PCUTIL.4

Topics

1. setup (58)
2. memory.mgr (62)
3. disk.soft (338)
4. disk.cache (14)
5. arhiveri (350)
6. virusi (757)
7. grafika (1123)
8. tools (902)
9. razno (1585)
10. van.conf (24)
11. zvuk (3150)
33. unknown (3)

Messages - virusi

virusi.533 miskop, 27 Jun 98 -> #532, chill

>> Kako da uklonim virus Krsta sa Sezama? :) Ajde zajebi nas malo i ti i svi ostali i ostavite čoveka na miru.

virusi.534 miskop, 17 Jul 98

Jedno pitanje za korisnike McAfee virus scan programa... Ortak je instalirao najnoviju, v3.1.8, McAfee-a. Takođe je skinuo i najnoviji "virus definition". E sad, pošto je pustio McAfee da skenira disk, ovaj je počeo da mu prijavljuje gomi- lu zaraženih fajlova, i to nekim virusom koji se odaziva na: W32.CIH.SPACEFILLER Definition ovog virusa se baš pojavio u ovom novom, tek iza- šlom definition-u. U samom "virus info"-u ništa ne piše o čemu se radi, koje fajlove napada, itd. McAfee prijavljuje da ne može da uništi virus, već samo predlaže da se navodno zaraženi fajlovi obrišu. Interesantno je da ni Norton Anti Virus ni ThunderBYTE (oba sa poslednjim "virus definition-om") ne prijavljuju virus. Takođe, kada je ortak proverio sa "Rescue" diskete sa McAfee-om i Nortonom, u čistom DOS-u, virus NIJE bio prijavljen. E, sad ide ono glavno... Čisto provere radi, ortak je uzeo par CD- ova da vidi kakva je situacija sa njima... Na SVAKOM CD-u je bilo pronađenih "zaraženih" fajlova i to čak na CD-ovima koji su kupljeni i pre godinu dana. Među tim CD-ovima je i SezamFile(leto 97), neko- liko CD-ova iz stranih računarskih časopisa (PC Format, PC Plus,...) i nekoliko narezanih CD-ova kod domaćih pirata. Svi "zaraženi" fajlovi imaju .EXE ekstenziju. Da li neko ima ideju šta to može da bude i da li je moguća neka greška u najnovijem "virus definition"-u za McAfee, da ovaj ustvari, od "normalne" stvari prijavljuje da je virus?

virusi.535 pifat, 22 Jul 98

Ovo dole mi deluje kao osetno "pametnija" virusna ložaja nego one uobičajene tipa "if you see a message containing text TRT-MRT-EXTRA-HIFI-DELUXE please delete it immediately.....". Naime, ovde se pominje .EXE fajl, što je neophodan uslov da se virus ipak prenese. Međutim, kako se u tekstu pominje da je info o potencijalnom virusu navodno potekao iz MalogMekanog, prilično sam skeptičan. Ima li neko bližih detalja? > >-----Original Message----- >From: Lisa Brogan <lbrogan@MEI.jsc.nasa.gov> >To: 'Bernadette Brogan' <brog@midway.uchicago.edu>; 'Kathy & Brad Owings' ><BOwings@aol.com>; 'Terry Brogan' <tbrogan@ayurvedicconcepts.com> >Date: Friday, July 17, 1998 7:53 AM >Subject: FW: [Fwd: Virus Alert]] > > > >>> >>>> Subject: Virus Alert > > This is a new twist. Someone is sending out a very desirable > screen-saver - the Budweiser Frogs. But if you download it, you > will lose everything!!! Your hard drive will crash!!! >>>>>>> >DON'T DOWNLOAD THIS UNDER ANY CIRCUMSTANCES!!! IT JUST WENT > INTO CIRCULATION, AS FAR AS WE KNOW....BE CAREFUL. >>>>>>> >PLEASE DISTRIBUTE THIS TO AS MANY PEOPLE AS POSSIBLE...THANX >>>>>>> > >>>>>>> >BELOW IS WHAT THE SCREENSAVER OFFER WOULD LOOK LIKE! >>>>>>> > >>>>>>> > File: BUDSAVER.EXE (24643 bytes) >>>>>>> > DL Time (28800 bps): < 1 minute >>>>>>> > >>>>>>> >If you download some jerk from the internet will get your screen name and password! Please send this to any names you can think of and remember never download BUDDYLST.ZIP This is a new, very malicious virus and not many people know about it. This information was announced yesterday morning from Microsoft. Please share it with everyone that might access the internet. >>>>>>> Once again, pass this along to EVERYONE in your address book so that this may be stopped.

virusi.536 jujo, 23 Jul 98 -> #535, pifat

# Ovo dole mi deluje kao osetno "pametnija" virusna lozaja nego one # uobicajene tipa "if you see a message containing text # TRT-MRT-EXTRA-HIFI-DELUXE please delete it immediately.....". Naime, # ovde se pominje .EXE fajl, sto je neophodan uslov da se virus ipak # prenese. Medutim, kako se u tekstu pominje da je info o potencijalnom # virusu navodno potekao iz MalogMekanog, prilicno sam skeptican. Ima # li neko blizih detalja? # # > # >-----Original Message----- # >From: Lisa Brogan <lbrogan@MEI.jsc.nasa.gov> # >To: 'Bernadette Brogan' <brog@midway.uchicago.edu>; 'Kathy & Brad # Owings' # ... Ma jedini virus koji se moze preneti mailom je zarazeni WORD-ov dokument. Sve ostalo je sarena laza. yooyo:

virusi.538 jujo, 23 Aug 98

PAZNJA!!!! Pojavio se novi virus u gradu. U pitanju je CiH v1.2 TTiT koji napada samo Windows EXE fajlove (imaju u zaglavlju poruku "This program cannot run in DOS mode"), i WinZIP selfextract arhive. Kako da ga pronadjete. Probajte sledecu komandu: ts /s /t /log *.exe "Ř.EXE^" > c:\zarazeno.!!! (ts alias textsearch je mali programcic koji stize uz NU8.0) Malo slovce n je ASCII 252 (0xfc). Kada program odradi pogledajte u root-u C diska fajl zarazeno.!!! U njemu ce biti spisak svih zarazenih programa. Virus je veoma gadan. Postoji u vise verzija: CiH v1.2 TTiT: Aktivira se 26. Aprila CiH v1.3 TTiT: Aktivira se 26. Juna CiH v1.4 TAUTIT: Aktivira se 26 u mesecu. Jako je opasan. Brise sve na disku dok ga ne zaustavite (reset...), a ima jos jednu IZUZETNO OPASNU OSOBINU. U stanju je da obrise i FlashBIOS kod skoro svih novijih ploca kod kojih BIOS nije zasticen jumperom na ploci (a obicno nije ili jumper ne postoji). Primer za to je intel 430TX. Nadjen je pre 7 dana na jednom piretskom CD iz Singapura. Bio je uglavljen u instalaciju DirectX 5.0. Na CD-u je bila kompilacija strateskih igara. Prepoznacete ga jos i po tome, ako windows pocne da prijavljuje poruke da je WinZIP selfextracting arhiva ostecena kada je pokrenete sa harddiska a sa CD-a radi. Za one koji nemaju ts.exe neka pmocu nekog programa probaju da nadju string 'CiH' u exe file-u. Ako iza nadjenog stringa stoji v1.x onda definitivno imate virus. Ove podatke sam dobio od Data-fellows-a (f-prot) koji su mi poslali vakcinu (f-save za DOS). Arhiva je dugacka oko 1Mb pa ako neko zeli neka ostavi poruku o konfi. F-prot iz aprila 98 ga ne prepoznaje!!! U pocetku sam mislio da sam pronasao novi virus, a nisam bio daleko. Virus datira iz Aprila 98, ali se pojavio tek krajem Juna u Nemackoj. U svakom slucaju... PROVRERITE SVE NOVIJE CD-ove KOJE UZIMATE IZ CD KLUBOVA. yooyo:

virusi.539 zmdjokic, 23 Aug 98 -> #538, jujo

» PAZNJA!!!! » » Pojavio se novi virus u gradu. U pitanju je CiH v1.2 TTiT » koji napada samo Windows EXE fajlove (imaju u zaglavlju » poruku "This program cannot run in DOS mode"), i WinZIP » selfextract arhive. » » Ove podatke sam dobio od Data-fellows-a (f-prot) koji su mi » poslali vakcinu (f-save za DOS). Arhiva je dugacka oko 1Mb » pa ako neko zeli neka ostavi poruku o konfi. » F-prot iz aprila 98 ga ne prepoznaje!!! Salji! I da li ga F-Prot 3.01 (jul '98) prepoznaje?

virusi.540 jujo, 23 Aug 98 -> #539, zmdjokic

# » Ove podatke sam dobio od Data-fellows-a (f-prot) koji su mi # » poslali vakcinu (f-save za DOS). Arhiva je dugacka oko 1Mb # » pa ako neko zeli neka ostavi poruku o konfi. # » F-prot iz aprila 98 ga ne prepoznaje!!! # # Salji! I da li ga F-Prot 3.01 (jul '98) prepoznaje? Nisam probao.. ali u svakom slucaju sam okacio fsav. yooyo: fsav_dos.zip

virusi.541 jujo, 23 Aug 98

Nova beda na pomolu.... kod istog drugara kod koga sam nasao CiH desava se jedna cudna stvar... Ponekad kada ukljuci masinu saceka ga crn ekran a iz speakera se cuje Kaljinka (ruska melodija slicna kazacoku) i svira dok se masina ne ugasi. Posle ponovnog paljenja masina ili nastavi da svira ili se normalno bootuje. U ovom slucaju virus je u BIOS-u i bice jako tesko da se ukloni. FSAV nije probao jer se covek plasi da nakaci disk na drugu masinu. Javicu rezultate potrage. yooyo: P.S.: Mislim da je pocela nova era virusa. Ovi ce zadavati mnogo muke korisnicima, a i dilerima koji ce morati da menjaju ploce ako nisu u stanju da reprogramiraju BIOS.

virusi.542 dr.grba, 23 Aug 98 -> #541, jujo

>> P.S.: Mislim da je pocela nova era virusa. Ovi ce >> zadavati mnogo muke korisnicima, a i dilerima >> koji ce morati da menjaju ploce ako nisu u stanju >> da reprogramiraju BIOS. Osim BIOS virusa, i u svetu makro virusa se pojavila nova generacija: virus se krije u fajlu jednog tipa, a napada fajlove drugog tipa. Npr. širi se kroz *.XLS, a gazi *.DOC ili obrnuto... Zato ih je relativno teško otkriti. Zasad nema reči da su "u divljini", ali su izolovani.

virusi.543 dr.iivan, 24 Aug 98 -> #538, jujo

> ts /s /t /log *.exe "Ř.EXE^" > c:\zarazeno.!!! > > (ts alias textsearch je mali programcic koji stize uz NU8.0) Jel' mozes da bacis taj TextSearch ako nije veliki, i ako radi bez NU?

virusi.544 miskop, 24 Aug 98 -> #538, jujo

>> PAZNJA!!!! >> Pojavio se novi virus u gradu. U pitanju je CiH v1.2 TTiT >> koji napada samo Windows EXE fajlove (imaju u zaglavlju >> poruku "This program cannot run in DOS mode"), i WinZIP >> selfextract arhive. Ja sam o CIH virusu pisao pre jedno mesec dana, ali niko izgleda nije obratio pažnju. Preporučujem da svi koji imaju mogućnost (ili molim moderatora) da skoče do www.avp.com i skinu najbolji anti virus program AntiViral Toolkit Pro. To je jedini program koji je prvi detektovao i uspeo da eliminiše CIH virus. Inače, posle čišćenja CIH virusa svi zaraženi EXE fajlovi biće kao i pre, tj. nećete ih izgubiti. ;) P.S. Uz poruku je McAfee-ov 'programčić' samo za eliminisanje CIH virusa. Pročitajte dobro uputstvo kako se koristi (mislim da treba nešto iz dos-a da se radi). cih-rem.zip

virusi.545 jujo, 24 Aug 98

Poruka koja se odnosi na sviranje ruske melodije prilikom paljenja masine nije virus. U pitanju je neispravna ploca koja je umislila da je procesor pregrejan. Nigde u knjizici koja stize uz plocu nije pisalo o ruskoj narodnoj muzici, pa smo tu informaciju dobili od jednog servisera. Probano je i na delu. Skinuli smo cooler i ploca je zaista posle 10-ak minuta rada pocela da svira. Svasta se danas desava... yooyo:

virusi.546 jujo, 25 Aug 98 -> #544, miskop

# Ja sam o CIH virusu pisao pre jedno mesec dana, ali niko # izgleda nije obratio paznju. # Preporucujem da svi koji imaju mogucnost (ili molim moderatora) # da skoce do www.avp.com i skinu najbolji anti virus program # AntiViral Toolkit Pro. To je jedini program koji je prvi # detektovao i uspeo da eliminise CIH virus. # # Inace, posle ciscenja CIH virusa svi zarazeni EXE fajlovi # bice kao i pre, tj. necete ih izgubiti. ;) # # # P.S. Uz poruku je McAfee-ov 'programcic' samo za eliminisanje # CIH virusa. Procitajte dobro uputstvo kako se koristi (mislim # da treba nesto iz dos-a da se radi). Da, pisao si... ali je u poruci stajalo da neznas sta virus radi i da niko nezna kako da ga skine. Virus je gadan zato sto za svoje "telo" koristi prazne delove exe fajla. Zbog toga je u stanju da se podeli na vise delova po fajlu. F-sav unistava prvi tj. glavni deo virusa. U zavisnosti od stepena infekcije fajla, to znaci da ce ga kompletno skloniti ili samo deo. U svakom sludaju, ako nesto ostane od njega to je samo mrtvo parce koda koje je bezopasno. A kako radi ono malo programce neznam... probacu veceras da proverim, da li je u stanju da ga skine bolje od f-sav-a. yooyo:

virusi.547 jujo, 25 Aug 98 -> #544, miskop

# # # P.S. Uz poruku je McAfee-ov 'programcic' samo za eliminisanje # CIH virusa. Procitajte dobro uputstvo kako se koristi (mislim # da treba nesto iz dos-a da se radi). Probao sam i zaista radi, ali je fajlovi nisu "skroz" cisti. Stice se utisak da je unisten samo neki vitalni deo virusa. Prilikom filecompare-a originalni i ocisceni fajl se mnogo vise razlikuju nego fajl koji je ociscen f-sav-om. yooyo:

virusi.548 saint, 25 Aug 98 -> #544, miskop

=> AntiViral Toolkit Pro. To je jedini program koji je prvi => detektovao i uspeo da eliminise CIH virus. Meni je ovaj program FSAFE detektovao i dezinfikovao zarazene fajlove... NEma potrebe ni za cim drugim.

virusi.549 miskop, 25 Aug 98 -> #546, jujo

>> Da, pisao si... ali je u poruci stajalo da neznas sta virus radi >> i da niko nezna kako da ga skine. Da, tada nisam imao pojma o čemu se radi, jer se virus baš onda i pojavio. Ortak se zarazio skidanjem nečega iz NEWS grupa. Nara- vno, ja se 'zarazih' od njega i kad sam kasnije proveravao disk sa AntiViral programom, ono, pola diska je bilo zaraženo. ;) U onoj poruci kada sam spomenuo CIH, mislio sam da neko od Se- zamovaca koristi McAfee kao antivirus program, pa sam se ponadao da će neko nešto da prijavi jer je McAfee (pre nabavke AntiViral-a) jedini u to vreme prijavljivao postojanje CIH-a ali nije bio u stanju da ga eliminiše. U prvom trenutku mi je situacija bila sumnjiva, jer je McAfee prijavio toliko zaraženih fajlova da sam pomislio da je neka greška u detekciji. Pomislio sam i da je možda neki 'zafkantski' virus u pitanju, da nije opasan, ali onda su se pojavile uzbune i na webu i sve mi je bilo jasno - C:\FORMAT ;) ************************************************************* Upozorenje: Postoji mogućnost da je program TweakUI 98 koji sam okačio u PCOS.95 konferenciji zaražen CIH-om. Mole se svi korisnici koji su skinuli dotični program obavezno i što je pre moguće, provere disk(ove) i eventualno eliminišu virus...ako već nije kasno. ************************************************************* >> A kako radi ono malo programce neznam... probacu veceras >> da proverim, da li je u stanju da ga skine bolje od f-sav-a. Ja ga nisam probao jer sam sad 'čist'. Ali ljudi koji još možda nisu skinuli neke najnovije virus definicije, mogu da probaju.

virusi.550 miskop, 25 Aug 98

Posle ove frke sa CIH-om, samo nam još i ovo fali: ;) --------------- First Virus Written In Java Found It was inevitable. If Java could be used to write cross-platform applications, then someone would likely find a way to cause cross- platform havoc with a Java-based virus. The Symantec Antivirus Research Center (SARC) has found the first such virus, but the good news is it can't hurt Web surfers. The research center's automated virus-hunting engine, called Seeker, found the virus during a routine scan of websites. The virus, called Strange Brew, is just an infector. It spreads itself from one Java application to another, and it can jump from anything from a Network Computer to an IBM S/390 mainframe. Detalji: http://www.techweb.com/news/story/TWB19980820S0010?ls=twhpHed

virusi.551 pavijan, 25 Aug 98 -> #540, jujo

> Nisam probao.. ali u svakom slucaju sam okacio fsav. ______________________________ Imam problem sa pokretanjem fsav-a. Kada ga pokrenem i pocne da ucitava bazu prijavi mi poruku: "Low memory. Database loading is not complete." A sledeca poruka glasi: "Not enough memory for antiviral databases loading." - posle ovoga otkaz. Imam 48Mb rama. U cemu je problem????????????????????????? Pozdrav od pavijana.

virusi.552 pperica, 25 Aug 98 -> #549, miskop

Dobro, virus se uvuce u .exe fajl. Cim ga program nadje ubije ga na mrtvo. A sta se desava kada se .exe fajl zipuje? Vi lepo iskenirate disk, nema virusa, onda uradite unzip i eto ga ponovo u racunaru :( Pitanje glasi: Ume li virus CIH da se krije u rar, jpg, zip, arj,... fajlovima? pperica

virusi.553 kiki, 25 Aug 98 -> #549, miskop

> Postoji mogućnost da je program TweakUI 98 koji sam okačio UH! sad mi kažeš!

virusi.554 morkin, 25 Aug 98 -> #549, miskop

> Upozorenje: > > Postoji mogućnost da je program TweakUI 98 koji sam okačio > u PCOS.95 konferenciji zaražen CIH-om. Mole se svi korisnici > koji su skinuli dotični program obavezno i što je pre moguće, > provere disk(ove) i eventualno eliminišu virus...ako već nije > kasno. Ja sam ga skinuo, ali arhivu nisam dirao. Smatram da se razumeš u viruse više nego većina na sistemu, pa bi red bio da sam to proveriš pa da nas obavestiš. Uzgred, imaš sve alate.

virusi.555 saint, 25 Aug 98 -> #551, pavijan

=> Imam 48Mb rama. U cemu je problem????????????????????????? Da li su ti ucitani HIMEM.SYS i EMM386.EXE ?

virusi.556 saint, 25 Aug 98 -> #552, pperica

=> A sta se desava kada se .exe fajl zipuje? Vi lepo iskenirate disk, => nema virusa, onda uradite unzip i eto ga ponovo u racunaru :( Program otvara LZH,ZIP,ARJ arhive i proverava da li su izvrsni fajlovi u njima zarazeni tako da se toga ne moras bojati. Kako se u JPG moze ubaciti virus?

virusi.557 pavijan, 25 Aug 98 -> #555, saint

> Da li su ti ucitani HIMEM.SYS i EMM386.EXE ? ______________________________ Config izgleda ovako: dos=high,umb device=c:\windows\himem.sys devicehigh=c:\windows\emm386.exe devic=c:\cdrom\f91xv340.sys/d:mscd001 lastdrive=z Na disku je samo 95 mislim nema dos nizi od 7.0 Inace pozdrav za saint-a i ostalo drustvo od pavijana.

virusi.558 calex, 25 Aug 98 -> #544, miskop

> Preporučujem da svi koji imaju mogućnost (ili molim moderatora) > da skoče do www.avp.com i skinu najbolji anti virus program Moderator ga je odavno skinuo (i proverio svoje diskove) ali ga ne šalje dok ne proradi razmena mailova ili eventualno jednom pomenuti telnet. Sve primedbe poslati na više puta pominjanu adresu odakle (ne) idu novci za SezamNet, opremu, administratore, moderatore, mailove ... BTW, sada valjda svi antivirus programi znaju CIH-a.

virusi.559 calex, 25 Aug 98 -> #549, miskop

> Postoji mogućnost da je program TweakUI 98 koji sam okačio > u PCOS.95 konferenciji zaražen CIH-om. Mole se svi korisnici A što bi bio zaražen kad u njemu nema .exe a neko reče da CIH napada samo njih?

virusi.560 calex, 25 Aug 98 -> #552, pperica

> A sta se desava kada se .exe fajl zipuje? Vi lepo iskenirate disk, > nema virusa, onda uradite unzip i eto ga ponovo u racunaru :( > Pitanje glasi: Ume li virus CIH da se krije u rar, jpg, zip, arj,... Koliko sam video, on napada samo .exe što znači da ne može da zarazi arhive i slične. Ako spakuješ zaražen fajl, on čeka svojih pet minuta ali sada više antivirus programa zna da pretraži i arhive (što može da potraaajeeee).

virusi.561 popovics, 25 Aug 98 -> #557, pavijan

§> dos=high,umb Ovo POSLE ovoga... §> device=c:\windows\himem.sys §> devicehigh=c:\windows\emm386.exe

virusi.562 ranx, 26 Aug 98 -> #552, pperica

> A sta se desava kada se .exe fajl zipuje? Vi lepo iskenirate disk, Svi napredni antivirus programi imaju mogućnost skeniranja unutar arhiva.

virusi.563 ranx, 26 Aug 98 -> #556, saint

> Kako se u JPG moze ubaciti virus? Nikako, koliko je meni poznato.

virusi.564 ranx, 26 Aug 98 -> #544, miskop

> Ja sam o CIH virusu pisao pre jedno mesec dana, ali niko > izgleda nije obratio pažnju. Evo šta TBAV 8.07 kaže o ovome: This virus is known to infect device drivers, but unknown variants may infect other items as well. This virus has been reported to be 'in the wild'. CLEANING INFORMATION: Before cleaning or restoring, it is HIGHLY RECOMMENDED to boot from a clean, write-protected system diskette first! This is necessary to ensure that no viruses are active in memory, and to reduce the risk that you execute an infected file by accident. As new variants of existing viruses appear almost daily, it is possible that you will encounter a variant of this virus which will still be identified by our scanner, but behaves differently than described above. The information above is therefore intended as a basic guideline. Možda je u pitanju druga varijanta (ranija) CiH-a. Što se tiče TweakUI98 koji je ovde bio poslat, po TBAV-u je čist.

virusi.565 saint, 26 Aug 98 -> #563, ranx

=> Nikako, koliko je meni poznato. To i ja mislim ali kolko god neverovatno da meni to zvuci mnogi ljudi u to ne veruju.

virusi.566 morkin, 26 Aug 98 -> #564, ranx

> Evo šta TBAV 8.07 kaže o ovome: Koja je poslednja verzija TBAV i da li kačena ovde?

virusi.567 pavijan, 26 Aug 98 -> #561, popovics

> §> dos=high,umb > > Ovo POSLE ovoga... ______________________________ Gle, ovo ne radi pa ne radi. Postavio sam na jednu particiju cist dos622 i na njemu to radi ali pod 95 nece. Probao sam i da remujem ona dva "device" reda opet nista. Neznam sta je problem. Pozdrav od pavijana.

virusi.568 miskop, 26 Aug 98 -> #548, saint

>>=> AntiViral Toolkit Pro. To je jedini program koji je prvi >>=> detektovao i uspeo da eliminise CIH virus. >> Meni je ovaj program FSAFE detektovao i dezinfikovao >> zarazene fajlove... NEma potrebe ni za cim drugim. E baš mi je drago zbog tebe... ;)

virusi.569 miskop, 26 Aug 98 -> #560, calex

>> Koliko sam video, on napada samo .exe što znači da ne može da >> zarazi arhive i slične. Ako spakuješ zaražen fajl, on čeka svojih pet >> minuta ali sada više antivirus programa zna da pretraži i arhive (što >> može da potraaajeeee). Boga mi, meni su bili zaraženi i neki ZIP fajlovi koje sam ko_zna_kada zapakovao.

virusi.570 miskop, 26 Aug 98 -> #553, kiki

>>> Postoji mogućnost da je program TweakUI 98 koji sam okačio >> UH! sad mi kažeš! Ma, mogao sam i da prećutim... ;)

virusi.571 miskop, 26 Aug 98 -> #554, morkin

>> Ja sam ga skinuo, ali arhivu nisam dirao. Smatram da se razumeš u viruse >> više nego većina na sistemu, pa bi red bio da sam to proveriš pa da nas >> obavestiš. Uzgred, imaš sve alate. Rado bih ja proverio tu arhivu, ali sam je obrisao sa diska samo par dana pre nego sam ustanovio virus na sistemu. Da bude još gore, pre neki dan sam i sa Sezama obrisao tu poruku sa fajlom tako da ne znam šta da ti kažem. Pretpostavljam, na žalost, da je arhiva zaražena, pošto je gotovo sve bilo zaraženo u tom trenutku na disku. Skini neki od antivirus programa i eliminiši evuntalni CIH, neće posle biti problema.

virusi.572 miskop, 26 Aug 98 -> #559, calex

>>> Postoji mogućnost da je program TweakUI 98 koji sam okačio >>> u PCOS.95 konferenciji zaražen CIH-om. Mole se svi korisnici >> A što bi bio zaražen kad u njemu nema .exe a neko reče da CIH >> napada samo njih? Pa, ja sam tu arhivu dao ortaku, a koliko se sećam, kad je on proveravao sistem, mislim da mu je AntiViral prijavio postojanje virusa. E sad kako je to moguće kad nema .EXE fajla, to već neznam.

virusi.573 miskop, 26 Aug 98 -> #558, calex

>> Moderator ga je odavno skinuo (i proverio svoje diskove) ali ga >> ne šalje dok ne proradi razmena mailova ili eventualno jednom pomenuti >> telnet. Eee, onda ćemo možda i da dočekamo taj trenutak... ;( >> BTW, sada valjda svi antivirus programi znaju CIH-a. Da, samo, čitam po NEWS-u da je AntiViral zakon, pa reko' da ga i ja koristim. ;) A i stvarno je dobar, da ne kažem, odličan. ;)

virusi.574 miskop, 26 Aug 98 -> #564, ranx

>> Možda je u pitanju druga varijanta (ranija) CiH-a. Što se tiče TweakUI98 >> koji je ovde bio poslat, po TBAV-u je čist. TweakUI 98 je najverovatnije zaražen tzv. W32.CIH.SPACEFILLER virusom.

virusi.575 miskop, 26 Aug 98 -> #566, morkin

>> Koja je poslednja verzija TBAV i da li kačena ovde? U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u nema.

virusi.576 dr.iivan, 27 Aug 98 -> #547, jujo

> # P.S. Uz poruku je McAfee-ov 'programcic' samo za eliminisanje > # CIH virusa. Procitajte dobro uputstvo kako se koristi (mislim > # da treba nesto iz dos-a da se radi). > > Prilikom filecompare-a originalni i ocisceni fajl se > mnogo vise razlikuju nego fajl koji je ociscen f-sav-om. Koliko mnogo? Mislim, da li se isplati skidati toliko puta veci fajl?

virusi.577 dr.iivan, 27 Aug 98 -> #574, miskop

> >> Mozda je u pitanju druga varijanta (ranija) CiH-a. Sto se tice > TweakUI98 >> koji je ovde bio poslat, po TBAV-u je cist. > > TweakUI 98 je najverovatnije zarazen tzv. > W32.CIH.SPACEFILLER virusom. Pa sve je to lepo i divno sa vasim virusima, ali jel' ima neko taj TweakUI 98 koji nije zarazen? ;)

virusi.578 popovics, 27 Aug 98 -> #572, miskop

§> Pa, ja sam tu arhivu dao ortaku, a koliko se sećam, kad je §> on proveravao sistem, mislim da mu je AntiViral prijavio Dosta anti-virus programa zna da sezavuče u arhivu i traži po njoj. Inače sama arhiva ne može biti zaražena, već fajlovi u njoj. Takođe virusi dok su tako zapakovani, čekaju otpakovanje i svojih 5min.

virusi.579 saint, 27 Aug 98 -> #568, miskop

=> E bas mi je drago zbog tebe... ;) I meni je drago zbog mene :) 172 zarazena fajla :)

virusi.580 miskop, 27 Aug 98 -> #577, dr.iivan

>> Pa sve je to lepo i divno sa vasim virusima, ali jel' ima neko taj >> TweakUI 98 koji nije zarazen? ;) Naravno. ;) Sa originalnog Win98 diska ću da okačim TweakUI 98 u PCOS.95 .

virusi.581 ranx, 28 Aug 98 -> #574, miskop

> W32.CIH.SPACEFILLER virusom. Prevedi - TBAV 7.07 ga ne poznaje.

virusi.582 miskop, 28 Aug 98 -> #581, ranx

>>> W32.CIH.SPACEFILLER virusom. >> Prevedi - TBAV 7.07 ga ne poznaje. A TBAV 8.07 ? ;)

virusi.584 ztasic, 28 Aug 98 -> #575, miskop

║ U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u ║ nema. Stiže. :) tbav807.zip

virusi.585 kiki, 29 Aug 98 -> #584, ztasic

>║ U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u >║ nema. > Stiže. :) Jel ovo cela ili update?

virusi.586 ranx, 29 Aug 98 -> #582, miskop

>>> Prevedi - TBAV 7.07 ga ne poznaje. > A TBAV 8.07 ? ;) Joj, sorry, greška u kucanju.

virusi.587 miskop, 29 Aug 98 -> #584, ztasic

>>║ U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u >>║ nema. >> Stiže. :) Živ bio! :)

virusi.588 miskop, 29 Aug 98 -> #585, kiki

>>>║ U dir-u ti je v8.06c, a poslednja je v8.07 koje na Sez-u >>>║ nema. >>> Stiže. :) >> Jel ovo cela ili update? To je cela verzija i ne postoji uopšte update verzija. Ti možeš da instaliraš novu verziju (preko postojeće) kao 'update' ali uvek je u pitanju full verzija, jer pored novih virus lista, tu su i ispravljeni neki bagovi iz prethodne verzije.

virusi.589 dr.iivan, 19 Sep 98 -> #543, dr.iivan

> > ts /s /t /log *.exe "Ř.EXE^" > c:\zarazeno.!!! > > > > (ts alias textsearch je mali programcic koji stize uz NU8.0) > > Jel' mozes da bacis taj TextSearch ako nije veliki, i ako radi bez NU? Jel' ima neko taj TextSearch?

virusi.590 ksanyi, 20 Sep 98 -> #589, dr.iivan

> > > ts /s /t /log *.exe "Ř.EXE^" > c:\zarazeno.!!! > > > > > > (ts alias textsearch je mali programcic koji stize uz NU8.0) > > > > Jel' mozes da bacis taj TextSearch ako nije veliki, i ako radi bez NU? > > Jel' ima neko taj TextSearch? Stize ! ts.exe

virusi.591 dr.iivan, 21 Sep 98 -> #590, ksanyi

> > Jel' ima neko taj TextSearch? > > Stize ! Vec dobio, ali hvala!

virusi.592 dr.iivan, 30 Sep 98

Koja je poslednja (i za DOS i za Win) verzija AntiViral Toolkit Pro-a? I moze li neko da mi na mail baci NESTO vezano za taj program? Treba mi sto pre.

virusi.593 miskop, 30 Sep 98 -> #592, dr.iivan

>> Koja je poslednja (i za DOS i za Win) verzija AntiViral Toolkit Pro-a? AntiViral Toolkit Pro News for 09/28/98 --------------------------------------- AVP online http://www.avp.com Virus detection and removal for over 23986 viruses! AntiViral Toolkit Pro for Windows 95/98/NT has been upgraded! New build 3.0.124 is available for download (see links below). Evaluation and Upgrade for AntiViral Toolkit Pro for Windows 95/98/NT --------------------------------------------------------------------- http://www.avp.com/files/avp32evl.zip http://www.avp.com/files/setup32.exe Evaluation and Upgrade for AntiViral Toolkit Pro for DOS -------------------------------------------------------- http://www.avp.com/files/avpdevl.zip Cumlative Virus Database Update for AntiViral Toolkit Pro for Windows 95/98/NT 3.0.120 and higher -------------------------------------------------------------- http://www.avp.com/files/update32.zip Cumlative Virus Database Update for AntiViral Toolkit Pro for DOS 3.0.120 and higher. ------------------------------------------------------------- http://www.avp.com/files/updtedos.zip >> Koja je poslednja (i za DOS i za Win) verzija AntiViral Toolkit Pro-a? >> I moze li neko da mi na mail baci NESTO vezano za taj program?

virusi.594 pifat, 30 Sep 98

McAfee Scan&Clean, .DAT upgrade za septembar, Scan 3.x dat-3109.zip

virusi.596 pecanac, 03 Oct 98

ThunderBYTE, ver. 8.08, antivirus za w95/98, (02.10.1998.) tbw95808.zip

virusi.597 the.edge, 04 Oct 98

Preko 60 fajlova je onaj CIH remover pronasao i cleanovao. Medjutim, sada mi isto tako, pola programa ne rade. ;( Ni explorer.exe. Reinstalirao sam carmageddon (tu je bio pronasao oko 10 zarazenih fajlova) i namerno sam opet pustio program da proveri. Opet je pronasao "zarazene" fajlove. Sad se postavlja pitanje - da li on uopste zna sta je zarazeno, a sta ne? Kako je moguce da carmageddon OPET bude zarazen, a instaliran je sa CDa i prethodno cleanovan? Voleo bih da mi neko nesto i kaze povodom CIH virusa, jer sam ja sa njima (ako sam ih uopste i imao...) radio sasvim lepo i nikakve probleme nisam imao. Sada, medjutim, imam velike... pola programa (ukljucujuci i ceo w98) cu morati da reinstaliram. ;< AcCeSS DeNiED

virusi.598 kiklop, 06 Oct 98 -> #597, the.edge

> Preko 60 fajlova je onaj CIH remover pronasao i cleanovao. > Medjutim, sada mi isto tako, pola programa ne rade. ;( > Ni explorer.exe. > Reinstalirao sam carmageddon (tu je bio pronasao oko 10 zarazenih fajlova) > i namerno sam opet pustio program da proveri. Opet je pronasao "zarazene" > fajlove. > Sad se postavlja pitanje - da li on uopste zna sta je zarazeno, a sta ne? > Kako je moguce da carmageddon OPET bude zarazen, a instaliran je sa CDa i > prethodno cleanovan? > > Voleo bih da mi neko nesto i kaze povodom CIH virusa, jer sam ja sa njima > (ako sam ih uopste i imao...) radio sasvim lepo i nikakve probleme nisam > imao. Sada, medjutim, imam velike... pola programa (ukljucujuci i ceo w98) > cu morati da reinstaliram. ;< > > AcCeSS DeNiED Ja sam pre neki dan imao isti problem. Slučajno sam pokrenuo scan (3.20) i otkrio da mi je većina (32-bitnih)izvršnih datoteka zaražena sa CIH virusom. Obično brisanje windows i program files direktorijuma nije pomoglo jer se ispostavilo da je virus zarazio i instalaciju windowsa na HD-u. Rešenje je bilo ubiti sve što se može ubiti. Ostalo očistiti sa sfrem.exe programom i instalirati windows sa CD-a. Krivac je u mom slučaju bio jedan piratski CD. Dobra strana ovog virusa (ima li ih??) je što napada samo 32-bitne windows izvršne datoteke (exe,dll,tlb,olb,ocx...) dok su DOS programi bezbedni. Napomena : virus čistiti isključivo iz običnog DOS-a nikako iz DOS prozora.

virusi.599 miskop, 07 Oct 98 -> #598, kiklop

>> Napomena : virus čistiti isključivo iz običnog DOS-a nikako iz DOS A iz Windowsa ne može, a? ;)

virusi.601 trpa, 08 Oct 98

Opet o CIH-u: Citajuci vase poruke o CIH-u, rek'o ja ajde da proverim i ja da nemam mozda i ja taj virus. Prvo probam program "Sfrem.exe" (sve po propisu, iz DOS-a i to...) kad na moje veliko cudjenje on nadje 41 fajl zarazen i ocisti ga od tudjinca. Kada sam ponovo dosao u Windows sve se rasturilo. Nije radio vise Office (prijavljivao je da su neki fajlovi osteceni... itd.) ni Outlook Express a ostalo nisam ni probao. Sredim ja to nekako, iskopiram fajlove iz office-a na neko drugo mesto, poteram opet "sfrem.exe" on ponovo nadje viruse. Znaci virusi su jos tu??? Probam ja jos neke AV programe, novijih verzija (ovi sto su okaceni u konferenciji): TBAV - 8.08 FSAV - 3.00 build 119 McAfee SCAN - 3109 i nijedan od tih programa ga ne prepoznaje?!? Mozda to onda i nije bio virus??? Sta da radim?

virusi.602 pecanac, 08 Oct 98 -> #597, the.edge

> Preko 60 fajlova je onaj CIH remover pronasao i cleanovao. > Medjutim, sada mi isto tako, pola programa ne rade. ;( Isti slučaj i kod mene, morao sam da instaliram OS ispočetka. :(

virusi.603 kiki, 09 Oct 98 -> #601, trpa

> ja taj virus. Prvo probam program "Sfrem.exe" (sve po propisu, iz DOS-a i Možda je taj program jedan veliki "virus" :))

virusi.604 miskop, 09 Oct 98 -> #601, trpa

>> Znaci virusi su jos tu??? Probam ja jos neke AV programe, novijih verzija >> (ovi sto su okaceni u konferenciji): >> TBAV - 8.08 >> FSAV - 3.00 build 119 >> McAfee SCAN - 3109 >> i nijedan od tih programa ga ne prepoznaje?!? Ja reko' da je najbolji AV program AntiViral Toolkit Pro, a ti kao i ostali morate da sačekate da se file moderatori smiluju i dovuku ga na Sezam. Ko ima Internet, neka skoči do www.avp.com i pokupi program, kao i do Astalaviste po registraciju. ;) Alo, moderatori, sad kad vam radi telnet, pa budite malo aktivniji.

virusi.605 miskop, 09 Oct 98 -> #602, pecanac

>>> Preko 60 fajlova je onaj CIH remover pronasao i cleanovao. >>> Medjutim, sada mi isto tako, pola programa ne rade. ;( >> Isti slučaj i kod mene, morao sam da instaliram OS ispočetka. :( Pa naravno kad ste koristili DOS program. Imate AVP koji feno- menalno radi. Kažem vam, zaboravite na McAffe i ostala sranja od AV programa, AVP je zakon (www.avp.com) - trenutna verzija je 3.0 build 124, last update 3.10.98 - 24105 virusa.

virusi.606 kiki, 09 Oct 98 -> #604, miskop

> Alo, moderatori, sad kad vam radi telnet, pa budite malo > aktivniji. :)))))

virusi.607 the.edge, 09 Oct 98 -> #603, kiki

Da znas... to upravo i ja kazem... Jako sumljam u ispravnost tog programa. Ja znam da kada bi opet pokrenuo sfrem.exe da bi on OPET nasao viruse u ISTIM fajlovima kao i pre. I ja bi opet morao da reinstaliram OS i ostalo. AcCeSS DeNiED

virusi.608 miskop, 10 Oct 98 -> #606, kiki

>>> Alo, moderatori, sad kad vam radi telnet, pa budite malo >>> aktivniji. >> :))))) Šta je tu toliko smešno?

virusi.609 kiklop, 11 Oct 98

Evo i dugo cekanog Antiviral Toolkita Pro Uz poruku je prikacena najnovija verzija za DOS. ------------------------------------------------------------------------------- Short description of AVP features Ě Detects and removes thousands of viruses and virus families Ě Advanced accurate detection of Polymorphic viruses Ě Virus searches within archives ZIP, ARJ, RAR, LHA, LZH, and ICE Ě Extracts runtime compressed programs PKLITE, EXEPACK, DIET, LZEXE, COMPACK, and COM2COM Ě Virus searches within FX-LOCK, CPAV, and FILESHIELD immunized programs. Ě Decrypts and searches within CRYPTCOM, CRYPTCOM-B, DROPPER-A, DROPPER-B, DROPPER-C, DROPPER-D, ENCRCOM/EXE and PROTECT 4.0 Ě Detects and deactivates lives viruses active in memory Ě Detects new previously unknown viruses Content is copyright Central Command Inc. 1997. All rights reserved. avpdevl.zip

virusi.610 miskop, 13 Oct 98

Nešto više detalja o CIH-u: Win95.CIH ---------------------------------------------------------------------- This is a Windows95 specific parasitic PE files (Portable Executable) infector about 1Kbyte of length. This virus was found "in-the-wild" in Taiwan in June 1998 - it was posted by the virus author to a local Internet conference as a some utility. Within a week the virus was found in Austria, Australia, Israel, United Kingdom, and was also reported from several other countries (Switzerland, Sweden, USA, Russia, Chile and the list keeps growing). The virus installs itself into the Windows memory, hooks file access calls and infects EXE files that are opened. Depending on the system date (see below) the virus runs its trigger routine. The virus has bugs and in some cases halts the computer when an infected application is run. The virus' trigger routine operates with Flash BIOS ports and tries to overwrite Flash memory with "garbage". This is possible only if motherboard and chipset allow to write to Flash memory. Usually writing to Flash memory can be disabled by a DIP switch, however this depends on the motherboard design. Unfortunately, there are modern motherboards that cannot be protected by a DIP switch - also, some of them do not pay attention for switch position and this protection has no effect at all. Some other motherboard designs provide write protection that can be disabled/overriden by software. During tests in our lab the virus did not overwrite the Flash BIOS and just halted the computer. We do however have reports from other sources telling that the virus really is able to mess it up. The trigger routine then overwrites data on all installed hard drives. The virus uses direct disk write calls to achieve this and bypasses standard BIOS virus protection while overwriting the MBR and boot sectors. There are three virus versions known, which are very closely related and only differ in few parts of their code. They have different lengths, texts inside the virus code and trigger date: Length Text Trigger date Found In-The-Wild 1003 CCIH 1.2 TTIT on April 26th YES 1010 CCIH 1.3 TTIT on April 26th NO 1019 CCIH 1.4 TATUNG on 26th of any month YES - many reports Technical details While infecting a file the virus looks for "caves" in the file body. These caves are a result of the PE file structure: all file sections are aligned by a value that is defined in PE file header, and there are not used blocks of file data between the end of previous section and next one. The virus looks for these caves and writes its code into them. The virus then increases the size of sections by the necessary values. As a result the file length is not increased while infecting. If there is a cave of enough size, the virus saves its code in one section. Otherwise it splits its code into several parts and saves them to the end of several sections. As a result the virus code may be found as set of pieces, not as a single block in infected files. The virus also looks for a cave in the PE header. If there is a not used block not less than 184 bytes of length, the virus writes its startup routine to there. The virus then patches the entry address in the PE header with a value that points to the startup routine placed in the header. This is the same trick that was used in the "Win95.Murkry" virus: address of program entry points not to some file section, but to file header - out of loadable file data. Despite this, infected programs are run with no problems - Windows does not pay attention for such "strange" files, loads the file header into the memory, then file sections, and then passes control to the virus startup routine in PE header. When the virus startup routine takes control, it allocates a block of memory by using the PageAllocate VMM call, copies itself to there, locates other blocks of virus code and also copies them to allocated block of memory. The virus then hooks system IFS API and returns control to the host program. The most interesting thing in this part of the virus code is that the virus uses quite complex tricks to jump from Ring3 to Ring0: when the virus jumps to newly allocated memory its code is then executed as Ring0 routine, and the virus is able to hook the file system calls (it is not possible in Ring3, where all users applications are run). The IFS API virus handler intercepts only one function - file opening. When PE .EXE files are opened, the virus infects them, provided there are caves of enough size. After infection, the virus checks the file date and calls trigger routine (see above). While running its trigger routine the virus uses direct access to Flash BIOS ports and VxD direct disk access calls (IOS_SendCommand).

virusi.611 jujo, 14 Oct 98 -> #601, trpa

# tudjinca. Kada sam ponovo dosao u Windows sve se rasturilo. Nije radio # vise Office (prijavljivao je da su neki fajlovi osteceni... itd.) ni # Outlook Express a ostalo nisam ni probao. Sredim ja to nekako, iskopiram # fajlove iz office-a na neko drugo mesto, poteram opet "sfrem.exe" on # ponovo nadje viruse. # Znaci virusi su jos tu??? Probam ja jos neke AV programe, novijih # verzija (ovi sto su okaceni u konferenciji): Ja sam poslao f-sav za dos koji je freeware i on uspesno ubija CiH. yooyo:

virusi.612 the.edge, 16 Oct 98

Da li je neko uspeo da skine nov fp-def.zip sa ftp.complex.is (official F-prot adresa)? Link je uuuuuuuuzasno spor... cps zna da padne i na 200. ;( AcCeSS DeNiED

virusi.613 pifat, 01 Nov 98

Oktobarski DAT update za McAfee Scan, engine 3.x dat-3110.zip

virusi.614 pavijan, 06 Nov 98

???????????????????????????????????????????????????????????????????????????? Da li je neko koristio sledeci program koji je preuzet sa Sezamfiles 98: fsav95.exe 5.178.880 - F-Secure anti virus 4.01a 32bit demo U programu je integrisan F-prot 2.28 i AVP 3.0 . Licno mislim da je ranije program bio pod nazivom F-prot 95 Professional. Program je (nazalost) vremenski ogranicen i kad istekne rok nemoze se ponovo koristiti vec posle ponovne instalacije upucuje korisnika na adresu: www.datafellows.com Ako neko ima KLJUCNO iskustvo neka se javi na mail. :)))))) Pozdrav od pavijana.

virusi.615 miskop, 07 Nov 98

Poslednjih par dana se digla frka na Pro-u o virusu, tj. trojancu BackOrifice-u. Kao prvo: -------------- Upozoravaju se svi koji su na mail dobili poruku od izvesnog Nikole Simića koji nudi komponente. Uz mail je zakačen i fajl "komponente.exe". Fajl NIKAKO ne pokretati jer je zaražen trojancem Netbus koji je sličan BackOrifice-u. -------------- Za one koji ne znaju šta je BackOrifice, to je trojanac koji od vašeg računara 'napravi' nešto nalik serveru. To omogućuje da vam bilo ko sa Interneta vršlja po kompjuteru i može da radi šta hoće. Da lista fajlove, briše, piše, pokupi sve lozinke, krahira računar itd. Inače to su tzv. BO paketi i oni vam stižu od raznih hakera koji tako proveravaju da li imate virus. U poslednje vreme, ova 'pojava' je uzela maha i svakodnevno dok ste na vezi je moguće da vam stižu PING-ovi sa raznih strana. Najbitinije je da što pre nabavite najnovije update-ove za Virus programe. Moja preporuka je AntiViiral Toolit Pro sa update-om od 31.10, a njega možete da skinete sa www.avp.com. Postoje programi, tzv. lovci na BO pakete. Jedan od njih je NOBO program, koji kad se pokrene non-stop 'prisluškuje' da li neko pokusava da upadne na računar i ako se tako nešto desi, on vas upozori i odmah šalje kontru nepoželjnom posetiocu. ;) Zvanični sajt kao i svi detalji o korišćenju programa NOBO možete naci na: http://web.cip.com.br/nobo/nobo_en.html Program je nije veliki ~70Kb. ** Uz ovu poruku je prikačen NOBO program ** Inače, evo i primera kad vas neko 'kontaktira' BO paketom (listing iz NOBO programa): 6.11.98 23:01:56: BO packet (list passwords) from 194.106.173.69 (ppp69.sezampro.yu) 6.11.98 23:03:58: BO packet (list passwords) from 194.106.173.69 (ppp69.sezampro.yu) 6.11.98 23:13:31: BO packet (PING) from 194.106.173.73 (ppp73.sezampro.yu) 6.11.98 23:16:31: BO packet (PING) from 194.106.173.73 (ppp73.sezampro.yu) 6.11.98 23:26:07: BO packet (PING) from 195.29.231.88 (al1-p88-zg.tel.hr) 6.11.98 23:26:11: BO packet (PING) from 195.29.231.88 (al1-p88-zg.tel.hr) 6.11.98 23:31:18: BO packet (PING) from 195.29.231.88 (al1-p88-zg.tel.hr) 6.11.98 23:31:56: BO packet (get system information) from 195.29.231.88 (al1-p88-zg.tel.hr) Za one koji još nemaju najnovije AntiVirus programe, evo i uputstva kako i ručno da provere da li su 'zaraženi': 1. Proveriti da li u Windows\System direktorijumu postoji fajl .exe (space tačka exe). Ovo je originalni naziv, ali on mo?e biti promenjen. 2. Startovati regedit i u ključu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices videti koji se programi startuju. Naročito je sumnjiv pomenuti .exe 3. Ko ima Windows 98 neka startuje Start-Programs-Accessories-System tools- System Information, pa zatim izabere System Configuration Utility. Na kartici Startup se vide svi programi koji se automatski startuju pri dizanju OS-a, pa samim tim i .exe ili neki drugi sumnjivi fajl. nobo.zip

virusi.616 miskop, 07 Nov 98

Uz poruku je dokumentacija o BackOrifice-u u HTML obliku. Pokre- nuti bo.html. Ovde ćete naći kako je nastao BO, šta radi, kako se detektuje na sistemu, kako se uklanja. Download obavezan! bo.zip

virusi.617 banga, 07 Nov 98 -> #615, miskop

> Upozoravaju se svi koji su na mail dobili poruku od izvesnog > Nikole Simića koji nudi komponente. Uz mail je zakačen i fajl > "komponente.exe". Fajl Zar nije bio katalog.exe, oko 300kB ? > programe. Moja preporuka je AntiViiral Toolit Pro sa update-om > od 31.10, a njega možete da skinete sa www.avp.com. Ok imam dotičnu verziju pod NT: Znam da detektuje BO, ali da li detektuje i mutante kao što je verovatno NetBus ? Koliko znam BO se instalira samo pod W9x, a za NetBus čini mi se da sam pročitao da ide i na NT. Kod njega se servisi drukčije startuju u registry-ju nego kod W9x, pa sledi pitanje za NT. Gde se kod NT zavuče u registry ?

virusi.618 obren, 08 Nov 98 -> #615, miskop

> Poslednjih par dana se digla frka na Pro-u o virusu, tj. trojancu > BackOrifice-u. Kao prvo: Frka traje već mesecima širom sveta, samo što je izgleda sa malim zakašnjenjem stigla i ovde. Inače vrlo detaljan prikaz trojanca "Back Oriffice", kao i diskusija o načinu zaraze, simptomima i otklanjanju sa računara, mogao se i još uvek se može naći u oktobarskom broju "Računara" (broj 140). U trenutku kada sam ispitivao program i pisao članak, ni jedan AV program nije detektovao Back Oriffice, ali trenutno ga sigurno detektuje (bar) AVP tako da preporučujem svima da nabave neki noviji antivirusni softver. BTW, izgleda da je tekst, iako pisan s najboljom namerom da upozori na opasnost, delimično poslužio i kao ideja raznoj dečurliji da skinu sa Interneta "Back Oriffice" i da se zabavljaju... :( > Postoje programi, tzv. lovci na BO pakete. Jedan od njih je NOBO > program, koji kad se pokrene non-stop 'prisluškuje' da li neko pokusava > da upadne na računar i ako se tako nešto desi, on vas upozori i odmah > šalje kontru nepoželjnom posetiocu. ;) Kako se snalazi NOBO ako je promenjen UDP port za komunikaciju, sa default vrednosti 31337? Da li hvata i takve napade? > BO packet (get system information) from 195.29.231.88 (al1-p88-zg.tel.hr) ^^^^^^^^^^^^^^^^^ Gde te nađe baš Hrvat... ;))

virusi.619 banga, 08 Nov 98 -> #618, obren

> Kako se snalazi NOBO ako je promenjen UDP port za komunikaciju, > sa default vrednosti 31337? Da li hvata i takve napade? Jedino ako mu promeniš ručno default, što je i logično jer bi u protivnom ometao normalne servise koji idu preko UDP >> BO packet (get system information) from 195.29.231.88 >> (al1-p88-zg.tel.hr) > Gde te nađe baš Hrvat... ;)) Koliko sam primetio u poslednja 2 dana napadi dolaze isključivo iz Zagreba i Beograda (Eunet, Beotel i SezamPro). Ko kaže da Tuđman i Milošević nisu u vezi ;)

virusi.620 miskop, 08 Nov 98 -> #617, banga

>> Zar nije bio katalog.exe, oko 300kB ? Jeste, moja greška. ;(

virusi.621 miskop, 08 Nov 98 -> #618, obren

>>> BO packet (get system information) from 195.29.231.88 (al1-p88-zg.tel.hr) >> ^^^^^^^^^^^^^^^^^ >> Gde te nađe baš Hrvat... ;)) Aaaaaaa, oni su možda čak i najbrojniji. ;) Za njima je odma' beotel, pa sezampro i eunet. Inače, ko bude registrovao BO 'napad', neka odmah šalje poruku na abuse@eunet.yu abuse@beotel.yu abuse@sezampro.yu u zavisnosti sa kog naloga je došao 'napad'. Na Pro-u su već vi- dljivi rezultati jer je par naloga (koji su inače bili provaljeni, baš uz pomoć BackOrifice-a) već blokirano. Takođe preporučujem i neki od Nuke programa, da i vi uzvratite silom. ;)

virusi.622 djlucky, 08 Nov 98

Pozdrav svima, preuzeo sam nobo i stoji port 31337. Da li ce ovo sa ovim portom da sljaka ili moram da menjam port? Nisam bas nesto upucen! Inace moj "drug" je bas preuzeo neki program sa neta kojim moze valjda da koristi taj BO ili slicno i za svaki slucaj bi da nadjem taj nuke da ga malo sredim :) Pa ajde reknite koji je taj nuke program i gde da ga nadjem? E da na AVP.com ima anti virusa ali je sve to za 30 dana upotrebe itd. Da li negde ima da se uzme pa da sluzi "za uvek" ? Pozdrav! p.s.A ja uplacujem na Beotelu kad tamo najvise zaludnih usera!

virusi.623 the.edge, 08 Nov 98 -> #621, miskop

Imas li ti neki Nuke program i na koji princip radi? Rado bih ga probao. ;) AcCeSS DeNiED

virusi.624 saint, 09 Nov 98 -> #621, miskop

=> Takode preporucujem i neki od Nuke programa, da i vi uzvratite => silom. ;) Zar u Win98-ici nije popravljena greska koja je omogucavala Nukovanje?

virusi.625 obren, 09 Nov 98 -> #617, banga

> Ok imam dotičnu verziju pod NT: Znam da detektuje BO, ali da li > detektuje i mutante kao što je verovatno NetBus ? Danas sam bio na www.avp.com i kažu da program detektuje i NetBus, koji uzgred nije mutant BO-a, već potpuno novi program (doduše "vrlo istih" mogućnosti kao i Back Orifice) koji radi i pod NT-om. Ipak, rekao bih da je Back Orifice za red veličine "popularniji" među hakerima. > Koliko znam BO se instalira samo pod W9x, a za NetBus čini mi se da sam > pročitao da ide i na NT. Kod njega se servisi drukčije startuju u > registry-ju nego kod W9x, pa sledi pitanje za NT. Gde se kod NT zavuče > u registry ? U ključ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fajl se obično zove 'patch.exe' ili 'SysEdit.exe', ali naravno možeš da proveriš i sve druge instance koje deluju sumnjivo, mada je lakše poterati AVP da on to pregleda, naročito kad ga već imaš :) Takođe, port za komunikaciju je 12345 i ne može se konfigurisati, pa se može iskoristiti komanda "netstat -an" i proveriti da li se dotični port pominje u listi dok ste na vezi. Za kraj, uz poruku je program sličan onom NOBO-u, samo za NetBus. Zove se "NetBuster" a u arhivi je i nekoliko screenshot-ova programa koji demonstriraju "cake" kojima ovaj defender raspolaže. netbustr.zip

virusi.626 djlucky, 09 Nov 98

Pozdrav, posto mi je neko poslao bo paketice shvatio sam da NOBO radi (al sam pametan a? ;) .Paketic je stigao sa Euneta cisto ako neko hoce da zna! E sad da li ja nesto mogu da uradim povodom toga i da saznam ko je to stvarno jer IP broj mi ne znaci bas puno! Inace sva pitanja iz prethoden poruke koju sam poslao su i dalje aktuelna..............Ajde vi sto znate o ovom virusu nesto pisite! Pozdrav

virusi.627 miskop, 09 Nov 98 -> #623, the.edge

>> Imas li ti neki Nuke program i na koji princip radi? Rado bih ga probao. Imam par komada i okačiću ih koliko danas-sutra. Princip je krajnje jednostavan - Ukucaš (pejstuješ) neku IP adresu i gotova stvar. Tip sa te adrese je mrtav - pukne mu veza, krahira računar, a ti samo nakriviš kapu. ;) Naravno, samo ako on sa druge strane nema neku zaštitu.

virusi.628 miskop, 09 Nov 98 -> #624, saint

>> Zar u Win98-ici nije popravljena greska koja je omogucavala >> Nukovanje? Ne znam, ali da je to onemogućeno, ne bi moglo ni pingovanje da se radi, tj. napad BO paketima...?

virusi.629 miskop, 09 Nov 98 -> #622, djlucky

>> preuzeo sam nobo i stoji port 31337. >> Da li ce ovo sa ovim portom da sljaka ili moram da menjam port? To je OK.

virusi.630 miskop, 09 Nov 98 -> #625, obren

>> Za kraj, uz poruku je program sličan onom NOBO-u, samo za NetBus. Zove >> se "NetBuster" a u arhivi je i nekoliko screenshot-ova programa koji >> demonstriraju "cake" kojima ovaj defender raspolaže. Koja je verzija u pitanju? Imam v1.12 pa ako je to to, da ne skidam džabe. ;)

virusi.631 miskop, 09 Nov 98 -> #626, djlucky

>> posto mi je neko poslao bo paketice shvatio sam da NOBO radi (al >> sam pametan a? ;) .Paketic je stigao sa Euneta cisto ako neko hoce >> da zna! >> E sad da li ja nesto mogu da uradim povodom toga i da saznam ko je >> to stvarno jer IP broj mi ne znaci bas puno! Ti lično ne možeš ništa, ali kao što sam ranije napisao, pošalji mail na abuse@eunet.yu i navedi IP broj sa kog ti je stigao BO paket i uljez će biti 'smaknut', najverovatnije. >> Inace sva pitanja iz prethoden poruke koju sam poslao su i dalje >> aktuelna..............Ajde vi sto znate o ovom virusu nesto pisite! Uz poruku 6.616 sam okačio sve najbitnije o BO-u. Skini to i lepo se 'informiši' o svemu. ;)

virusi.632 miskop, 09 Nov 98

Central Command announces the discovery of the first HTML virus. Central Command, the US and Canada Distributor of AntiViral Toolkit Pro today announced that detection and removal of the worlds first HTML virus has been added to AntiViral Toolkit Pro. "Recently we have seen a shift in virus writing. The virus authors are focusing on the World Wide Web as a means of infecting unsuspecting users. With the discovery of WinScript.Rabbit last week and today HTML.Internal we are seeing a changing virus development strategy." Said Keith Peer, President of Central Command. This new virus searches for HTML files on local hard disks and infects them. To replicate itself the virus uses inline script routines written in Visual Basic. The virus will replicate only if the browser security settings allows script routines to access disk files. The header of infected HTML file contains the reference for a script which is the viruses main routine that is executed automatically when a browser accesses the infected file. The virus searches for all *.HTM and *.HTML files in the current and all parent directories and infects them. While infecting the virus moves the file down and writes itself to the beginning of the file without any damage for the host file data. The virus header contains the text ID-line: <html> <!--1nternal--> After infecting the virus displays the text to the Windows status bar: HTML.Prepend /1nternal Detection and removal of HTML.Internal is available in the latest version of AntiViral Toolkit Pro released on November 8, 1998. Central Command has made time limited fully functional evaluation versions of AntiViral Toolkit Pro available on it's web site at http://www.avp.com. About Central Command: Central Command Inc. is a privately held international company headquarters in Brunswick, Ohio, USA. Founded in 1990, the company specialized in anti virus protection products and focuses on serving the industrial market place, government, financial, educational institutions, and service industries. For more information about Central Command Inc. visit our web site at http://www.avp.com or contact Renee Barnhardt at renee@avp.com or (330) 723-2062.

virusi.633 obren, 09 Nov 98 -> #630, miskop

> Koja je verzija u pitanju? Imam v1.12 pa ako je to to, da ne skidam džabe. ;) Da, baš ta verzija je u pitanju.

virusi.634 obren, 09 Nov 98 -> #628, miskop

> >> Zar u Win98-ici nije popravljena greska koja je omogucavala > >> Nukovanje? > > Ne znam, ali da je to onemogućeno, ne bi moglo ni pingovanje > da se radi, tj. napad BO paketima...? Pogrešno - sve sigurnosne rupe na koje se oslanjaju razni Nuke, TearDrop i sl. programi, posledica su nemogućnosti operativnog sistema (naravno usled baga) da se izbori sa nekim nepredviđenim situacijama, poput neregularnog opsega (WinNuke) ili preklapajućih IP paketa od kojih se formira IP datagram (u slučaju programa Teardrop). Dakle, ne radi se o pristupu nekim "zabranjenim" portovima, već slanju "zabranjenih" podataka na njih. Operativni sistem bi morao da preživi sve podatke koji stižu do njega sa Interneta, pa makar ih i ignorisao kao da nisu ni stigli. Naravno, neka budala uvek može da nas "poplavi" sa megabajtom gluposti koji će da nas ometa u radu zagušenjem korisnog protoka, ali sam OS ne bi smeo da skikne zbog toga (plavi ekran i sl.) Slikovito rečeno, digitron ne sme da crkne zato što si ti pokušao da deliš sa nulom, već bi trebalo samo da prijavi odgovarajuću grešku. Nisam probao WinNuke i TearDrop na Windowsu 98 (imam ih negde narezane sigurno, ali mrzi me da prekopavam po diskovima), ali bilo bi idiotski da Microsoft nije ispravio bagove koji su poznati već više od godinu dana. Izašle su svojevremeno zakrpe za WinNuke i TearDrop, kako za Win95 tako i za WinNT, pa bi bilo zaista čudno da nisu primenjene u slučaju Windowsa 98. No, ništa nas ne sme iznenaditi kad je Microsoft u pitanju! ;)

virusi.635 dr.iivan, 10 Nov 98 -> #619, banga

> > Kako se snalazi NOBO ako je promenjen UDP port za komunikaciju, > > sa default vrednosti 31337? Da li hvata i takve napade? > > Jedino ako mu promeniš ručno default, što je i logično jer bi u > protivnom ometao normalne servise koji idu preko UDP A koji servisi idu preko tog porta?

virusi.636 dr.iivan, 10 Nov 98 -> #625, obren

> Takođe, port za komunikaciju je 12345 i ne može se konfigurisati, pa se > može iskoristiti komanda "netstat -an" i proveriti da li se dotični port > pominje u listi dok ste na vezi. A zar neki firewall program ne rešava stvar? Samo se zatvori dotični port.