warning! email virus Win32.Bofra.H!
Nov. 15th, 2004 12:50 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
109Недавно я писал, что получил спам на адреса geico@bla-bla и etrade@bla-bla, которые давал только geico и etrade соответственно. Как ни прискорбно мне это сообщать, но оказалось, что обосрался я сам.
Итак, в четверг, 11 ноября, я получил безобидный спам с простым html внутри и одним-единственным линком на index.htm, казавшимся совершенно безобидным. Движимый чистым любопытством (ну какой вред может случиться от index.htm?) я тыкнул в него. IE открылся и тут же издох. Пожав плечами, я стёр спам и забыл про него.
Сегодня на веб-странице одной солидной фирмы я ввёл очередной новый адрес типа another_company@mydomain.com и через три секунды получил на него тот же самый спам. Что-то тут не так, подумал я. Во-первых, заподозрить another_company в продаже адресов спаммерам было трудно, во-вторых, они бы не успели это сделать за три секунды. Можно было заподозрить их в том, что они заражены spyware, но я решил начать проверку с себя.
Утилита autoruns.exe сразу же показала подозрительную запись в ключе HKLM\Software\Microsoft\Windows\CurrentVersion\Run с именем Reactor8. Поиск строчки reactor8 в гугле сразу же выдал страницу с описанием вируса.
Вирус очень злобный: The worm executable is not attached to e-mail; rather, the e-mail contains a link that if clicked on allows the worm executable to be downloaded to the local machine. When executed, Win32.Bofra.H copies itself to the %System% directory using a random number of letters and "32.EXE" as the filename. It modifies the registry to ensure that this file is run whenever Windows is started. The worm attempts to run itself as a remote thread of Explorer.exe, so subsequent worm activities will appear to have originated from Explorer.exe. Это значит, что вы не увидите в таскменеджере подозрительного процесса. Единственное, что вы сможете заметить - это что ваш explorer периодически на несколько секунд увеличивает свой CPU Usage. The worm listens on the first available port from 1639 upwards to serve a web page that contains code exploiting a security vulnerability and sends an e-mail containing a link pointing to a web page that appears to be named "index.htm" on a infected machine. The worm sends itself to each address using its own SMTP engine. It performs DNS MX (mail exchanger) queries to find an appropriate mail server for each domain it tries to send itself to. The worm attempts to contact the following IRC servers: [list of IRC servers]. The worm can be instructed to download and execute arbitrary files. The worm can be instructed by a controller via IRC to send information such as the country location of the infected computer, the type of Internet connection the machine uses and the version of the worm that is currently running. The worm can also be instructed to quit IRC.
Что удручает:
1. As of now, оба доступных мне антивируса - McAfee и TrendMicro этот вирус не берут
2. Microsoft Internet Explorer contains a vulnerability that can allow a remote attacker to execute arbitrary code. A fix is not currently available from Microsoft.
Поэтому если кто-то в последние три дня получал от меня email с линком на вирус, I am very sorry. Особенно sorry I am, если вы тыкнули в этот линк и заразились. Мой совет - запустить autoruns.exe и посмотреть, нет ли чего-нибудь подозрительного в ключах HKLM\Software\Microsoft\Windows\CurrentVersion\Run и HKCU\Software\Microsoft\Windows\CurrentVersion\Run. При подтвердившихся подозрениях - обезвредить ключ (переименовать .exe в .ex), перезагрузиться и посмотреть, не сломалось ли что-нибудь полезное :-)
Кроме того, я буду крайне благодарен, если кто знает антивирус, который уже эту гадость лечит.
Итак, в четверг, 11 ноября, я получил безобидный спам с простым html внутри и одним-единственным линком на index.htm, казавшимся совершенно безобидным. Движимый чистым любопытством (ну какой вред может случиться от index.htm?) я тыкнул в него. IE открылся и тут же издох. Пожав плечами, я стёр спам и забыл про него.
Сегодня на веб-странице одной солидной фирмы я ввёл очередной новый адрес типа another_company@mydomain.com и через три секунды получил на него тот же самый спам. Что-то тут не так, подумал я. Во-первых, заподозрить another_company в продаже адресов спаммерам было трудно, во-вторых, они бы не успели это сделать за три секунды. Можно было заподозрить их в том, что они заражены spyware, но я решил начать проверку с себя.
Утилита autoruns.exe сразу же показала подозрительную запись в ключе HKLM\Software\Microsoft\Windows\CurrentVersion\Run с именем Reactor8. Поиск строчки reactor8 в гугле сразу же выдал страницу с описанием вируса.
Вирус очень злобный: The worm executable is not attached to e-mail; rather, the e-mail contains a link that if clicked on allows the worm executable to be downloaded to the local machine. When executed, Win32.Bofra.H copies itself to the %System% directory using a random number of letters and "32.EXE" as the filename. It modifies the registry to ensure that this file is run whenever Windows is started. The worm attempts to run itself as a remote thread of Explorer.exe, so subsequent worm activities will appear to have originated from Explorer.exe. Это значит, что вы не увидите в таскменеджере подозрительного процесса. Единственное, что вы сможете заметить - это что ваш explorer периодически на несколько секунд увеличивает свой CPU Usage. The worm listens on the first available port from 1639 upwards to serve a web page that contains code exploiting a security vulnerability and sends an e-mail containing a link pointing to a web page that appears to be named "index.htm" on a infected machine. The worm sends itself to each address using its own SMTP engine. It performs DNS MX (mail exchanger) queries to find an appropriate mail server for each domain it tries to send itself to. The worm attempts to contact the following IRC servers: [list of IRC servers]. The worm can be instructed to download and execute arbitrary files. The worm can be instructed by a controller via IRC to send information such as the country location of the infected computer, the type of Internet connection the machine uses and the version of the worm that is currently running. The worm can also be instructed to quit IRC.
Что удручает:
1. As of now, оба доступных мне антивируса - McAfee и TrendMicro этот вирус не берут
2. Microsoft Internet Explorer contains a vulnerability that can allow a remote attacker to execute arbitrary code. A fix is not currently available from Microsoft.
Поэтому если кто-то в последние три дня получал от меня email с линком на вирус, I am very sorry. Особенно sorry I am, если вы тыкнули в этот линк и заразились. Мой совет - запустить autoruns.exe и посмотреть, нет ли чего-нибудь подозрительного в ключах HKLM\Software\Microsoft\Windows\CurrentVersion\Run и HKCU\Software\Microsoft\Windows\CurrentVersion\Run. При подтвердившихся подозрениях - обезвредить ключ (переименовать .exe в .ex), перезагрузиться и посмотреть, не сломалось ли что-нибудь полезное :-)
Кроме того, я буду крайне благодарен, если кто знает антивирус, который уже эту гадость лечит.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
(no subject)
Date: 2004-11-15 06:10 pm (UTC)(no subject)
Date: 2004-11-15 07:43 pm (UTC)ээээ
Date: 2004-11-15 06:12 pm (UTC)?
(no subject)
Date: 2004-11-15 06:55 pm (UTC)А кроме авторанса на том же сайте лежит процесс эксплорер - он наверное должен показывать те вирусы, которые прячутся специально только от таск-менеджера.
(no subject)
Date: 2004-11-15 07:04 pm (UTC)(no subject)
Date: 2004-11-15 07:51 pm (UTC)(no subject)
Date: 2004-11-16 06:22 am (UTC)Я бы чаще пользовался IE, если б он умел tabs. Полдень, XXI век, а он этого не умеет.
(no subject)
Date: 2004-11-16 03:48 pm (UTC)(no subject)
Date: 2004-11-16 05:15 pm (UTC)(no subject)
Date: 2004-11-16 06:26 pm (UTC)(no subject)
Date: 2004-11-16 07:00 pm (UTC)(no subject)
Date: 2004-11-17 05:14 am (UTC)(no subject)
Date: 2004-11-15 07:06 pm (UTC)кинь в меня зараженным емейлом, если он у тебя остался? проверю, среагирует ли на него мой антивирус
(no subject)
Date: 2004-11-15 07:49 pm (UTC)но email тем не менее послал, балуйся. ты понял, что в линк надо ручками тыкнуть, чтобы заразиться?
(no subject)
Date: 2004-11-16 06:23 am (UTC)(no subject)
Date: 2004-11-16 02:26 pm (UTC)(no subject)
Date: 2004-11-16 02:30 pm (UTC)до чего дошёл прогресс!
Date: 2004-11-16 04:12 pm (UTC)т.о. пассивной обороны (нераспространение адреса) уже не хватает. нужна активная.
(no subject)
Date: 2004-11-16 08:54 pm (UTC)alexander avtsin com.
Спасибо заранее.
(no subject)
Date: 2004-11-16 10:11 pm (UTC)