1@news.tpi.pl...
> "Pituś" <p...@a...waw.pl> w news:9u3pah$15mo$1@pingwin.acn.pl... pisze
tak:
> > > Ladny wykladzik tylko ja tez dostalem taka powiastke od serwera
> > >
> > > Sender of the infected attachment: algraf
> > > Subject of the message: Re:
> > > One or more attachments were quarantined.
> > > Attachment README.MP3.scr was Quarantined for the following reasons:
> > > Virus W32.Badtrans.B@mm was found.
>
> Chyba już mam wyjaśnienie. Właśnie przed chwilą otrzymałem wiadomość,
> cytuję:
>
> > W internecie pojawil sie wirus-robak, ktory sam dostalem juz od paru
ludzi
> > wiec przesylam info ktore pojawilo sie na stronie www.virus.pl :
> >
> > Baza wirusów - Badtrans.II
> >
> > Również znany jako: Badtrans.B
> > Typ: robak
> > Niszczący dyski: nie
> > Niszczący pliki: nie
> > Efekty wizualne: nie
> > Efekty dźwiękowe: nie
> >

Tak, tego robala miałem na myśli. :-) Jeśli kogoś wprowadziłem w błąd to
przepraszam. Obecnie to właśnie "Badtrans.II" króluje w sieci. Ja mam
najnowszą wersję OE z możliwością blokowania dostępu jakim kolwiek
załącznikom. Więc gdyby ktoś chciałby mi coś przesłać to proszę mnie
wcześniej uprzedzić, bo inaczej tylko tekst dojdzie do mnie.

--
Pozdrawiam, Pituś

› Pokaż wiadomość z nagłówkami

Do góry

26. Data: 2001-12-01 19:46:36

Temat: Re: Wirus!!!!!
Od: "Pearl" <p...@p...onet.pl> szukaj wiadomości tego autora

"Pituś" <p...@a...waw.pl> w news:9uaa20$fi3$1@pingwin.acn.pl... pisze tak:
>
[...]
>
> Tak, tego robala miałem na myśli. :-) Jeśli kogoś wprowadziłem w błąd to
> przepraszam. Obecnie to właśnie "Badtrans.II" króluje w sieci.

Chyba nikogo w błąd nie wprowadziłeś.
Niektórzy po prostu nie potraktowali poważnie Twojego ostrzeżenia z
26.11.2001 21:50.

--
Pozdrawiam.
Perła
____________________________________________________
____________________
Rozpasanie i hulaszczy tryb życia emerytów i rencistów rujnują budżet RP.
(C) Pearl

› Pokaż wiadomość z nagłówkami

Do góry

27. Data: 2001-12-01 21:48:13

Temat: Re: Wirus!!!!!
Od: "Pituś" <p...@a...waw.pl> szukaj wiadomości tego autora

"Pearl" <p...@p...onet.pl> wrote in message
news:9ube8h$3uu$2@news.tpi.pl...
> "Pituś" <p...@a...waw.pl> w news:9uaa20$fi3$1@pingwin.acn.pl... pisze
tak:
> >
> [...]
> >
> > Tak, tego robala miałem na myśli. :-) Jeśli kogoś wprowadziłem w błąd to
> > przepraszam. Obecnie to właśnie "Badtrans.II" króluje w sieci.
>
> Chyba nikogo w błąd nie wprowadziłeś.
> Niektórzy po prostu nie potraktowali poważnie Twojego ostrzeżenia z
> 26.11.2001 21:50.

Miałem na myśli, iż ktoś mógł zrozumieć, że to Sicram.c jest niegroźny (o
którym pisał Józek). Ale Algraf rozsiewał tylko Badtransa.II o ile mi
wiadomo.
Apropo's Badtransa.II to tworzy on jeszcze jeden plik "kdll.dll" w katalogu:
c:\windows\system (oprócz kernel32.exe). Jeśli ktoś był zainfekowany
Badtransem.II to powinien ponownie przeskanować "C:" najnowszym MKSem:
http://skaner.mks.com.pl/ - na wszelki wypadek.

--
Pozdrawiam, Pituś

› Pokaż wiadomość z nagłówkami

Do góry

28. Data: 2001-12-01 22:09:17

Temat: Re: Wirus!!!!!
Od: "Pituś" <p...@a...waw.pl> szukaj wiadomości tego autora

Tu znajdziecie szczepionkę na Badtransa.II
http://www.gdata.com.pl/pl/nowewirusy3.html#I-Worm.B
adTrans.B

--
Pozdrawiam, Pituś

› Pokaż wiadomość z nagłówkami

Do góry

29. Data: 2001-12-02 15:32:21

Temat: Re: Wirus!!!!!
Od: a...@i...org.pl (algraf) szukaj wiadomości tego autora

Witam,

Ja swojego wirusika dostalem tylko od Jozka wiec prawdopodobnie jest tak ze
ten wirus jest roznie widziany, zaleznie od programow antywirusowych z
ktorych korzystamy. Z doswiadczenia wiem (a mam juz jakies doswiadczenie :-)
ze informacje o wirusie z zwrotow z serwerow tez byly rozne. A grudniowego
mks-a juz sciagnelem i w spisie sircama nie znalazlem :-(.
pozdr.
Arek

----- Original Message -----
From: "Pituś" <p...@a...waw.pl>
To: <p...@n...pl>
Sent: Saturday, December 01, 2001 10:48 PM
Subject: Re: Wirus!!!!!

"Pearl" <p...@p...onet.pl> wrote in message
news:9ube8h$3uu$2@news.tpi.pl...
> "Pituś" <p...@a...waw.pl> w news:9uaa20$fi3$1@pingwin.acn.pl... pisze
tak:
> >
> [...]
> >
> > Tak, tego robala miałem na myśli. :-) Jeśli kogoś wprowadziłem w błąd to
> > przepraszam. Obecnie to właśnie "Badtrans.II" króluje w sieci.
>
> Chyba nikogo w błąd nie wprowadziłeś.
> Niektórzy po prostu nie potraktowali poważnie Twojego ostrzeżenia z
> 26.11.2001 21:50.

Miałem na myśli, iż ktoś mógł zrozumieć, że to Sicram.c jest niegroźny (o
którym pisał Józek). Ale Algraf rozsiewał tylko Badtransa.II o ile mi
wiadomo.
Apropo's Badtransa.II to tworzy on jeszcze jeden plik "kdll.dll" w katalogu:
c:\windows\system (oprócz kernel32.exe). Jeśli ktoś był zainfekowany
Badtransem.II to powinien ponownie przeskanować "C:" najnowszym MKSem:
http://skaner.mks.com.pl/ - na wszelki wypadek.

--
Pozdrawiam, Pituś

--
Archiwum grupy: http://niusy.onet.pl/pl.soc.inwalidzi

› Pokaż wiadomość z nagłówkami

Do góry

30. Data: 2001-12-02 16:38:18

Temat: Re: Wirus!!!!!
Od: "Pituś" <p...@a...waw.pl> szukaj wiadomości tego autora

"algraf" <a...@i...org.pl> wrote in message
news:000501c17b45$8380c9e0$eda463d9@ppp...
> Witam,
>
> Ja swojego wirusika dostalem tylko od Jozka wiec prawdopodobnie jest tak
ze
> ten wirus jest roznie widziany, zaleznie od programow antywirusowych z
> ktorych korzystamy.

A to prawda, bo np. mój AVK nie rozpoznaje tego wirusa. Dopiero MKS go
wyłapuje. Swoją drogą to przykre, że płaci się nie małe pieniądze za coś co
tylko udaje prgram antywirusowy.

> Z doswiadczenia wiem (a mam juz jakies doswiadczenie :-)
> ze informacje o wirusie z zwrotow z serwerow tez byly rozne. A grudniowego
> mks-a juz sciagnelem i w spisie sircama nie znalazlem :-(.
> pozdr.
> Arek

Czy masz na stałe zainstalowany Monitor antywirusowy?

--
Pozdrawiam, Pituś