Stormwave Board

Здесь Вы можете просмотреть подписку на темы, работать с личными сообщениями и редактировать Ваш профайл и настройки Регистрация Календарь Найти других пользователей Часто Задаваемые Вопросы Поиск Домой
Stormwave Board : Powered by vBulletin version 2.2.8 Stormwave Board > Общий > Флейм > win32.lovesan
  Последняя тема   Следующая тема
Автор
Сообщение Новая тема    Ответить
d@rth_v@dEr
Мастер Джедай


На форумах с декабря 2002
Местонахождение: Death Star
Сообщений: 142
win32.lovesan

Кого-нить уже посетил "червячок" lovesan? Вот меня да и у меня еще порочку друзей и так же бесследно пропал(у меня)happy. Зато вот всю статистику вчера в Баттл.нете испортил=(

Адрес поста | Наябедничать | IP: Logged

d@rth_v@dEr is offline Old Post 12.08.2003 20:21
Click Here to See the Profile for d@rth_v@dEr Click here to Send d@rth_v@dEr a Private Message Найти еще сообщения от d@rth_v@dEr Добавить d@rth_v@dEr в Ваш список друзей Добавить пользователя в Contact List ICQ  Ответить с цитированием Редактировать/Удалить сообщение
Mamant|EVE
Зарегистрированный


На форумах с июля 2003
Местонахождение:
Сообщений: 66

апдейты качайте....у него вчера активация была...называеться msblast.exe - ставте стенки, блокируйте 135й порт

Адрес поста | Наябедничать | IP: Logged

Mamant|EVE is offline Old Post 12.08.2003 21:15
Click Here to See the Profile for Mamant|EVE Click here to Send Mamant|EVE a Private Message Домашняя страница Mamant|EVE Найти еще сообщения от Mamant|EVE Добавить Mamant|EVE в Ваш список друзей Добавить пользователя в Contact List ICQ  Ответить с цитированием Редактировать/Удалить сообщение
David
Завсегдатай


На форумах с мая 2003
Местонахождение: Галактика млечный путь, солнечная система, планета Земля :-))
Сообщений: 532

Да он задрал
Вызвали меня по теме - АРМ не работает. А там ситуация такая: на рабочих станциях он работает через сетевой диск, который является папкой на серваке. На серваке операционка Windows 2000 Advanced Server. Прихожу - сервер самопроизвольно перегрузился, просит пароль. Ввожу - все в порядке, сеть с сервера видна. Иду на рабочую станцию - сервак не видно. Долбались - долбались, догадались остановить задачу Server (и все ей сопутствующие) и запустить заново. Заработало. И так на нескольких серваках под разными НТями. Что характерно, после перезагрузки те же яйца. Все надо делать вручную.
Но глюки в сети продолжаются. То одно не работает, то другое. Заплатка не помогает. Понты для приезжих. Ждем обновления от Касперского...

__________________
D. A. V. I. D. : Digital Artificial Violence and Infiltration Device

Адрес поста | Наябедничать | IP: Logged

David is offline Old Post 14.08.2003 03:33
Click Here to See the Profile for David Click here to Send David a Private Message Найти еще сообщения от David Добавить David в Ваш список друзей Ответить с цитированием Редактировать/Удалить сообщение
StraNNiK
Зарегистрированный


На форумах с марта 2002
Местонахождение: Astana, KZ
Сообщений: 558

И не говорите - задрал...
То программы работают нормально, то - нет...
Антивирус от Нортона (Симантек) http://securityresponse.symantec.co...er/FixBlast.exe
на соседнем компе нашел и вылечил вирус, на моем и некоторых других - нет. Причем опер системы и корпоративный сервер один и тот же.
Куда смотрят наши IT-шники ? А то среди нас чайников это вселяет панику и ужас.... smile

зы А когда ожидается апдейт Касперского? И будет ли он бесплатным?

__________________
Когда я ем, я глух и нем, хитёр и быстр и дьявольски умён

Адрес поста | Наябедничать | IP: Logged

StraNNiK is offline Old Post 14.08.2003 08:38
Click Here to See the Profile for StraNNiK Click here to Send StraNNiK a Private Message Найти еще сообщения от StraNNiK Добавить StraNNiK в Ваш список друзей Ответить с цитированием Редактировать/Удалить сообщение
Unnamed
SoK Member


На форумах с ноября 2001
Местонахождение: SEPANG
Сообщений: 3724

Цитата:
Originally posted by StraNNiK
И не говорите - задрал...
То программы работают нормально, то - нет...
Антивирус от Нортона (Симантек) http://securityresponse.symantec.co...er/FixBlast.exe
на соседнем компе нашел и вылечил вирус, на моем и некоторых других - нет. Причем опер системы и корпоративный сервер один и тот же.
Куда смотрят наши IT-шники ? А то среди нас чайников это вселяет панику и ужас.... smile

зы А когда ожидается апдейт Касперского? И будет ли он бесплатным?


hz, y menya antivirus ne lechit, vernee lechit, no posle pervogo zhe restarta virus vozvrashaetsya, hz, toka otkychil perezagruzky pri sboe RPC, tak i rabotaju. hz. y znakomogo toka kogda vrubaet MSN virus vkljuchaecca. hitraja tvar.

__________________
I do Believe

Адрес поста | Наябедничать | IP: Logged

Unnamed is offline Old Post 15.08.2003 21:13
Click Here to See the Profile for Unnamed Click here to Send Unnamed a Private Message Найти еще сообщения от Unnamed Добавить Unnamed в Ваш список друзей Ответить с цитированием Редактировать/Удалить сообщение
Mamant|EVE
Зарегистрированный


На форумах с июля 2003
Местонахождение:
Сообщений: 66

поставь заплатку....и закрой 135й порт стенкой...

Адрес поста | Наябедничать | IP: Logged

Mamant|EVE is offline Old Post 15.08.2003 23:55
Click Here to See the Profile for Mamant|EVE Click here to Send Mamant|EVE a Private Message Домашняя страница Mamant|EVE Найти еще сообщения от Mamant|EVE Добавить Mamant|EVE в Ваш список друзей Добавить пользователя в Contact List ICQ  Ответить с цитированием Редактировать/Удалить сообщение
corvus
шаман


На форумах с Aug 2001
Местонахождение: Захваченный СверхРазумом ночной клуб. Стриптиз a la Infested terran - это зрелище скажу вам :)
Сообщений: 789

Касперский сообщил об обнаружении новой модификации червя "Lovesan", который также известен как "Blaster".

Tехнологически новая модификация "Lovesan" ничем не отличается от оригинала. Изменения коснулись только имени файла-носителя червя (TEEKIDS.EXE вместо MSBLAST.EXE), технологии его упаковки (утилита FSG вместо UPX) и текстовых строк внутри программного кода, которые содержат ненормативную оскорбительную лексику в адрес Microsoft и антивирусных компаний happy.

Касательно портов. Вообще-то у нормальных админов 135 порт закрыт.. wink

Цитатка про ловесан вообще. Так сказать для повышения грамотности.


Цитата:
11 августа в интернете началась эпидемия нового сетевого червя, получившего название Blaster (другие названия Lovsan или MSBlaster). Этот червь использует дыру в службе DCOM RPC, служащей для удаленного вызова процедур в операционных системах семейства Windows NT. Сообщение об этой дыре было опубликовано Microsoft в конце июля, одновременно с выходом соответствующего патча. Дыра актуальна для всех поддерживаемых Microsoft ОС на базе ядра NT от Windows NT 4.0 до Windows Server 2003. Код для использования дыры вскоре был опубликован китайской организацией Xfocus, появились следом и первые трояны, паразитирующие на бреши в DCOM RPC.

Однако всем этим программам далеко до Blaster по скорости распространения в Сети. На текущий момент этим червем атакованы множество компьютеров по всему миру, в том числе и в России. Будучи запущен на компьютере, червь начинает генерировать список IP-адресов, используя два различных алгоритма (подробности о действиях червя можно найти на сайте компании Symantec). Для каждого адреса проверяется наличие уязвимой машины. При этом сначала поражаются компьютеры в локальной подсети, а затем червь начинает устраивать атаки за ее пределами. Отправка на другие компьютеры кода, использующего уязвимость, осуществляется через порт 135. Если атака прошла успешно, то пораженный компьютер посылает запрос на порт 69, который прослушивает червь. Получив запрос, Blaster передает на другой компьютер свою копию - файл под названием Msblast.exe, который тут же запускается.

Помимо собственного распространения, червь выполняет функции "черного хода" в пораженные системы. Для этого на пораженном компьютере открывается доступная удаленно командная строка, принимающая информацию через порт 4444. Кроме этого, Blaster содержит код для организации DoS-атаки на сервер службы Microsoft Windows Update. Атака начинается, если системная дата содержит любой месяц, идущий после августа, или любое число после 15 - то есть атака должна начаться 15 августа и продолжаться до конца года. Наконец, активность червя может приводить к самопроизвольной перезагрузке системы из-за сбоя в службе удаленного вызова процедур (RPC).

Нужно отметить, что на момент подготовки данного материала сайты компании Microsoft были недоступны. Конечно, нельзя утверждать, что причиной тому является активность Blaster, но подобное совпадение все же наводит на размышления о том, что серверы Microsoft также могли быть поражены червем. Для борьбы с Blaster необходимо установить выпущенную Microsoft заплатку для дыры в DCOM RPC и, по возможности, заблокировать уязвимые порты с помощью брандмауэра.




Суть ошибки вообще проста. Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка (раз, два) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:

http://dimok.unitech.uz/virus.gif

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec.

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.

Предохраняйтесь, человеки embarrasment

__________________
http://livejournal.com/~jumanji

Внимание: я страдаю манией величия, гипертрофированным тщеславием, жаден, крайне циничен и злобен до умопомрачения. И не говорите потом, что вас не предупреждали.

Адрес поста | Наябедничать | IP: Logged

corvus is offline Old Post 16.08.2003 02:58
Click Here to See the Profile for corvus Click here to Send corvus a Private Message Домашняя страница corvus Найти еще сообщения от corvus Добавить corvus в Ваш список друзей Добавить пользователя в Contact List ICQ  Ответить с цитированием Редактировать/Удалить сообщение
corvus
шаман


На форумах с Aug 2001
Местонахождение: Захваченный СверхРазумом ночной клуб. Стриптиз a la Infested terran - это зрелище скажу вам :)
Сообщений: 789

чуть не забыл. в данный момент у микрософта некие проблемы с сервером - судя по всему, в преддверии атаки на сервер windows update они отключают сервисы.

то есть может возникнуть большая проблема при скачивании заплаток.

посему тем, кто хочет отключить сервис DCOM вручную (т.е. отключить цель червя, избавившись от него на все 100):

1. Запустите Dcomcnfg.exe
2. Выберите Component Services
3. Откройте папку Computers
4. Для локального компьютера, кликните правой кнопкой My Computer и выберите Properties
5. Выберите закладку Default Properties
6. Выключите переключатель Enable Distributed COM on this Computer
7. Нажмите Ок

ну и естесственно поместите процессор в презерватив. он ведь даже от спида предохраняет, а тут червяк какой-то.

__________________
http://livejournal.com/~jumanji

Внимание: я страдаю манией величия, гипертрофированным тщеславием, жаден, крайне циничен и злобен до умопомрачения. И не говорите потом, что вас не предупреждали.

Адрес поста | Наябедничать | IP: Logged

corvus is offline Old Post 16.08.2003 03:04
Click Here to See the Profile for corvus Click here to Send corvus a Private Message Домашняя страница corvus Найти еще сообщения от corvus Добавить corvus в Ваш список друзей Добавить пользователя в Contact List ICQ  Ответить с цитированием Редактировать/Удалить сообщение
-=eJay=-
SoK Member


На форумах с сентября 2001
Местонахождение: Донецк,Украина
Сообщений: 1037
Talking

Совсем не интересный червь....
Грустно.... ни чего нету прикольного, хоть бы кто ни будь CIH переписал зановоhappy
Хоть сам садись с горя...
Хотя нет, польза от червя огромная... ведь несмышленная фирма, со своей сетью из целых трёх компов, меня вчера можно сказать нахаляву, отоварила зарплатойhappy
Вот люди у нас бояться вирусов... кошмар какой тоhappy

__________________

так это и ежу понятно..... то есть бля..... ну ты понял smile (ц) Boroda
- Мыкола, ты слыхал, як москали ICMP-пакеты называють?
- Як?
- Пинги!..

Адрес поста | Наябедничать | IP: Logged

-=eJay=- is offline Old Post 16.08.2003 04:56
Click Here to See the Profile for -=eJay=- Click here to Send -=eJay=- a Private Message Домашняя страница -=eJay=- Найти еще сообщения от -=eJay=- Добавить -=eJay=- в Ваш список друзей Добавить пользователя в Contact List ICQ  Ответить с цитированием Редактировать/Удалить сообщение
d@rth_v@dEr
Мастер Джедай


На форумах с декабря 2002
Местонахождение: Death Star
Сообщений: 142

Кстати есть очень интересная особенность, даже если компьютер не заражен вирус может превести его к перезагрузкеhappy Пока порты не закроешь он так и будет.... Вот у меня именнг это и происходило, просто у файрволл не давал вирусу закачаться, а то все же умудрялся запороть RPC и так каждый раз до закрытия портов

Адрес поста | Наябедничать | IP: Logged

d@rth_v@dEr is offline Old Post 16.08.2003 06:45
Click Here to See the Profile for d@rth_v@dEr Click here to Send d@rth_v@dEr a Private Message Найти еще сообщения от d@rth_v@dEr Добавить d@rth_v@dEr в Ваш список друзей Добавить пользователя в Contact List ICQ  Ответить с цитированием Редактировать/Удалить сообщение
Mamant|EVE
Зарегистрированный


На форумах с июля 2003
Местонахождение:
Сообщений: 66

ну вирь закачиваеться не по 135му, по 135му проводиться сама атака...

Адрес поста | Наябедничать | IP: Logged

Mamant|EVE is offline Old Post 16.08.2003 15:30
Click Here to See the Profile for Mamant|EVE Click here to Send Mamant|EVE a Private Message Домашняя страница Mamant|EVE Найти еще сообщения от Mamant|EVE Добавить Mamant|EVE в Ваш список друзей Добавить пользователя в Contact List ICQ  Ответить с цитированием Редактировать/Удалить сообщение
David
Завсегдатай


На форумах с мая 2003
Местонахождение: Галактика млечный путь, солнечная система, планета Земля :-))
Сообщений: 532

Немного юиора на эту же тему:

А н т и в и р у с: - Ты кто?
В и р у с: - Область данных!
А н т и в и р у с: - А не вирус?
В и р у с: - Ни боже ж мой!
А н т и в и р у с: - А зачем прерывания перехватываешь?
В и р у с: - Я?!
А н т и в и р у с: - Ну не я же! Вот подпрограмма...
В и р у с: - Это не подпрограмма... Это цитата из Лао-Цзы на языке
оригинала в альтернативной кодировке.
А н т и в и р у с: - А зачем ЕХЕ-файлы ищешь?
В и р у с: - А вдруг хозяин спросит: <<А где мои ЕХЕ-файлы?>> А я ему:
<<Вот они!>>
А н т и в и р у с: - Сдаётся мне, что ты всё-таки вирус!
В и р у с: - Ну ладно, только тебе признаюсь - но ты никому не говори!
На самом деле я... антивирусная вакцина!
А н т и в и р у с: - А зачем нужна антивирусная вакцина, если есть я?
В и р у с: - Откуда я знаю?! У хозяина спроси!
А н т и в и р у с: - А если я тебя на всякий случай грохну?
В и р у с: - А если я тебя?
А н т и в и р у с: - Не получится! У меня управление...
В и р у с: - А ты свою контрольную сумму давно пересчитывал?
А н т и в и р у с: - А при чём тут моя контрольная... ой!
В и р у с: - То-то же...

__________________
D. A. V. I. D. : Digital Artificial Violence and Infiltration Device

Адрес поста | Наябедничать | IP: Logged

David is offline Old Post 18.08.2003 01:36
Click Here to See the Profile for David Click here to Send David a Private Message Найти еще сообщения от David Добавить David в Ваш список друзей Ответить с цитированием Редактировать/Удалить сообщение
David
Завсегдатай


На форумах с мая 2003
Местонахождение: Галактика млечный путь, солнечная система, планета Земля :-))
Сообщений: 532

Касперский нашёл полезный вирус 19 августа 2003 года, 14:10; текст: Дмитрий Мурашёв

В интернете обнаружен вирус, который ищет компьютеры, зараженные червем Blaster (Lovesan), лечит их и устанавливает заплатку для Windows, сообщает "Лаборатория Касперского".

Welchia проникает в компьютер, как и Blaster, через бреши в системе безопасности. Однако, в отличие от него, вирус атакует не только уязвимость в службе DCOM RPC (удаленный вызов процедур в операционных системах семейства Windows NT), но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис "WINS Client", рассказали в антивирусной компании.

После этого Welchia начинает процедуру нейтрализации червя Blaster. Для этого он проверяет наличие в памяти процесса с именем "MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер. После проведенной чистки вирус самоуничтожается.

В "Лаборатории" отмечают, что уже сейчас распространение Welchia достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию Blaster.

Стоит отметить, что это уже не первый случай, когда в сети появляется вирус, направленный на борьбу с другим вирусом. Например, в сентябре 2001 г. был зарегистрирован сетевой червь CodeBlue, который искал в интернете компьютеры, зараженные другим червем, CodeRed, и лечил их.

http://compulenta.ru/2003/8/19/41430/

__________________
D. A. V. I. D. : Digital Artificial Violence and Infiltration Device

Адрес поста | Наябедничать | IP: Logged

David is offline Old Post 21.08.2003 13:58
Click Here to See the Profile for David Click here to Send David a Private Message Найти еще сообщения от David Добавить David в Ваш список друзей Ответить с цитированием Редактировать/Удалить сообщение
Время на форуме соответствует Гринвичу . Сейчас время - 19:20. Новая тема    Ответить
  Последняя тема   Новая тема
Печатная версия | Отправить страницу по E-mail | Подписаться на тему

Навигация по форуму:
Оцените тему:

Ваши возможности в этом форуме:
Вы НЕ можете создавать новые темы
Вы НЕ можете отвечать
Вы НЕ можете прикреплять файлы
Вы НЕ можете править свои сообщения
HTML
vB code
Смайлики 
Тег [IMG] 
: Выкл
: Вкл
: Вкл
: Вкл
 

< Contact Us - Stormwave - Stormwave Games - Replay Base >

Powered by: Stormwave 2.2.8
Copyright © 2001 - 2006 Stormwave.

Rambler's Top100 Rambler's Top100 Яндекс цитирования