Slashdot - Napadi na nič hudega sluteče uporabnike preko programov/servisov za hitro sporočanje, niso nič novega, vendar pa je nov napad, ki ga preko Yahoo! Messengerja izvaja črv, poimenovan yhoo32.explr, nekaj posebnega. Kaj torej počne?
Črv po okužbi nekega računalnika avtomatsko razpošlje vsem kontaktom URL, na katerem se nahaja izvedljiva datoteka, ki nato na računalnik namesti spletni brskalnik, poimenovan precej ironično - Safety Browser. Ta "varni brskalnik" nato zamenja bližnjice do Internet Explorerja z lastnimi, pri čemer pa obdrži IE ikono. Brskalnik je sicer samo "shell" za IE pogon, ima pa privzeto vključene nekatere "zanimive" nastavitve, kot je recimo dovoljenje za odpiranje pop-up oken. Ob namestitvi uporabnika razveseli še glasba, ki se nato pojavlja v različno dolgih izvedbah ob vsakem zagonu računalnika. Brskalnik ugrabi domačo stran in jo nadomesti s stranjo, na kateri čaka nič hudega slutečega uporabnika zvrhana mera ostalih dobrot v obliki še več zle kode™. Podroben opis nadloge lahko najdete tukaj.
Novice » Varnost » "Safety browser" oziroma nov IM napad
TekO ::
^^ Link :
Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.
A link katerega ta črv pošilja naokol se pa nebi dalo dobit?
Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.
A link katerega ta črv pošilja naokol se pa nebi dalo dobit?
Ideas are bulletproof.
Izi ::
Hehe, vojna med Koreninarji in Upravniki
Mislim, da Koreninarji pišejo te črve, da bi uničili Upravnike
Mislim, da Koreninarji pišejo te črve, da bi uničili Upravnike
Izi ::
Tukaj imaš linke, ki pa ne delajo več (zaradi prevelikega navala ), sicer je pa vse delovalo, kot ponavadi, samo če si uporabljal stari dobri IE
Safety Browser (yhoo32.explr) Facetime
Also known as: yhoo32.explr Ysnd
This infection comes from a .COM file, which is launched from a rogue webpage (Lamanweb. com) when the user visits it using IE.
When run, files are then dropped in the infected PC's TEMP Folder and in a folder called YSND (hidden from view by default).
The infection is twofold - first, a rogue browsing application called "Power Browser" / "Safety Browser" is installed with no uninstall facility.
It also changes your homepage to Demoplanet.tv in IE, though this sometimes randomly changes to the Lamanweb website.
Music is also played on the infected PC every time it boots up. The Ysnd file recieves commands from an additional file on the PC to spam the Lamanweb link via Yahoo IM, normal web-based chat and also IRC.
This appears to be a re-worked and updated version of an older, existing piece of malware.
Translation:
Okužba prihaja od .COM datoteke, katera se zažene ob obisku strani (Lamanweb. com), če uporabnik uporablja IE.
Ko se zažene se datoteke prenesejo v začasno mapo okuženega PCja in v mapo imenovano YSND (ki je skrita).
Okužba je dvakratna - prvič, zlobna koda imenovana "Power Browser" / "Safety Browser" se instalira brez opcije uninstal.
Hkrati spremeni domačo stran IE-ja v Demoplanet.tv, včasih pa jo naključno spremeni tudi v Lamanweb-ovo stran.
Glasba se predvaja na okuženem PCju ob vsakem zagonu. Ysnd datoteka dobiva ukaze z dodatne datoteke na PCju, da naj "spama" Lamanwebovo povezavo prek Yahoo IM, prek normalnih mrežnih klepetalnic in tudi prek IRCja.
Izgleda, da je to predelana in posodobljena različica starejše že obstoječe zlobne kode.
Safety Browser (yhoo32.explr) Facetime
Also known as: yhoo32.explr Ysnd
This infection comes from a .COM file, which is launched from a rogue webpage (Lamanweb. com) when the user visits it using IE.
When run, files are then dropped in the infected PC's TEMP Folder and in a folder called YSND (hidden from view by default).
The infection is twofold - first, a rogue browsing application called "Power Browser" / "Safety Browser" is installed with no uninstall facility.
It also changes your homepage to Demoplanet.tv in IE, though this sometimes randomly changes to the Lamanweb website.
Music is also played on the infected PC every time it boots up. The Ysnd file recieves commands from an additional file on the PC to spam the Lamanweb link via Yahoo IM, normal web-based chat and also IRC.
This appears to be a re-worked and updated version of an older, existing piece of malware.
Translation:
Okužba prihaja od .COM datoteke, katera se zažene ob obisku strani (Lamanweb. com), če uporabnik uporablja IE.
Ko se zažene se datoteke prenesejo v začasno mapo okuženega PCja in v mapo imenovano YSND (ki je skrita).
Okužba je dvakratna - prvič, zlobna koda imenovana "Power Browser" / "Safety Browser" se instalira brez opcije uninstal.
Hkrati spremeni domačo stran IE-ja v Demoplanet.tv, včasih pa jo naključno spremeni tudi v Lamanweb-ovo stran.
Glasba se predvaja na okuženem PCju ob vsakem zagonu. Ysnd datoteka dobiva ukaze z dodatne datoteke na PCju, da naj "spama" Lamanwebovo povezavo prek Yahoo IM, prek normalnih mrežnih klepetalnic in tudi prek IRCja.
Izgleda, da je to predelana in posodobljena različica starejše že obstoječe zlobne kode.
MrStein ::
Okužba prihaja od .COM datoteke, katera se zažene ob obisku strani (Lamanweb. com), če uporabnik uporablja IE.
A to gre za kako novo (staro) luknjo v IE ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Zla programska oprema tudi na macihOddelek: Novice / Varnost | 11383 (9330) | bluefish |
» | Slovenija: Firefox prevzel vodstvo (strani: 1 2 3 )Oddelek: Novice / Brskalniki | 19589 (13604) | poweroff |
» | Nenehni napadi na porte (strani: 1 2 3 )Oddelek: Informacijska varnost | 22269 (18743) | Jst |
» | Nov napad na Firefox: Firefox ne zagotavlja anonimnostiOddelek: Novice / Varnost | 6146 (4086) | Matevžk |
» | Firefox z napako (strani: 1 2 3 )Oddelek: Novice / Varnost | 14854 (11051) | veteran |