Pažnja! Prvoaprilski talas spam-malware-a [Storm worm]

Pažnja! Prvoaprilski talas spam-malware-a [Storm worm]

offline
  • MRKY 
  • Elitni građanin
  • Pridružio: 22 Nov 2004
  • Poruke: 2138

Dobio sam sumjniv spam. Kaspersky ništa ne detektuje, ali meni tu nešto ne miriše.

From: sotram@goosu.com
Subject: Happy All Fool's Day.



Poruka: Gotcha! All Fool! http://124.121.*75.**


Tamo vas savetuje da pokrenete neki exe fajl.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • oblak  Male
  • Legendarni građanin
  • Glavni moderator foruma Mobilni telefoni
  • LEBE KISELI
  • Pridružio: 14 Feb 2005
  • Poruke: 6355

hm nisu tu cista posla....



offline
  • helen1  Male
  • Anti Malware Fighter
    Rank 2
  • Master učitelj
  • Pridružio: 27 Avg 2005
  • Poruke: 8620
  • Gde živiš: Novi Beograd

Zna se onda:
http://www.mycity.rs/Ambulanta/Kako-otvoriti-temu-u-Ambulanti.html

offline
  • MRKY 
  • Elitni građanin
  • Pridružio: 22 Nov 2004
  • Poruke: 2138

helen1 ::Zna se onda:
http://www.mycity.rs/Ambulanta/Kako-otvoriti-temu-u-Ambulanti.html



Nisam aktivirao exe fajl, te iz tog razloga mislim da ne treba da postujem HiJack log Confused

Dopuna: 01 Apr 2008 12:39

Izgleda da je kaspersky požurio Smile



Dopuna: 01 Apr 2008 12:41

Nemojte da vas buni što piše Dc1.exe
fajl se inače zove funny.exe

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

@MRKY
Vidim da si već primio prvoaprilsku čestitku od Russian Busines Networka. Znači krenuo je još jedan spam talas. Biće zanimljivo..
------------

Citat:March 31, 2008 19:45 GMT - " A wave of April Fool's Day related Storm (e)mails have just been sent out. Similar as the other times with a link that points to an IP address... if you receive one of these emails, don't click on the link."




http://www.f-secure.com/weblog/archives/00001410.html

Storm worm dolazi uz spam poruke a neke od subjekta iz tih mailova su:

All Fools' Day
Doh! All's Fool.
Doh! April's Fool.
Gotcha!
Gotcha! All Fool!
Gotcha! April Fool!
Happy All Fool's Day.
Happy All Fools Day!
Happy All Fools!
Happy April Fool's Day.
Happy April Fools Day!
Happy Fools Day!
I am a Fool for your Love
Join the Laugh-A-Lot!
Just You
One who is sportively imposed upon by others on the first day of April
Surprise!
Surprise! The joke's on you.
Today You Can Officially Act Foolish
Today's Joke!

-----------
Imena fajlova karakteristična za ovaj Storm 'talas'..

foolsday.exe
funny.exe
kickme.exe
-------------
http://isc.sans.org/diary.html?storyid=4222


Info o svim dosadašnjim metodama za propagiranje i distribuciju ovog malware-a:
http://www.castlecops.com/p1073287-Another_quot_Storm_quot_Wave.html
----------

Korisni info linkovi:
http://en.wikipedia.org/wiki/Russian_Business_Network
http://rbnexploit.blogspot.com/
http://en.wikipedia.org/wiki/Storm_Worm
http://en.wikipedia.org/wiki/Storm_botnet

Dopuna: 01 Apr 2008 15:24

MRKY ::Nisam aktivirao exe fajl, te iz tog razloga mislim da ne treba da postujem HiJack log Confused
Ova verzija koliko čitam na blic dolazi bez exploita.. ALI.. to ništa ne mora da znači u praksi jer se ovde radi o jednom veoma opakom malware-u čije verzije dosta brzo mutiraju. AV kompanije su bar 2 koraka iza njega. Ništa ne treba prepuštati slučaju. Ovo je jedan komercijalni i veoma sofisticirani primerak malware-a.

Još uvek je ovo sveže da bi se pričalo o nečem konkretnom i pouzdanom. Znam samo da su prošle varijacije Storm Worm-a (npr. halloween edition) bile napisane tako da između ostalog instaliraju i rootkit, koji je efikasno krio kako samog sebe tako i ostale maliciozne fajlove na zaraženom sistemu. Nijedan AV tada nije bio u stanju da full počisti sistem od ovog malware-a. Pouzdane definicije su kasnile po nedelju-dve zavisno od AV vendora.

Čak sumnjam da je moguće pouzdano detektovati Storm samo pomoću HJT-a. Trebalo bi tu uključiti neke druge alate tipa gmer/cachme/ CF.. etc.

btw. Sa koje putanje ti javlja to detekciju KAV? Ne vidim iz tog screenshot-a.

offline
  • MRKY 
  • Elitni građanin
  • Pridružio: 22 Nov 2004
  • Poruke: 2138

DEMIAN ::
btw. Sa koje putanje ti javlja to detekciju KAV? Ne vidim iz tog screenshot-a.


U Recycle Bin. Stajaće mi tamo još koji dan ako se u međuvremenu javi kolekcionar Smile

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

'Veoma pametno sa tvoje strane, počev od čitanja spam poruka, kliktanja na linkove u njima, pa do čuvanja malware-a u kanti' Enjoy in game Smile

Kolekcionari kao i AV kompanije su se već dokopali aktuelnih primeraka.

Ko je trenutno na forumu
 

Ukupno su 1029 korisnika na forumu :: 36 registrovanih, 6 sakrivenih i 987 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: ajo baba, anta, aramis s, babaroga, bbogdan, Ben Roj, Bobrock1, bokisha253, DejanCG, draganl, Dukilele, FOX, joca83, JOntra, jukeboxer, Karla, Komentator, krkalon, Krusarac, laurusri, mercedesamg, milenko crazy north, Millennium, nenad81, Oscar, Panter, Prašinar, ruma, samsung, Simon simonović, Sir Budimir, Srle993, VJ, voja64, zicko.spacek, šumar bk2