Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
есть еще по крайней мере один троян и по крайней мере один образец эксплоита на эту дырку 12.08.03 17:19 Число просмотров: 1824
Автор: dl <Dmitry Leonov>
|
|
<site updates>
|
Приполз новый червяк 12.08.03 04:29
Publisher: dl <Dmitry Leonov>
|
Приполз новый червяк Proantivirus Lab http://www.proantivirus.com/info/1/180_1.html
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.
Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Настоятельно рекомендуется обновить антивирусы и/или пропатчиться.
Полный текст
|
|
Вот мой пров мне прислал 15.08.03 12:29
Автор: whiletrue <Роман> Статус: Elderman
|
Добрый день,
В интернете с угрожающей быстротой распространяется новый компьютерный
вирус W32.Blaster.Worm (другое название LoveSun
<http://www.newsru.com/world/12aug2003/lovesan.html>). Согласно
экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и
Европе, в том числе и в России, всего - около 20 тыс. персональных
компьютеров.
В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал
компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.
Специалисты считают, что реальное количество зараженных компьютеров
может быть значительно больше, и уже достигает сотен тысяч. Однако их
владельцы пока не подозревают об опасности - новый вирус находится в
"спящем" состоянии и пока не дает о себе знать.
Особенностью LoveSun является том, что он как бы заранее создает
"плацдарм" для самой большой в истории интернета атаки против программ
Microsoft, которая начнется 16 августа в 00:00 часов.
В тексте вируса содержится обращение к главе компании Биллу Гейтсу с
призывом "прекратить делать деньги и исправить программное обеспечение".
Вирус распространяется на компьютерах с операционными системами
/*Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows
XP, Microsoft Windows Server 2003*/.
LoveSun использует уязвимое место в оперативных системах Microsoft,
обнаруженное три недели назад. Попав в компьютер, он разрушает все
защитные системы и даже может выести его из строя, после чего
распространяется на другие компьютеры.
Одним из признаков заражения становится самопроизвольная перезагрузка
компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.
Первый удар вируса произошел вечером 11 августа и пришелся по
компьютерным сетям США.
Одна из крупнейших компаний-торговцев программным обеспечением PC World
ввела в действие "горячую" телефонную линию, куда за советом могут
обратиться все владельцы пострадавших компьютеров.
*Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от
вируса*
Компания Microsoft сообщила своим клиентам о мерах, которые необходимо
принять, чтобы победить новый компьютерный вирус.
На своем сайте компания Microsoft разместила рекомендации по лечению
зараженного компьютера
<http://www.microsoft.com/security/incident/blast.asp>, а также ссылки
на дополнительные программы-"заплатки", устраняющие возможность заражения.
Кроме того, уберечься от распространения червя позволяют специальные
программы-брандмауэры, защищающие компьютер от несанкционированного
доступа извне.* *
*Что из себя представляет новый вирус и как он действует*
Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm,
W32.Blaster.Worm, WORM_MSBLAST.A, пишет ДиалогНаука
<http://www.dialognauka.ru/inf/news.php?id=563>.
/Червь существует в виде файлаmsblast.exeдлиной 6176 байт,
упакованного утилитой сжатия UPX. Проявление червя характеризуется
резким увеличением трафика по порту 135 (DCOM RPC), а также
самопроизвольным перезапуском компьютеров, находящихся в сети и
работающих под Windows XP (в компьютерах под Windows 2000 возможно
появление сообщения об ошибке системной программы /svchost.exe/). /
Поразив компьютер, червь производит сканирование произвольных IP-адресов
по порту 135 (сначала в локальной подсети, а затем за ее пределами) в
поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.
Найдя такой компьютер, червь посылает на его порт 135 специально
сконструированный запрос, который имеет целью предоставить "атакующему"
компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт
4444 для прослушивания и ожидания последующих команд.
Одновременно червь слушает порт 69 UDP на первоначально зараженном
компьютере и, когда от новой жертвы к нему поступает TFTP-запрос,
посылает в ответ команду загрузить свой собственный код (файл msblast.exe).
Этот код помещается в системный каталог Windows и запускается, при этом
прописывая ссылку на самого себя в системный реестр Windows c целью
автоматического запуска червя при старте последующих сессий Windows.
С этого момента новая жертва начинает действовать, как самостоятельный
источник заражения.
Для того, чтобы помешать пользователям скачать соответствующий патч с
сайта Microsoft, червь может предпринимать, начиная с 16 августа,
DDOS-атаки на /windowsupdate.com/
*Для предотвращения заражения* необходимо, прежде всего, закрыть порт
4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69,
если они не используются приложениями системы. Кроме того, необходимо
установить рекомендованный Microsoft патч.
С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при
активном резидентном стороже SpIDer Guard заражение компьютера этим
червем невозможно.
*Вирус LoveSun не создаст серьезных проблем, считают в "Лаборатории
Касперского"*
С начала августа зафиксировано две "компьютерных эпидемии". Об этом в
эфире радиостанции "Эхо Москвы" сообщила эксперт "Лаборатории
Касперского" Светлана Новикова.
"2 августа обнаружен новый классический червь, он рассылается по
электронной почте, - сказала Новикова. - Как правило, это текст на
английском языке, сообщающий о проблемах с электронным ящиком и
предлагающий открыть вложенный файл".
В начале этой недели интернет поразил более опасный вирус LoveSun. Эта
программа распространяется автоматически, что спровоцировало огромное
количество заражений.
"LoveSun использует технологию распространения, схожую с нашумевшим в
январе этого года сетевым червем Slammer, - говорит Новикова. - Правда,
в его распространении заложена некоторая задержка, поэтому глобального
хаоса ожидать не приходится".
|
| |
Как избавиться от Blaster-а (решение от MS) 15.08.03 13:48
Автор: JINN <Sergey> Статус: Elderman
|
Microsoft рекомендует пользователям, чьи компьютеры заражены вирусом WORM_MSBLAST.A, произвести форматирование жёсткого диска. Правда, вскоре после того, как данная рекомендация появилась на израильском сайте компании Microsoft, её тут же убрали.
Против Blaster-а поможет лишь формат
|
| | |
Кстати 15.08.03 14:03
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Патч от MS против уязвимости RPC (win2k prof, sp4 over win98) убил систему.
Побробностей не знаю, я удаленно раскидал, факт - после установки патча очевидцы сказали, что система выдавала сообщение об отсутствии виртуальной память, потом вовсе отказалась загружаться.
Завтра или в понедельник более подробно опишу, что же там умерло - туда еще добраться надо =)
|
| | | |
Это чтоб наверняка :))) 15.08.03 14:06
Автор: whiletrue <Роман> Статус: Elderman
|
> Патч от MS против уязвимости RPC (win2k prof, sp4 over > win98) убил систему. > Побробностей не знаю, я удаленно раскидал, факт - после > установки патча очевидцы сказали, что система выдавала > сообщение об отсутствии виртуальной память, потом вовсе > отказалась загружаться. > Завтра или в понедельник более подробно опишу, что же там > умерло - туда еще добраться надо =)
После этого точно нужно форматировать :)))
|
| | | | |
это не патч виноват, хотя кто его знает 15.08.03 17:46
Автор: !mm <Ivan Ch.> Статус: Elderman
|
во всяком случае, там стояло ручное ограничение виртуальной памяти (сколько-не помню), после перегруза в режим защиты от сбоев и установки в автомат, все стало ок.
хотя, непонятно, почему до этого патча все работало без глюков.
> > Патч от MS против уязвимости RPC (win2k prof, sp4 over > > win98) убил систему. > > Побробностей не знаю, я удаленно раскидал, факт - > после > > установки патча очевидцы сказали, что система выдавала > > сообщение об отсутствии виртуальной память, потом > вовсе > > отказалась загружаться.
|
|
ну нифига себе! 14.08.03 19:26
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman Отредактировано 14.08.03 19:27 Количество правок: 1
|
Вот, фэйрвол порубал:
18:19:18 svchost.exe TCP 193.220.33.25 4237 Block Remote Procedure Call (TCP) DCOM
18:16:28 svchost.exe TCP 216.110.101.89 1214 Block Remote Procedure Call (TCP) DCOM
18:03:56 svchost.exe TCP 203.102.162.5 64673 Block Remote Procedure Call (TCP) DCOM ---
синтаксис лога описывать не буду - и так понятно:
и это только вылез в инет!!! причем на обыкновенном диалапе с динамическим АйПи. Ну и последний по времени вдобавок из подсетки моего провайдера. Короче, попал пацан ;) - у меня с провом неплохие отношения, по крайней мере ко всем моим репортам они прислушивались.
Поражает, сколько людей накинулось на эту заразу!
Добавлю, что никаких патчей у меня не стоит :)) - только стена.
|
| |
Почему попал? 15.08.03 11:42
Автор: amirul <Serge> Статус: The Elderman
|
> с динамическим АйПи. Ну и последний по времени вдобавок из > подсетки моего провайдера. Короче, попал пацан ;) - у меня > с провом неплохие отношения, по крайней мере ко всем моим > репортам они прислушивались. Только за то, что сам лопух и не смог закрыть 135-й порт? :-))
Это ж червяк, он так и распространяется. Если пришло от знакомого - это не значит, что послал САМ знакомый. Это значит только что послано с ЕГО компа.
> Поражает, сколько людей накинулось на эту заразу! > Добавлю, что никаких патчей у меня не стоит :)) - только > стена.
|
| | |
да, ты прав. Я как-то не подумал, что это по незнанию :( Фиг с ним тогда! 15.08.03 11:47
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
|
| | | |
А может его самого предупредить все таки :-) 15.08.03 12:59
Автор: amirul <Serge> Статус: The Elderman
|
Ну или если невозможно найти контактную инфу - сказать прову, чтоб предупредил.
|
|
Щаз новости по телеку посмотрел :) 13.08.03 22:54
Автор: whiletrue <Роман> Статус: Elderman
|
Там, значится, Евгений Касперский популярно объяснил че такое червь... и на полном серьезе рекомендовал всем обычным юзерам не ходить пока в инет - пока все не уляжется! :)))
А еще он говорил, что 16 августа все эти черви начнут атаку на мелкософт-дот-ком. И это убъет весь трафик, и интернету придут кранты...
Я жутко испугался. Так что, пойду обрублю шнур и зарою комп на метр в землю...
А теперича серьезно: на мой IP-шник стаучатся "соседи" (пров у нас общий) на 135 порт. Судя по всему, червь просто перебирает ближайшие IP и туда пытается пролезть... Короче, мне-то по-любому платить за этот трафик!!! :(
|
| |
помимо этого 14.08.03 00:44
Автор: Shturmfogell Статус: Member
|
это гадина умудрился замусорить мой канал да так что на три часа все были без инета но благо побстрому управились. червь оказался злючий но не очень способный противодействовать собственному убийству
|
| |
Мне еще смешнее рассказали 13.08.03 23:39
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
У меня телевизора нету, а сегодня мне косисадмин говорит:
"Прикинь, Коля, смотрю вчера какие-то обычные новости типа 'Времечка' а там ведущий - по виду так обычный юзер, рассказывает про Бластер, ну как обычно, пургу несет, а в конце выдает такое:
- Так что мы рекомендуем вам закрыть на своем фаерволе 135-й порт.
потом немножко задумывается и добавляет:
- Если вам это что-то говорит..."
Ну нифига у нас телевиденье продвинутое :))
|
|
лечил уже 12.08.03 18:36
Автор: guest Статус: Незарегистрированный пользователь
|
Самое забавное то что весь инет перегружен добротно ,маил серваки у нас еле дышат ,шас уту заразу лечил тупым удаление линков из регистри и последуюшим удалением файла из под dos ,некаких попыток востановления виря не возникало.
Эх всё же как я обажаю linux ,мне глубоко по
|
|
Объясните мне, глупому, вот что... 12.08.03 17:04
Автор: Lotto Статус: Незарегистрированный пользователь
|
У нас по всему университету падают машины с сообщением об ошибке в svchost.exe. Машина при этом не выключается, имитирует жизнедеятельность (хотя фактически висит). Лечится перезагрузкой. На машине при этом никаких сторонних модулей не появляется. Спасает любой файерволл, не позволяющий svchost.exe контачить с внешним миром по RPC. Как показывает Outlook, бомбежка идет с хостов по всему миру.
Это все тот же MSBlaster, или что-то другое? Почему симптомы так отличаются? То ли кто-то еще что-то свое слепил, то ли мутация, то ли результат общения червя с патченными машинами...
Я-то ожидал классических симптомов с окошками сообщений и самопроизвольной перезагрузкой машины, а потому в первый раз аж целый час парился, пытаясь понять, в чем дело. У меня-то машина бронированная, к червю иммунная...
|
| | |
Имх, червь несильно страшный 13.08.03 13:25 [Shturmfogell, amirul]
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Во-первых убивается просто, во-вторых, для распостранения использует только одну уязвимость.
Вот если бы он рассылался по почте, использовал irc-сети и файлообменные системы+еще что-нибудь - это было бы сложнее намного, а сейчас - корпоративным юзерам бояться нечего, если только кто-нибудь из внутренней сетки не запустит с дури этого червя локально у себя.
Вывод: сейчас расслабляться нельзя, а надо ждать червей-мутантов и настраивать правильную политику безопасности и ставить обновления, если у кого-то еще что-то не настроено.
|
| | | |
Я бы так не сказал... 13.08.03 13:31
Автор: DamNet <Denis Amelin> Статус: Elderman
|
Во первых сильно забивается трафик.
во вторых что на рабботе, что дома (домашняя сеть) почему-то червь обнуружился. Мало того, у меня при его активации не запускался Windows Media Player, не работал буффер обмена, вообще никак... JavaScrip тоже не работал в ИЕ, и не было видно файлов в папке c:\winnt...
А то что убивается быстро это да :)
|
| | | | |
Я бы тоже 13.08.03 17:19
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> Во первых сильно забивается трафик. > во вторых что на рабботе, что дома (домашняя сеть) > почему-то червь обнуружился. Мало того, у меня при его > активации не запускался Windows Media Player, не работал > буффер обмена, вообще никак... JavaScrip тоже не работал в > ИЕ, и не было видно файлов в папке c:\winnt... Хм, а может в нем тогда и какой-то руткит есть? Может его и убить из TaskManager'а нельзя? Во всяком случае, если этого не может конкретно MSBlast, следует ожидать его модификацию, у которой будет руткит.
> А то что убивается быстро это да :) Хорошо, если так...
А опасность этого вируса заключается в том, что отключить на фиг DCOM не слишком здорово - на него многое в винде завязано. Остается файрволл. А файрволл домашние пользователи обычно не ставят.
Кстати, мою домашнюю машину от этого вируса как уберегло, так и продолжает уберегать довольно тупое правило для WinRoute: не пускать SYN-пакеты на любой порт меньше 1024 ;)
|
| |
есть еще по крайней мере один троян и по крайней мере один образец эксплоита на эту дырку 12.08.03 17:19
Автор: dl <Dmitry Leonov>
|
|
|
|