> Во первых сильно забивается трафик. > во вторых что на рабботе, что дома (домашняя сеть) > почему-то червь обнуружился. Мало того, у меня при его > активации не запускался Windows Media Player, не работал > буффер обмена, вообще никак... JavaScrip тоже не работал в > ИЕ, и не было видно файлов в папке c:\winnt... Хм, а может в нем тогда и какой-то руткит есть? Может его и убить из TaskManager'а нельзя? Во всяком случае, если этого не может конкретно MSBlast, следует ожидать его модификацию, у которой будет руткит.
> А то что убивается быстро это да :) Хорошо, если так...
А опасность этого вируса заключается в том, что отключить на фиг DCOM не слишком здорово - на него многое в винде завязано. Остается файрволл. А файрволл домашние пользователи обычно не ставят.
Кстати, мою домашнюю машину от этого вируса как уберегло, так и продолжает уберегать довольно тупое правило для WinRoute: не пускать SYN-пакеты на любой порт меньше 1024 ;)
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.
Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Настоятельно рекомендуется обновить антивирусы и/или пропатчиться.
В интернете с угрожающей быстротой распространяется новый компьютерный
вирус W32.Blaster.Worm (другое название LoveSun
<http://www.newsru.com/world/12aug2003/lovesan.html>). Согласно
экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и
Европе, в том числе и в России, всего - около 20 тыс. персональных
компьютеров.
В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал
компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.
Специалисты считают, что реальное количество зараженных компьютеров
может быть значительно больше, и уже достигает сотен тысяч. Однако их
владельцы пока не подозревают об опасности - новый вирус находится в
"спящем" состоянии и пока не дает о себе знать.
Особенностью LoveSun является том, что он как бы заранее создает
"плацдарм" для самой большой в истории интернета атаки против программ
Microsoft, которая начнется 16 августа в 00:00 часов.
В тексте вируса содержится обращение к главе компании Биллу Гейтсу с
призывом "прекратить делать деньги и исправить программное обеспечение".
Вирус распространяется на компьютерах с операционными системами
/*Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows
XP, Microsoft Windows Server 2003*/.
LoveSun использует уязвимое место в оперативных системах Microsoft,
обнаруженное три недели назад. Попав в компьютер, он разрушает все
защитные системы и даже может выести его из строя, после чего
распространяется на другие компьютеры.
Одним из признаков заражения становится самопроизвольная перезагрузка
компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.
Первый удар вируса произошел вечером 11 августа и пришелся по
компьютерным сетям США.
Одна из крупнейших компаний-торговцев программным обеспечением PC World
ввела в действие "горячую" телефонную линию, куда за советом могут
обратиться все владельцы пострадавших компьютеров.
*Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от
вируса*
Компания Microsoft сообщила своим клиентам о мерах, которые необходимо
принять, чтобы победить новый компьютерный вирус.
На своем сайте компания Microsoft разместила рекомендации по лечению
зараженного компьютера
<http://www.microsoft.com/security/incident/blast.asp>, а также ссылки
на дополнительные программы-"заплатки", устраняющие возможность заражения.
Кроме того, уберечься от распространения червя позволяют специальные
программы-брандмауэры, защищающие компьютер от несанкционированного
доступа извне.* *
*Что из себя представляет новый вирус и как он действует*
/Червь существует в виде файлаmsblast.exeдлиной 6176 байт,
упакованного утилитой сжатия UPX. Проявление червя характеризуется
резким увеличением трафика по порту 135 (DCOM RPC), а также
самопроизвольным перезапуском компьютеров, находящихся в сети и
работающих под Windows XP (в компьютерах под Windows 2000 возможно
появление сообщения об ошибке системной программы /svchost.exe/). /
Поразив компьютер, червь производит сканирование произвольных IP-адресов
по порту 135 (сначала в локальной подсети, а затем за ее пределами) в
поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.
Найдя такой компьютер, червь посылает на его порт 135 специально
сконструированный запрос, который имеет целью предоставить "атакующему"
компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт
4444 для прослушивания и ожидания последующих команд.
Одновременно червь слушает порт 69 UDP на первоначально зараженном
компьютере и, когда от новой жертвы к нему поступает TFTP-запрос,
посылает в ответ команду загрузить свой собственный код (файл msblast.exe).
Этот код помещается в системный каталог Windows и запускается, при этом
прописывая ссылку на самого себя в системный реестр Windows c целью
автоматического запуска червя при старте последующих сессий Windows.
С этого момента новая жертва начинает действовать, как самостоятельный
источник заражения.
Для того, чтобы помешать пользователям скачать соответствующий патч с
сайта Microsoft, червь может предпринимать, начиная с 16 августа,
DDOS-атаки на /windowsupdate.com/
*Для предотвращения заражения* необходимо, прежде всего, закрыть порт
4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69,
если они не используются приложениями системы. Кроме того, необходимо
установить рекомендованный Microsoft патч.
С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при
активном резидентном стороже SpIDer Guard заражение компьютера этим
червем невозможно.
*Вирус LoveSun не создаст серьезных проблем, считают в "Лаборатории
Касперского"*
С начала августа зафиксировано две "компьютерных эпидемии". Об этом в
эфире радиостанции "Эхо Москвы" сообщила эксперт "Лаборатории
Касперского" Светлана Новикова.
"2 августа обнаружен новый классический червь, он рассылается по
электронной почте, - сказала Новикова. - Как правило, это текст на
английском языке, сообщающий о проблемах с электронным ящиком и
предлагающий открыть вложенный файл".
В начале этой недели интернет поразил более опасный вирус LoveSun. Эта
программа распространяется автоматически, что спровоцировало огромное
количество заражений.
"LoveSun использует технологию распространения, схожую с нашумевшим в
январе этого года сетевым червем Slammer, - говорит Новикова. - Правда,
в его распространении заложена некоторая задержка, поэтому глобального
хаоса ожидать не приходится".
Как избавиться от Blaster-а (решение от MS)15.08.03 13:48 Автор: JINN <Sergey> Статус: Elderman
Microsoft рекомендует пользователям, чьи компьютеры заражены вирусом WORM_MSBLAST.A, произвести форматирование жёсткого диска. Правда, вскоре после того, как данная рекомендация появилась на израильском сайте компании Microsoft, её тут же убрали.
Патч от MS против уязвимости RPC (win2k prof, sp4 over win98) убил систему.
Побробностей не знаю, я удаленно раскидал, факт - после установки патча очевидцы сказали, что система выдавала сообщение об отсутствии виртуальной память, потом вовсе отказалась загружаться.
Завтра или в понедельник более подробно опишу, что же там умерло - туда еще добраться надо =)
Это чтоб наверняка :)))15.08.03 14:06 Автор: whiletrue <Роман> Статус: Elderman
> Патч от MS против уязвимости RPC (win2k prof, sp4 over > win98) убил систему. > Побробностей не знаю, я удаленно раскидал, факт - после > установки патча очевидцы сказали, что система выдавала > сообщение об отсутствии виртуальной память, потом вовсе > отказалась загружаться. > Завтра или в понедельник более подробно опишу, что же там > умерло - туда еще добраться надо =)
После этого точно нужно форматировать :)))
это не патч виноват, хотя кто его знает15.08.03 17:46 Автор: !mm <Ivan Ch.> Статус: Elderman
во всяком случае, там стояло ручное ограничение виртуальной памяти (сколько-не помню), после перегруза в режим защиты от сбоев и установки в автомат, все стало ок.
хотя, непонятно, почему до этого патча все работало без глюков.
> > Патч от MS против уязвимости RPC (win2k prof, sp4 over > > win98) убил систему. > > Побробностей не знаю, я удаленно раскидал, факт - > после > > установки патча очевидцы сказали, что система выдавала > > сообщение об отсутствии виртуальной память, потом > вовсе > > отказалась загружаться.
---
синтаксис лога описывать не буду - и так понятно:
и это только вылез в инет!!! причем на обыкновенном диалапе с динамическим АйПи. Ну и последний по времени вдобавок из подсетки моего провайдера. Короче, попал пацан ;) - у меня с провом неплохие отношения, по крайней мере ко всем моим репортам они прислушивались.
Поражает, сколько людей накинулось на эту заразу!
Добавлю, что никаких патчей у меня не стоит :)) - только стена.
Почему попал?15.08.03 11:42 Автор: amirul <Serge> Статус: The Elderman
> с динамическим АйПи. Ну и последний по времени вдобавок из > подсетки моего провайдера. Короче, попал пацан ;) - у меня > с провом неплохие отношения, по крайней мере ко всем моим > репортам они прислушивались. Только за то, что сам лопух и не смог закрыть 135-й порт? :-))
Это ж червяк, он так и распространяется. Если пришло от знакомого - это не значит, что послал САМ знакомый. Это значит только что послано с ЕГО компа.
> Поражает, сколько людей накинулось на эту заразу! > Добавлю, что никаких патчей у меня не стоит :)) - только > стена.
да, ты прав. Я как-то не подумал, что это по незнанию :( Фиг с ним тогда!15.08.03 11:47 Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Там, значится, Евгений Касперский популярно объяснил че такое червь... и на полном серьезе рекомендовал всем обычным юзерам не ходить пока в инет - пока все не уляжется! :)))
А еще он говорил, что 16 августа все эти черви начнут атаку на мелкософт-дот-ком. И это убъет весь трафик, и интернету придут кранты...
Я жутко испугался. Так что, пойду обрублю шнур и зарою комп на метр в землю...
А теперича серьезно: на мой IP-шник стаучатся "соседи" (пров у нас общий) на 135 порт. Судя по всему, червь просто перебирает ближайшие IP и туда пытается пролезть... Короче, мне-то по-любому платить за этот трафик!!! :(
помимо этого14.08.03 00:44 Автор: Shturmfogell Статус: Member
это гадина умудрился замусорить мой канал да так что на три часа все были без инета но благо побстрому управились. червь оказался злючий но не очень способный противодействовать собственному убийству
Мне еще смешнее рассказали13.08.03 23:39 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
У меня телевизора нету, а сегодня мне косисадмин говорит:
"Прикинь, Коля, смотрю вчера какие-то обычные новости типа 'Времечка' а там ведущий - по виду так обычный юзер, рассказывает про Бластер, ну как обычно, пургу несет, а в конце выдает такое:
- Так что мы рекомендуем вам закрыть на своем фаерволе 135-й порт.
потом немножко задумывается и добавляет:
- Если вам это что-то говорит..."
Самое забавное то что весь инет перегружен добротно ,маил серваки у нас еле дышат ,шас уту заразу лечил тупым удаление линков из регистри и последуюшим удалением файла из под dos ,некаких попыток востановления виря не возникало.
Эх всё же как я обажаю linux ,мне глубоко по
У нас по всему университету падают машины с сообщением об ошибке в svchost.exe. Машина при этом не выключается, имитирует жизнедеятельность (хотя фактически висит). Лечится перезагрузкой. На машине при этом никаких сторонних модулей не появляется. Спасает любой файерволл, не позволяющий svchost.exe контачить с внешним миром по RPC. Как показывает Outlook, бомбежка идет с хостов по всему миру.
Это все тот же MSBlaster, или что-то другое? Почему симптомы так отличаются? То ли кто-то еще что-то свое слепил, то ли мутация, то ли результат общения червя с патченными машинами...
Я-то ожидал классических симптомов с окошками сообщений и самопроизвольной перезагрузкой машины, а потому в первый раз аж целый час парился, пытаясь понять, в чем дело. У меня-то машина бронированная, к червю иммунная...
Да, это именно он.13.08.03 13:13 Автор: DamNet <Denis Amelin> Статус: Elderman
Запускай TaskManager и убивай процесс msblast.exe, потом удаляй файл c:\winnt\system32\msblast.exe и потом удаляй ключик
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe.
Во-первых убивается просто, во-вторых, для распостранения использует только одну уязвимость.
Вот если бы он рассылался по почте, использовал irc-сети и файлообменные системы+еще что-нибудь - это было бы сложнее намного, а сейчас - корпоративным юзерам бояться нечего, если только кто-нибудь из внутренней сетки не запустит с дури этого червя локально у себя.
Вывод: сейчас расслабляться нельзя, а надо ждать червей-мутантов и настраивать правильную политику безопасности и ставить обновления, если у кого-то еще что-то не настроено.
Я бы так не сказал...13.08.03 13:31 Автор: DamNet <Denis Amelin> Статус: Elderman
Во первых сильно забивается трафик.
во вторых что на рабботе, что дома (домашняя сеть) почему-то червь обнуружился. Мало того, у меня при его активации не запускался Windows Media Player, не работал буффер обмена, вообще никак... JavaScrip тоже не работал в ИЕ, и не было видно файлов в папке c:\winnt...
А то что убивается быстро это да :)
Я бы тоже13.08.03 17:19 Автор: Ktirf <Æ Rusakov> Статус: Elderman
> Во первых сильно забивается трафик. > во вторых что на рабботе, что дома (домашняя сеть) > почему-то червь обнуружился. Мало того, у меня при его > активации не запускался Windows Media Player, не работал > буффер обмена, вообще никак... JavaScrip тоже не работал в > ИЕ, и не было видно файлов в папке c:\winnt... Хм, а может в нем тогда и какой-то руткит есть? Может его и убить из TaskManager'а нельзя? Во всяком случае, если этого не может конкретно MSBlast, следует ожидать его модификацию, у которой будет руткит.
> А то что убивается быстро это да :) Хорошо, если так...
А опасность этого вируса заключается в том, что отключить на фиг DCOM не слишком здорово - на него многое в винде завязано. Остается файрволл. А файрволл домашние пользователи обычно не ставят.
Кстати, мою домашнюю машину от этого вируса как уберегло, так и продолжает уберегать довольно тупое правило для WinRoute: не пускать SYN-пакеты на любой порт меньше 1024 ;)
есть еще по крайней мере один троян и по крайней мере один образец эксплоита на эту дырку12.08.03 17:19 Автор: dl <Dmitry Leonov>