ВИРУС!!! Читать всем!!! |
Здравствуйте, гость ( Вход | Регистрация )
ВИРУС!!! Читать всем!!! |
FUriCK |
12.08.2003 - 18:01
Сообщение
#1
|
Silver Member Группа: VIP Сообщений: 314 Регистрация: 20.06.2002 Из: Dnepropetrovsk Пользователь №: 197 |
Источник =http://www.livejournal.com/users/olegart/33500.html
Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка ( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу. Выглядеть атака будет, например, вот так: [img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img] Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ . Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется. Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их. Таким образом, началась настоящая пьянка - эпидемия очередного червя. Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших. Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все. Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html . Кто не спрятался - я не виноват. Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя. |
-------------------- P.S. Сорри за опоздание. :*)
|
|
Will |
1.03.2004 - 07:44
Сообщение
#76
|
Novice Группа: Пoльзователь Сообщений: 16 Регистрация: 13.01.2003 Пользователь №: 4847 |
А для обнаружения и лечения Worm.Win32.Bizex уже есть какая-либо небольшая утилита или ещё нет? а-то подозреваю, что я мог попасться ... по крайней мере ссылку эту злосчастную нажал по неосторожности ... правда у меня Trillian стоит ... может пронесёт ... но всё равно, как только кто-нить найдёт лекарство от этого червячка не затруднитесь тут маякнуть ... плизззз
Всем УДАЧИ! Will |
Andrey1980 |
3.03.2004 - 09:22
Сообщение
#77
|
Full Member Группа: Full member Сообщений: 76 Регистрация: 15.03.2003 Пользователь №: 8226 |
To ALL
Вчера мне пришло по почте письмо, содержащее файл your_letter.pif (17,4 КБ). Я его запустил: 1. ZoneAlarm Pro сразу сказал, что этот гад хочет в инет - я запретил. 2. Диспетчер устройств показывал, что winlogon.exe и одна из копий svchost.exe отнимают порядка по 50-60% процессорной мощности. 3. В разделе "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" появилась запись "ICQ Net" со значением "C:\WINNT\system32\winlogon.exe -stealth". 4. При запуске DrWeb ужасно тормозил. Мои действия: 1. Выгрузил процесс процесс your_letter.pif. 2. Удалил ключ реестра "ICQ Net" (см. выше). 3. Перезапустил комп - тормоза исчезли, подозрительных процессов нет. 4. DrWeb/Spider 4.31a от 25.02.2004 ничего не сказали по поводу гада your_letter.pif. А вот после обновления баз DrWeb сказал, что - это Win32.HLLM.Netsky.based и предложил лечить его - и удалил (видимо, это троян). Кто скажет, что же это за новый гаденыш Win32.HLLM.Netsky.based, и каковы его деструктивные действия? Надо ли еще как-нибудь почистить от него машину? P.S. ОС - Win2000 Pro SP4 Сообщение было отредактировано Andrey1980: 3.03.2004 - 09:24 |
MJK |
3.03.2004 - 09:55
Сообщение
#78
|
Full Member Группа: Full member Сообщений: 144 Регистрация: 5.11.2003 Из: Нижний Новгород Пользователь №: 21684 |
Andrey1980
посмотри: _http://www.drweb-online.com/en/vstat.php (когда я смотрел, Win32.HLLM.Netsky.based лидировал) |
-------------------- Желай невозможного - достигнешь максимума /Наполеон/
|
|
The Undertaker |
3.03.2004 - 14:12
Сообщение
#79
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
мазохист? :rofl:
|
-------------------- \o/
|
|
SergeyKa |
4.03.2004 - 17:06
Сообщение
#80
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Только что получил новое письмо. Прикреплен архив. В теле письма пароль к архиву. В архиве вирус...
Это что? Новая фишка? |
Val14 |
4.03.2004 - 17:46
Сообщение
#81
|
DIGGER Группа: Старейшины Сообщений: 1884 Регистрация: 29.07.2002 Из: Москва Пользователь №: 541 |
W32.Beagle.J@mm
Discovered on: March 02, 2004 Last Updated on: March 03, 2004 04:00:09 PM Info _http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.j@mm.html removal tool _http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm.removal.tool.html |
Aragorn |
5.03.2004 - 01:46
Сообщение
#82
|
Stranger in a Strange Land Группа: Старейшины Сообщений: 834 Регистрация: 6.07.2003 Из: Riga,Latvija Пользователь №: 12723 |
С каждым днем все хуже ;)
В интернете разгорается война вирусописателей Всего за 3 часа 3 марта 2004 г. «Лаборатория Касперского» зафиксировала появление сразу 5 новых модификаций печально известных вредоносных программ «Bagle» (версии I, J), «Mydoom» (версии F, G) и «Netsky» (версия F). Ситуация усугубляется тем, что на данный момент уже зафиксированы массовые случаи заражения этими вредоносными программами. «Лаборатория Касперского» уже выпустила обновление базы данных, защищающее от данных червей. Вместе с тем, заслуживает отдельного внимания война, которая разгорается между тремя группировками кибер-преступников — создателей «Netsky» с одной стороны, и «Mydoom» и «Bagle» с другой. В частности, каждая новая модификация червей несет в себе очередное послание к противостоящей группировке, изобилующее нецензурными выражениями: «Netsky.C» we are the skynet — you can’t hide yourself! — we kill malware writers (they have no chance!) — [LaMeRz->]MyDoom.F is a thief of our idea! — -< SkyNet AV vs. Malware >- ->-> «Netsky.F» Skynet AntiVirus — Bagle — you are a looser!!!! С другой линии фронта поступают ответные «реверансы»: «Mydoom.F» to netsky’s creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app. «Bagle.I» Hey, NetSky, fuck off you bitch, don’t ruine our bussiness, wanna start a war ? «Bagle.J» Hey, NetSky, f*** off you bitch! Следует также заметить, что черви семейства Netsky в случае обнаружения на инфицированной машине какой-либо модификации Mydoom пытаются удалить данную вредоносную программу, внося соответствующие изменения в реестр. kaspersky.ru komputerra.ru |
Warmonger |
7.03.2004 - 19:28
Сообщение
#83
|
JUST KIDDIN' Группа: Старейшины Сообщений: 213 Регистрация: 16.06.2002 Из: Mockbа Пользователь №: 566 |
Утилитка по удалению I-Worm.Bagle.A/C/D/E/F/G для W95/98/Me/NT/2000/XP/2003
http://www.sophos.com/support/cleaners/baglegui.com Подробности тут: http://www.sophos.com/support/disinfection/baglea.html Цитата Версии Bagle.F, Bagle.G и Bagle.H способны обмануть многие антивирусные пакеты за счет использования оригинальной схемы формирования зараженного сообщения. В частности, вредоносный код помещается в zip-файл, защищенный паролем. Антивирусные программы не способны распаковать такой архив и, как правило, пропускают сообщение. Вместе с тем, сам пароль включен в тело письма, так что пользователь может без особых проблем просмотреть содержимое архива. В коде всех обнаруженных модификаций прописана функция самоуничтожения, которая должна активироваться после 25 марта 2005 года. т.е. теоретически мжно вылечить комп, просто переставив дату вперед.. (IMG:style_emoticons/bfz/cranky.gif) |
-------------------- i'll be back!
|
|
Andrey1980 |
26.03.2004 - 14:05
Сообщение
#84
|
Full Member Группа: Full member Сообщений: 76 Регистрация: 15.03.2003 Пользователь №: 8226 |
To ALL!
Некоторое время назад у меня при посещении инета стали появляться ссобщения следующего вида (см. вложенный файл). А сейчас в подобном сообщении (см. вложенный файл) написано, типа, сходите на наш сайт, расскажем, как от них избавиться. Dr.Web & Ad-Aware молчат. Я отключил Службу сообщений Windows 2000. Поможет? Эскизы прикрепленных изображений |
drSAB |
3.05.2004 - 02:58
Сообщение
#85
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
Microsoft Sasser.A & .B Worm Removal Tool
(KB841720) Цитата Author: Microsoft License: Freeware Requires: Win All A situation has been identified where the Sasser.A or Sasser.B worms could have infected some systems before the application of MS04-011 [KB835732]. This tool will help remove the Sasser.A and Sasser.B worms from these systems. For systems with MS04-011 [KB835732], no further action is needed once this tool is installed. Install this tool to help remove this worm from your PC =>http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU.exe Last-Modified: 02 May 2004 04:22:13 GMT Content-Length: 340,776 |
jagular |
3.05.2004 - 11:14
Сообщение
#86
|
Full Member Группа: Full member Сообщений: 69 Регистрация: 29.01.2004 Из: Spb Пользователь №: 31900 |
А как его Dr.Web обзывает ?
|
-------------------- "Умение признавать свои ошибки делает нас сильными!"
|
|
Nickmaster1 |
3.05.2004 - 17:19
Сообщение
#87
|
Novice Группа: Пoльзователь Сообщений: 4 Регистрация: 27.02.2004 Пользователь №: 36927 |
Цитата(Andrey1980 @ 26.03.2004 - 14:05) To ALL! Некоторое время назад у меня при посещении инета стали появляться ссобщения следующего вида (см. вложенный файл). А сейчас в подобном сообщении (см. вложенный файл) написано, типа, сходите на наш сайт, расскажем, как от них избавиться. Dr.Web & Ad-Aware молчат. Я отключил Службу сообщений Windows 2000. Поможет? И у меня такая же проблема! Ребят, что никто не знает как помочь? |
drSAB |
3.05.2004 - 21:49
Сообщение
#88
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
Nickmaster1
Andrey1980 попробуйте SpyRemover он, даже если триальный их находит, ...но не удаляет |
FUriCK |
5.05.2004 - 12:05
Сообщение
#89
|
Silver Member Группа: VIP Сообщений: 314 Регистрация: 20.06.2002 Из: Dnepropetrovsk Пользователь №: 197 |
Источник:
URL=http://itc.ua/article.phtml?ID=17094&sb=news Новый опасный "червь" Sasser поразил сотни тысяч компьютеров во всем мире, хотя точные масштабы эпидемии пока неизвестны. Эта программа не требует активации двойным щелчком на вложении в сообщение электронной почты и может захватывать ПК даже в отсутствие их пользователей, вызывая повторные перезагрузки машины. Инфицированные компьютеры пытаются сканировать различные IP-адреса в поисках уязвимых систем и открывают TCP-порты 5554 и 9996. Sasser, созданный, как предполагают, в России, по мнению экспертов, сравним по разрушительному потенциалу с вирусом Blaster, за информацию об авторе которого Microsoft предложила 250 тыс. долл. Он появился спустя 18 дней после того, как Microsoft опубликовала программный патч MS04-011, устраняющий недоработку в LSASS.exe (Local Security Authority Server Service), позволяющую Sasser использовать переполнение буфера для проникновения в систему Windows. Компания объявила о выходе дополнительного средства, предназначенного для удаления как Sasser.A, так и его новой разновидности Sasser.B из систем Windows 2000, Windows XP, в случае если они были заражены перед установкой MS04-011. RemovalTool(Eng): www.microsoft.com/downloads/details.aspx?familyid=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&displaylang=en. Patches: URL=http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx Сообщение было отредактировано drSAB: 6.05.2004 - 01:58 |
-------------------- P.S. Сорри за опоздание. :*)
|
|
drSAB |
6.05.2004 - 01:54
Сообщение
#90
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
FUriCK
1. Прямые линки на форуме не допускаются!! 2. Посмотри сообщение выше (drSAB @ 3.05.2004 - 02:58 ) Microsoft Sasser.A & .B Worm Removal Tool v2.0 =>http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V2.exe Last-Modified: 04 May 2004 18:39:14 GMT ---------------------------------------- Symantec W32.Sasser Removal Tool 1.03 Size: 149 Kb License: Freeware Requires: Win XP/2K Цитата Symantec Security Response has developed a removal tool to clean the infections of the following variants of the W32.Sasser worm: W32.Sasser.Worm, W32.Sasser.B.Worm, W32.Sasser.C.Worm, W32.Sasser.D.Worm. =>http://securityresponse.symantec.com/avcenter/FxSasser.exe Last-Modified: Mon, 03 May 2004 20:36:26 GMT |
FUriCK |
6.05.2004 - 10:25
Сообщение
#91
|
Silver Member Группа: VIP Сообщений: 314 Регистрация: 20.06.2002 Из: Dnepropetrovsk Пользователь №: 197 |
Докторчик.... SAB'чик....
Ну, извини.... Искренне каюсь. На варез, на коммерческие проги и на кряки я никогда не давал прямых ссылок. Впредь обязуюсь коверкать ЛЮБЫЕ ссылки, которые я даю в постах. Честно. Да поможет мне F1, во имя Ctrl, Alt и Del. Reset! |
-------------------- P.S. Сорри за опоздание. :*)
|
|
Gadfly |
10.05.2004 - 03:08
Сообщение
#92
|
Full Member Группа: Full member Сообщений: 67 Регистрация: 18.04.2003 Из: Украина, Днепропетровск Пользователь №: 10045 |
drSAB
то же самое сообщение, что и Nickmaster1 Andrey1980 Последний каспер и адавар не помогают. Чем эту гадость лучше убить?! |
-------------------- Aut vincere aut more |
|
drSAB |
10.05.2004 - 23:49
Сообщение
#93
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
Gadfly
А что у тебя за Windows?? попробуй проверить описанными здесь антивирусными утилитами ____________________________________________ Microsoft Sasser.A & .B Worm Removal Tool 3.0 Last-Modified: 09 May 2004 22:16:55 GMT Content-Length: 111,352 License: Freeware Requires: Win XP/2K http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V3.exe |
seba |
11.05.2004 - 08:26
Сообщение
#94
|
Full Member Группа: VIP Сообщений: 276 Регистрация: 2.12.2003 Пользователь №: 24735 |
Sasser отлично лечится Мелкософтовской утилей (по ссылке drSAB). И Симантековской тоже, но дольше.
|
-------------------- ::LavTeaM::.com
|
|
Gadfly |
11.05.2004 - 12:11
Сообщение
#95
|
Full Member Группа: Full member Сообщений: 67 Регистрация: 18.04.2003 Из: Украина, Днепропетровск Пользователь №: 10045 |
у меня xp eng corp с муишкой с сервис паком с самым последним автомат. обновлением на 9 мая этого года.
Спасибо. Вечером дома попробую мелкософтовскую утилиту. |
-------------------- Aut vincere aut more |
|
Galed |
11.05.2004 - 15:05
Сообщение
#96
|
Full Member Группа: Full member Сообщений: 137 Регистрация: 29.10.2002 Из: Россия Пользователь №: 1959 |
Пойман автор вируса Sasser - его "сдали" свои
Итак, как вам, наверное, хорошо известно, в пятницу был пойман автор семейства вирусов "Sasser" - некий 18-летний уроженец Германии, арестованный в окрестностях Ротенбурга, расположенного в северной части страны. Выйти на юношу помогли совместные действия ФБР, ЦРУ и корпорации Microsoft... Сразу после задержания был конфискованы компьютеры, диски, дискеты и прочие материалы, принадлежавшие или использовавшиеся юношей, который известен под инициалами Sven J. Сразу же была распространена информация о том, что все улики свидетельствуют о единоличной работе "Свена Джей" над червём Sasser, и, вероятнее всего, все остальные варианты "червя" - также работа исключительно его рук (правда, это предположение будет проверяться). Практически сразу же вирусописатель был отпущен под залог, и теперь ждёт рассмотрения своего дела, по которому ему "светит" до пяти лет тюрьмы... То, что вышеупомянутый Sven J. - настоящий автор вируса Sasser - ни у кого не вызывает сомнений. Всё дело в обстоятельствах процесса его идентификации. Парня "сдали" полиции некие лица, информация о которых не раскрывается. В среду, за два дня до ареста, некие жители Нижней Саксонии анонимно обратились в корпорацию Microsoft с целью обсуждения вопроса выплаты вознаграждения за предоставление информации об авторе вируса Sasser. Не мне рассказывать вам о финансовых возможностях корпорации Microsoft (ранее предлагавшей 250.000 долларов США за информацию об авторе того же "червя" Mydoom), поэтому неудивителен тот факт, что стороны быстро нашли общий язык, и уже через день хакер Sven J. был арестован... Представители Microsoft не скрывают, что "сдача" вирусописателя состоялась при посредстве лиц, знавших его лично или косвенно. Именно личное знакомство, а не анализ кода или другие технические аспекты явились источником информации об авторе вируса Sasser для людей, отправивших хакера на скамью подсудимых. Получается, люди просто заработали неплохие деньги... Есть ещё один важный аспект в деле об аресте "Свена Джей" - ряд экспертов предполагают наличие связи между волной прокатившихся заражений компьютерных систем "червями" Netsky и эпидемией, вызванной вирусом Sasser. Более того, некоторые источники уже поспешили связать "Свена Джей" с хакерской группировкой, стоящей за распространением червей семейства Netsky. Если эта информация является достоверной (а не липовой попыткой "пришить" лишнее дело пойманному хакеру), то можно поздравить правоохранительные органы, добившиеся значительного успеха. Ну а нам лишний раз стоит отметить себе основной путь успешной борьбы с организованной преступностью - воздействие на неё изнутри... |
-------------------- На работе всегда выкладывайтесь на 100%! 12% в понедельник, 23% во вторник, 40% в среду, 20% в четверг и 5% в пятницу!
|
|
Gadfly |
11.05.2004 - 23:09
Сообщение
#97
|
Full Member Группа: Full member Сообщений: 67 Регистрация: 18.04.2003 Из: Украина, Днепропетровск Пользователь №: 10045 |
drSAB
не помогло!!!!!! пишет что не детктид....... а эта дрянь выскакивает! может чем то ещё? |
-------------------- Aut vincere aut more |
|
The Undertaker |
11.05.2004 - 23:21
Сообщение
#98
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
жалко чела..
|
-------------------- \o/
|
|
drSAB |
12.05.2004 - 23:06
Сообщение
#99
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
Microsoft Sasser.A & .B Worm Removal Tool 4.0
Date: 11 May 2004 20:44:50 GMT Size: 115,960 (114 Kb) License: Freeware Requires: Win XP/2K Цитата This tool from Microsoft will help remove the Sasser.A and Sasser.B worms =>http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V4.exe |
Billard |
13.05.2004 - 00:08
Сообщение
#100
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
I-Worm.Wallon.a
Цитата "Лаборатория Касперского" сообщает об эпидемии обнаруженного в прошлую пятницу, 7 мая, интернет-червя I-Worm.Wallon.a. Червь распространяется по электронной почте в виде ссылки на зараженный веб-сайт. При обращении по данной ссылке происходит использование уязвимости в Internet Explorer в результате чего в системе исполняется скриптовый "троянец". Данная троянская программа извлекает из себя и перезаписывает файл "wmplayer.exe" (размер около 36 КБ, упакован ASPack) своим файлом, который является троянской программой класса Downloader. Данный файл загружает из интернета основной файл червя и устанавливает его в корневой каталог диска C: с именем "alpha.exe". "Троянец" изменяет стартовую страницу Internet Explorer на сайт www.google.com.super-fast-search.apsua.com. Также червь создает собственный toolbar в Internet Explorer. Червь рассылает письмо со ссылкой по всем адресам электронной почты, найденным в адресной книге MS Outlook на зараженной машине. Подробное описание I-Worm.Wallon.a опубликовано в "Вирусной энциклопедии": www.viruslist.com/viruslist.html?id=145142689 Процедуры защиты от I-Worm.Wallon.a были добавлены в базу данных Антивируса Касперского 7 мая. |
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 28.03.2024 - 22:40 |
|