Вход
Регистрация
Правила_Сообщества
Понедельник, 11 августа 2003, 06:39:12
Монтаж? Или откуда?
0
Технические моменты.
Автор
LenNik, Понедельник, 28 июля 2003, 12:10:03
Последние сообщенияНовые темы
-
Тигр и журавль/Tiger and Crane/虎鹤妖师录(2023)20
Азиатские сериалы. Дорамы и live-actionDeJavu, 3 Мар 2024, 22:41
-
Тайны Троецарствия/Secret of the Three Kingdoms/三国机密之潜龙在渊(2018)28
Азиатские сериалы. Дорамы и live-actionDeJavu, 23 Янв 2024, 01:17
Наверх
LenNik
-
- Автор темы
- Магистр
-
- Группа: Супермодераторы
- Регистрация: 20 Фев 2002, 14:33
- Сообщений: 38605
- Откуда: Москва
- Пол:
Надеюсь, что все вчера пережили компьютерную эпидемию без потерь? 
Обращаюсь ко всем, но особенно к счастливым владельцам Win2000 и WinXP.
Обращаюсь ко всем, но особенно к счастливым владельцам Win2000 и WinXP.
LenNik
-
- Автор темы
- Магистр
-
- Группа: Супермодераторы
- Регистрация: 20 Фев 2002, 14:33
- Сообщений: 38605
- Откуда: Москва
- Пол:
Если кому-то поможет.
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении и быстром распространении по всему миру интернет-червя, использующего для своего распространения уязвимость операционных систем MS Windows 2000/XP (так называемая уязвимость DCOM RPC, см. нашу новость от 19 июля). Название червя по классификации Dr.Web - Win32.HLLW.LoveSan.11296, другие его названия - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A.
Червь поражает компьютеры, работающие под управлением операционных систем Windows 2000/XP. Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe).
Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC. Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд. Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe), который помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows. С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.
Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com
Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч (ссылки на патч, соответствующий Вашей операционной системе, можно найти здесь.)
Червь определяется всеми антивирусными модулями Dr.Web® c 7:12 MSK 12 августа, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении и быстром распространении по всему миру интернет-червя, использующего для своего распространения уязвимость операционных систем MS Windows 2000/XP (так называемая уязвимость DCOM RPC, см. нашу новость от 19 июля). Название червя по классификации Dr.Web - Win32.HLLW.LoveSan.11296, другие его названия - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A.
Червь поражает компьютеры, работающие под управлением операционных систем Windows 2000/XP. Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe).
Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC. Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд. Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe), который помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows. С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.
Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com
Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч (ссылки на патч, соответствующий Вашей операционной системе, можно найти здесь.)
Червь определяется всеми антивирусными модулями Dr.Web® c 7:12 MSK 12 августа, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.
LenNik
-
- Автор темы
- Магистр
-
- Группа: Супермодераторы
- Регистрация: 20 Фев 2002, 14:33
- Сообщений: 38605
- Откуда: Москва
- Пол:
А вот это лично для меня - тайна покрытая мраком. Вчера выступил госп. Касперский и как-то не выделил особеные операционки за которые нужно переживать.
Как пережившая на работе это заболевание, могу сказать, что отловить эту тварь можно и довольно успешно.
Вчера выступил госп. Касперский и как-то не выделил особеные операционки за которые нужно переживать. Как пережившая на работе это заболевание, могу сказать, что отловить эту тварь можно и довольно успешно.
LenNik
-
- Автор темы
- Магистр
-
- Группа: Супермодераторы
- Регистрация: 20 Фев 2002, 14:33
- Сообщений: 38605
- Откуда: Москва
- Пол:
Два совета из личного опыта борьбы.
Во-первых, проверьте в Диспетчере задач процессы, запущенные в текущее время. Если обнаружите работающий msblast.exe, то бейте тревогу. Это он.
Во-вторых, загрузите последние обновления к антивирусникам. С 12-го августа они уже могут успешно бороться с этим червем.
Во-первых, проверьте в Диспетчере задач процессы, запущенные в текущее время. Если обнаружите работающий msblast.exe, то бейте тревогу. Это он.
Во-вторых, загрузите последние обновления к антивирусникам. С 12-го августа они уже могут успешно бороться с этим червем.
0 посетителей читают эту тему: 0 участников и 0 гостей
