Нов, бързо разпространяващ се вирус !

Symantec предупреждават за нов вирус - W32.Novarg.A@mm



Вирусът наистина се разпространява шеметно бързо. Станах свидетел как за по-малко от половин час се получиха над 120 предупреждения от антивирусната програма на сървъра.



Вирусът създава файл, който "слуша" някой от портовете в интервала 3127 - 3198 и действа като proxy-сървър, като по този начин до машината Ви може да бъде осъществен неоторизиран достъп. Разпространението му ще спре на 12 февруари, но преди това на 01.02.2004 ще започне DoS-атака срещу www.sco.com



С две думи, поддържайте актуални антивирусните си дефиниции

Slero,

а да знаеш да има някакъв removal tool за тоя вирус. Аз не можах да намеря, ако ти си намерил нещо постни го тука ако обичаш.

На Панда на сайта има чистачка, но не знам дали действа.

Те наричат вируса MyDoom, но става въпрос за същия (Novarg)

@qni

Symantec твърдят, че с дефинициите им от 26.01.2004 няма да имаш проблеми. А ти да не би да опря вече до removal tool?!?! Всъщност нищо чудно - аз си излових единия от юзерите с курсор на мишката върху attachment-a. btw, от човешката глупост защита няма - вчера един лепна Dumaru, дето на челото му пише "вирус"...



И 10x на Slero - досега получихме четири такива мейла.

dp,

Мерси ще видя какво има.



Raid не съм опрял още до removal tool и дано да не опра!

Обаче една колежка от няколко дена ми се оплаква че OutlookExpress и връща писма които не е пращала а няма кои друг да ги праща. И това много ми намирисва на вирус. Може и да не е този но все пак аз да проверя.

Ако някого го мързи да пише циркулярно писъмце до юзерите си (овчици мили [:D]), да свирне - ще му мейлна моето [:)].

http://www.pandasoftware.com/download/utilities/



Ето ви линк към remove tool-a на Панда

Norton 2003 с дефиниции от 26.1.2004 ги спира. Май са общо 3 разновидности. При мен се появават по около писмо на 5 минути, но биват автоматично изтрити. За сега.

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">На Панда на сайта има чистачка, но не знам дали действа.

Те наричат вируса MyDoom, но става въпрос за същия (Novarg)



<div align="right">Originally posted by dP*-*27/01/2004*:* 15:33:41</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">

Три са наименованията на вируса (засега) - W32/Mydoom@MM според McAfee, WORM_MIMAIL.R според Trend Laboratories и W32.Novarg.A@mm - според Symantec.



Не знам дали чистачката от сайта на Panda работи (още не съм се заразил [8D] ), но тъй като вирусът не инфектира файлове, изчистването му е сравнително лесно:



1. Забранете System Restore (Windows Me/XP);



2. Направете update на дефинициите;



3. Рестартирайте в Safe mode;



4. Сканирайте всички файлове и изтрийте откритите като инфектирани с W32.Novarg.A@mm;



5. Малко игра с registry:



5.1. Намерете ключовете:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

И за двата ключа, изтривате стойностите отдясно:

"Taskmon"="%System%\taskmon.exe"



5.2. Изтрийте ключа

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version



5.3. Изтрийте ключа

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version



5.4. Намерете ключа

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

В зависимост от операционната система, модифицирайте стойностите в десния панел както следва:

За Windows NT/2000/XP: "(Default)"="%SystemRoot%\System32\webcheck.dll"

За Windows 95/98/Me: "(Default)"="Windows\System\webcheck.dll"



5.5. Приключихме с registry [:)]



6. Рестартирайте в нормален режим



А за да не се стига до тези главоболия - <font color="red">ОБНОВЯВАЙТЕ РЕДОВНО АНТИВИРУСНИТЕ СИ ДЕФИНИЦИИ</font id="red"> [:D]



EDIT: Чистачка за вируса от Symantec

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">На Панда на сайта има чистачка, но не знам дали действа.

Те наричат вируса MyDoom, но става въпрос за същия (Novarg)



<div align="right">Originally posted by dP*-*27/01/2004*:* 17:33:41</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">



Действа, действа [B)]

Най-после и Symantec са в час.

http://securityresponse.symantec.com...r/FxNovarg.exe.

Чисти не само в Save mode.

Успех на засегнатите

Хора, от няколко дни ми се появява жълтото квадратче в дясно от екрана с предупреждение за Live Update на Norton AV 2003. И това няколко пъти за 24 часа в продължение на трети ден. До сега антивирусната не се е държала по този начин. Мислите, ли че има нещо общо с новия вирус? Защото аз се побърках да обновявам дефинициите...по веднъж всеки ден, но още тази от 26.01.2004 не ми е "дошла". Последната ми е от 21-ви, въпреки, че снощи последно обновявах.

<blockquote id="quote"><font size="1" id="quote"><b id="quote">quote:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">Хора, от няколко дни ми се появява жълтото квадратче в дясно от екрана с предупреждение за Live Update на Norton AV 2003. И това няколко пъти за 24 часа в продължение на трети ден. До сега антивирусната не се е държала по този начин. Мислите, ли че има нещо общо с новия вирус? Защото аз се побърках да обновявам дефинициите...по веднъж всеки ден, но още тази от 26.01.2004 не ми е "дошла". Последната ми е от 21-ви, въпреки, че снощи последно обновявах.



<div align="right">Originally posted by Profita*-*28/01/2004*:* 11:55:34</div id="right">

</td id="quote"></tr id="quote"></table id="quote"></blockquote id="quote"><font size="2" id="quote"></font id="quote">

Не знам дали има нещо общо с новия вирус, но провери да не би да ти е изтекъл периода, в който си абонирана за LiveUpdate - обикновено този период е едногодишен. Става доста тъжно, ако си мислиш, че си с актуалните дефиниции, а всъщност не си...[}:)]

В status на Нортъна пише:

Virus Definitions 21.01.2004

Subscription Service 06.01.2005

Това ли е или не съм на прав път?

profita, subscription-а ти е ок

не се дължи на вируса. просто изтегли дефинициите и си ги стартирай ръчно.

мразя всякакви форми на auto update!!! започвайки с windows, и свършвайки ако щете с курса на долара. предпочитам аз да казвам кое кога да става.