IPB

Здравствуйте, гость ( Вход | Регистрация )

> Внимание! В интернете опасный вирус!
Sumo
сообщение 13 Aug 2003, 6:59
Сообщение #1


Administrator


Группа: Admin
Сообщений: 6 279
Регистрация: 6.6.2003
Пользователь №: 1



Цитата:

"Водителям бронетанковой техники посвящается. По многочисленным просьбам радиослушателей разъясняю медленно и один раз, тем, кто все понял - ничего не будет.

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка (раз, два) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec.

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя."

http://www.livejournal.com/users/olegart/33500.html
Go to the top of the page
 
+Quote Post
 
Start new topic
Ответов (1 - 5)
Sumo
сообщение 13 Aug 2003, 7:15
Сообщение #2


Administrator


Группа: Admin
Сообщений: 6 279
Регистрация: 6.6.2003
Пользователь №: 1



Патчи для WindowsXP и Windows2000 лежат в разделе Софт/Система/Критические обновления.

Пользователям Windows2000 настоятельно рекомендуется почаще пользоваться WindowsUpdate...
Go to the top of the page
 
+Quote Post
Leon
сообщение 13 Aug 2003, 11:30
Сообщение #3





Группа: Forum members
Сообщений: 429
Регистрация: 11.6.2003
Пользователь №: 141



http://www.kaspersky.ru/news.html?id=1317864

Червь "Lovesan" снова атакует брешь в службе DCOM RPC операционной системы Windows

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о начале крупномасштабной эпидемии нового сетевого червя "Lovesan". Всего за несколько часов распространения он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров.

Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление.

"Lovesan" уже вторая вредоносная программа, которая атакует компьютеры через эту брешь: всего неделю назад в интернете был обнаружен червь "Autorooter". Однако в отличие от своего предшественника "Lovesan" имеет полнофункциональную систему автоматического распространения, что и определило возникновение глобальной эпидемии. "Лаборатория Касперского" прогнозировала такое развитие событий и рекомендовала пользователям принять необходимые меры предосторожности.

"Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.

Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров. В черве "Slammer", вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - продолжает Евгений Касперский.

В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащем обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

В целях противодействия угрозе "Лаборатория Касперского" рекомендует немедленно установить обновление Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана порты 135, 69 и 4444 (например Kaspersky® Anti-Hacker), если они не используются другими приложениями.

Процедуры защиты от "Lovesan" уже добавлены в базу данных Антивируса Касперского®. Более подробная информация о вредоносной программе доступна в Вирусной Энциклопедии Касперского.
Go to the top of the page
 
+Quote Post
Sumo
сообщение 13 Aug 2003, 12:12
Сообщение #4


Administrator


Группа: Admin
Сообщений: 6 279
Регистрация: 6.6.2003
Пользователь №: 1



Мы отрезали 135, 139 и 445 порты на всех роутерах... Тем не менее рекомендуется установить заплатки...
Go to the top of the page
 
+Quote Post
Sumo
сообщение 13 Aug 2003, 19:04
Сообщение #5


Administrator


Группа: Admin
Сообщений: 6 279
Регистрация: 6.6.2003
Пользователь №: 1



Есть описание процедуры и лечилка от Symantec: http://securityresponse.symantec.com/avcen...moval.tool.html

Файл FixBlast.exe можно забрать из http://proc.ru/soft/system/

Спасибо юзеру Leon за информацию...
Go to the top of the page
 
+Quote Post
Sumo
сообщение 19 Aug 2003, 13:57
Сообщение #6


Administrator


Группа: Admin
Сообщений: 6 279
Регистрация: 6.6.2003
Пользователь №: 1



"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, сообщает об обнаружении
нового сетевого червя "Welchia", который ищет компьютеры, зараженные
"Lovesan" ("Blaster"), лечит их и устанавливает заплатку для Windows.
Служба круглосуточной технической поддержки компании уже
зарегистрировала многочисленные инциденты, вызванные данной вредоносной
программой.

"Welchia" принадлежит к разряду вирусов, несущих определенную
гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не
наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные
программы и иммунизируют компьютеры. Наиболее известный пример подобного
вируса был зарегистрирован (http://www.kaspersky.ru/news.html?id=251) в
сентябре 2001 г.: тогда сетевой червь "CodeBlue" искал в интернете
компьютеры, зараженные другим червем, "CodeRed", и лечил их.

"Welchia" проводит заражение подобно червю "Lovesan": через бреши в
системе безопасности. Однако, в отличие от него, "Welchia" атакует не
только уязвимость в службе DCOM RPC
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp),
но также брешь WebDAV в системе IIS 5.0
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp)
(специальное программное обеспечение для управления web-серверами). Для
проникновения на компьютеры червь сканирует интернет, находит жертву и
проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь
WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель,
устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS
системного каталога Windows и создает сервис "WINS Client".

После этого "Welchia" начинает процедуру нейтрализации червя
"Lovesan". Для этого он проверяет наличие в памяти процесса с именем
"MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с
диска одноименный файл. Далее "Welchia" сканирует системный реестр
Windows для проверки установленных обновлений. В случае, если
обновление, закрывающее уязвимость в DCOM RPC не установлено, червь
инициирует процедуру его загрузки с сайта Microsoft, запускает на
выполнение и, после успешной установки, перегружает компьютер.

Наконец, в "Welchia" существует механизм самоуничтожения. Червь
проверяет системную дату компьютера и, если текущий год равен 2004,
удаляет себя из системы.

Уже сейчас распространение "Welchia" достигло глобальных масштабов.
При сохранении этой тенденции можно считать, что в течение недели червь
сможет полностью погасить эпидемию "Lovesan".

"Приходится констатировать, что и в интернете работает пословица
"Клин клином вышибают". Оказывается, самый эффективный способ борьбы с
вирусом - вирус. Во время последней эпидемии многие пользователи
проявили полное безразличие к защите своих компьютеров, из-за чего
интернет снова оказался под угрозой паралича, - сказал Денис Зенкин,
руководитель информационной службы "Лаборатории Касперского", - Жаль,
если в будущем сеть превратится в арену ожесточенной битвы вирусов,
безнаказанно заражающих компьютеры под молчаливое согласие безразличных
пользователей".

Защита от "Welchia" уже добавлена в базу данных Антивируса
Касперского. Более подробная информация о данной вредоносной
программе доступна в Вирусной Энциклопедии Касперского
(http://www.viruslist.com/viruslist.html?id=2743974).
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 1st October 2016 - 9:56