IPB

Здравствуйте, гость ( Вход | Регистрация )

> ВИРУС!!! Читать всем!!!
FUriCK
12.08.2003 - 18:01
Сообщение #1



Silver Member
Group Icon
Группа: VIP
Сообщений: 314
Регистрация: 20.06.2002
Из: Dnepropetrovsk

Пользователь №: 197




Источник =http://www.livejournal.com/users/olegart/33500.html

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка
( раз => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp ,
два => =http://www.securityfocus.com/bid/8234 ) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:
[img]http://dnph.phys.msu.su/~oleg/img/rpccrash.gif[/img]

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на =http://www.securityfocus.com/ .
Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя => http://www.securityfocus.com/news/6689 , использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда => http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp , выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте =http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html .

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.


--------------------
P.S. Сорри за опоздание. :*)
User is offlineProfile Card PM
Go to the top of the page
+
10 Страницы V  1 2 3 > »   
Reply to this topicStart new topic
Ответов(1 - 24)
Sp0rtsteR
13.08.2003 - 04:03
Сообщение #2



gamez moder
Group Icon
Группа: Старейшины
Сообщений: 260
Регистрация: 22.12.2001

Пользователь №: 501




The ISS BlackICE™ PC Protection 3.6 cbr

"Хороший файрвол, в новой версии добавлена система обнаружения и защиты от атак типа Microsoft Windows DCOM RPCbuffer overflow."

mazafaka.ru
User is offlineProfile Card PM
Go to the top of the page
+
drSAB
13.08.2003 - 04:20
Сообщение #3



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




об этом также есть информация на
страничке "Вирусные новости" DSAV

Цитата
Название червя по классификации Dr.Web:
Win32.HLLW.LoveSan.11296,
другие его названия
- W32/Lovsan.worm,
W32.Blaster.Worm,
WORM_MSBLAST.A
.


http://www.dialognauka.ru/inf/news.php?id=563

c припиской:
Цитата
Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com

Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч (ссылки на патч, соответствующий Вашей операционной системе, можно найти здесь:
http://www.dialognauka.ru/inf/news.php?id=544 .)

Червь определяется всеми антивирусными модулями Dr.Web® c 7:12 MSK 12 августа, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.
User is offlineProfile Card PM
Go to the top of the page
+
clever
13.08.2003 - 06:18
Сообщение #4


No Avatar
Full Member
Group Icon
Группа: VIP
Сообщений: 187
Регистрация: 16.06.2002

Пользователь №: 673




Или



Если вы не можете загрузить патч с сайта Microsoft, можно отключить службу DCOM и червь не сможет инфицировать компьютер.
Для отключения DCOM вручную:

1. Запустите Dcomcnfg.exe
2. Выберите Component Services
3. Откройте папку Computers
4. Для локального компьютера, кликните правой кнопкой My Computer и выберите Properties
5. Выберите закладку Default Properties
6. Выключите переключатель Enable Distributed COM on this Computer
7. Нажмите Ок


--------------------
Музыка может заменить два лекарства: снотворное - если это классика и рвотное - если современное.
User is offlineProfile Card PM
Go to the top of the page
+
Blackhawk
13.08.2003 - 20:53
Сообщение #5



-=СЕТЯНИН=-
Group Icon
Группа: Старейшины
Сообщений: 227
Регистрация: 9.06.2002
Из: Вселенная

Пользователь №: 103




Ну вообще оборзели...сканять каждые 5 минут :( слава богу я вовсе оружии :)

[img]http://www.el-commerce.ru/fotki/scan.png[/img]


--------------------
Ничто не является невозможным, пока ты на это не согласился!!!
User is offlineProfile Card PM
Go to the top of the page
+
malim
13.08.2003 - 22:09
Сообщение #6



Самый молодой :)
Group Icon
Группа: Старейшины
Сообщений: 512
Регистрация: 12.06.2002
Из: Канада

Пользователь №: 825




[off]
Blackhawk
А у тебя что за Firewall?

/Moderation Mode

Я тебе в ПМ ответил...

Сообщение было отредактировано Blackhawk: 13.08.2003 - 22:55
User is offlineProfile Card PM
Go to the top of the page
+
Slider
14.08.2003 - 04:56
Сообщение #7



Гость










Народ а как закрывать порты? У меня Outpost Firewall v 2.0.239 там я иду в ПАРАМЕТРЫ -> СИСТЕМНЫЕ -> изменение системных и применяемым ко всем приложениям правил -> ДОБАВИТЬ . А дальше "Удалённый порт" и "Локальный порт" Выделены определённым цветом и по ним нельзя щёлкнуть. Помогите разобраться, пожалуйста.
Go to the top of the page
+
Slider
14.08.2003 - 04:59
Сообщение #8



Гость










за 4 часа работы отчёт мне выдал следующий:
5:50:43 Сканирование портов 62.117.160.207 TCP (135)
5:50:38 Сканирование портов 62.118.136.133 TCP (135)
5:48:07 Сканирование портов 62.118.143.38 TCP (135)
5:47:17 Сканирование портов 62.118.151.77 TCP (135)
........................................................................................
2:06:58 Сканирование портов 62.118.135.109 TCP (135)
13.08.2003 19:47:01 Сканирование портов 62.118.136.119 UDP (0), ICMP (3840, 3328, 4352, 2067), UDP (161)
13.08.2003 19:47:01 Атака Moyari13 62.118.136.119
13.08.2003 15:12:23 Сканирование портов 212.188.97.96 TCP (445)

Походу это как раз иесть эта дрянь да?

Сообщение было отредактировано Val14: 16.10.2004 - 22:55
Go to the top of the page
+
drSAB
14.08.2003 - 10:03
Сообщение #9



RULEZ МОДЕРАТОР
Group Icon
Группа: Супермодераторы
Сообщений: 25162
Регистрация: 14.06.2002
Из: Free pirat

Пользователь №: 705




W32.Blaster.Worm Removal Tool

Специалисты компании Symantec выпустили специальную утилиту, способную удалять из системы самого червя и устранять все последствия его пребывания.

=>http://securityresponse.symantec.com/avcenter/FixBlast.exe

Никаких инсталяций и настроек пользователю производить не потребуется - после запуска утилита "W32.Blaster.Worm Removal Tool v.1.02" самостоятельно обнаружит и уничтожит зловредную программу.

Забираем FixBlast.exe
(zip-архив , size=169,724)


Прикрепленные файлы
Прикрепленный файл  FixBlast.zip ( 165.75 килобайт ) Количество скачиваний: 1313
User is offlineProfile Card PM
Go to the top of the page
+
Billard
14.08.2003 - 21:32
Сообщение #10


No Avatar
Silver Member
Group Icon
Группа: VIP
Сообщений: 484
Регистрация: 9.12.2002
Из: Киев, Украина

Пользователь №: 3474




Бесплатная утилита для лечения червя "Lovesan"
Инфо_http://www.kaspersky.ru/news.html?id=1319264
Файл_ftp://ftp.kaspersky.com/utils/clrav.com


--------------------
Биллиард ИНФО => http://billiard-info.com
User is offlineProfile Card PM
Go to the top of the page
+
Extazy
15.08.2003 - 01:27
Сообщение #11



Novice
*
Группа: Пoльзователь
Сообщений: 20
Регистрация: 1.02.2003
Из: Раша, Москоу

Пользователь №: 5802




Подцепил я эту дрянь, выводило мне это сообщение в окошке, по началу я не понял, раз 5 перезагружался, на следующий день тоже самое, потом решил всё таки посмотреть в чём дело и увидел как раз, что у меня в реестре изменения произошли, я их вычеслил и удалил два файла: msblast.exe из папки system32 и из Prefetch тоже, но только с расширением .pf и соответственно из реестра вычистил. Вроде сейчас тьфу тьфу тьфу, всё нормально.


--------------------
Itty-Bitty!Boozzy-Woozzy!
User is offlineProfile Card PM
Go to the top of the page
+
RAE
15.08.2003 - 05:33
Сообщение #12



Full Member
***
Группа: Full member
Сообщений: 144
Регистрация: 12.11.2002
Из: Москва, Кузбасс

Пользователь №: 2618




Вот ссылка на страницу с патчами для всех операционок:

.http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
User is offlineProfile Card PM
Go to the top of the page
+
Silver_Johnes
15.08.2003 - 07:33
Сообщение #13


No Avatar
Novice
*
Группа: Пoльзователь
Сообщений: 6
Регистрация: 18.07.2003

Пользователь №: 13133




Внимание! Касперцы сообщили о появлении новой модификации червя, с чем вас и поздравляю. Сегодня обещают бурное продолжение праздника (а последние пару дней было весело, согласитесь), так что фаервольтесь, кто этого ещё не сделал, и да будет праздник у вашео соседа!
User is offlineProfile Card PM
Go to the top of the page
+
The Undertaker
15.08.2003 - 08:22
Сообщение #14



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




поставьте же патчи, и после червь обламается.


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
Billard
15.08.2003 - 10:28
Сообщение #15


No Avatar
Silver Member
Group Icon
Группа: VIP
Сообщений: 484
Регистрация: 9.12.2002
Из: Киев, Украина

Пользователь №: 3474




Это точно!
На Win2000 облом ставить СерПак, соответственно патч тоже поставить нельзя почему-то, так приходится Фаерволом прикрываться. Аттаки идут каждые 10-15 минут...
На WinXP поставил патч (фаер тоже стоит на всякий про всякий), так ни слуху ни духу - никто чужой в порты не лезет...


--------------------
Биллиард ИНФО => http://billiard-info.com
User is offlineProfile Card PM
Go to the top of the page
+
Sp0rtsteR
15.08.2003 - 12:06
Сообщение #16



gamez moder
Group Icon
Группа: Старейшины
Сообщений: 260
Регистрация: 22.12.2001

Пользователь №: 501




все дружно преходим на win98/me :)
User is offlineProfile Card PM
Go to the top of the page
+
Billard
15.08.2003 - 14:47
Сообщение #17


No Avatar
Silver Member
Group Icon
Группа: VIP
Сообщений: 484
Регистрация: 9.12.2002
Из: Киев, Украина

Пользователь №: 3474




Cетевой червь "Lovesan": вопросы-ответы >>http://www.kaspersky.ru/news.html?id=1319733
FAQ по сетевому червю Lovesan >>http://www.viruslist.com/index.html?tnews=1008&id=2734532


--------------------
Биллиард ИНФО => http://billiard-info.com
User is offlineProfile Card PM
Go to the top of the page
+
Johnik
17.08.2003 - 19:40
Сообщение #18



Full Member
Group Icon
Группа: VIP
Сообщений: 163
Регистрация: 30.06.2002
Из: Украина, г. Сумы

Пользователь №: 275




У меня 98й виндовс. Я так понял мне ЭТО не грозит? Или я ошибаюсь?


--------------------
Видеоуроки в Pinnacle Studio 9-10 http://genesisomania.narod.ru/Pinnacle/pinnacle_lessons.html
User is offlineProfile Card PM
Go to the top of the page
+
malim
17.08.2003 - 20:07
Сообщение #19



Самый молодой :)
Group Icon
Группа: Старейшины
Сообщений: 512
Регистрация: 12.06.2002
Из: Канада

Пользователь №: 825




Johnik
Тебе это не грозит.Грозит только тому у кого 2000,XP,Nt,Windows Server 2003

Сообщение было отредактировано malim: 17.08.2003 - 20:09
User is offlineProfile Card PM
Go to the top of the page
+
The Undertaker
18.08.2003 - 22:35
Сообщение #20



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




Billard
почему на 2000 ты не можешь поставить сервис пак и патч? я всё поставил и всё работает...


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
malim
19.08.2003 - 17:35
Сообщение #21



Самый молодой :)
Group Icon
Группа: Старейшины
Сообщений: 512
Регистрация: 12.06.2002
Из: Канада

Пользователь №: 825




"Добрый" вирус штопает дыры в Windows

Сети появилась забавная модификация червя LoveSan, так же известного как Blaster. На сей раз атора вируса сразу можно причислить к лику святых, поскольку им руководили исключительно благие намерения.

Новый вируc распространяется в Интернете через ту же самую брешь, что и LoveSan. Он не только не вредит компьютерам пользователей, но еще и штопает ту самую дыру в Windows, благодаря которой стало возможно его появление, сообщает Reuters и newwws.ru.

Имена нового вируса "Welchia" или "Nachi", он проверяет наличие дыры в операвционке и наличие на компьютере LoveSun, после чего пытается удалить вредоносного предшественника и навести порядок на компьютере. В частности, пользователям английских, китайских и корейских версий Windows "Welchia" сам скачивает заплатку с сайта Microsoft. Затем он пытается передать себя дальше по Сети.

Однако, не смотря на благость намерений, компьютерные специалисты считают вмрус вредоносным по одной только той причине, что он производит свои действия без ведома пользователей. Кроме того, вирус "Welchia" увеличивает нагрузку на компьютерные сети.

Наиболее широкое распрстранение "Welchia" отмечено в Азии, особенно в Японии. Вирус запрограммирован на самоуничтожение в 2004 году.

По свидетельству специалистов компании Symantec Corp., "старый" червь MSBlaster LoveSan только за прошлую неделю заразил порядка 570000 компьютеров, работающих под управлением Windows XP, 2000, NT и Server 2003. По оценками компании TruSecure Corp., провевшей обследование более 1000 корпоративных сетей, 20 процентов из них "подхватили" злополучную заразу.

_www.securitylab.ru
User is offlineProfile Card PM
Go to the top of the page
+
Billard
19.08.2003 - 21:32
Сообщение #22


No Avatar
Silver Member
Group Icon
Группа: VIP
Сообщений: 484
Регистрация: 9.12.2002
Из: Киев, Украина

Пользователь №: 3474




Цитата(The Undertaker @ 18.08.2003 - 22:35)
Billard
почему на 2000 ты не можешь поставить сервис пак и патч? я всё поставил и всё работает...

Да я как глянул, сколько 4-й Серпак весит - 130 МБ!! Та ну нафиг качать его ради не понятно каких понтов... А без СП, как минимум второго, патч не ставится!! Может компакт диск куплю... когда нить...

Дополнительная информация по новому Червю-лечилке Welchia >>http://www.kaspersky.ru/news.html?id=1321286

Сообщение было отредактировано Billard: 19.08.2003 - 21:39


--------------------
Биллиард ИНФО => http://billiard-info.com
User is offlineProfile Card PM
Go to the top of the page
+
The Undertaker
19.08.2003 - 23:42
Сообщение #23



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




гы, только из-за этого %-) я скачал.


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
Billard
20.08.2003 - 01:03
Сообщение #24


No Avatar
Silver Member
Group Icon
Группа: VIP
Сообщений: 484
Регистрация: 9.12.2002
Из: Киев, Украина

Пользователь №: 3474




Да качнуть как бы и не проблема... у меня хоть и не выделенка, но за 6-7 часов одолею...
Я просто не могу понять этого прикола, когда для затыкания нескольких дырок нужно такое количество информации...
И вообще не люблю монстроподобные программные пакеты... (IMG:style_emoticons/bfz/angry.gif)


--------------------
Биллиард ИНФО => http://billiard-info.com
User is offlineProfile Card PM
Go to the top of the page
+
The Undertaker
20.08.2003 - 04:51
Сообщение #25



Moderator
Group Icon
Группа: Модераторы
Сообщений: 925
Регистрация: 28.01.2002

Пользователь №: 521




зато сервис пак закрывает другие дырки :)


--------------------
\o/
User is offlineProfile Card PM
Go to the top of the page
+
Реклама

10 Страницы V  1 2 3 > » 
Reply to this topicStart new topic
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0 -

 



- Текстовая версия Сейчас: 29.03.2024 - 00:31
]]> ]]>
]]> Яндекс.Метрика ]]>