> > Как когда-то при сассерах и бластерах, выскакивает > > сообщение что системное приложение > > C:\winnt\system32\services.exe было закрыто всвязи с > этим > > компутер перегрузится.... nt authority system код 128 > > > > Патчи от бластера и сассера стоят. Отключение сетевого > > интерфейса - решает проблему, самого вирусника на > > компутерах вроде как нет, т.еть получается что енто - > > удаленная атака. Валятся тока 2000-е, установка всех > > последних патчей вроде как помогает..... Что ж енто > такое > > ?? после сассера вроде как ничего не было слышно о > > подобных вещах.... > > да интересная штука первый развижу чтобы слетал сервис > менеджер > какая OS только точьно !!! в мести с билдом и lang ???
От этой фигни пострадали около 100-ни компутеров, на всех стоят 2000-е (xp не перегружались, в том числе и без 2-го сервис пака))
Вот конфигурация одного из них:
2000-е русские винды (professional) (билд 5.00.2195) с 4-м сервис паком + заплатки от бластера и сассера
Английские винды также пострадали.
Вот список патчей после которых компы перестали ребутиться:
2004_10_Windows2000-KB840987-x86-ENU.EXE
2005_02_Windows2000-KB842773-x86-ENU.EXE
2005_04_Windows2000-KB890859-x86-ENU.EXE
2005_05_Windows2000-KB894320-x86-ENU.EXE
2005_06_Windows2000-KB890046-x86-ENU.EXE
2005_06_Windows2000-KB893066-v2-x86-ENU.EXE
2005_06_Windows2000-KB896358-x86-ENU.EXE
2005_06_Windows2000-KB896422-x86-ENU.EXE
2005_07_Windows2000-KB885834-x86-ENU.EXE
2005_07_Windows2000-KB901214-x86-ENU.EXE
2005_08_Windows2000-KB893756-X86-ENU.EXE
2005_08_Windows2000-KB896423-X86-ENU.EXE
2005_08_Windows2000-KB899587-X86-ENU.EXE
2005_08_Windows2000-KB899588-x86-ENU.EXE
2005_08_Windows2000-KB899591-X86-ENU.EXE
2005_09_Windows2000-KB891861-v2-x86-ENU-R1.EXE
2005_10_Windows2000-KB899589-x86-ENU.EXE
2005_10_Windows2000-KB900725-x86-ENU.EXE
2005_10_Windows2000-KB901017-x86-ENU.EXE
2005_10_Windows2000-KB902400-x86-ENU.EXE
2005_10_Windows2000-KB905414-x86-ENU.EXE
2005_10_Windows2000-KB905749-x86-ENU.EXE
2005_11_Windows2000-KB896424-x86-ENU.EXE
Сейчас лажу по микрософту, сравниваю уязвимости, которые енти патчи закрывают, с тем что произошло, пока ничего стопроцентно похожего не нашел....
Порт через который происходит атак пока тоже не ясен...
Как когда-то при сассерах и бластерах, выскакивает сообщение что системное приложение
C:\winnt\system32\services.exe было закрыто всвязи с этим компутер перегрузится.... nt authority system код 128
Патчи от бластера и сассера стоят. Отключение сетевого интерфейса - решает проблему, самого вирусника на компутерах вроде как нет, т.еть получается что енто - удаленная атака. Валятся тока 2000-е, установка всех последних патчей вроде как помогает..... Что ж енто такое ?? после сассера вроде как ничего не было слышно о подобных вещах....
да интересная штука первый развижу чтобы слетал сервис...01.12.05 00:35 Автор: Tamas Статус: Member
> Как когда-то при сассерах и бластерах, выскакивает > сообщение что системное приложение > C:\winnt\system32\services.exe было закрыто всвязи с этим > компутер перегрузится.... nt authority system код 128 > > Патчи от бластера и сассера стоят. Отключение сетевого > интерфейса - решает проблему, самого вирусника на > компутерах вроде как нет, т.еть получается что енто - > удаленная атака. Валятся тока 2000-е, установка всех > последних патчей вроде как помогает..... Что ж енто такое > ?? после сассера вроде как ничего не было слышно о > подобных вещах....
да интересная штука первый развижу чтобы слетал сервис менеджер
какая OS только точьно !!! в мести с билдом и lang ???
От этой фигни пострадали около 100-ни компутеров, на всех...01.12.05 10:08 Автор: dron <Ivanov Andrey> Статус: Member
> > Как когда-то при сассерах и бластерах, выскакивает > > сообщение что системное приложение > > C:\winnt\system32\services.exe было закрыто всвязи с > этим > > компутер перегрузится.... nt authority system код 128 > > > > Патчи от бластера и сассера стоят. Отключение сетевого > > интерфейса - решает проблему, самого вирусника на > > компутерах вроде как нет, т.еть получается что енто - > > удаленная атака. Валятся тока 2000-е, установка всех > > последних патчей вроде как помогает..... Что ж енто > такое > > ?? после сассера вроде как ничего не было слышно о > > подобных вещах.... > > да интересная штука первый развижу чтобы слетал сервис > менеджер > какая OS только точьно !!! в мести с билдом и lang ???
От этой фигни пострадали около 100-ни компутеров, на всех стоят 2000-е (xp не перегружались, в том числе и без 2-го сервис пака))
Вот конфигурация одного из них:
2000-е русские винды (professional) (билд 5.00.2195) с 4-м сервис паком + заплатки от бластера и сассера
Английские винды также пострадали.
Вот список патчей после которых компы перестали ребутиться:
2004_10_Windows2000-KB840987-x86-ENU.EXE
2005_02_Windows2000-KB842773-x86-ENU.EXE
2005_04_Windows2000-KB890859-x86-ENU.EXE
2005_05_Windows2000-KB894320-x86-ENU.EXE
2005_06_Windows2000-KB890046-x86-ENU.EXE
2005_06_Windows2000-KB893066-v2-x86-ENU.EXE
2005_06_Windows2000-KB896358-x86-ENU.EXE
2005_06_Windows2000-KB896422-x86-ENU.EXE
2005_07_Windows2000-KB885834-x86-ENU.EXE
2005_07_Windows2000-KB901214-x86-ENU.EXE
2005_08_Windows2000-KB893756-X86-ENU.EXE
2005_08_Windows2000-KB896423-X86-ENU.EXE
2005_08_Windows2000-KB899587-X86-ENU.EXE
2005_08_Windows2000-KB899588-x86-ENU.EXE
2005_08_Windows2000-KB899591-X86-ENU.EXE
2005_09_Windows2000-KB891861-v2-x86-ENU-R1.EXE
2005_10_Windows2000-KB899589-x86-ENU.EXE
2005_10_Windows2000-KB900725-x86-ENU.EXE
2005_10_Windows2000-KB901017-x86-ENU.EXE
2005_10_Windows2000-KB902400-x86-ENU.EXE
2005_10_Windows2000-KB905414-x86-ENU.EXE
2005_10_Windows2000-KB905749-x86-ENU.EXE
2005_11_Windows2000-KB896424-x86-ENU.EXE
Сейчас лажу по микрософту, сравниваю уязвимости, которые енти патчи закрывают, с тем что произошло, пока ничего стопроцентно похожего не нашел....
Порт через который происходит атак пока тоже не ясен...
(1/2) Как то бедненько выглядит список патчей. СУС(ВСУС) установлен? при более 100 рм ИМХО необходимость.01.12.05 10:25 Автор: Garick <Yuriy> Статус: Elderman
Дык указан список патчей котрый решил проблему, теперь вот пытаюсь понять какой именно из патчей решил проблему, чтоб хотяб примерно въехать что енто за уязвимость, потому как в инете на тему червяка, из-за которого падает services.exe, я чегой-то ничего не нашел -((
СУС - это что??
> Дык указан список патчей котрый решил проблему, теперь вот > пытаюсь понять какой именно из патчей решил проблему, чтоб > хотяб примерно въехать что енто за уязвимость, потому как в > инете на тему червяка, из-за которого падает services.exe, > я чегой-то ничего не нашел -(( > СУС - это что?? СУС=WSUS
Windows System Update Service
(офф)"СУС=WSUS" - почти. Первый имхо проще в установке и настройке, но жрет много трафика в начале, второй сложнее и соотв гибче.01.12.05 11:09 Автор: Garick <Yuriy> Статус: Elderman
ИМХО, СУС через полгода перестанут поддерживать. Для чего ВСУС и был сделан -- для замены02.12.05 10:26 Автор: kr214 Статус: Незарегистрированный пользователь
Линк на МС с подтверждением? или только ИМХО?:-) Мое имхо - будут потдерживать (хотя бы давать качать обновления) пока "живой" в2к3 сервер.02.12.05 12:42 Автор: Garick <Yuriy> Статус: Elderman
> Ента штуковина давно стоит, вот тока на нее мало кто > нацелен был -((. Щас проводим мероприятия по подключению рм > к ентому серваку..... > > Но вот тока главный вопрос завис в воздухе: что ж енто за > червяк такой ??? По ходу была использована данная уязвимость:
http://www.microsoft.com/technet/security/bulletin/ms05-039.mspx
Там как раз говориться что для атаки на xp с 1-м сервис паком надо быть аутентифицированным юзером, а на 2-й сервис пак типа тока локально возможно... Зато 2000-е может завалить кто угодно. Plug and play как раз завязан на services.exe. Тока вот пока не нашел червяка используещего данную уязвимость...
Он по ходу не так сильно известен как сассер и бластер, потому как по ним инфа повсюду, а поэтому пришлось блин покпоться прежде чем понять чтож это было!!
2dron: не пугайтесь большим обьемом начального трафика СУС (3.5 г на 1/12/05), его можно быстро и просто "прикурить" с уже "прокачанного" СУСа. ВСУС также можно, но у меня не получилось. Да и СУС можно не на сервер ОС ставить (после крака).01.12.05 11:24 Автор: Garick <Yuriy> Статус: Elderman