Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Вот мой пров мне прислал 15.08.03 12:29 Число просмотров: 1824
Автор: whiletrue <Роман> Статус: Elderman
|
Добрый день,
В интернете с угрожающей быстротой распространяется новый компьютерный
вирус W32.Blaster.Worm (другое название LoveSun
<http://www.newsru.com/world/12aug2003/lovesan.html>). Согласно
экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и
Европе, в том числе и в России, всего - около 20 тыс. персональных
компьютеров.
В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал
компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.
Специалисты считают, что реальное количество зараженных компьютеров
может быть значительно больше, и уже достигает сотен тысяч. Однако их
владельцы пока не подозревают об опасности - новый вирус находится в
"спящем" состоянии и пока не дает о себе знать.
Особенностью LoveSun является том, что он как бы заранее создает
"плацдарм" для самой большой в истории интернета атаки против программ
Microsoft, которая начнется 16 августа в 00:00 часов.
В тексте вируса содержится обращение к главе компании Биллу Гейтсу с
призывом "прекратить делать деньги и исправить программное обеспечение".
Вирус распространяется на компьютерах с операционными системами
/*Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows
XP, Microsoft Windows Server 2003*/.
LoveSun использует уязвимое место в оперативных системах Microsoft,
обнаруженное три недели назад. Попав в компьютер, он разрушает все
защитные системы и даже может выести его из строя, после чего
распространяется на другие компьютеры.
Одним из признаков заражения становится самопроизвольная перезагрузка
компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.
Первый удар вируса произошел вечером 11 августа и пришелся по
компьютерным сетям США.
Одна из крупнейших компаний-торговцев программным обеспечением PC World
ввела в действие "горячую" телефонную линию, куда за советом могут
обратиться все владельцы пострадавших компьютеров.
*Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от
вируса*
Компания Microsoft сообщила своим клиентам о мерах, которые необходимо
принять, чтобы победить новый компьютерный вирус.
На своем сайте компания Microsoft разместила рекомендации по лечению
зараженного компьютера
<http://www.microsoft.com/security/incident/blast.asp>, а также ссылки
на дополнительные программы-"заплатки", устраняющие возможность заражения.
Кроме того, уберечься от распространения червя позволяют специальные
программы-брандмауэры, защищающие компьютер от несанкционированного
доступа извне.* *
*Что из себя представляет новый вирус и как он действует*
Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm,
W32.Blaster.Worm, WORM_MSBLAST.A, пишет ДиалогНаука
<http://www.dialognauka.ru/inf/news.php?id=563>.
/Червь существует в виде файлаmsblast.exeдлиной 6176 байт,
упакованного утилитой сжатия UPX. Проявление червя характеризуется
резким увеличением трафика по порту 135 (DCOM RPC), а также
самопроизвольным перезапуском компьютеров, находящихся в сети и
работающих под Windows XP (в компьютерах под Windows 2000 возможно
появление сообщения об ошибке системной программы /svchost.exe/). /
Поразив компьютер, червь производит сканирование произвольных IP-адресов
по порту 135 (сначала в локальной подсети, а затем за ее пределами) в
поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.
Найдя такой компьютер, червь посылает на его порт 135 специально
сконструированный запрос, который имеет целью предоставить "атакующему"
компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт
4444 для прослушивания и ожидания последующих команд.
Одновременно червь слушает порт 69 UDP на первоначально зараженном
компьютере и, когда от новой жертвы к нему поступает TFTP-запрос,
посылает в ответ команду загрузить свой собственный код (файл msblast.exe).
Этот код помещается в системный каталог Windows и запускается, при этом
прописывая ссылку на самого себя в системный реестр Windows c целью
автоматического запуска червя при старте последующих сессий Windows.
С этого момента новая жертва начинает действовать, как самостоятельный
источник заражения.
Для того, чтобы помешать пользователям скачать соответствующий патч с
сайта Microsoft, червь может предпринимать, начиная с 16 августа,
DDOS-атаки на /windowsupdate.com/
*Для предотвращения заражения* необходимо, прежде всего, закрыть порт
4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69,
если они не используются приложениями системы. Кроме того, необходимо
установить рекомендованный Microsoft патч.
С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при
активном резидентном стороже SpIDer Guard заражение компьютера этим
червем невозможно.
*Вирус LoveSun не создаст серьезных проблем, считают в "Лаборатории
Касперского"*
С начала августа зафиксировано две "компьютерных эпидемии". Об этом в
эфире радиостанции "Эхо Москвы" сообщила эксперт "Лаборатории
Касперского" Светлана Новикова.
"2 августа обнаружен новый классический червь, он рассылается по
электронной почте, - сказала Новикова. - Как правило, это текст на
английском языке, сообщающий о проблемах с электронным ящиком и
предлагающий открыть вложенный файл".
В начале этой недели интернет поразил более опасный вирус LoveSun. Эта
программа распространяется автоматически, что спровоцировало огромное
количество заражений.
"LoveSun использует технологию распространения, схожую с нашумевшим в
январе этого года сетевым червем Slammer, - говорит Новикова. - Правда,
в его распространении заложена некоторая задержка, поэтому глобального
хаоса ожидать не приходится".
|
|
|