[Comm] У меня в системе завелся вирус :-) [JT]

[Comm] У меня в системе завелся вирус :-) [JT]

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1474 bytes --]

Здравствуйте.
Вот последние 5 дней периодически получаю письма от сервера, что с моего
компьютера посылаются вирусы. Это действительно так, т.к. IP и заголовки
правильные.
Наконец-то мне это надоело и я решил разобраться как это получается.
Оказалось, что вирус Worm.Bagle.pwd-eml, Encrypted.Zip прекрасно живет в
Линуксе под wine. Потом я вспомнил, что около недели назад мне наш
менеджер показал зашифрованный архив который он побоялся открывать, т.к.
подозревал, что это вирус и предложил открыть мне. Я не долго думая
запустил (хотел посмотреть получится или нет). На первый взгляд ничего
не произошло, но как оказывается среда wine заразилась им и что самое не
приятное вирус хорошо в ней чувствует и даже пытается размножаться. Во
всяком случае письма шлет.
Вот такая история.  :-)

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Мерзляков Евгений Анатольевич]

On Mon, 03 Jul 2006 12:21:03 +0300
Slava Dubrovskiy <slava@elan.com.ua> wrote:

> Здравствуйте.
> Вот последние 5 дней периодически получаю письма от сервера, что с моего
> компьютера посылаются вирусы. Это действительно так, т.к. IP и заголовки
> правильные.
> Наконец-то мне это надоело и я решил разобраться как это получается.
> Оказалось, что вирус Worm.Bagle.pwd-eml, Encrypted.Zip прекрасно живет в
> Линуксе под wine. Потом я вспомнил, что около недели назад мне наш
> менеджер показал зашифрованный архив который он побоялся открывать, т.к.
> подозревал, что это вирус и предложил открыть мне. Я не долго думая
> запустил (хотел посмотреть получится или нет). На первый взгляд ничего
> не произошло, но как оказывается среда wine заразилась им и что самое не
> приятное вирус хорошо в ней чувствует и даже пытается размножаться. Во
> всяком случае письма шлет.
> Вот такая история.  :-)

а вышлите поглядеть эту штуковину

-- 
Мерзляков Е.А.                                           icq: #115657846
ПКБ Акустика

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Шенцев Алексей Владимирович]

В сообщении от 3 июля 2006 13:21 Slava Dubrovskiy написал(a):
> Здравствуйте.
> Вот последние 5 дней периодически получаю письма от сервера, что с моего
> компьютера посылаются вирусы. Это действительно так, т.к. IP и заголовки
> правильные.
> Наконец-то мне это надоело и я решил разобраться как это получается.
> Оказалось, что вирус Worm.Bagle.pwd-eml, Encrypted.Zip прекрасно живет в
> Линуксе под wine. Потом я вспомнил, что около недели назад мне наш
> менеджер показал зашифрованный архив который он побоялся открывать, т.к.
> подозревал, что это вирус и предложил открыть мне. Я не долго думая
> запустил (хотел посмотреть получится или нет). На первый взгляд ничего
> не произошло, но как оказывается среда wine заразилась им и что самое не
> приятное вирус хорошо в ней чувствует и даже пытается размножаться. Во
> всяком случае письма шлет.
> Вот такая история.  :-)
То ли вино так хорошо написано, то ли вирус так хорошо написан ... :) Мда уж и 
история. Спасибо за предупреждение. Буду теперь знать. Однако дома надо будет 
хорошенько погонять не только виндовозовские диски, но и винцо ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Мерзляков Евгений Анатольевич]

On Mon, 3 Jul 2006 15:27:23 +0600
Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:

> On Mon, 03 Jul 2006 12:21:03 +0300
> Slava Dubrovskiy <slava@elan.com.ua> wrote:
> 
> > Здравствуйте.
> > Вот последние 5 дней периодически получаю письма от сервера, что с моего
... пропущено ...
> > всяком случае письма шлет.
> > Вот такая история.  :-)
> 
> а вышлите поглядеть эту штуковину

вот сюда: h_jack@mail.ru и сюда, на всякий случай: hj@acoustics.ru

-- 
Мерзляков Е.А.                                           icq: #115657846
ПКБ Акустика

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 298 bytes --]

Мерзляков Евгений Анатольевич пишет:
>> Вот такая история.  :-)
>>     
> а вышлите поглядеть эту штуковину
>   
Антивирус не пропускает на почтовом сервере. :-)
Выложил на http://elan.com.ua/tpm/Alice.zip
Пароль для открытия zip архива: 074747

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Alexandr A. Alexandrov]

Доброго времени суток!

Slava Dubrovskiy пишет:
> Оказалось, что вирус Worm.Bagle.pwd-eml, Encrypted.Zip прекрасно живет в
> Линуксе под wine. 
>   
Вообще-то странно... что значит - "живёт"? wine запускает процесс и всё 
тут... автозапуска-то никакого нет, неужели же вирус определяет, что 
работает под wine и сам запускает ещё один экземпляр из серии "wine 
virus.exe &"?

С уважением,

ААА.

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Dmitriy L. Kruglikov]

On Mon, 03 Jul 2006 12:21:03 +0300
Slava Dubrovskiy wrote:

> На первый взгляд ничего
> не произошло, но как оказывается среда wine заразилась им и
> что самое не приятное вирус хорошо в ней чувствует и даже
> пытается размножаться. Во всяком случае письма шлет.
> Вот такая история.  :-)

Только Касперскому не говори .... :)
А то он сейчас такой вой поднимет, что, мол, Линукс заразить
можно... :)



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Из самых диких жеребят выходят наилучшие лошади, только бы их
как следует воспитать и выездить.
		-- Плутарх

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 209 bytes --]

Slava Dubrovskiy пишет:
> Выложил на http://elan.com.ua/tpm/Alice.zip
> Пароль для открытия zip архива: 074747
>   
Описался. http://elan.com.ua/tmp/Alice.zip

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Шенцев Алексей Владимирович]

В сообщении от 3 июля 2006 13:43 Dmitriy L. Kruglikov написал(a):
> Только Касперскому не говори .... :)
> А то он сейчас такой вой поднимет, что, мол, Линукс заразить
> можно... :)
:)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Denis G. Samsonenko]

Привет!

2006/7/3, Slava Dubrovskiy:
> Здравствуйте.
> Вот последние 5 дней периодически получаю письма от сервера, что с моего
> компьютера посылаются вирусы. Это действительно так, т.к. IP и заголовки
> правильные.
> Наконец-то мне это надоело и я решил разобраться как это получается.
> Оказалось, что вирус Worm.Bagle.pwd-eml, Encrypted.Zip прекрасно живет в
> Линуксе под wine. Потом я вспомнил, что около недели назад мне наш
> менеджер показал зашифрованный архив который он побоялся открывать, т.к.
> подозревал, что это вирус и предложил открыть мне. Я не долго думая
> запустил (хотел посмотреть получится или нет). На первый взгляд ничего

А вы что, его через wine открывали чтоли? А чем линуксовый zip/unzip не угодил?

> не произошло, но как оказывается среда wine заразилась им и что самое не
> приятное вирус хорошо в ней чувствует и даже пытается размножаться. Во
> всяком случае письма шлет.
> Вот такая история.  :-)

-- 
Всего доброго,

Денис.

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1289 bytes --]

Alexandr A. Alexandrov пишет:
>> Оказалось, что вирус Worm.Bagle.pwd-eml, Encrypted.Zip прекрасно живет в
>> Линуксе под wine.   
> Вообще-то странно... что значит - "живёт"? wine запускает процесс и
> всё тут... автозапуска-то никакого нет, неужели же вирус определяет,
> что работает под wine и сам запускает ещё один экземпляр из серии
> "wine virus.exe &"?
Нет. wine запущен как сервис и при запуске системы стартует. По-видимому
тогда же запускается и вирус. Во всяком случае pstree показывал что
запущен explorer.exe и еще несколько .exe Причем (я не силен в wine)
wine не показывался как родитель.

Вот теперь думаю, а запускается ли clamav for win под wine? Или
достаточно просто из-под линукса запустить. Удалять ~wine_c не очень
хочется.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 961 bytes --]

Denis G. Samsonenko пишет:
> Привет!
>
> 2006/7/3, Slava Dubrovskiy:
>> Здравствуйте.
>> Вот последние 5 дней периодически получаю письма от сервера, что с моего
>> компьютера посылаются вирусы. Это действительно так, т.к. IP и заголовки
>> правильные.
>> Наконец-то мне это надоело и я решил разобраться как это получается.
>> Оказалось, что вирус Worm.Bagle.pwd-eml, Encrypted.Zip прекрасно живет в
>> Линуксе под wine. Потом я вспомнил, что около недели назад мне наш
>> менеджер показал зашифрованный архив который он побоялся открывать, т.к.
>> подозревал, что это вирус и предложил открыть мне. Я не долго думая
>> запустил (хотел посмотреть получится или нет). На первый взгляд ничего
>
> А вы что, его через wine открывали чтоли? А чем линуксовый zip/unzip
> не угодил?
Я открывал через mc. Распаковал, навел курсор, нажал Enter. Ничего не
произошло. Я забыл. Потом начал получать письма.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Шенцев Алексей Владимирович]

В сообщении от 3 июля 2006 13:54 Slava Dubrovskiy написал(a):
> Вот теперь думаю, а запускается ли clamav for win под wine? Или
> достаточно просто из-под линукса запустить. Удалять ~wine_c не очень
> хочется.
Попробуй из под линукса, дома так и делаю, ибо этот чёртов каспер пропускает 
вирусов, особенно трояны, только так ... 
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Sergei Boudnik]

Slava Dubrovskiy пишет:
> 
> Вот теперь думаю, а запускается ли clamav for win под wine? Или
> достаточно просто из-под линукса запустить. Удалять ~wine_c не очень
> хочется.
> 
Зачем удалять wine?
Посмотреть редактором реестра разделы:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Там будет указатель на файл червя.
Удалить файл, удалить запись в реестре - вот и все проблемы

А вообще, подавляющее большинство червей прекрасно работают под wine, и 
это давно всем известно.


-- 

WBR, Sergei Boudnik
-------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
===================

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1702 bytes --]

Sergei Boudnik пишет:
>> Вот теперь думаю, а запускается ли clamav for win под wine? Или
>> достаточно просто из-под линукса запустить. Удалять ~wine_c не очень
>> хочется.
>>
> Зачем удалять wine?
> Посмотреть редактором реестра разделы:
> [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
> [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
> Там будет указатель на файл червя.
> Удалить файл, удалить запись в реестре - вот и все проблемы
Спасибо, попробую.
> А вообще, подавляющее большинство червей прекрасно работают под wine,
> и это давно всем известно.
Теперь я в этом убедился на личном опыте. Хоть урону этот червяк и не
нанес никакого, но не очень приятно, т.к. в сетке есть и win машины и
хорошо что на почтовом сервере он вылавливается. А если что-то серьезное?
А с wine надо что-то делать, или хоть предупреждать, что есть такая
угроза, и что такое вот может быть. А то как в том анекдоте:
- У вас вирусы есть?
- Есть.
- А чем вы их лечите?!
- А они у нас здоровые. :-P

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Dmitriy L. Kruglikov]

On Mon, 03 Jul 2006 13:52:37 +0400
Alexandr A. Alexandrov wrote:

> А не смешно, кстати. Надо как раз говорить, всем и всюду.
> Исходя из того, что все имеют право на информацию и на защиту
> от нежелательных воздействий. Если есть возможность заражения
> - то надо трубить об этом везде, а не скрывать.

А я и не просил скрывать ... :)
Точно так же, кстати, можно заразить и Win4Lin ...
Сам пробовал ... :)

А вот пиарить свои изделия кое-кто шибко любит ...
И каждую муху пытается раздуть до безобразия с хоботом... :)


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Замужних женщин значительно больше, чем женатых мужчин.
		-- По данным американской статистики

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Sergei Boudnik]

Slava Dubrovskiy пишет:
> Sergei Boudnik пишет:
>>> Вот теперь думаю, а запускается ли clamav for win под wine? Или
>>> достаточно просто из-под линукса запустить. Удалять ~wine_c не очень
>>> хочется.
>>>
>> Зачем удалять wine?
>> Посмотреть редактором реестра разделы:
>> [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
>> [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
>> Там будет указатель на файл червя.
>> Удалить файл, удалить запись в реестре - вот и все проблемы

Более подробно:
Создает директорию
c:\windows\hidn
Файлы:
c:\windows\hidn\hidn2.exe
c:\windows\hidn\m_hook.sys
c:\error.gif
c:\temp.zip
Ключи в реестре:
   HKCU\Software\FirstRuxzx
   FirstRun = 1

   HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   drv_st_key = [camino completo]\hidn\hidn.exe

   HKLM\SYSTEM\CurrentControlSet\Services\m_hook
   ImagePath = c:\windows\hidn\m_hook.sys

   HKLM\SYSTEM\CurrentControlSet\Services\m_hook
   DisplayName = Empty

   HKLM\SYSTEM\CurrentControlSet\enum\root\legacy_m_hook

Список его имен (по разным AV компаниям):
Bagle.GO, Email-Worm.Bagle.1, Email-Worm.Win32.Bagle.gm, I-Worm/Bagle, 
Mitglied.gen, TR/Bagle.Gen.B, Trojan.Bagle.BN, W32.Beagle.FF@mm, 
W32/Bagle.dldr, W32/Bagle.gen@MM, W32/Bagle.GL@mm, W32/Bagle-KJ, 
W32/Mitglieder.TN, Win32.Bagle.FG@mm, Win32.HLLM.Beagle.9158, 
Win32/Bagle.GO, Win32:Beagle-MD

-- 

WBR, Sergei Boudnik
-------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
===================

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Шенцев Алексей Владимирович]

В сообщении от 3 июля 2006 14:35 Dmitriy L. Kruglikov написал(a):
> А вот пиарить свои изделия кое-кто шибко любит ...
> И каждую муху пытается раздуть до безобразия с хоботом... :)
Эт точно, особенно когда его продукты сами дырявы и пропускают кучу вирусов. 
Есть такой червь: anti_avp (так и называется), который вешает avp, а avp его 
не видит и видить не желает, проверено на практике со всеми обновлениями avp 
и не раз.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[ABATAPA]

3 июля 2006 13:57, Slava Dubrovskiy написал:
> Я открывал через mc. Распаковал, навел курсор, нажал Enter. Ничего не
> произошло. Я забыл. Потом начал получать письма.
Мда. При таком поведении - ничего удивительного. "Ничего не произошло" - 
забыл. Что, ни Вас, ни Ваших сотрудников не учили не открывать неизвестные 
вложения и пользоваться антивирусом?!
И не нужно удивляться, что вирусы "живут" под Wine.
Программы-то WIN32 Wine запускает? Запускает? Вирус - та же программа. Так 
почему бы ему не работать?!

Словом, история - чуть ли не каждодневная. Только вот Wine чуть ее и 
разнообразил.
-- 
ABATAPA

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Alexandr A. Alexandrov]

Доброго времени суток!

> Программы-то WIN32 Wine запускает? 
  А wine кто запускает? Правильно - человек.


ABATAPA пишет:
> Программы-то WIN32 Wine запускает? Запускает? Вирус - та же программа. Так 
> почему бы ему не работать?!
>
> Словом, история - чуть ли не каждодневная. Только вот Wine чуть ее и 
> разнообразил.
>   

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Владимир Гусев]

>> Вот теперь думаю, а запускается ли clamav for win под wine? Или
>> достаточно просто из-под линукса запустить. Удалять ~wine_c не очень
>> хочется.
> Попробуй из под линукса, дома так и делаю, ибо этот чёртов каспер  
> пропускает
> вирусов, особенно трояны, только так ...

Конечно, в принципе опасности маловато для Линукса, но чтобы избежать  
подобного, всегда отключайте сервис wine (chkconfig wine off).. тогда  
запустить вирус удастся только командой типа wine virus.exe... И вообще,  
зачем из Линукса делать филиал МС.. Пара прог - еще туда-сюда, сделать им  
ярлыки запуска и отключить этот сервис, запускающий экзешники на лету...

-- 
С уважением, Владимир Гусев

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Vitaly Lipatov]

On Monday 03 July 2006 13:54, Slava Dubrovskiy wrote:

> Нет. wine запущен как сервис и при запуске системы стартует.
> По-видимому тогда же запускается и вирус. Во всяком случае
См. ~/.xsession.d, возможно там прописан wineboot.
Сервис wine тут ни при чём.
> pstree показывал что запущен explorer.exe и еще несколько .exe

-- 
Lav
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! WINE! LaTeX! LyX! http://freesource.info

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Владимир Гусев]

>> Нет. wine запущен как сервис и при запуске системы стартует.
>> По-видимому тогда же запускается и вирус. Во всяком случае
> См. ~/.xsession.d, возможно там прописан wineboot.
> Сервис wine тут ни при чём.
>> pstree показывал что запущен explorer.exe и еще несколько .exe

Может и так - давно снес относительно новую wine (из ALC 3.0) и установил  
crossover 4 (не новый!)... Давно наблюдаю за тем, что чем новее wine (и,  
соответственно crossover), тем список надежно работавших ранее программ  
сокращается.. В версии wine годичной и более давности работало то, что  
сейчас просто поломано (?), аналогичная ситуация и с crossover - на 4 ie6  
ставится влет, на новейшем 5.0.х - нет, демонстируется лишь ошибка и  
сообщение типа "Смотрите в лог ошибки такой-то".. в котором ничерта  
непонятно... Какая-то плохая тенденция.. Что они там ломают - не пойму..


-- 
С уважением, Владимир Гусев

Re: [Comm] У меня в системе завелся вирус :-) [JT]

[Sergey Lizogub]

Tue, 04 Jul 2006 17:43:43 +0400
Владимир Гусев:

> Может и так - давно снес относительно новую wine (из ALC 3.0) и
> установил   crossover 4 (не новый!)... Давно наблюдаю за тем, что чем
> новее wine (и,   соответственно crossover), тем список надежно
> работавших ранее программ   сокращается.. В версии wine годичной и
> более давности работало то, что   сейчас просто поломано (?),
> аналогичная ситуация и с crossover - на 4 ie6   ставится влет, на
> новейшем 5.0.х - нет, демонстируется лишь ошибка и   сообщение типа
> "Смотрите в лог ошибки такой-то".. в котором ничерта   непонятно...
> Какая-то плохая тенденция.. Что они там ломают - не пойму..

	Да уж, к сожалению ;-(  Та же бодяга с FineReader-ом - на родном
wine-е из АЛМ 2.4 - работает, на более новых версиях - нет. Правда
Виталий Липатов обещал посодействовать, надеюсь, в АЛМ 3.1 всё снова
заработает ;-)
	С уважением,
	Сергей Лизогуб