Komentář ze dne: 01.08.2005 13:41:00 Reagovat
Autor: ludvik (@)
Titulek:
Montálně identifikovaní uživatelé:
10.106.21.157 jveverka2
10.106.9.6 gandalf
10.106.16.10 mato
10.106.4.18 oskar2
10.106.16.30 veverka
10.106.16.101 inteltom
|
|
Komentář ze dne: 01.08.2005 23:51:35 Reagovat
Autor: ludvik (@)
Titulek: Re:
Popis, byť anglicky je tu: http://securityresponse.symantec.com/avcenter/venc/data/w32.licum.html
|
|
|
Komentář ze dne: 02.08.2005 00:11:07 Reagovat
Autor: ludvik (@)
Titulek: Re: Re:
Teoreticky, pokud to tedy je tento virus (Tenga, Licum, Gael, každá AV firma to má jinak), měly by být na počítači k nalezení tyto soubory:
dl.exe
CBACK.EXE
GAELICUM.EXE
Samozřejmě je hledejte raději v nouzovém režimu. I když stealth to (zatím) není, takže budou možná k nalezení i normálně. Ovšem tyhle soubory jsou až sekundární identifikace, protože je to klasický virus - napadne spustitelný soubor a tím pádem se spouští společně s ním (a není samostatně identifikovatelný - je SOUČÁSTÍ napadeného programu).
Je zajímavý, že patch pro Windows2000 i XP je dostupný od 16.7.2003! Teoreticky by se tedy neměl sám dokázat šířit jinak, než pomocí toho napadeného souboru (tj. např. přijde vám již nakažený emailem, nebo si ho prostě někde stáhnete).
S podivem žádná z firem tento virus neuvádí jako velkou hrozbu! Prostě to není epidemie! Zajímalo by mě, kdo to k nám do sítě dotáhnul!
Dle informací od uživatelů ho AVG nerozpozná, Avast evidentně taky ne ... naopak NOD prý ihned pomocí heuristické analýzy (tj. výrobce ho ještě neznal, ale nod ho poznal "sám od sebe").
A poslední informace, která by vás mohla zajímat: je to kombinace virus/worm/trojan! Vcelku smrtící ... Jestli to někdo upraví a bude se to šířit samo emailem, tak pánbůh chraň ...
|
|
|
|
Komentář ze dne: 02.08.2005 16:15:40 Reagovat
Autor: lišák (@)
Titulek: Re: Re: Re:
Prosím tě porad jak mam v nouzovém režimu hledat....testuji počítač každý den antivirákem Norton, ale zatím je vše v pořádku, ale přesto mám obavu...
Díky
|
|
|
|
|
Komentář ze dne: 03.08.2005 10:19:15 Reagovat
Autor: ludvik (@)
Titulek: Re: Re: Re: Re:
Při startu počítače mačkej F8, zobrazí se takový menu, kde si vybereš nouzový režim. A až to naběhne, tak pustíš kontrolu.
|
|
|
|
|
|
Komentář ze dne: 16.08.2005 18:49:35 Reagovat
Autor: ludvik (@)
Titulek: Re: Re: Re: Re: Re:
A kdyby to na F8 nereagovalo, tak až začnou nabíhat windows, zmáčknout reset. Sami nabídnou nouzový režim.
|
Komentář ze dne: 01.08.2005 15:37:23 Reagovat
Autor: (@)
Titulek:
...Možná by nebylo od věci poradit nějakej antivir co to vykope ven...plně aktualizovanej avast nemá sanci :-(
|
|
Komentář ze dne: 01.08.2005 15:48:31 Reagovat
Autor: Druss (@)
Titulek: Re: Avast SHIT
Avast můžeš aktualizovat jak chceš ale stejně to bude antivirák na ho.no. Odstraň Avast a zainvestuj do pořádnýho antiviráku např. NOD32
|
Komentář ze dne: 01.08.2005 16:51:01 Reagovat
Autor: lišák (@)
Titulek: dotaz
koupil jsem antivirák Norton....ma šanci tento vir najít???
|
|
Komentář ze dne: 01.08.2005 17:26:25 Reagovat
Autor: monty (@)
Titulek: Re: dotaz
Norton by měl, uvidíš, jestli se tu uvidíš.
Pravda je, že Avast a Avg jsou demoverze antiviráků.
|
|
|
Komentář ze dne: 01.08.2005 19:22:01 Reagovat
Autor: lišák (@)
Titulek: Re: Re: dotaz
Monty prosím tě, kde se uvidím...tam jak to napsal Ludvík -identifikovaní uživatelé???
Díky za odpověď
|
|
|
|
Komentář ze dne: 01.08.2005 23:36:31 Reagovat
Autor: ludvik (@)
Titulek: Re: Re: Re: dotaz
Nikde se neuvidíš. Tohle zjišťujeme buď z online sledování provozu, nebo teď už i ze záznamů firewallů na serverech.
|
Komentář ze dne: 01.08.2005 20:56:03 Reagovat
Autor: nostromo (nostromo@khnet.info)
Titulek: další
Další, kdo mají problém:
kukika
olda
formi
Bombardují mne na portu netbios-ns
|
|
Komentář ze dne: 01.08.2005 23:35:19 Reagovat
Autor: ludvik (@)
Titulek: Re: další
Taky:
10.106.18.34 koudy
10.106.1.6 ufo
Samozřejmě netvrdím, že všichni tito výše uvedení jsou napadeni. Ale pokud je od nich zvýšený provoz s těmito příznaky, tak se ozvat musíme.
Koukejte s tím něco udělat! Dle provozního řádu vás můžeme bloknout!
|
|
Komentář ze dne: 01.08.2005 23:41:24 Reagovat
Autor: ludvik (@)
Titulek: Re: další
blokování na firewallu neptuna (a kixe) je od cca 12:00. Ani od jednoho, co uvádí nostromo tam nic nevidím ... To bude spíš náhoda. Nebo od se od nich šíří pouze po vnitřku, což se nám zatím blokovat nechce. Ale od všech ostatních se snaží dostat na vnější adresy, tak nevím ...
|
Komentář ze dne: 01.08.2005 22:38:24 Reagovat
Autor: suchari (suchari@khnet.info)
Titulek:
Tyhle viry jsou teda pěknej nezmar já mám nortona tak snad bude dobrej.
|
Komentář ze dne: 02.08.2005 11:19:46 Reagovat
Autor: ufo (@)
Titulek: co ze to ??..
Reaguju na clanek Ludvika,ze bych mel byt infiikovan.. podle jeho slov by v mem PC mely byt tri soubory ktery vubec neexistujou aspon nee u me.. dal sem vyhledavani a nic.. takze pokud bych presto byl schledan jako infikovany uzivatel,podniknu okamzite kroky k radikalnimu reseni ... "FORMAT C:" .. :D
|
|
Komentář ze dne: 02.08.2005 12:37:56 Reagovat
Autor: ludvik (@)
Titulek: Re: co ze to ??..
Tak jsem UFO prověřil ještě jednou. A asi to je planý poplach. Je tam jenom 6 záznamů, vše na stejnou IP 5.2.36.130 a na port 445 (což jsou microsoftí directory services).
|
|
|
Komentář ze dne: 02.08.2005 13:03:16 Reagovat
Autor: ufo (@)
Titulek: Re: Re: co ze to ??..
Brekeke uz sem se baal... :) Diky
|
Komentář ze dne: 02.08.2005 16:31:59 Reagovat
Autor: nostromo (@)
Titulek: další
formi je tam stále, teď ještě bozetech.
Z Keria nejde vyexportovat rozumný log, takže jedině obrázek. Ten sem nejde také vložit, takže je na afilip.kgb.cz/vir.jpg
|
|
Komentář ze dne: 02.08.2005 18:56:40 Reagovat
Autor: formi (@)
Titulek: Re: další
dvakrát jsem projel počítač antivirákem (NOD 32) a nic nenašel. Tak nevim ...
|
|
Komentář ze dne: 02.08.2005 21:16:10 Reagovat
Autor: ludvik (@)
Titulek: Re: další
Řekl bych, že tohle (bozetech a formi) na obrázku je normální chování widlí. To jsou totiž JEJICH broadcastové adresy. Tj. se snaží zjistit okolní počítače ... Kromě toho je to UDP a vir leze po TCP.
|
Komentář ze dne: 03.08.2005 15:10:16 Reagovat
Autor: nostromo (@)
Titulek: aha
Aha, tak to jsem šířil asi zbytečně paniku :-(
|
Komentář ze dne: 04.08.2005 10:06:12 Reagovat
Autor: suchari (suchari@khnet.info)
Titulek:
V tom článku píšete že se o tom,že jste nás odpojili ani nedovíme.Tak se vás ptám jak budeme moct vědět že se nejedná o další výpadek internetu?
|
|
Komentář ze dne: 04.08.2005 21:24:14 Reagovat
Autor: CEC (@)
Titulek: Re:
Mezi blokovanim na urovni aktivniho prvku a nedostupnosti internetu jsou dva zasadni rozdily. Pri vypadku internetu, nejedna-li se o vypadek posledniho AP smerem k uzivateli, jsou ostatni sluzby vcetne Jabberu temer vzdy dostupne. V pripade omezeni uzivatele tedy jeho IP se naopak dela vse proto, aby mu nebylo dostupne prakticky nic, tedy nejlepe nemohl generovat jakykoliv provoz.
|
|
Komentář ze dne: 16.08.2005 20:41:10 Reagovat
Autor: Monty (@)
Titulek: Re:
Mimoto vypadek internetu za posledních 14 nebyl. Až na nějaké minutové věci při upgradu nebo údržbě.
|
|
|
Komentář ze dne: 16.08.2005 20:43:16 Reagovat
Autor: ludvik (@)
Titulek: Re: Re:
A projevy toho červa jsou také ty, že prakticky klekne provoz na postiženém APčku! Nebo, co je horší, i na páteřním spoji!!!!
Proto jsme a budeme na vás zlí, pokud ho u vás identifikujeme!
|
|
|
Komentář ze dne: 16.08.2005 20:47:57 Reagovat
Autor: Monty (@)
Titulek: Re: Re:
Jasně, každej je snad schopnej dát jednou za čas start, windows update, mimoto to XP nabízejí i samy.
|
|
|
|
Komentář ze dne: 16.08.2005 20:58:19 Reagovat
Autor: ludvik (@)
Titulek: Re: Re: Re:
A pokud mu to XP nedovolí, tak dobře mu tak ... krást se nemá.
|
Komentář ze dne: 05.08.2005 11:04:04 Reagovat
Autor: ludvik (@)
Titulek:
Taky jsem našel novou variantu červa Gaobot. Projevuje se podobně jako Tenga ... zahlcuje provoz na síti.
Tohle mi odpověděli z Esetu: je to nejaka nova varianta cerva Gaobot, ktery se dokaze sirit jednak pres nektere bezpecnostni diry Windows, ale zrejme i pres sitove sdilene disky. Pridame to ihned do dalsi aktualizace.
Takže pokud nám někdo zavleče do sítě něco, co nezná ani Eset, tak potěš ...
|