ВИРУС!!! Читать всем!!! Опции

[FUriCK]

Источник =http://www.livejournal.com/users/olegart/33500.html

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка
( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp ,
два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:
[img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img]

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ .
Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html .

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.