Внимание!!! Nt Authority\system - это червь!!!

ВНИМАНИЕ!!! ВНИМАНИЕ!!! ВНИМАНИЕ!!!
ОПАСНЫЙ ЧЕРВЬ!!!

Симптомы: При работе в сети внезапно выскакивает мессадж, сообщающий о том, что необходимо завершить все программы с сохранениями данных т.к. через 60 сек. произойдет перезагрузка.


Диагноз: Сетевой червь w32.Blaster.worm.Червь эксплуатирует найденную 16 июля уязвимость в сервисе RPC DCOM, присутствующую во всех операционных системах семейств Windows 2000, Windows XP и Windows 2003. Эта уязвимость - переполнение буфера, которое вызывается соответствующим образом составленным TCP/IP пакетом, пришедшим на порт 135, 139 или 445 атакуемого компьютера. Она позволяет как минимум провести DoS-атаку (DoS означает "Denial of Service", или "отказ в обслуживании", в данном случае - атакуемый компьютер перезагружается), а как максимум - выполнить в памяти атакуемого компьютера любой код. Новый червь при своем распространении проводит атаку на 135-й порт, и, в случае успеха, запускает программу TFTP.exe, с помощью которой скачивает на атакуемый компьютер свой исполняемый файл. При этом пользователю выдается сообщение об остановке сервиса RPC и последующей перезагрузке. После перезагрузки червь автоматически запускается и начинает сканировать доступные с компьютера сети на предмет компьютеров с открытым 135-м портом. При обнаружении таковых червь проводит атаку, и все повторяется сначала. Причем, судя по темпам распространения на данный момент, скоро червь выйдет на первое место в списках антивирусных компаний.

Лекарство: Существуют три способа защиты от червя. Во-первых, в бюллетене Microsoft приведены ссылки на патчи для всех уязвимых версий Windows, закрывающие брешь в RPC (эти патчи были выпущены еще 16 июля, поэтому тем, кто регулярно обновляет систему, беспокоиться не стоит). Во-вторых, если 135-й порт закрыт файрволлом - червь не сможет проникнуть на компьютер. В-третьих, в качестве крайней меры помогает отключение DCOM (подробно эта процедура описана в бюллетене от Microsoft). Таким образом, если вы еще не подверглись атаке червя - настоятельно рекомендуется как можно скорее скачать патч для вашей ОС с сервера Microsoft (например, воспользуйтесь службами Windows Update), либо настроить блокировку портов 135, 139 и 445 в файрволле. Если же ваш компьютер уже заражен (а появление сообщения об ошибке RPC однозначно означает, что он заражен), то необходимо выключить DCOM (иначе каждая следующая атака будет вызывать перезагрузку), после чего скачать и установить патч. Для уничтожения червя необходимо удалить из ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "windows auto update"="msblast.exe", после чего найти и стереть файл msblast.exe - это и есть тело червя. Более подробно о процедуре удаления червя можно прочитать на сайте Symantec.

На данный момент не все антивирусы обнаруживают червя - надеяться на защиту с их стороны можно будет только после выхода обновлений.

Если такое сообщение у вас пока не появлялось качайте патчи от Дяди Билла:

Win XP (RUS) http://download.microsoft.com/downl...e-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

WinXP (ENG) http://download.microsoft.com/downl...7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe

Тут линки на лекарство для NT 4.0 и 2000, 2003 Server

http://en.safeurl.de/?http://microsoft.netvision.net.il/public/

Windows NT 4.0:
http://en.safeurl.de/?http://micros...4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

Windows NT 4.0 Terminal Server:
http://en.safeurl.de/?http://micros...60-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

Windows 2000:
http://en.safeurl.de/?http://micros...46-F541-4C15-8C9F-220354449117&displaylang=en

Windows 2003:
http://en.safeurl.de/?http://micros...3A-9F4C-4061-9009-3A212458E92E&displaylang=en

 

Да, забыл месадж вам показать.
Любуйтесь!

 

Согласен, но вроде не ламак, и о черве еще в августе слышал. Однако ведь забыл же? Так что мой долг предупредить, кто знает - молодец, а кому то может и ответ на проблемы.

Совершенно правильно. У меня так было. Месага вылазиит, смотрю процессы, сканю винт всем чем можно, реестр - ничего. Только потом прочитал что червь использует TFTP.exe и вспомнил что Аутпост мой меня день до этого спросил насчет этой службы и я запретил (слава яйцам). Короче червь ломился и светился, но вторую часть своего мерзкого дела сделать не мог.
Все исправила установка старого-доброго ATGuard и полная блокировка 135, 139 и 445 портов. Конечно не приминул качнуть патч от Билла.

Desdichado добавил [date]1069539796[/date]:

Больше не будем, можно закрыть тему.


Знаете вообще не хочу гнать на людей, но тут такая история. Купил карту Коламбии и в течении первых 10 минут работы был атакован червяком. Суть червя, сканить пораженые компы на наличие сети и поражать сетевые компы, так и распространяется. И вот сдается мне, а не сервак ли у Коламбии поражен? Кто еще работает под ними?