VIRUSAI

Post by **steponas** » Mon Jan 26, 2009 11:21 am

Gavome iš Ryšių reguliavimo tarnybos laišką su mūsų tinkle užkrėstų kompiuterių IP adresais.
Išnaikinti virusą iš savo kompiuterio pasistenkite kuo greičiai, kad paskui nereikėtų vaikščioti aiškintis į "valdiškas įstaigas", kai pasinaudojus Jūsų IP bus nurašyti nuo svetimų sąskaitų pinigai, nupirktos kokios nors prekės arba paimtos paskolos.
Pasitikrinkite ar nėra Jūsų šiame sąraše.

RRT wrote:----- Original Message -----
From: CERT-LT
To: parabole@parabole.lt
Sent: Monday, January 26, 2009 9:04 AM
Subject: [CERT-LT #D8#16C] Aptikti virusai AS20846 tinkle

Laba diena,

Prašome nedelsiant imtis veiksmų, apsaugant Jūsų klientus nuo piktavališkų programų ir užkertant
kelią Jūsų tinklo resursų naudojimui nusikalstamoje veikloje.

AS20846 tinke aptikti IP adresai dalyvaujantis botnet veikloje:

DATA, LAIKAS, IP, HOST, CC, CCPort, GalimasKPK (paaiškinta žemiau)
2009-01-24, 19:25:34, 212.12.212.237, , , 0, downadup
2009-01-24, 18:06:32, 212.12.209.190, , , 0, downadup
2009-01-24, 17:47:44, 212.12.209.117, cl209-117.parabole.lt, , 0, downadup
2009-01-24, 17:17:27, 212.12.209.205, cl209-205.parabole.lt, , 0, downadup
2009-01-24, 13:41:01, 212.12.200.41, , , 0, downadup
2009-01-24, 09:37:14, 212.12.214.68, , , 0, downadup
2009-01-24, 09:06:54, 212.12.198.74, , , 0, downadup
2009-01-23, 21:24:52, 212.12.214.131, , , 0, downadup
2009-01-23, 17:08:07, 212.12.198.74, , , 0, downadup
2009-01-23, 13:23:33, 212.12.194.75, , , 0, downadup
2009-01-23, 13:00:01, 212.12.196.159, , , 0, downadup
2009-01-23, 12:03:33, 212.12.211.71, , , 0, downadup
2009-01-22, 15:58:03, 212.12.214.68, , , 0, downadup
2009-01-22, 15:25:13, 212.12.194.75, , , 0, downadup
2009-01-22, 10:52:57, 212.12.213.4, , , 0, downadup
2009-01-21, 16:36:55, 212.12.198.247, , , 0, downadup
2009-01-21, 16:36:26, 212.12.199.88, , , 0, downadup
2009-01-21, 16:28:12, 212.12.212.237, , , 0, downadup
2009-01-21, 16:25:32, 212.12.211.71, , , 0, downadup
2009-01-21, 14:41:13, 212.12.196.159, cl196-159.parabole.lt, , 0, downadup
2009-01-21, 13:50:53, 212.12.200.41, , , 0, downadup
2009-01-21, 12:48:02, 212.12.209.117, , , 0, downadup
2009-01-21, 12:17:18, 212.12.212.196, , , 0, downadup

Dėkojame už bendradarbiavimą.

Su pagarba,

CERT-LT

Tel. (8 5) 210 5679
El. p. cert@rrt.lt
PGP/GPG Key ID: 0xA3BACE47
http://www.cert.lt

-----------------------------------------------------------
Laukelių paaiškinimas:

DATA ir LAIKAS tai tikslus laikas kada užregistruotas aktyvumas,
IP - apsikrėtusiojo (zombio) IP adresas,
HOST - zombio reversinis DNS adresas,
CC - (Control Channel) IP adresas kontrolerio į kurį jungiasi (ir gauna komandas) zombis,
CCPort- kontrolerio portas
GalimasKPK - galimas kenksmingo programinio kodo (viruso) pavadinimas.

Ar tikrai Jūsų kompiuteris nėra užkrėstas galite pasitikrinti RRT tam sukurtoje svetainėje http://www.esaugumas.lt/ dešinėje ekrano pusėje esančias įrankias:

Botnet tinkluose aptinkami kompiuteriai

Įtartinų bylų tikrinimas
Taip pat ten sužinosite naujausią informaciją apie virusus.

Guest · Post by **Guest** » Mon Jan 26, 2009 7:02 pm

Gal būtų galima ir paprasčiau parašyt - ne visi tokie išmanantys? Prisipažinsiu - tie ID man (ir ne tik man) nesuprantami ir neaktualūs

Jei aš turiu antivirusinę AVG Free ir ja praskenavau kompiuterį - galiu ramiai miegot?
O naudojant siūlomus įrankius ar nereikia atjungti savosios antivirusinės?

Ras · Post by **Ras** » Mon Jan 26, 2009 7:05 pm

Ką tie skaičiai reiškia?
Ką su jais daryt?

Post by **steponas** » Mon Jan 26, 2009 7:30 pm

Anonymous wrote:Gal būtų galima ir paprasčiau parašyt - ne visi tokie išmanantys? Prisipažinsiu - tie ID man (ir ne tik man) nesuprantami ir neaktualūs
Jei aš turiu antivirusinę AVG Free ir ja praskenavau kompiuterį - galiu ramiai miegot?
O naudojant siūlomus įrankius ar nereikia atjungti savosios antivirusinės?

Matomai rašydami ID turėjote galvoje IP. IP tai Jūsų kompiuterio individualus adresas pasauliniam interneto tinkle. Paprastam naudojimui jis yra tikrai neaktualus ir žinoti jo nereikia. O paprastesne kalba šnekant, nepriklausomai ar Jūsų adresas yra ar nėra tame RRT atsiųstame sąraše, reikėtų pasitikrinti ar kompiuteryje nėra viruso.
Nieko atjungti nereikia.
Atsidarot http://www.esaugumas.lt ir spaudžiat ant dešinėje ekrano pusėje esančios nuorodos " Botnet tinkluose aptinkami kompiuteriai"
ir žiūrit kas bus parašyta.
Jeigu gausite atsakymą, kad Jūsų kompiuteris yra užkrėstas, reiškia antivirusinė programa nuo jo neapsaugojo - reikia išekoti būdų kaip tą virusą išnaikinti.
Gal man pavyks rytoj rasti ir www.parabole.lt patalpinti programėlę, kuri tą virusą panaikintų.

Ras wrote:Ką tie skaičiai reiškia?
Ką su jais daryt?

Jau atsakiau.

natrix · Post by **natrix** » Mon Jan 26, 2009 7:44 pm

Pasižiūrėkit, ar pateiktame sąraše nėra jūsų IP. Koks jis, galite sužinoti http://manoip.lt/
Adresu http://www.esaugumas.lt/index.php?1472047816 yra nuorodos į įrankius su kuriais tas virusas ieškomas ir pašalinamas. Skenuojant Symantec įrankiu rekomenduojama visas veikiančias programas išjungt.
Dėl AVG Free nebūčiau garantuotas.

N3xt · Post by **N3xt** » Mon Jan 26, 2009 8:28 pm

Naudoju NOD32 legale versija ir si antivirusine bent mano isbandymuose uzema pirmas vietas. Patarciau ir kitiems ja naudoti.
Kas liecia uzkrestu bilu atsisiuntime, tai galiu pasakyt, ne viskas auksas, kas auksu ziba, tad nepulkite betko siust is betko, jai tamtikras siuntimas jums yra reikalingas - naudokite jau zinomus tinklapius sitam veiksmui atlikt.
Google yrankis ir betkokia jo ismesta nuoroda nera iseities sprendimas, geriau pasidomekite izimiais ir geriausia LT tinklapiais kurie uzsijama sia veikla.

Siuo momentu galiu pavardint is kur geriausia ka imt.

Torrentai, tiek vienas tiek antras yra gan saugus. Torrent ir linkomanija.
vovacka.net nereikalauja jokiu iskirtiniu prisijungimu, jos bylas pasiekia betkas, o jos kiek yra analizuota yra saugios.

Uz nieka 100 proc negarantuoju, nes uz svetima piktavliska veikla garantuot sunku.

panedelnik · Post by **panedelnik** » Mon Jan 26, 2009 8:40 pm

Nu va radau ir save tame sarasiuke, tada berods buvau kazko prisigaudes, bet pas manes kasperskis ir berods viskas isvalyta o ir aktyvumas ten ar 23 dienos aptiktas, kaip butu galima pasitikrint ar besu tam botnete?

Neveikia nevienas linkas yrankiu padedanciu salinti tam virusui

http://www.esaugumas.lt/index.php?1472047816

Post by **steponas** » Mon Jan 26, 2009 8:47 pm

panedelnik wrote:Neveikia nevienas linkas yrankiu padedanciu salinti tam virusui
http://www.esaugumas.lt/index.php?1472047816

Tai o ką rašo kai paspaudi ant "Botnet tinkluose aptinkami kompiuteriai"

Turėtų rašyti, kad nesi sąrašę arba nesi.
Tiksliai nežinau, bet manau, kad tas jų įrankis viruso nešalina.
Reikia pačiam susirasti kaip jį pašalinti.

panedelnik · Post by **panedelnik** » Mon Jan 26, 2009 8:59 pm

steponas wrote:
panedelnik wrote:Neveikia nevienas linkas yrankiu padedanciu salinti tam virusui
http://www.esaugumas.lt/index.php?1472047816
Tai o ką rašo kai paspaudi ant "Botnet tinkluose aptinkami kompiuteriai"
Turėtų rašyti, kad nesi sąrašę arba nesi.
Tiksliai nežinau, bet manau, kad tas jų įrankis viruso nešalina.
Reikia pačiam susirasti kaip jį pašalinti.

Nematau kur ten rasho esu ar nesu sarase...

martinuxxx · Post by **martinuxxx** » Mon Jan 26, 2009 9:02 pm

Kol susirasi tą virusą ir įrankį jam panaikinti,užtruksi tiek pat kiek PC iš naujo perinstaliuoti,o perinstaliavus su pilnu formatu,virusu tikrai nebebus...

natrix · Post by **natrix** » Mon Jan 26, 2009 9:09 pm

Paspausk http://www.esaugumas.lt/index.php?-1908453714 ir ten aiškiai rašo ,,Jūsų kompiuterio IP adresas (212.12.***.***) pastarųjų 15 dienų laikotarpiu nebuvo pastebėtas botnet duomenų bazėje." Čia, jei rezultatas neigiamas, kaip man.
Į ftp, į aplanką Programos įmečiau Symantec siūlomą įrankį kirmino naikinimui. Ieškokit aplanko ,,Win32-Conflicker-Downadup kirmino salinimui", jo vidui FixDownadup.exe. Symantec siūlo prieš skanuojant išjungt visas veikiančias programas. Aš buvau ir antivirusinę sustabdęs.

panedelnik · Post by **panedelnik** » Mon Jan 26, 2009 9:18 pm

natrix wrote:Paspausk http://www.esaugumas.lt/index.php?-1908453714 ir ten aiškiai rašo ,,Jūsų kompiuterio IP adresas (212.12.***.***) pastarųjų 15 dienų laikotarpiu nebuvo pastebėtas botnet duomenų bazėje." Čia, jei rezultatas neigiamas, kaip man.
Į ftp, į aplanką Programos įmečiau Symantec siūlomą įrankį kirmino naikinimui. Ieškokit aplanko ,,Win32-Conflicker-Downadup kirmino salinimui", jo vidui FixDownadup.exe. Symantec siūlo prieš skanuojant išjungt visas veikiančias programas. Aš buvau ir antivirusinę sustabdęs.

Man to "aiskiai" kaip sakei neraso kad jusu ip aptiktas ar kazkas panasaus, bet nepareidavo kaspersky updeitai, tai gal cia ir yra kalte, praskanuosiu pasakysiu kaip ten veliau buvo

Na stai logas

Symantec W32.Downadup Removal Tool 1.0.5
process: svchost.exe, thread: 0000024C (terminated)
process: svchost.exe (terminated)

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GHMJOTQZ\ntywmbr[1].gif: W32.Downadup.B (unrepairable) (deleted)
C:\WINDOWS\system32\AVSredirect.dll: failed in scanning.
C:\WINDOWS\system32\cfgnm.dll: W32.Downadup.B (unrepairable) (deleted)

registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets: dl (value deleted)
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets: ds (value deleted)
registry: HKLM\system\CurrentControlSet\Services\wuauserv: Start (value set to 0x00000002 (2))
registry: HKLM\system\CurrentControlSet\Services\BITS: Start (value set to 0x00000003 (3))

W32.Downadup has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 78020
The number of deleted threat files: 2
The number of threat processes terminated: 1
The number of threat threads terminated: 1
The number of registry entries fixed: 4

The tool initiated a system reboot.

Pradejo updatintis kasperskis, atsidaryneti microsoft.com, atidaryneti http://antivirus.esaugumas.lt/.

Parsisiunciau palei versija windowsu, windows sp3 atnaujinima ir tikiuos tai nebepasikartos ateityje, aciu kad parodet jog apsikrete esam

Post by **steponas** » Wed Feb 25, 2009 11:58 am

Šiandien iš Proservis gavau tokį laišką:

Proservis wrote:----- Original Message -----
From: Vaidas Kadikinas
To: undisclosed-recipients:
Sent: Wednesday, February 25, 2009 8:21 AM
Subject: Plinta naujos formos virusas (Excel failų pavidalu)

Gerb. kliente,

Prieš pora dienų pasirodė nauju būdu plintantys virusai (Trojos arkliai).

Veikla

Siuntinėjami užkrėsti Excel failai, kuriuos atidarius kompiuteris iš karto apkrečiamas virusu esančiu šiame Excel faile. Kol kas dar nėra išleistų atitinkamų Microsoft Excel saugumo atnaujinimų.

Rekomendacijos

1. Jeigu gavote įtartiną Excel failą iš nežinomo asmens – prašome neatidarinėti.
2. Jeigu įtartinas failas gautas per Skype, e-mail programą iš pažystamo žmogaus – paklauskite ar jis tikrai pats siuntė šį failą.
3. Jeigu įtariate, kad atidarėte tokį failą – susisiekite su mūsų helpdesk specialistu žemiau pateiktais kontaktiniais duomenimis.

Pagarbiai,
UAB "Proservis"
Studentų g. 65 – 502, Kaunas LT – 51369
Tel.: +370 37 225225, faks.: +370 37 209775
www.proservis.lt

Mehanikas · Post by **Mehanikas** » Wed Feb 25, 2009 3:08 pm

Taip pat šiuo metu kažkoks virusas taip pat yra platinamas, kaip skypės plug-inas, extension'as ar kažkas pan.
Užsikrėtus virusu siuntinėjamos žinutes, su nuoroda iškur galima atsisiųsti šį atnaujinimą. Daugiau kolaks negirdėjau apie tai. Štai nuorodos, kurių neatidarinėti: http://hack2.l4rge.com/SkypeUpdate.exe ir http://www.net-de-karaoke.com/SkypeUpdate.exe

martinuxxx · Post by **martinuxxx** » Wed Feb 25, 2009 3:10 pm

Tokį vakar,gavau tik neatidarinėjau..

board.parabole.lt

VIRUSAI

Ar svarbi Jums ši RRT informacija?

VIRUSAI