СообЧа > База Знаний > Вирусы и антивирусы

Вопрос

Проблема такова: Буквально каждый день приходит по 2-3 вируса I-Worm.Klez.E. Самое интересное что приходят чаще всего с моего (!) же адреса мне же. У меня вирусов нету. Отправка я так понял идет (по заголовку) с mail.ru-сервера. Как мне можно вычеслить и остановить такие вот вирусы?

Ответ

То, что вирусы приходят как бы от вас — не удивительно, ведь вирус сам прописывает поле От и Кому (а также Ответ). Вирус этот рассылает себя всем, кого он найдет в адресной книге. Видимо, вам он приходит от тех ваших друзей и знакомых (или просто людей, у которых есть ваш адрес), кто пользуется Outlook.

Мне вот тоже сегодня пришел очередной Klez, но я это обнаруживаю так: если Бат показывает, что у меня в ящике, допустим, 9 писем и их размер — 180 килобайт, я сразу же включаю Диспетчер писем (Свойства ящика — Специальное) и ищу самое большое письмо. Если размер этого письма где-то 120-140 килобайт, его тема какая-то дурацкая (типа Re--align, Border, Money, …) и к тому же отправлено не на мое имя, то я его и не думаю принимать.

Обнаружить, от кого, можно так — (для этого придется принять письмо) смотрите заголовок сообщения и ищете самую последнюю надпись Recieved From (на самом деле самая последняя приписывается самым первым почтовым сервером, который получил сообщение, т.е. от отправителя). После нее в квадратных [] скобках должен быть указан IP-адрес отправителя. Если после этого в скобках стоит что-то на подобие этого (helo Adfeorf), т.е. случайный набор символов — подздравляю! — вы нашли IP-адрес отправителя этого сообщения. Если это было недавно (от нескольких минут — нескольких часо назад), то у вас есть шанс, что он все еще в онлайне. Время отправки тоже всегда пишется в заголовке сообщения.

С IP-адресом можно сделать многое — узнать, какая операционка, подвесить комп, просканировать порты и расшаренные ресурсы и, самое главное, узнать номер телефона! Но последнее и самое ценное содержится только в логах провайдера и если у вас есть доступ к этим ресурсам (т.е. вы взломали провайдера), то можете узнать телефон.

НО не спешите делать гадости по 2-м причинам:
IP-адреса сейчас динамические и, как как-то было написано в ][акере, вчера этот адрес был у вашего сопливого соседа, а сегодня он у президента;
пользователь может не подозревать о том, что у него вирус, и это может быть ваш хороший друг.

А вообще меня тоже достали эти Клезы и надо было мне делать ящик на сервере, где есть антивирус, например Land.Ru.

******

Никаких проблем с I-Worm.Klez-a..h и некоторых других модификаций. Как известно, вирус использует дырку в IE (и соответственно OE) версий 5.5 и ниже (IFrame). Проще всего — поставить версию 6 RUS, тем более что лежит эта версия сейчас буквально на каждом шагу, ну а если брать все же версию 5.5, то на сайте Антивирусной лаборатории Касперского лежит заплатка, которая закрывает эту брешь. Если же вам «повезло» подцепить эту ужасно навязчиваю гадость, то не надейтесь на Dr.Web или AVP — по опыту (моему, по крайней мере) — официальные (честно купленные) новые версии этих антивирусов не смогли обнаружить активного червя на моей машине, но зато при сохранении вложения на диск и дальнейшей проверки их на Rambler-е в разделе «Антивирус» тот же AVP спокойно определяет зараженный файл.

Кроме того, на сайте Лаборатории Касперского лежит утилита, которая довольно безболезненно удаляет червя с вашей машины (в том числе останавливает активные процессы самого червя). Адрес — http://www.kaspersky.ru/support.html или
http://www.dj-sedoy.pisem.net в разделе Soft — для Интернет.



Copyright © 2000-2004 Сообщество Чайников
Контактная информация