Поиск по форуму
Свежие обсуждения
Вход | Регистрация
Компьютеры

А вот и вирус!
1 20
ЮХа
13.08.2003, 14:32
 Только вчера сообщили, а у меня уже есть!
:)
И какой зас..нец мне это подсунул?		  
Арс
13.08.2003, 14:34
 Этот вирус распространяется самостоятельно по сети. Так что он к вам сам залез :)  
Арс
13.08.2003, 14:39
 Вот Только я слышал о нём совершенно под другим названием...
http://www.kaspersky.ru/news.html?id=1317864		  
Арс
13.08.2003, 14:45
 Вот ещё (http://www.unasoft.com.ua/rus/news.php?id=93&sites=Russian )

12.08.2003 В глобальной сети появился червь Worm.Win32.MSBlast, использующий опасную уязвимость DCOM.

Несколько недель назад была обнаружена опасная уязвимость, присутствующая во всех версиях операционных систем Windows 2000/XP. До сих пор данная "дыра" использовалась в основном хакерами и только сейчас появился полнофункциональный червь Worm.Win32.MSBlast, применяющий данную уязвимость. Опасность червя заключается в том, что для своего распространения он не использует каких либо серверов (как обычно делают почтовые черви), а распространяется напрямую между компьютерами, что сильно затрудняет централизованное подавление эпидемий. Единственное условие поражения: наличие уязвимости DCOM и доступ к компьютеру через NetBIOS. Таким образом, подавление эпидемии полностью зависит от сознательности рядовых пользователей и администраторов локальных сетей.

Worm.Win32.MSBlast является Win32 приложением размером 6176 байт (приложение упаковано утилитой сжатия файлов UPX).

После запуска червь создаёт ключ в реестре, необходимый для запуска червя при загрузке операционной системы:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
”windows auto update" = MSBLAST.EXE

Далее MSBlaster создаёт Mutex "BILLY" в памяти компьютера, который применяется червём для проверки наличия в памяти своей копии. Если Мьютекс уже существует, то червь просто завершает свою работу. В противном случае червь засыпает на 20 секунд, после чего проверяет наличие доступа к сети Internet. Последняя операция повторяется до тех пор, пока соединение не будет обнаружено.

После обнаружения подключения к глобальной сети червь проверяет системную дату. Если дата удовлетворяет указанному ниже условию, червь запускает нить, производящую DoS атаку на сервер windowsupdate.com. Условия для запуска DoS- атаки:

Каждое 16-е или 31-е число первых восьми месяцев года (Январь-Август);
Каждый день Сентября и Декабря.

Для распространения червь пытается установить соединение с предполагаемой "жертвой" на порт 135 удалённой системы (NetBIOS), определяя наличие потенциально-уязвимой операционной системы Windows.

Распространение при помощи уязвимости DCOM
Червь ищет компьютеры в своей локальной сети и посылает пакеты, вызывающие переполнение буфера на удалённом компьютере и активизирующие код, содержащийся в пакете. Посылаемый код открывает порт 4444 и подключает к нему командную оболочку "cmd.exe" с правами LocalSystem. На исходном компьютере (с которого происходит распространение) червь открывает порт 69 и эмулирует на нём работу Trivial FTP сервера. Далее, используя открытую командную оболочку на удалённом поражённом компьютере, червь закачивает на него своё тело и копирует его в папку %WinDir%System32, после чего червь активизируется на удалённом компьютере.

Процедуры обнаружения и нейтрализации данного червя добавлены в базы "Украинского Национального Антивируса". Всем пользователям рекомендуется обновить антивирусные базы.

Для устранения уязвимости и предотвращения попадания червя на компьютер всем пользователям рекомендуется установить заплатку на Windows:
(http://www.microsoft.com/security/security_bulletins/ms03-026.asp )

  
reflex
13.08.2003, 14:48
 JUXA,kakie simptomy?U menia zashchita NORTON-2003,mog li ko mne zalezt?  
Арс
13.08.2003, 14:48
 Так что, ЮХа, вовремя надо презервативы одевать или вакцину вводить :)  
Арс
13.08.2003, 15:06
 Ага, уже и второй вирус появился, который и 98 сшибает:

98-МУ НЕ ГРОЗИТ ЭТА ФИГНЯ___W32.Blaster.Worm. а вотета уже грозит:___W32.Randex.E ___Also Known As: IRC-BBot [McAfee], WORM_RPCSDBOT.A [Trend] Type: Trojan Horse, Worm Infection Length: 24,064, 43,520 Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Это отсюда: http://www.viruslist.com/index.html?forum=1&id=2728073

 
ЮХа
13.08.2003, 15:09
 Сиптомы просты: комп перезагружается самостоятельно через минуту с предупреждением и рекомендацией сохранить данные.
Ничего сделать нельзя. 		 
Арс
13.08.2003, 15:15
 ЮХа, читай то, что я написал вверху, а особенно это:( http://www.viruslist.com/index.html?forum=1&id=2728073 )

И вот ещё:

Значить так, як тільки завантажилась система швидко поки не перезавантажився комп"ютер якщо встигаємо (я встиг раз на 5-й ) відкриваємо "СЛУЖБИ" це "пуск/настройки/панель керування/адміністрування/служби" знаходимо "Система событий СОМ+" відключаємо її, далі запускаємо "regedit" там шукаємо HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun знаходиш там строку яка вказує на файл msblast.exe та знищуеш її , потім знаходиш сам файл msblast.exe він був у мене C:WINDOWSSYSTEM32 та видаляєш його теж. В принципі все. Залишається тільки запустити патч від мікром"яких щоб закрити цю дірку. Потім запускаєш службу СОМ+. Файл можна взяти на сайті майкрософта

 
Mastak
14.08.2003, 08:07
 Значит так, как только загрузилась система, быстро, пока не перезагрузился компъютер, если успеваем (я успел раз на 5-й ) открываем "СЛУЖБЫ" це "пуск/настройки/панель управления/администрирование(не нашел)/службы" находим "Система событий СОМ+" отключаем ее, дальше запускаем "regedit" там ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
находишь там строку, которая указывает на файл msblast.exe и уничтожаешь ее, затем ищешь сам файл msblast.exe, у меня он был C:WINDOWS/SYSTEM32 и также удаляешь его. В принципе все. Остается только запустить патч от мікром"яких(не понял), чтобы закрыть эту дырку. Потом запускаешь службу СОМ+. Файл можна взять на сайте майкрософта.
Арс, прошу без обид! Я то все прочитал, просто как и вы, старался для других.		  
1 Дальше → 20