поскольку последнее время приходиться висеть и на ADSL подключении и на диал_апном то слегка поддостали сообщения антивируса о том
что кто-то к нам ломиться вот под такими именами, естесвенно
блокировка срабатывает налету, IP атакующих всегда (почти) разные, так
что можно предположить
что атакуют уже зараженные машины. так
что это за звери ? хотя я уже однажды описывал методы борьбы, но повторенье, мама заикания, лучше повторить в очередной раз -
отсуствие антивируса на машине, социальное преступление.Водителям бронетанковой техники посвящается. По многочисленным просьбам радиослушателей разъясняю медленно и один раз, тем, кто все понял - ничего не будет.Не далее
как в июле в
Windows 2000, XP и
2003 была обнаружена ошибка (
раз,
два) -
переполнение буфера в одном из сетевых сервисов (
DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на
порт 135,
139 или
445 отправляется пакет, вызывающий остановку упомянут
ого выше
сервиса. Ошибка позволяет
как минимум перезагружать атакуемый компьютер,
как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:
Для
этой ошибки есть общедоступный
эксплоит (программа, позволяющая
проводить атаки), который настолько прост,
что атака доступна любой жертве церебральн
ого паралича. Желающие могут его без труда
найти, скажем, на SecurityFocus. Прямое следствие из эт
ого - каждый второй малолетний хацкер посчитает своим долгом хакать все,
что движется.
Но
это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по
135-у
порту, потом - в случае успеха атаки - запускает программу TFTP.
exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.
Таким образом, началась настоящая пьянка - эпидемия очередн
ого червя.
Для т
ого,
чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте
порты
135,
139 и
445 для доступа из Инета. Вообще говоря,
это надо сделать в любом случае. После эт
ого идете вот
сюда, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.
Если вы уже умудрились подхватить червя, то можно попробовать
найти его самостоятельно. Исполняемый файл называется
msblast.
exe и занимает около 11 кбайт - его необходимо
удалить. Также надо
удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run реестра запись "
windows auto update"="
msblast.
exe". Более подробные инструкции можно
найти на сайте
Symantec.
Кто не спрятался - я не виноват.
Update: если ваша машина хотя бы один раз выдала сообщение об ошибке
сервиса RPC - она уже заражена. Если после удаления червя она снова выдала
это сообщение - она заражена снова.
Заражение незащищенной машины происходит при каждой атаке червя.
Расписал все по нотам камрад olegartМы с Тамарой ходим парой, так и эта пара
эксплоитов шляеться тоже парами, действия
LSASS примерно одинаковы с вышеописанным. для эт
ого сплоита рекомендую ознакомиться с
этим материалом, еще раз убедиться, воспользовавшись поиском по
этому форуму,
что уже лечили сие, также кому лень ходить искать
Цитата
Опасность:Worm.
Win32.Sasser.a/b
В сети появился новый червь Worm.
Win32.Sasser.a/b
ЛезетЬ в дыру в службе
LSASS Microsoft
Windows.
Регит себя в ключе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
avserve.
exe = %
WINDIR%\avserve.
exeПосле заражения сканить IP(ftp TCP 5554 на такие же дыры и таким образом размножается.
Заплатки:
Для русской версии
WinXP:
http://download.microsoft.com/download/2/f...732-x86-RUS.EXEДля английской версии
WinXP:
http://www.microsoft.com/downloads/details...;displaylang=enесли пришел писец, тогда
качаем софтину и пытаемся радоваться жизни, до следующего заражения, поскольку антивирус & файервол до сих пор еще не стоят на машине, или стоят, но базы лень обновлять, или лень поискать альтернативное платному антивирусному ПО, хотя простой, русифицированный
Avast!Home вполне сносно
справляеться с этими двумя
сплоитами.
еще раз говорю,
Интернет перестает быть сетью для чайников которые не способны защитить свой любимый домашний контупер, или рабочее место на котором есть доступ к сети Интернет 
Рекламный блок.
Загрузка. Пожалуйста, подождите...
Ваша реклама, здесь
