1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Зараза извне

Тема в разделе "Софт", создана пользователем flex, 12.08.03.

  1. flex

    flex Активный участник

    741
    0
    Если кто-то сегодня наблюдает внезапное "падение" Windows семейства NT - причина в новом сетевом черве. Распространяется в России, Украине, Румынии и Европе. Для распространения использует недавно найденную брешь в Windows и не требует никаких атачей в поче и прочее.

    Смотрим http://www.proantivirus.com/info/1/180_1.html качаем заплатки и лечимся, а то скоро на форуме станет пусто ;)
     
  2. Moonkan

    Moonkan Активный участник

    1.832
    0
    Знаем , знаем его WORM_MSBLAST.A зовут.
    Только что снес его под корень. Интересный вирус, по утверждениям сайта Т-Онлайн, он предназначен для массовой атаки на сайт микрософта. Там же пишут что на 21.30 его уже схлопотали 22,5 тыс. пользователей.
     
  3. ilich

    ilich Активный участник

    808
    0
    Я - 22501.
     
  4. Voyager

    Voyager Активный участник

    3.066
    0
    flex
    Страшно то как!:chih:
     
  5. markell

    markell Читатель

    431
    0
    Ждем 16 августа... А потом смотрим на сервак Мелкомягкого и на наш форум!!!:biglaugh: :biglaugh:
     
  6. Bob

    Bob Активный

    21.804
    0
  7. flex

    flex Активный участник

    741
    0
    Еще бы. Сама приходит. Ни запукать ни качать - ничего не надо.
    Автоматика ;)
     
  8. Bob

    Bob Активный

    21.804
    0
    flex, не паниковать! У меня есть подозрения что провайдеры в большинстве своём 135 порт не открывают. Кто подскажет? Ау провайдеры!
     
  9. flex

    flex Активный участник

    741
    0
    Bob
    Да я и не паникую :) Я несу панику в массы.
    А у меня и заплатка стоит и outpost и антивирус :cool: . Чего мне бояться?
     
  10. Moonkan

    Moonkan Активный участник

    1.832
    0
    Все было - заплатка, файрвол, решил переустановить систему , вошел в интернет всего 1 раз без антивиря-файрвола хотел побыстрее активацию новой винды сделать, и нате схлопотал данный вирь на машину. Ужасть.
     
  11. flex

    flex Активный участник

    741
    0
    Moonkan
    Класно, у меня знакомый его подхватил пока заплатку качал :)
     
  12. YORK

    YORK Участник

    127
    0
    Вирус-червь. Распространяется по глобальным сетям, используя для своего
    размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание
    приведено в Microsoft Security Bulletin MS03-026.

    Червь написан на языке C, с использованием компилятора LCC. Имеет размер
    6К, упакован UPX. Размножается в виде файла с именем "msblast.exe".

    Содержит текстовые строки:

    I just want to say LOVE YOU SAN!!
    billy gates why do you make this possible ? Stop making money and fix your software!!

    Признаками заражения компьютера являются:

    Наличие файла "msblast.exe" в системном (system32) каталоге Windows.

    Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.

    Размножение

    При запуске червь регистрирует себя в ключе автозапуска:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    windows auto update="msblast.exe"

    Открывает одновременно 20 соединений с произвольными IP-адресами. Адреса
    для заражения выбираются по одному из двух алгоритмов:

    В 3 случаях из 5 целью для атаки выбирается IP-адрес (A.B.C.D), где D
    всегда равно 0. Значения A, B, и C выбираются произвольно от 0 до 255.

    Например если выбран адрес: 194.15.245.0, то червь будет пытаться заразить
    машины в диапазоне 194.15.245.0 - 194.15.245.19.

    В 2 случаях из 5 червь определяет текущий IP-адрес зараженной машины,
    берет из него значения A и B, значение D равно 0. После чего проверяется
    значение C - если оно меньше 20, то атаке подвергаются машины в диапазоне:
    A.B.C.0 - A.B.C.19

    Если значение C больше 20, то из него вычитается 19 и атаке подвергаются
    машины в диапазоне: A.B.C-19.0 - A.B.C-19.19.

    Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт
    выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной
    машине командную оболочку "cmd.exe" на TCP порту 4444.

    После этого червь, при помощи команды tftp get, через 69 порт загружает
    себя на удаленную машину в системный каталог Windows и запускает на
    исполнение.

    Затем червь ждет 2 секунды, после чего повторяет весь цикл рассылки своих
    копий на последующие 20 компьютеров. То есть, A.B.C.D+20 - A.B.C.D+40 и
    так далее.

    Прочее

    После заражения инфицированная машина выводит сообщение об ошибке RPC
    service failing, после чего может попытаться перезагрузиться.

    C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер
    www.windowsupdate.com, пытаясь таким образом затруднить или прервать его
    работу.
     
  13. YORK

    YORK Участник

    127
    0
    Bob
    Не только 135 порт закрыт, но и все порты NetBios по рекомендациям защиты сетей...
     
  14. Kuzmich

    Kuzmich Активный участник

    1.118
    0
    И какой же антивирус у тебя его определяет?

    Bob
    Уважающие себя провайдеры давным давно все "опасные" порты позакрывали.

    З.Ы. Даже самый простой файервол не дает этой заразе проникнуть в машину :) Спасибо Kerio за Winroute :)
     
  15. Гость

    Гость Гость

    NAV CE 8.0
     
  16. Bob

    Bob Активный

    21.804
    0
    хто это, поименно?
     
  17. pegas

    pegas Участник

    311
    0
    билайн GPRS для своей внутренней сети 172.19* порт 135 не закрывает. вчера за неполный час 14 калечных машин стукнулось, файрволл рубить устал.:)
     
  18. VL

    VL Участник

    1.695
    0
    Вчера выловил эту заразу. Что интересно, комп перезагружался при соединении через Коламбию, а когда через телеком соединяешься то все нормально, как бы и нет червя...
     
  19. Облом

    Облом Участник

    442
    0
    Kuzmich
    Уважающие себя провайдеры, насколько я себе представляю, не лезут в дела пользователей и потому ничего не закрывают. А решать, какие порты "опасные", а какие безопасные -- не их дело. Внутренняя сеть любого провайдера защищена, а защита пользователя -- его личное дело. Мало ли чем он занимается и какие порты использует. SSH, tftp или 4444 для своей собственной программы.
     
  20. Bob

    Bob Активный

    21.804
    0
    Облом, я тоже так раньше думал. Однако опыт показывает, что это не так.
     
  21. Z@@

    Z@@ Активный участник

    2.692
    0
    Облом - полностью с тобой согласен, но во время таких "эпидемий" можно и прикрыть своих пользователей.
     
  22. Гость

    Гость Гость

    Уважающие себя провайдеры не бегают с горшком за каждым своим клиентом.
     
  23. YORK

    YORK Участник

    127
    0
    Гость
    Ну и кто ж у нас такой "уважающий себя", что назваться даже не хочет...
     
  24. flex

    flex Активный участник

    741
    0
    Kuzmich
    Я нигде не говорил что дело у меня дошло до определением антивирусом. Наверное, outpost не пропустил, а антивирус у меня stop - обновляется ежедневно и знает этот вирус.
     
  25. Матохин Роман

    Матохин Роман Активный участник

    3.212
    0
    А никто не обратил внимания, как майт Мелкософта стал
    работать.....Мрак...видно его все-таки грохнули:vcrazy:
    И ту же закладку в пятницу уже было не скачать...;)
     
  26. flex

    flex Активный участник

    741
    0
    Матохин Роман
    Скорее всего это не результат атаки вируса, а перегрузка сайта напуганными пользователями, желающими срочно скачать заплатку.
     
  27. Матохин Роман

    Матохин Роман Активный участник

    3.212
    0
    flex
    Может быть...но сервак висел конкретно..и весьма долго...
    как сейчас - не смотрел;)
     
  28. RubiN

    RubiN Активный участник

    5.533
    31
    на ленте.ру всё написано, чем дело кончилось http://www.lenta.ru/internet/2003/08/16/worm/_Printed.htm

    Гость, насчет горшка...
    Уважающий себя провайдер не только должен с горшком бегать, но и давать ПОДРОБНЫЕ инструкции по пользованию этим самым горшком. В области ИТ у большинства пользователей образование 3 класса...
     
  29. Гость

    Гость Гость

    А еще иногда проще сразу отдаться, чем объяснять, почему не хочешь.

    Есть такая практика: закрывать наиболее уязвимые места клиентов чохом. Подавляющее большинство пользователей об этом не знает и знать не желает. Те, кому действительно нужно иметь открытый 137-139 порты, обычно звонят в поддержку и эта проблема каким-то образом решается.
     
  30. RubiN

    RubiN Активный участник

    5.533
    31
    Очень часто не всегда заранее известно какие сервисы понадобятся для работы, а пользователи действительно думают только о том чтобы пасьянс работал, а там хоть трава не расти (к великому сожалению многих админов). Таких никогда не научить тому что приклеивать на монитор бумажку с паролем не стОит. Вопрос в том, что провайдеры закрывают толтько ПОТЕНЦИАЛЬНО опасные порты, через которые возможно проникнуть куда-то, известные НА СЕГОДНЯШНИЙ день. Было бы лучше просто спрашивать юзверя, чего ему надо от ИНЕТА. Может его только порнушка интересует? Оставить ему необходимый минимум, а остальное позакрывать к какой-нибудь матери. Юзверь не знает и никогда не узнает, что если в XP не отключить некоторые сервисы, то она сама лазит к дяде Б. и обновляется, сволочь.