Scob worm

[KeC]

V četrtek zvečer se je na nekaterih zelo obiskanih internetnih straneh pojavil nov črv imenovan Scob. Ko uporabnik obišče katero izmed teh strani ga na skrivaj preusmeri na rusko stran od koder se je na uporabnikov računalnik naložil črv. S črvom je možno pridobiti uporabnikova uporabniška imena, številke kreditnih kartic in podobno. Za sedaj je uspelo strokovnjakom zajeziti širjenje črva in tudi ukiniti omenjeno rusko stran. Pričakujejo pa možnost podobnih napadov v prihodnosti. Kako ugotoviti če ste okuženi s tem črvom zveste tukaj: http://www.microsoft.com/security/incident...nload_ject.mspx

Vsekakor priporočam vsem da si čimprej omislite kakšen firewall kajti tega sranja je počasi že preveč.

[Pervy]

torej opazil sem da mi se nonstop hoče na internet povezat program desktop.exe, ki sem ga blokiral z firewallom. malo sem brskal in ugotovil, da to naj nebi bil Win file ampak trojanec, verjetno Dansh-nekaj. preden zbrišem ta file (norton in ostali programi ne najdejo nič sumljivega), kakšnega toola itak nisem našel me zanima če ve kdo kaj več o tem?

v opisu piše tudi da naj bi bil povezan z filom lsasss.exe, ki laufa v ozadju. meni v ozadju laufa lsass.exe, ki pa se mi zdi da je tam že skoz.

jeb :angry: .. računalnike!!!!!!! :BUA:

[Pervy]

aja, vedno se poskuša desktop.exe povezat na en naslov, ko dam firewallu hacker ID pa mi napiše naslednje:

% This is the RIPE Whois server.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 193.189.160.0 - 193.189.163.255

netname: SIOL-NET

descr: SiOL d.o.o. - ISP in Slovenia

descr: Cigaletova 15

descr: 1000 Ljubljana, Slovenia

country: SI

admin-c: SIT111-RIPE

tech-c: SIT111-RIPE

rev-srv: taurus-1.siol.net

rev-srv: taurus-2.siol.net

status: ASSIGNED PA

remarks: -------------------------------------------------------

remarks: Please send abuse & spam notification to abuse@siol.net

remarks: -------------------------------------------------------

notify: vili.mozina@siol.net

mnt-by: AS5603-MNT

changed: sreta.maric@public1.noprmd.mail.si 19960412

changed: hostmaster@ripe.net 19960419

changed: tomaz@mail.siol.net 19960530

changed: jan.zorz@siol.net 19960725

changed: vili.mozina@siol.net 19990824

changed: vili.mozina@siol.net 20011113

changed: vili.mozina@siol.net 20011213

changed: vili.mozina@siol.net 20040109

source: RIPE

route: 193.189.160.0/19

descr: SiOL.SI, Provider Aggregated Block

descr: SiOL Internet d.o.o.

descr: Internet Service Provider in Slovenia

origin: AS5603

notify: vili.mozina@siol.net

mnt-by: AS5603-MNT

changed: vili.mozina@siol.net 20000818

source: RIPE

role: SiOL Internet Team - Ripe

address: SiOL d.o.o.

address: Cigaletova 15

address: 1000 Ljubljana

address: Slovenia

phone: +386-1-473-00-00

fax-no: +386-1-473-00-84

e-mail: ripe@siol.net

admin-c: VM439-RIPE

tech-c: MT1240-RIPE

nic-hdl: SIT111-RIPE

mnt-by: AS5603-MNT

changed: vili.mozina@siol.net 20040109

source: RIPE

predtem se mi je hotel povezati še en drug program, ki sem ga odstranil, ta se je hotel povezati na IP amadeja.si, ki je nek spleti iskalnik in podjetje.

WTF, nič ne razumem?

[hotschko]

desktop.exe sigurno ni del windowsov, ampak verjetno del legalno inštaliranega programa, ko si prišel na kakšen web page in te je vprašalo "do you want to ..." in si rekel "yes". Zelo pogosta reč.

1. poišči file desktop.exe na disku

2. preveri njegove lastnosti(properties) ... podjetje, interno ime, verzija ...

3. če ni konkretnih podatka, ki bi ti povedali kaj več o namenu datoteke, briši iz diska in registra

[Pervy]

hvala, zadevo sem killal v procesih in zbrisal, ni nobenega problema več. nevem kaj je blo sploh ampak sem bil tako razpizden da mi je blo vseeno. :P

[hotschko]

hvala, zadevo sem killal v procesih in zbrisal, ni nobenega problema več. nevem kaj je blo sploh ampak sem bil tako razpizden da mi je blo vseeno. :P

izbriši še vse pojavitve besedice desktop.exe iz registra ... ponavadi v ključih z imeni "Run" ali "RunService" ...