1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Внимание!!! Nt Authority\system - это червь!!!

Тема в разделе "Интернет", создана пользователем Desdichado, 22.11.03.

  1. Desdichado

    Desdichado Активный участник

    2.982
    0
    ВНИМАНИЕ!!! ВНИМАНИЕ!!! ВНИМАНИЕ!!!
    ОПАСНЫЙ ЧЕРВЬ!!!

    Симптомы: При работе в сети внезапно выскакивает мессадж, сообщающий о том, что необходимо завершить все программы с сохранениями данных т.к. через 60 сек. произойдет перезагрузка.


    Диагноз: Сетевой червь w32.Blaster.worm.Червь эксплуатирует найденную 16 июля уязвимость в сервисе RPC DCOM, присутствующую во всех операционных системах семейств Windows 2000, Windows XP и Windows 2003. Эта уязвимость - переполнение буфера, которое вызывается соответствующим образом составленным TCP/IP пакетом, пришедшим на порт 135, 139 или 445 атакуемого компьютера. Она позволяет как минимум провести DoS-атаку (DoS означает "Denial of Service", или "отказ в обслуживании", в данном случае - атакуемый компьютер перезагружается), а как максимум - выполнить в памяти атакуемого компьютера любой код. Новый червь при своем распространении проводит атаку на 135-й порт, и, в случае успеха, запускает программу TFTP.exe, с помощью которой скачивает на атакуемый компьютер свой исполняемый файл. При этом пользователю выдается сообщение об остановке сервиса RPC и последующей перезагрузке. После перезагрузки червь автоматически запускается и начинает сканировать доступные с компьютера сети на предмет компьютеров с открытым 135-м портом. При обнаружении таковых червь проводит атаку, и все повторяется сначала. Причем, судя по темпам распространения на данный момент, скоро червь выйдет на первое место в списках антивирусных компаний.

    Лекарство: Существуют три способа защиты от червя. Во-первых, в бюллетене Microsoft приведены ссылки на патчи для всех уязвимых версий Windows, закрывающие брешь в RPC (эти патчи были выпущены еще 16 июля, поэтому тем, кто регулярно обновляет систему, беспокоиться не стоит). Во-вторых, если 135-й порт закрыт файрволлом - червь не сможет проникнуть на компьютер. В-третьих, в качестве крайней меры помогает отключение DCOM (подробно эта процедура описана в бюллетене от Microsoft). Таким образом, если вы еще не подверглись атаке червя - настоятельно рекомендуется как можно скорее скачать патч для вашей ОС с сервера Microsoft (например, воспользуйтесь службами Windows Update), либо настроить блокировку портов 135, 139 и 445 в файрволле. Если же ваш компьютер уже заражен (а появление сообщения об ошибке RPC однозначно означает, что он заражен), то необходимо выключить DCOM (иначе каждая следующая атака будет вызывать перезагрузку), после чего скачать и установить патч. Для уничтожения червя необходимо удалить из ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "windows auto update"="msblast.exe", после чего найти и стереть файл msblast.exe - это и есть тело червя. Более подробно о процедуре удаления червя можно прочитать на сайте Symantec.

    На данный момент не все антивирусы обнаруживают червя - надеяться на защиту с их стороны можно будет только после выхода обновлений.

    Если такое сообщение у вас пока не появлялось качайте патчи от Дяди Билла:

    Win XP (RUS) http://download.microsoft.com/downl...e-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

    WinXP (ENG) http://download.microsoft.com/downl...7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe

    Тут линки на лекарство для NT 4.0 и 2000, 2003 Server

    http://en.safeurl.de/?http://microsoft.netvision.net.il/public/

    Windows NT 4.0:
    http://en.safeurl.de/?http://micros...4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

    Windows NT 4.0 Terminal Server:
    http://en.safeurl.de/?http://micros...60-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

    Windows 2000:
    http://en.safeurl.de/?http://micros...46-F541-4C15-8C9F-220354449117&displaylang=en

    Windows 2003:
    http://en.safeurl.de/?http://micros...3A-9F4C-4061-9009-3A212458E92E&displaylang=en[​IMG]
     
  2. Desdichado

    Desdichado Активный участник

    2.982
    0
    Да, забыл месадж вам показать.
    Любуйтесь!
     

    Вложения:

  3. Carma

    Carma Почётный

    6.418
    0
    Немного старовата информация, но все равно многие еще не знают.

    Carma добавил [date]1069511108[/date]:

    Мессага такая может выходить во многих случаях, а не только при поражении вирусом. Самое простое - в диспетчере задач (по Ctrl+Alt+Del) проверить запущен ли процесс Msblast.exe. Если это так - вы точно заражены...
     
  4. Poops

    Poops Активный участник

    2.296
    0
    Desdichado
    Ну сколько можно! Про MSBlast уже все уши прожужжали! :(
     
  5. Desdichado

    Desdichado Активный участник

    2.982
    0


    Согласен, но вроде не ламак, и о черве еще в августе слышал. Однако ведь забыл же? Так что мой долг предупредить, кто знает - молодец, а кому то может и ответ на проблемы.



    Совершенно правильно. У меня так было. Месага вылазиит, смотрю процессы, сканю винт всем чем можно, реестр - ничего. Только потом прочитал что червь использует TFTP.exe и вспомнил что Аутпост мой меня день до этого спросил насчет этой службы и я запретил (слава яйцам). Короче червь ломился и светился, но вторую часть своего мерзкого дела сделать не мог.
    Все исправила установка старого-доброго ATGuard и полная блокировка 135, 139 и 445 портов. Конечно не приминул качнуть патч от Билла.

    Desdichado добавил [date]1069539796[/date]:


    Больше не будем, можно закрыть тему.


    Знаете вообще не хочу гнать на людей, но тут такая история. Купил карту Коламбии и в течении первых 10 минут работы был атакован червяком. Суть червя, сканить пораженые компы на наличие сети и поражать сетевые компы, так и распространяется. И вот сдается мне, а не сервак ли у Коламбии поражен? Кто еще работает под ними?
     
  6. RubiN

    RubiN Активный участник

    5.535
    34
    Desdichado

    ты для начала IP удаленного хоста определи, потом глянь кому он принадлежит. Ну а потом уже и гнать можно.

    З.Ы. не учитываю возможность "крутой" атаки с подменой IP, но всё ж вероятность есть.
     
  7. Poops

    Poops Активный участник

    2.296
    0
    Desdichado
    Я вылез в ГПРС и через 5 минут поймал MSBlast :) Правда это было в дни "расцвета" вируса... А сейчас, сидя каждый день под "Коламбией" не атукуюсь ничем. Логи файрволла пусты.
     
  8. Облом

    Облом Участник

    442
    0
    Poops
    У "Коламбии" успешно закрыты порты, по которым общается MSBlast
     
  9. V1t

    V1t Новичок

    97
    0
    24.11.2003 4:54:12 Сканирование портов 68.236.29.142 TCP (445)
    24.11.2003 4:48:31 Сканирование портов 200.39.62.195 TCP (445)
    24.11.2003 4:02:23 Сканирование портов 200.174.142.153 TCP (445)
    24.11.2003 2:57:21 Сканирование портов 200.161.215.65 TCP (445)
    24.11.2003 2:43:06 Сканирование портов 218.0.121.142 TCP (445)
    24.11.2003 2:05:15 Сканирование портов 66.142.176.117 TCP (445)
    24.11.2003 1:42:16 Сканирование портов 200.174.142.153 TCP (445)
    24.11.2003 1:37:22 Сканирование портов 203.145.168.48 TCP (445)
    24.11.2003 1:32:00 Сканирование портов 200.100.126.110 TCP (445)
    24.11.2003 0:44:53 Сканирование портов 80.161.13.164 TCP (445)
    24.11.2003 0:26:40 Сканирование портов 68.165.167.243 TCP (445)
    24.11.2003 0:24:56 Сканирование портов 220.255.15.19 TCP (445)
    24.11.2003 0:13:38 Сканирование портов 80.37.243.137 TCP (445)
    24.11.2003 0:11:25 Сканирование портов 80.218.9.238 TCP (445)
    И там ещё лога на 3 старницы...

    Ага 445! Я то чегото забыл про этот порт, думал 135, 139.
     
  10. Медуза

    Медуза Активный участник

    557
    0
    АААА я поймала, такого зверя. Тема от 2003 года, может новые способы существуют!!! Помогите!:pok:
     
  11. Шелудивый кот

    Шелудивый кот Активный участник

    9.288
    17
  12. Медуза

    Медуза Активный участник

    557
    0
    Шелудивый кот, :( ни чего не понимаю... лучше наверное специалиста приглашу... а то я сейчас накачаю "лекарств" :spider:
     
  13. Шелудивый кот

    Шелудивый кот Активный участник

    9.288
    17
  14. Медуза

    Медуза Активный участник

    557
    0
    Шелудивый кот, я до этого дошла... сейчас читаю.. может дойдет до меня:d:d:d

    ЗЫ.. Сегодня экзамен... надо же мне было этого червя найти, теперь сижу способы борьбы с паразитами изучаю.. вместо Культурологии:writer:

    сейчас сканирую комп с помощью Panda ActiveScan 2.0, нашел 3 зараженных файла))) , не знаю поможет ли?
     
    Последнее редактирование: 15.06.10
  15. Шелудивый кот

    Шелудивый кот Активный участник

    9.288
    17
    Хз, но если уж чем сканировать так это
    http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool
    и
    http://www.freedrweb.com/cureit/?lng=ru
    соответственно
     
  16. Litron

    Litron Активный участник

    22.959
    0
    темокопы блин
     
  17. Шелудивый кот

    Шелудивый кот Активный участник

    9.288
    17
    Нормально, у неё надо поучиться пользоваться поиском )))
     
  18. Медуза

    Медуза Активный участник

    557
    0
    УРЯЯЯЯЯ у меня получилось! удалила с помощью AVZ4, спасибо уважаемые... пошла готовиться к экзамену!!!!!;)
     
  19. Filler

    Filler Активный участник

    5.371
    17
    Медуза, молодец! по информатике зачет автоматом! ;)

    Это точно! Не то что некоторые - рядом темы похожие не видят, и плодят кучу похожих !
     
  20. Медуза

    Медуза Активный участник

    557
    0
    Filler, Шелудивый кот еще раз спасибо! Информатику сдала в том году. Сегодня сдала и культуру. МозГ разгрузила перед экзаменом и все прокатило!
     
  21. Шелудивый кот

    Шелудивый кот Активный участник

    9.288
    17
    Ctrl+Alt+Del всегда прокатывает! :d
     
  22. Медуза

    Медуза Активный участник

    557
    0
    :d:возьму на заметку!
     
  23. Гигант_Мысли

    Гигант_Мысли Читатель

    3.624
    0
    По моему у ув-й Медуза стоит XP SP1, т.к. насколько я знаю в более поздних версиях эту уязвимость устранили. Рекомендовал бы поставить версию посвежее.
     
  24. Медуза

    Медуза Активный участник

    557
    0
    Гигант_Мысли, это Вы откуда такие буквы узнали:d Я сама и не знаю, что у меня :shuffle: Вы про винду,говорите? Если все повторится, то наверное воспользуюсь Вашим советом. Спасибо.
     
  25. Гигант_Мысли

    Гигант_Мысли Читатель

    3.624
    0
    Переведу на русский- у вас старая версия винды, она может содержать и другие уязвимости которые устранены в более поздних версиях.
     
  26. Шелудивый кот

    Шелудивый кот Активный участник

    9.288
    17
    Не-не-не, лучше предупредить, чем потом исправлять!
    Правой кнопкой мышки по моему компьютеру -> Свойства моего компьютера -> Система: "Что тут написано?"
     
  27. Медуза

    Медуза Активный участник

    557
    0
    Гигант_Мысли, спасиб, поняла . ;)
     
  28. Медуза

    Медуза Активный участник

    557
    0
    Вот как то так...
     

    Вложения:

  29. Медуза

    Медуза Активный участник

    557
    0
    Шелудивый кот, что скажете, доХтор? Жить будет?
     
  30. Шелудивый кот

    Шелудивый кот Активный участник

    9.288
    17
    Медуза, будет ))) Оно точно "болело"? )