информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 The Great Suspender предположительно... 
 Десятилетняя уязвимость в sudo 
 Блокировка Flash поломала китайскую... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Вот мой пров мне прислал 15.08.03 12:29  Число просмотров: 1468
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Добрый день,

В интернете с угрожающей быстротой распространяется новый компьютерный
вирус W32.Blaster.Worm (другое название LoveSun
<http://www.newsru.com/world/12aug2003/lovesan.html>). Согласно
экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и
Европе, в том числе и в России, всего - около 20 тыс. персональных
компьютеров.

В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал
компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.

Специалисты считают, что реальное количество зараженных компьютеров
может быть значительно больше, и уже достигает сотен тысяч. Однако их
владельцы пока не подозревают об опасности - новый вирус находится в
"спящем" состоянии и пока не дает о себе знать.

Особенностью LoveSun является том, что он как бы заранее создает
"плацдарм" для самой большой в истории интернета атаки против программ
Microsoft, которая начнется 16 августа в 00:00 часов.

В тексте вируса содержится обращение к главе компании Биллу Гейтсу с
призывом "прекратить делать деньги и исправить программное обеспечение".

Вирус распространяется на компьютерах с операционными системами
/*Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows
XP, Microsoft Windows Server 2003*/.

LoveSun использует уязвимое место в оперативных системах Microsoft,
обнаруженное три недели назад. Попав в компьютер, он разрушает все
защитные системы и даже может выести его из строя, после чего
распространяется на другие компьютеры.

Одним из признаков заражения становится самопроизвольная перезагрузка
компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.

Первый удар вируса произошел вечером 11 августа и пришелся по
компьютерным сетям США.

Одна из крупнейших компаний-торговцев программным обеспечением PC World
ввела в действие "горячую" телефонную линию, куда за советом могут
обратиться все владельцы пострадавших компьютеров.

*Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от
вируса*

Компания Microsoft сообщила своим клиентам о мерах, которые необходимо
принять, чтобы победить новый компьютерный вирус.

На своем сайте компания Microsoft разместила рекомендации по лечению
зараженного компьютера
<http://www.microsoft.com/security/incident/blast.asp>, а также ссылки
на дополнительные программы-"заплатки", устраняющие возможность заражения.

Кроме того, уберечься от распространения червя позволяют специальные
программы-брандмауэры, защищающие компьютер от несанкционированного
доступа извне.* *

*Что из себя представляет новый вирус и как он действует*

Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm,
W32.Blaster.Worm, WORM_MSBLAST.A, пишет ДиалогНаука
<http://www.dialognauka.ru/inf/news.php?id=563>.

/Червь существует в виде файлаmsblast.exeдлиной 6176 байт,
упакованного утилитой сжатия UPX. Проявление червя характеризуется
резким увеличением трафика по порту 135 (DCOM RPC), а также
самопроизвольным перезапуском компьютеров, находящихся в сети и
работающих под Windows XP (в компьютерах под Windows 2000 возможно
появление сообщения об ошибке системной программы /svchost.exe/). /

Поразив компьютер, червь производит сканирование произвольных IP-адресов
по порту 135 (сначала в локальной подсети, а затем за ее пределами) в
поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.

Найдя такой компьютер, червь посылает на его порт 135 специально
сконструированный запрос, который имеет целью предоставить "атакующему"
компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт
4444 для прослушивания и ожидания последующих команд.

Одновременно червь слушает порт 69 UDP на первоначально зараженном
компьютере и, когда от новой жертвы к нему поступает TFTP-запрос,
посылает в ответ команду загрузить свой собственный код (файл msblast.exe).

Этот код помещается в системный каталог Windows и запускается, при этом
прописывая ссылку на самого себя в системный реестр Windows c целью
автоматического запуска червя при старте последующих сессий Windows.

С этого момента новая жертва начинает действовать, как самостоятельный
источник заражения.

Для того, чтобы помешать пользователям скачать соответствующий патч с
сайта Microsoft, червь может предпринимать, начиная с 16 августа,
DDOS-атаки на /windowsupdate.com/

*Для предотвращения заражения* необходимо, прежде всего, закрыть порт
4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69,
если они не используются приложениями системы. Кроме того, необходимо
установить рекомендованный Microsoft патч.

С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при
активном резидентном стороже SpIDer Guard заражение компьютера этим
червем невозможно.

*Вирус LoveSun не создаст серьезных проблем, считают в "Лаборатории
Касперского"*

С начала августа зафиксировано две "компьютерных эпидемии". Об этом в
эфире радиостанции "Эхо Москвы" сообщила эксперт "Лаборатории
Касперского" Светлана Новикова.

"2 августа обнаружен новый классический червь, он рассылается по
электронной почте, - сказала Новикова. - Как правило, это текст на
английском языке, сообщающий о проблемах с электронным ящиком и
предлагающий открыть вложенный файл".

В начале этой недели интернет поразил более опасный вирус LoveSun. Эта
программа распространяется автоматически, что спровоцировало огромное
количество заражений.

"LoveSun использует технологию распространения, схожую с нашумевшим в
январе этого года сетевым червем Slammer, - говорит Новикова. - Правда,
в его распространении заложена некоторая задержка, поэтому глобального
хаоса ожидать не приходится".
<site updates> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach