ВИРУС!!! Читать всем!!! |
Здравствуйте, гость ( Вход | Регистрация )
ВИРУС!!! Читать всем!!! |
FUriCK |
12.08.2003 - 18:01
Сообщение
#1
|
Silver Member Группа: VIP Сообщений: 314 Регистрация: 20.06.2002 Из: Dnepropetrovsk Пользователь №: 197 |
Источник =http://www.livejournal.com/users/olegart/33500.html
Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка ( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу. Выглядеть атака будет, например, вот так: [img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img] Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ . Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется. Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их. Таким образом, началась настоящая пьянка - эпидемия очередного червя. Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших. Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все. Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html . Кто не спрятался - я не виноват. Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя. |
-------------------- P.S. Сорри за опоздание. :*)
|
|
Sp0rtsteR |
13.08.2003 - 04:03
Сообщение
#2
|
gamez moder Группа: Старейшины Сообщений: 260 Регистрация: 22.12.2001 Пользователь №: 501 |
The ISS BlackICE™ PC Protection 3.6 cbr
"Хороший файрвол, в новой версии добавлена система обнаружения и защиты от атак типа Microsoft Windows DCOM RPCbuffer overflow." mazafaka.ru |
drSAB |
13.08.2003 - 04:20
Сообщение
#3
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
об этом также есть информация на
страничке "Вирусные новости" DSAV Цитата Название червя по классификации Dr.Web: Win32.HLLW.LoveSan.11296, другие его названия - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A . http://www.dialognauka.ru/inf/news.php?id=563 c припиской: Цитата Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч (ссылки на патч, соответствующий Вашей операционной системе, можно найти здесь: http://www.dialognauka.ru/inf/news.php?id=544 .) Червь определяется всеми антивирусными модулями Dr.Web® c 7:12 MSK 12 августа, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно. |
clever |
13.08.2003 - 06:18
Сообщение
#4
|
Full Member Группа: VIP Сообщений: 187 Регистрация: 16.06.2002 Пользователь №: 673 |
Или
Если вы не можете загрузить патч с сайта Microsoft, можно отключить службу DCOM и червь не сможет инфицировать компьютер. Для отключения DCOM вручную: 1. Запустите Dcomcnfg.exe 2. Выберите Component Services 3. Откройте папку Computers 4. Для локального компьютера, кликните правой кнопкой My Computer и выберите Properties 5. Выберите закладку Default Properties 6. Выключите переключатель Enable Distributed COM on this Computer 7. Нажмите Ок |
-------------------- Музыка может заменить два лекарства: снотворное - если это классика и рвотное - если современное.
|
|
Blackhawk |
13.08.2003 - 20:53
Сообщение
#5
|
-=СЕТЯНИН=- Группа: Старейшины Сообщений: 227 Регистрация: 9.06.2002 Из: Вселенная Пользователь №: 103 |
Ну вообще оборзели...сканять каждые 5 минут :( слава богу я вовсе оружии :)
[img]http://www.el-commerce.ru/fotki/scan.png[/img] |
-------------------- Ничто не является невозможным, пока ты на это не согласился!!!
|
|
malim |
13.08.2003 - 22:09
Сообщение
#6
|
Самый молодой :) Группа: Старейшины Сообщений: 512 Регистрация: 12.06.2002 Из: Канада Пользователь №: 825 |
[off]
Blackhawk А у тебя что за Firewall? /Moderation Mode Я тебе в ПМ ответил... Сообщение было отредактировано Blackhawk: 13.08.2003 - 22:55 |
Slider |
14.08.2003 - 04:56
Сообщение
#7
|
Гость |
Народ а как закрывать порты? У меня Outpost Firewall v 2.0.239 там я иду в ПАРАМЕТРЫ -> СИСТЕМНЫЕ -> изменение системных и применяемым ко всем приложениям правил -> ДОБАВИТЬ . А дальше "Удалённый порт" и "Локальный порт" Выделены определённым цветом и по ним нельзя щёлкнуть. Помогите разобраться, пожалуйста.
|
Slider |
14.08.2003 - 04:59
Сообщение
#8
|
Гость |
за 4 часа работы отчёт мне выдал следующий:
5:50:43 Сканирование портов 62.117.160.207 TCP (135) 5:50:38 Сканирование портов 62.118.136.133 TCP (135) 5:48:07 Сканирование портов 62.118.143.38 TCP (135) 5:47:17 Сканирование портов 62.118.151.77 TCP (135) ........................................................................................ 2:06:58 Сканирование портов 62.118.135.109 TCP (135) 13.08.2003 19:47:01 Сканирование портов 62.118.136.119 UDP (0), ICMP (3840, 3328, 4352, 2067), UDP (161) 13.08.2003 19:47:01 Атака Moyari13 62.118.136.119 13.08.2003 15:12:23 Сканирование портов 212.188.97.96 TCP (445) Походу это как раз иесть эта дрянь да? Сообщение было отредактировано Val14: 16.10.2004 - 22:55 |
drSAB |
14.08.2003 - 10:03
Сообщение
#9
|
RULEZ МОДЕРАТОР Группа: Супермодераторы Сообщений: 25162 Регистрация: 14.06.2002 Из: Free pirat Пользователь №: 705 |
W32.Blaster.Worm Removal Tool
Специалисты компании Symantec выпустили специальную утилиту, способную удалять из системы самого червя и устранять все последствия его пребывания. =>http://securityresponse.symantec.com/avcenter/FixBlast.exe Никаких инсталяций и настроек пользователю производить не потребуется - после запуска утилита "W32.Blaster.Worm Removal Tool v.1.02" самостоятельно обнаружит и уничтожит зловредную программу. Забираем FixBlast.exe (zip-архив , size=169,724) Прикрепленные файлы FixBlast.zip ( 165.75 килобайт ) Количество скачиваний: 1314 |
Billard |
14.08.2003 - 21:32
Сообщение
#10
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
Бесплатная утилита для лечения червя "Lovesan"
Инфо_http://www.kaspersky.ru/news.html?id=1319264 Файл_ftp://ftp.kaspersky.com/utils/clrav.com |
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
Extazy |
15.08.2003 - 01:27
Сообщение
#11
|
Novice Группа: Пoльзователь Сообщений: 20 Регистрация: 1.02.2003 Из: Раша, Москоу Пользователь №: 5802 |
Подцепил я эту дрянь, выводило мне это сообщение в окошке, по началу я не понял, раз 5 перезагружался, на следующий день тоже самое, потом решил всё таки посмотреть в чём дело и увидел как раз, что у меня в реестре изменения произошли, я их вычеслил и удалил два файла: msblast.exe из папки system32 и из Prefetch тоже, но только с расширением .pf и соответственно из реестра вычистил. Вроде сейчас тьфу тьфу тьфу, всё нормально.
|
-------------------- Itty-Bitty!Boozzy-Woozzy!
|
|
RAE |
15.08.2003 - 05:33
Сообщение
#12
|
Full Member Группа: Full member Сообщений: 144 Регистрация: 12.11.2002 Из: Москва, Кузбасс Пользователь №: 2618 |
Вот ссылка на страницу с патчами для всех операционок:
.http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp |
Silver_Johnes |
15.08.2003 - 07:33
Сообщение
#13
|
Novice Группа: Пoльзователь Сообщений: 6 Регистрация: 18.07.2003 Пользователь №: 13133 |
Внимание! Касперцы сообщили о появлении новой модификации червя, с чем вас и поздравляю. Сегодня обещают бурное продолжение праздника (а последние пару дней было весело, согласитесь), так что фаервольтесь, кто этого ещё не сделал, и да будет праздник у вашео соседа!
|
The Undertaker |
15.08.2003 - 08:22
Сообщение
#14
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
поставьте же патчи, и после червь обламается.
|
-------------------- \o/
|
|
Billard |
15.08.2003 - 10:28
Сообщение
#15
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
Это точно!
На Win2000 облом ставить СерПак, соответственно патч тоже поставить нельзя почему-то, так приходится Фаерволом прикрываться. Аттаки идут каждые 10-15 минут... На WinXP поставил патч (фаер тоже стоит на всякий про всякий), так ни слуху ни духу - никто чужой в порты не лезет... |
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
Sp0rtsteR |
15.08.2003 - 12:06
Сообщение
#16
|
gamez moder Группа: Старейшины Сообщений: 260 Регистрация: 22.12.2001 Пользователь №: 501 |
все дружно преходим на win98/me :)
|
Billard |
15.08.2003 - 14:47
Сообщение
#17
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
Cетевой червь "Lovesan": вопросы-ответы >>http://www.kaspersky.ru/news.html?id=1319733
FAQ по сетевому червю Lovesan >>http://www.viruslist.com/index.html?tnews=1008&id=2734532 |
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
Johnik |
17.08.2003 - 19:40
Сообщение
#18
|
Full Member Группа: VIP Сообщений: 163 Регистрация: 30.06.2002 Из: Украина, г. Сумы Пользователь №: 275 |
У меня 98й виндовс. Я так понял мне ЭТО не грозит? Или я ошибаюсь?
|
-------------------- Видеоуроки в Pinnacle Studio 9-10 http://genesisomania.narod.ru/Pinnacle/pinnacle_lessons.html
|
|
malim |
17.08.2003 - 20:07
Сообщение
#19
|
Самый молодой :) Группа: Старейшины Сообщений: 512 Регистрация: 12.06.2002 Из: Канада Пользователь №: 825 |
Johnik
Тебе это не грозит.Грозит только тому у кого 2000,XP,Nt,Windows Server 2003 Сообщение было отредактировано malim: 17.08.2003 - 20:09 |
The Undertaker |
18.08.2003 - 22:35
Сообщение
#20
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
Billard
почему на 2000 ты не можешь поставить сервис пак и патч? я всё поставил и всё работает... |
-------------------- \o/
|
|
malim |
19.08.2003 - 17:35
Сообщение
#21
|
Самый молодой :) Группа: Старейшины Сообщений: 512 Регистрация: 12.06.2002 Из: Канада Пользователь №: 825 |
"Добрый" вирус штопает дыры в Windows
Сети появилась забавная модификация червя LoveSan, так же известного как Blaster. На сей раз атора вируса сразу можно причислить к лику святых, поскольку им руководили исключительно благие намерения. Новый вируc распространяется в Интернете через ту же самую брешь, что и LoveSan. Он не только не вредит компьютерам пользователей, но еще и штопает ту самую дыру в Windows, благодаря которой стало возможно его появление, сообщает Reuters и newwws.ru. Имена нового вируса "Welchia" или "Nachi", он проверяет наличие дыры в операвционке и наличие на компьютере LoveSun, после чего пытается удалить вредоносного предшественника и навести порядок на компьютере. В частности, пользователям английских, китайских и корейских версий Windows "Welchia" сам скачивает заплатку с сайта Microsoft. Затем он пытается передать себя дальше по Сети. Однако, не смотря на благость намерений, компьютерные специалисты считают вмрус вредоносным по одной только той причине, что он производит свои действия без ведома пользователей. Кроме того, вирус "Welchia" увеличивает нагрузку на компьютерные сети. Наиболее широкое распрстранение "Welchia" отмечено в Азии, особенно в Японии. Вирус запрограммирован на самоуничтожение в 2004 году. По свидетельству специалистов компании Symantec Corp., "старый" червь MSBlaster LoveSan только за прошлую неделю заразил порядка 570000 компьютеров, работающих под управлением Windows XP, 2000, NT и Server 2003. По оценками компании TruSecure Corp., провевшей обследование более 1000 корпоративных сетей, 20 процентов из них "подхватили" злополучную заразу. _www.securitylab.ru |
Billard |
19.08.2003 - 21:32
Сообщение
#22
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
Цитата(The Undertaker @ 18.08.2003 - 22:35) Billard почему на 2000 ты не можешь поставить сервис пак и патч? я всё поставил и всё работает... Да я как глянул, сколько 4-й Серпак весит - 130 МБ!! Та ну нафиг качать его ради не понятно каких понтов... А без СП, как минимум второго, патч не ставится!! Может компакт диск куплю... когда нить... Дополнительная информация по новому Червю-лечилке Welchia >>http://www.kaspersky.ru/news.html?id=1321286 Сообщение было отредактировано Billard: 19.08.2003 - 21:39 |
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
The Undertaker |
19.08.2003 - 23:42
Сообщение
#23
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
гы, только из-за этого %-) я скачал.
|
-------------------- \o/
|
|
Billard |
20.08.2003 - 01:03
Сообщение
#24
|
Silver Member Группа: VIP Сообщений: 484 Регистрация: 9.12.2002 Из: Киев, Украина Пользователь №: 3474 |
Да качнуть как бы и не проблема... у меня хоть и не выделенка, но за 6-7 часов одолею...
Я просто не могу понять этого прикола, когда для затыкания нескольких дырок нужно такое количество информации... И вообще не люблю монстроподобные программные пакеты... (IMG:style_emoticons/bfz/angry.gif) |
-------------------- Биллиард ИНФО => http://billiard-info.com
|
|
The Undertaker |
20.08.2003 - 04:51
Сообщение
#25
|
Moderator Группа: Модераторы Сообщений: 925 Регистрация: 28.01.2002 Пользователь №: 521 |
зато сервис пак закрывает другие дырки :)
|
-------------------- \o/
|
|
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 25.04.2024 - 14:57 |
|