Если кто-то сегодня наблюдает внезапное "падение" Windows семейства NT - причина в новом сетевом черве. Распространяется в России, Украине, Румынии и Европе. Для распространения использует недавно найденную брешь в Windows и не требует никаких атачей в поче и прочее. Смотрим http://www.proantivirus.com/info/1/180_1.html качаем заплатки и лечимся, а то скоро на форуме станет пусто
Знаем , знаем его WORM_MSBLAST.A зовут. Только что снес его под корень. Интересный вирус, по утверждениям сайта Т-Онлайн, он предназначен для массовой атаки на сайт микрософта. Там же пишут что на 21.30 его уже схлопотали 22,5 тыс. пользователей.
Фигня всё это. Никогда не открывайте 135 порт.http://www.microsoft.com/technet/tr...=/technet/security/virus/alerts/msblaster.asp
flex, не паниковать! У меня есть подозрения что провайдеры в большинстве своём 135 порт не открывают. Кто подскажет? Ау провайдеры!
Bob Да я и не паникую Я несу панику в массы. А у меня и заплатка стоит и outpost и антивирус . Чего мне бояться?
Все было - заплатка, файрвол, решил переустановить систему , вошел в интернет всего 1 раз без антивиря-файрвола хотел побыстрее активацию новой винды сделать, и нате схлопотал данный вирь на машину. Ужасть.
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6К, упакован UPX. Размножается в виде файла с именем "msblast.exe". Содержит текстовые строки: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Признаками заражения компьютера являются: Наличие файла "msblast.exe" в системном (system32) каталоге Windows. Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. Размножение При запуске червь регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run windows auto update="msblast.exe" Открывает одновременно 20 соединений с произвольными IP-адресами. Адреса для заражения выбираются по одному из двух алгоритмов: В 3 случаях из 5 целью для атаки выбирается IP-адрес (A.B.C.D), где D всегда равно 0. Значения A, B, и C выбираются произвольно от 0 до 255. Например если выбран адрес: 194.15.245.0, то червь будет пытаться заразить машины в диапазоне 194.15.245.0 - 194.15.245.19. В 2 случаях из 5 червь определяет текущий IP-адрес зараженной машины, берет из него значения A и B, значение D равно 0. После чего проверяется значение C - если оно меньше 20, то атаке подвергаются машины в диапазоне: A.B.C.0 - A.B.C.19 Если значение C больше 20, то из него вычитается 19 и атаке подвергаются машины в диапазоне: A.B.C-19.0 - A.B.C-19.19. Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение. Затем червь ждет 2 секунды, после чего повторяет весь цикл рассылки своих копий на последующие 20 компьютеров. То есть, A.B.C.D+20 - A.B.C.D+40 и так далее. Прочее После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться. C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер www.windowsupdate.com, пытаясь таким образом затруднить или прервать его работу.
И какой же антивирус у тебя его определяет? Bob Уважающие себя провайдеры давным давно все "опасные" порты позакрывали. З.Ы. Даже самый простой файервол не дает этой заразе проникнуть в машину Спасибо Kerio за Winroute
билайн GPRS для своей внутренней сети 172.19* порт 135 не закрывает. вчера за неполный час 14 калечных машин стукнулось, файрволл рубить устал.
Вчера выловил эту заразу. Что интересно, комп перезагружался при соединении через Коламбию, а когда через телеком соединяешься то все нормально, как бы и нет червя...
Kuzmich Уважающие себя провайдеры, насколько я себе представляю, не лезут в дела пользователей и потому ничего не закрывают. А решать, какие порты "опасные", а какие безопасные -- не их дело. Внутренняя сеть любого провайдера защищена, а защита пользователя -- его личное дело. Мало ли чем он занимается и какие порты использует. SSH, tftp или 4444 для своей собственной программы.
Облом - полностью с тобой согласен, но во время таких "эпидемий" можно и прикрыть своих пользователей.
Kuzmich Я нигде не говорил что дело у меня дошло до определением антивирусом. Наверное, outpost не пропустил, а антивирус у меня stop - обновляется ежедневно и знает этот вирус.
А никто не обратил внимания, как майт Мелкософта стал работать.....Мрак...видно его все-таки грохнули:vcrazy: И ту же закладку в пятницу уже было не скачать...
Матохин Роман Скорее всего это не результат атаки вируса, а перегрузка сайта напуганными пользователями, желающими срочно скачать заплатку.
на ленте.ру всё написано, чем дело кончилось http://www.lenta.ru/internet/2003/08/16/worm/_Printed.htm Гость, насчет горшка... Уважающий себя провайдер не только должен с горшком бегать, но и давать ПОДРОБНЫЕ инструкции по пользованию этим самым горшком. В области ИТ у большинства пользователей образование 3 класса...
А еще иногда проще сразу отдаться, чем объяснять, почему не хочешь. Есть такая практика: закрывать наиболее уязвимые места клиентов чохом. Подавляющее большинство пользователей об этом не знает и знать не желает. Те, кому действительно нужно иметь открытый 137-139 порты, обычно звонят в поддержку и эта проблема каким-то образом решается.
Очень часто не всегда заранее известно какие сервисы понадобятся для работы, а пользователи действительно думают только о том чтобы пасьянс работал, а там хоть трава не расти (к великому сожалению многих админов). Таких никогда не научить тому что приклеивать на монитор бумажку с паролем не стОит. Вопрос в том, что провайдеры закрывают толтько ПОТЕНЦИАЛЬНО опасные порты, через которые возможно проникнуть куда-то, известные НА СЕГОДНЯШНИЙ день. Было бы лучше просто спрашивать юзверя, чего ему надо от ИНЕТА. Может его только порнушка интересует? Оставить ему необходимый минимум, а остальное позакрывать к какой-нибудь матери. Юзверь не знает и никогда не узнает, что если в XP не отключить некоторые сервисы, то она сама лазит к дяде Б. и обновляется, сволочь.