Кратко обобщение на признаците на email-ите,
генерирани от "модерните" червеи на 2004 г.
(и съдържащи ги!)
(базирано на описанията, получавани от антивирусните служби)
1. Полето "From" ("От") се генерира или се подставя (измежду реални адреси) от вируса.Ако сте получили писмо от някой от следните адреси:
administration@abv.bg
support@abv.bg
staff@abv.bg
management@abv.bg
noreply@abv.bg
със заглавие подобно на "Re: E-mail account disabling warning", не опитвайте да записвате и отваряте прикачения файл.
2. Полето "Subject" ("Относно") може да бъде СЪВСЕМ ПРАЗНО (!) или да е нещо такова (и по него най-лесно
се познава, че това е менте - внимателно с такива съобщения;
особено заблуждаващи са тези, белязани тук с жълт шрифт):
Accounts department
Ahtung!
believe me
Camila
Daily activity report
dear
Delivery Error
Delivery Failed
Delivery failure notice (ID-[случайно число])
denied!
error
exception
excuse me
fake
fake?
Flayers among us
Freedom for everyone
From Hair-cutter
From me
good morning
Greet the day
Hardware devices price-list
hello
Hello my friend
Here is it
hey
hi
Hi!
I'm back!
illegal...
important
Important bill!
Important data!
Important details!
Important document!
Important informations!
Important notice!
Important textfile!
Important!
info
information
Information
its me
Jenny
Jessica
last chance!
lol
Looking for the report
Mail Delivery System
Mail Transaction Failed
Maria
Melissa
moin
Monthly incomings summary
New Price-list
notice!
notification
Price
Price-list
Pricelist
private?
Proclivity to servitude
Question
question
re:
Re: <5664ddff?$???2>
Re: does it?
Re: E-mail account disabling warning
Re: excuse me
Re: hello
Re: hey
Re: hi
Re: important
Re: information
Re: Re: Re: Re:
Re: unknown
read it immediatelly
read it immediately
Registration confirmation
report
Returned mail
Server Report
something for you
Status
stolen
take it
The account
The employee
The summary
trust me
unknown
USA government abolishes the capital punishment
warning
Weekly activity report
Well...
what's up?
Yep
You are dismissed
You really love me? he he
you?
3. Тялото на съобщението или се генерира от вируса (понякога сглобено от случайно генерирани части), или той го подбира от вградения в него списък; може да е оставено съвсем празно или да е напр. някой от следните изрази:
* Error #804 occured during SMTP session. Partial message has been received.
* Mail transaction failed. Partial message is available.
* sendmail daemon reported:
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains MIME-encoded graphics and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* about me
* anything ok?
* do you?
* from the chatter
* greetings
* here
* here is the document.
* here it is
* here, the cheats
* here, the introduction
* here, the serials
* i found this document about you
* I have your password!
* i hope it is not true!
* i wait for a reply!
* i'm waiting
* information about you
* is that from you?
* is that true?
* is that your account?
* is that your name?
* kill the writer of this document!
* misc
* my hero
* ok
* read it immediately!
* read the details.
* reply
* see you
* something about you!
* something is fool
* something is going wrong
* something is going wrong!
* stuff about you?
* take it easy
* that is bad
* that's funny
* thats wrong
* what does it mean?
* why?
* yes, really?
* you are a bad writer
* you are bad
* you earn money
* you feel the same
* you try to steal
* your name is wrong
Съобщение от Netsky.y:
--- Mail Part Delivered ---
220 Welcome to
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Server Name] mx.mt2.kl.[случаен текст]
Exim Status OK.
[случайна дума] message is available.
4. Приложените файлове (attachments) са със случайни имена
и обикновено имат някое от следните разширения:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
(zip-архивите обикновено съдържат файлове
с горните окончания).
Особеност при Bagle.U:
Този вирус оставя празни тялото на съобщението и полето Subject.
При Netsky.y
приложеният файл се представя като Internet address, но всъщност е .COM-файл!
5. Действие.
Самоизпращат се на e-mail-адреси, които се съдържат в някои типове файлове, между тях .txt, .doc, .rtf, .html... Размножават се многократно в определени директории, напр. съдържащи в името си `share` или `sharing`. Освен това
следните файлове вероятно са създадени от вируси:
-
В директорията \Windows\System: shimgapi.exe и taskmon.exe.
- В директорията \Windows: PK_ZIP_ALG.log и PK_ZIP[случайно число].log, FirewallSvr.exe (това собствено е Netsky.y) и fuck_you_bagle.txt.
- В директорията C:\Program files\Kazaa\My Shared Folder (ако съществува) MyDoom добавя файла activation_crack.scr.
(Горе са указани типичните системни имена на съответните директории.)
6. Лечение.
- Microsoft поддържа инструменти за сканиране и изчистване online и offline. Най-добре е да се използва секцията "Critical Updates and Service Packs" в сайта `Windows Update` - инсталира се софтуер, който автоматично сканира и почиства компютъра.
- Panda предлага сканиране и дезинфекция чрез своите free online antivirus solution Panda ActiveScan and the free PQRemove utility.
