Мелкософт спамит?

← →
RIMMER (2003-05-22 01:18) [0]

Слушайте, письмо прикатило:
From: support@microsoft.com {натурально, я заголовки смотрел в параметрах}
Subject: Re: My details
Attach: screen_temp. pi
All information is in the attached file.

Файл внутри - PE. И как это пониьмать? Я им точно ничего не слал, тем более с таким обратным адресом, на который пришло.

← →
Ihor Osov'yak (2003-05-22 01:27) [1]

вирусок однако.. IP посмотри, с которого пришло.. IP не подделаешь.. В остальное, втч from пишется любая лажа..

Зы - таких писем за последнюю неделю с десяток получил.. Все в корзине, неглядя..

← →
Aristarh (2003-05-22 01:33) [2]

>IP не подделаешь

Вы, Игорь, не подумайте, что это автоматическое противоречие, но подмена ip адреса - одна из самых распространенных атак.

← →
RIMMER (2003-05-22 01:40) [3]

А почему расширение у файла .pi и "Kaspersky" не реагирует?

← →
Ihor Osov'yak (2003-05-22 02:07) [4]

2 Aristarh © (22.05.03 01:33)

Подмена ip адреса для пакета при атаке - это одно дело.. его юзают все, кому не лень.. Но подменять ip адрес при связи с smtp сервером не имеет смысла. Ибо ответы от сервера будут уходить на подменненый адрес.. А Вам нужно как-бы диалог с smtp сервером вести, а не монолог.. То есть - ip подменить то подменим, но сообщения тогда не отправим..

Зы - а вообще то я не специалист по атакам и подмене ip - просто елементарная логика..

← →
Ihor Osov'yak (2003-05-22 02:13) [5]

> и "Kaspersky" не реагирует?
Ну базы старые, или этого вируса еще не обработали.. Говорю же, что не более, как неделю такие вещи летать стали..

> А почему расширение у файла .pi

На расширение не смотрел - сейчас, сорри -

Subject: FWD: Watch this pack which came from Microsoft.

немного не то и файл filename="q401750.exe" - значит, ко мне не то летало..

← →
Вася Пупкин (2003-05-22 02:20) [6]

http://www.viruslist.com/viruslist.html?id=2304774

← →
gn (2003-05-22 07:18) [7]

"Palyh" доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты или записанного в систему через локальную сеть. Червь активизируется при запуске этого файла-носителя, после чего заражает компьютер и запускает процедуру распространения.
При установке "Palyh" копирует себя под именем "MSCCN32.EXE" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при старте операционной системы. По причине ошибки, в некоторых случаях "Palyh" копирует себя в другие каталоги и поэтому функция автозапуска иногда не срабатывает.
После этого червь начинает процедуры распространения. Для рассылки по электронной почте он сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем "Palyh" в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.
В качестве отправителя все письма червя имеют фальсифицированный адрес (support@microsoft.com), но содержат различные заголовки, тексты и имена вложенных файлов. Следует отметить, что все файлы имеют расширение PIF(например, PASSWORD.PIF), хотя на самом деле являются обычными EXE-файлами. В данном случае "Palyh" использует ложное представление пользователей о безопасности PIF-файлов и недостаток Windows.
Как известно, эта операционная система обрабатывает файлы не по расширению, но по внутреннему формату. Для распространения по локальной сети червь сканирует другие сетевые компьютеры и, если находит на них каталоги автозапуска Windows, записывает туда свою копию. В целом "Palyh" нельзя назвать опасным. Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. Червь имеет функцию загрузки с удаленных web-серверов дополнительных компонентов. Таким образом, он в состоянии незаметно устанавливать свои более "свежие" версии или внедрять в систему программы-шпионы.
Автор "Palyh" встроил в программу временной триггер: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает "Palyh", поскольку web-серверы, откуда он скачивает свои обновления, в ближайшее время будут закрыты.

gn
cn 1101

← →
RIMMER (2003-05-23 00:02) [8]

2 gn

Точно. Откуда такая подробная инфа?

Всем прочим подтверждаю - все сказанное про Palyh чистая правда, испытано на себе, в моем первом посте все приведено дословно.

Предохраняйтесь.

← →
Плохой человек (2003-05-23 00:08) [9]

По-моему, лучше открыть файл затем, чтобы раз и навсегда решить, что там.

← →
RIMMER (2003-05-23 00:30) [10]

2 Плохой человек
Что я благополучно и сделал. Ничего, все обошлось, я неплохо знаю систему.

← →
Ihor Osov'yak (2003-05-23 01:17) [11]

2 RIMMER © (23.05.03 00:02)

http://www.kaspersky.ru/news.html?id=1236412
http://www.viruslist.com/viruslist.html?id=2304774
http://groups.google.com.ua/groups?q=%22Palyh%22+%D0%B4%D0%BE%D1%81%D1%82%D0%B0%D0%B2%D0%BB%D1%8F%D0%B5%D1%82%D1%81%D1%8F+%D0%BD%D0%B0+%D1%86%D0%B5%D0%BB%D0%B5%D0%B2%D0%BE%D0%B9+%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80+%D0%B2+%D0%B2%D0%B8%D0%B4%D0%B5+%D1%84%D0%B0%D0%B9%D0%BB%D0%B0,+%D0%B2%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE+%D0%B2+%D0%BF%D0%B8%D1%81%D1%8C%D0%BC%D0%BE+%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9+%D0%BF%D0%BE%D1%87%D1%82%D1%8B+%D0%B8%D0%BB%D0%B8&hl=uk&lr=&ie=UTF-8&oe=UTF-8&selm=baa3ub%24789%24109%40www.fido-online.com&rnum=1

Мелкософт спамит? Найти похожие ветки