информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsАтака на InternetЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Некоторые пароли от G Suite хранились... 
 Microsoft выпустила Windows Sandbox 
 Microsoft выпустила исправление... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2003 / август
2003
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




Paragon Partition Manager 7.0

Приполз новый червяк
dl // 12.08.03 04:29
Proantivirus Lab сообщает о появлении нового опасного и быстро распространяющегося (в том числе и по России) червя, использующего недавно открытую дырку в RPC во всех ОС семейства NT.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/08/17.html]
Заражение удаленное, через 135-й порт, исполняет команды из-под Local System.

Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Настоятельно рекомендуется обновить антивирусы и/или пропатчиться.

Источник: Proantivirus Lab      
теги: microsoft, windows  |  предложить новость  |  обсудить  |  все отзывы (21) [5645]
назад «  » вперед

аналогичные материалы
Microsoft готовит к выпуску Windows Terminal // 06.05.19 19:02
Microsoft отозвала октябрьское обновление // 06.10.18 11:44
Октябрьское обновление Windows 10 может удалять пользовательские данные // 05.10.18 19:05
Google считает, что Microsoft подставляет пользователей Windows 7 и 8 // 08.10.17 19:19
Ссылка смерти для Windows // 05.02.17 13:48
Критичная уязвимость в Windows и Samba // 12.04.16 21:43
Windows 10 стала рекомендованным обновлением // 03.02.16 01:19
 
последние новости
Некоторые пароли от G Suite хранились в открытом виде // 22.05.19 02:14
Microsoft выпустила Windows Sandbox // 22.05.19 02:07
Microsoft выпустила исправление критичной уязвимости в RDP // 15.05.19 00:19
Microsoft готовит к выпуску Windows Terminal // 06.05.19 19:02
Все дополнения в Firefox поломались из-за просроченного сертификата // 04.05.19 15:39
Страшный бэкдор в роутерах Huawei оказался обычным телнетом // 01.05.19 17:43
Microsoft избавляется от политики устаревания паролей // 25.04.19 13:29

Комментарии:

Вот мой пров мне прислал 15.08.03 12:29  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Добрый день,

В интернете с угрожающей быстротой распространяется новый компьютерный
вирус W32.Blaster.Worm (другое название LoveSun
<http://www.newsru.com/world/12aug2003/lovesan.html>). Согласно
экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и
Европе, в том числе и в России, всего - около 20 тыс. персональных
компьютеров.

В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал
компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.

Специалисты считают, что реальное количество зараженных компьютеров
может быть значительно больше, и уже достигает сотен тысяч. Однако их
владельцы пока не подозревают об опасности - новый вирус находится в
"спящем" состоянии и пока не дает о себе знать.

Особенностью LoveSun является том, что он как бы заранее создает
"плацдарм" для самой большой в истории интернета атаки против программ
Microsoft, которая начнется 16 августа в 00:00 часов.

В тексте вируса содержится обращение к главе компании Биллу Гейтсу с
призывом "прекратить делать деньги и исправить программное обеспечение".

Вирус распространяется на компьютерах с операционными системами
/*Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows
XP, Microsoft Windows Server 2003*/.

LoveSun использует уязвимое место в оперативных системах Microsoft,
обнаруженное три недели назад. Попав в компьютер, он разрушает все
защитные системы и даже может выести его из строя, после чего
распространяется на другие компьютеры.

Одним из признаков заражения становится самопроизвольная перезагрузка
компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.

Первый удар вируса произошел вечером 11 августа и пришелся по
компьютерным сетям США.

Одна из крупнейших компаний-торговцев программным обеспечением PC World
ввела в действие "горячую" телефонную линию, куда за советом могут
обратиться все владельцы пострадавших компьютеров.

*Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от
вируса*

Компания Microsoft сообщила своим клиентам о мерах, которые необходимо
принять, чтобы победить новый компьютерный вирус.

На своем сайте компания Microsoft разместила рекомендации по лечению
зараженного компьютера
<http://www.microsoft.com/security/incident/blast.asp>, а также ссылки
на дополнительные программы-"заплатки", устраняющие возможность заражения.

Кроме того, уберечься от распространения червя позволяют специальные
программы-брандмауэры, защищающие компьютер от несанкционированного
доступа извне.* *

*Что из себя представляет новый вирус и как он действует*

Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm,
W32.Blaster.Worm, WORM_MSBLAST.A, пишет ДиалогНаука
<http://www.dialognauka.ru/inf/news.php?id=563>.

/Червь существует в виде файлаmsblast.exeдлиной 6176 байт,
упакованного утилитой сжатия UPX. Проявление червя характеризуется
резким увеличением трафика по порту 135 (DCOM RPC), а также
самопроизвольным перезапуском компьютеров, находящихся в сети и
работающих под Windows XP (в компьютерах под Windows 2000 возможно
появление сообщения об ошибке системной программы /svchost.exe/). /

Поразив компьютер, червь производит сканирование произвольных IP-адресов
по порту 135 (сначала в локальной подсети, а затем за ее пределами) в
поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.

Найдя такой компьютер, червь посылает на его порт 135 специально
сконструированный запрос, который имеет целью предоставить "атакующему"
компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт
4444 для прослушивания и ожидания последующих команд.

Одновременно червь слушает порт 69 UDP на первоначально зараженном
компьютере и, когда от новой жертвы к нему поступает TFTP-запрос,
посылает в ответ команду загрузить свой собственный код (файл msblast.exe).

Этот код помещается в системный каталог Windows и запускается, при этом
прописывая ссылку на самого себя в системный реестр Windows c целью
автоматического запуска червя при старте последующих сессий Windows.

С этого момента новая жертва начинает действовать, как самостоятельный
источник заражения.

Для того, чтобы помешать пользователям скачать соответствующий патч с
сайта Microsoft, червь может предпринимать, начиная с 16 августа,
DDOS-атаки на /windowsupdate.com/

*Для предотвращения заражения* необходимо, прежде всего, закрыть порт
4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69,
если они не используются приложениями системы. Кроме того, необходимо
установить рекомендованный Microsoft патч.

С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при
активном резидентном стороже SpIDer Guard заражение компьютера этим
червем невозможно.

*Вирус LoveSun не создаст серьезных проблем, считают в "Лаборатории
Касперского"*

С начала августа зафиксировано две "компьютерных эпидемии". Об этом в
эфире радиостанции "Эхо Москвы" сообщила эксперт "Лаборатории
Касперского" Светлана Новикова.

"2 августа обнаружен новый классический червь, он рассылается по
электронной почте, - сказала Новикова. - Как правило, это текст на
английском языке, сообщающий о проблемах с электронным ящиком и
предлагающий открыть вложенный файл".

В начале этой недели интернет поразил более опасный вирус LoveSun. Эта
программа распространяется автоматически, что спровоцировало огромное
количество заражений.

"LoveSun использует технологию распространения, схожую с нашумевшим в
январе этого года сетевым червем Slammer, - говорит Новикова. - Правда,
в его распространении заложена некоторая задержка, поэтому глобального
хаоса ожидать не приходится".
Как избавиться от Blaster-а (решение от MS) 15.08.03 13:48  
Автор: JINN <Sergey> Статус: Elderman
<"чистая" ссылка>
Microsoft рекомендует пользователям, чьи компьютеры заражены вирусом WORM_MSBLAST.A, произвести форматирование жёсткого диска. Правда, вскоре после того, как данная рекомендация появилась на израильском сайте компании Microsoft, её тут же убрали.

Против Blaster-а поможет лишь формат
Кстати 15.08.03 14:03  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Патч от MS против уязвимости RPC (win2k prof, sp4 over win98) убил систему.
Побробностей не знаю, я удаленно раскидал, факт - после установки патча очевидцы сказали, что система выдавала сообщение об отсутствии виртуальной память, потом вовсе отказалась загружаться.
Завтра или в понедельник более подробно опишу, что же там умерло - туда еще добраться надо =)
Это чтоб наверняка :))) 15.08.03 14:06  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
> Патч от MS против уязвимости RPC (win2k prof, sp4 over
> win98) убил систему.
> Побробностей не знаю, я удаленно раскидал, факт - после
> установки патча очевидцы сказали, что система выдавала
> сообщение об отсутствии виртуальной память, потом вовсе
> отказалась загружаться.
> Завтра или в понедельник более подробно опишу, что же там
> умерло - туда еще добраться надо =)

После этого точно нужно форматировать :)))
это не патч виноват, хотя кто его знает 15.08.03 17:46  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
во всяком случае, там стояло ручное ограничение виртуальной памяти (сколько-не помню), после перегруза в режим защиты от сбоев и установки в автомат, все стало ок.
хотя, непонятно, почему до этого патча все работало без глюков.

> > Патч от MS против уязвимости RPC (win2k prof, sp4 over
> > win98) убил систему.
> > Побробностей не знаю, я удаленно раскидал, факт -
> после
> > установки патча очевидцы сказали, что система выдавала
> > сообщение об отсутствии виртуальной память, потом
> вовсе
> > отказалась загружаться.
ну нифига себе! 14.08.03 19:26  
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Отредактировано 14.08.03 19:27  Количество правок: 1
<"чистая" ссылка>
Вот, фэйрвол порубал:
18:19:18	svchost.exe	TCP	193.220.33.25	4237	Block Remote Procedure Call (TCP)	DCOM
18:16:28	svchost.exe	TCP	216.110.101.89	1214	Block Remote Procedure Call (TCP)	DCOM
18:03:56	svchost.exe	TCP	203.102.162.5	64673	 Block Remote Procedure Call (TCP)	DCOM

---
синтаксис лога описывать не буду - и так понятно:
и это только вылез в инет!!! причем на обыкновенном диалапе с динамическим АйПи. Ну и последний по времени вдобавок из подсетки моего провайдера. Короче, попал пацан ;) - у меня с провом неплохие отношения, по крайней мере ко всем моим репортам они прислушивались.
Поражает, сколько людей накинулось на эту заразу!
Добавлю, что никаких патчей у меня не стоит :)) - только стена.
Почему попал? 15.08.03 11:42  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> с динамическим АйПи. Ну и последний по времени вдобавок из
> подсетки моего провайдера. Короче, попал пацан ;) - у меня
> с провом неплохие отношения, по крайней мере ко всем моим
> репортам они прислушивались.
Только за то, что сам лопух и не смог закрыть 135-й порт? :-))
Это ж червяк, он так и распространяется. Если пришло от знакомого - это не значит, что послал САМ знакомый. Это значит только что послано с ЕГО компа.

> Поражает, сколько людей накинулось на эту заразу!
> Добавлю, что никаких патчей у меня не стоит :)) - только
> стена.
да, ты прав. Я как-то не подумал, что это по незнанию :( Фиг с ним тогда! 15.08.03 11:47  
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
<"чистая" ссылка>
А может его самого предупредить все таки :-) 15.08.03 12:59  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Ну или если невозможно найти контактную инфу - сказать прову, чтоб предупредил.
Щаз новости по телеку посмотрел :) 13.08.03 22:54  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Там, значится, Евгений Касперский популярно объяснил че такое червь... и на полном серьезе рекомендовал всем обычным юзерам не ходить пока в инет - пока все не уляжется! :)))

А еще он говорил, что 16 августа все эти черви начнут атаку на мелкософт-дот-ком. И это убъет весь трафик, и интернету придут кранты...

Я жутко испугался. Так что, пойду обрублю шнур и зарою комп на метр в землю...

А теперича серьезно: на мой IP-шник стаучатся "соседи" (пров у нас общий) на 135 порт. Судя по всему, червь просто перебирает ближайшие IP и туда пытается пролезть... Короче, мне-то по-любому платить за этот трафик!!! :(
помимо этого 14.08.03 00:44  
Автор: Shturmfogell Статус: Member
<"чистая" ссылка>
это гадина умудрился замусорить мой канал да так что на три часа все были без инета но благо побстрому управились. червь оказался злючий но не очень способный противодействовать собственному убийству
Мне еще смешнее рассказали 13.08.03 23:39  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
У меня телевизора нету, а сегодня мне косисадмин говорит:
"Прикинь, Коля, смотрю вчера какие-то обычные новости типа 'Времечка' а там ведущий - по виду так обычный юзер, рассказывает про Бластер, ну как обычно, пургу несет, а в конце выдает такое:
- Так что мы рекомендуем вам закрыть на своем фаерволе 135-й порт.
потом немножко задумывается и добавляет:
- Если вам это что-то говорит..."

Ну нифига у нас телевиденье продвинутое :))
лечил уже 12.08.03 18:36  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Самое забавное то что весь инет перегружен добротно ,маил серваки у нас еле дышат ,шас уту заразу лечил тупым удаление линков из регистри и последуюшим удалением файла из под dos ,некаких попыток востановления виря не возникало.
Эх всё же как я обажаю linux ,мне глубоко по
Объясните мне, глупому, вот что... 12.08.03 17:04  
Автор: Lotto Статус: Незарегистрированный пользователь
<"чистая" ссылка>
У нас по всему университету падают машины с сообщением об ошибке в svchost.exe. Машина при этом не выключается, имитирует жизнедеятельность (хотя фактически висит). Лечится перезагрузкой. На машине при этом никаких сторонних модулей не появляется. Спасает любой файерволл, не позволяющий svchost.exe контачить с внешним миром по RPC. Как показывает Outlook, бомбежка идет с хостов по всему миру.

Это все тот же MSBlaster, или что-то другое? Почему симптомы так отличаются? То ли кто-то еще что-то свое слепил, то ли мутация, то ли результат общения червя с патченными машинами...

Я-то ожидал классических симптомов с окошками сообщений и самопроизвольной перезагрузкой машины, а потому в первый раз аж целый час парился, пытаясь понять, в чем дело. У меня-то машина бронированная, к червю иммунная...
Да, это именно он. 13.08.03 13:13  
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
Запускай TaskManager и убивай процесс msblast.exe, потом удаляй файл c:\winnt\system32\msblast.exe и потом удаляй ключик
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe.

После этого ставится заплатка от МС
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

(соответственно ОС)

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
Имх, червь несильно страшный 13.08.03 13:25   [Shturmfogell, amirul]
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
Во-первых убивается просто, во-вторых, для распостранения использует только одну уязвимость.

Вот если бы он рассылался по почте, использовал irc-сети и файлообменные системы+еще что-нибудь - это было бы сложнее намного, а сейчас - корпоративным юзерам бояться нечего, если только кто-нибудь из внутренней сетки не запустит с дури этого червя локально у себя.

Вывод: сейчас расслабляться нельзя, а надо ждать червей-мутантов и настраивать правильную политику безопасности и ставить обновления, если у кого-то еще что-то не настроено.
Я бы так не сказал... 13.08.03 13:31  
Автор: DamNet [Bugtraq.ru Team] <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
Во первых сильно забивается трафик.
во вторых что на рабботе, что дома (домашняя сеть) почему-то червь обнуружился. Мало того, у меня при его активации не запускался Windows Media Player, не работал буффер обмена, вообще никак... JavaScrip тоже не работал в ИЕ, и не было видно файлов в папке c:\winnt...


А то что убивается быстро это да :)
Я бы тоже 13.08.03 17:19  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> Во первых сильно забивается трафик.
> во вторых что на рабботе, что дома (домашняя сеть)
> почему-то червь обнуружился. Мало того, у меня при его
> активации не запускался Windows Media Player, не работал
> буффер обмена, вообще никак... JavaScrip тоже не работал в
> ИЕ, и не было видно файлов в папке c:\winnt...
Хм, а может в нем тогда и какой-то руткит есть? Может его и убить из TaskManager'а нельзя? Во всяком случае, если этого не может конкретно MSBlast, следует ожидать его модификацию, у которой будет руткит.

> А то что убивается быстро это да :)
Хорошо, если так...

А опасность этого вируса заключается в том, что отключить на фиг DCOM не слишком здорово - на него многое в винде завязано. Остается файрволл. А файрволл домашние пользователи обычно не ставят.

Кстати, мою домашнюю машину от этого вируса как уберегло, так и продолжает уберегать довольно тупое правило для WinRoute: не пускать SYN-пакеты на любой порт меньше 1024 ;)
есть еще по крайней мере один троян и по крайней мере один образец эксплоита на эту дырку 12.08.03 17:19  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
есть еще по крайней мере один троян и по крайней мере один образец эксплоита на эту дырку 14.08.03 18:08  
Автор: XR <eXtremal Research> Статус: The Elderman
<"чистая" ссылка>
А где нибудь в Инете есть онлайн статистика распространения ?
не натыкался 14.08.03 22:03  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach