Armenian Knowledge Base  

Go Back   Armenian Knowledge Base > Technical sections > Software > Software Security
Register

Reply
 
LinkBack Thread Tools
Old 12.08.2003, 07:19   #1
The Reloaded
 
Aram Hambardzumyan's Avatar
 
Join Date: 01 2002
Location: behind the flesh and gelatinе of soft dull eyes
Posts: 3,387
Downloads: 4
Uploads: 0
Reputation: 146 | 4
Default новый вирус, атакующий сайты майкрософт

В Интернете появился новый вирус, вызывающий перезагрузки компьютеров и координирующий атаки на сайт Microsoft.

http://www.rbc.ru/rbcfreenews.shtml?...12044141.shtml

Новый интернет-вирус, о котором предупреждали правительство США и компании высокотехнологического сектора, быстро распространяется по сети, вызывая "загадочные" перезагрузки компьютеров и координируя электронные атаки на сайт Microsoft. По данным экспертов по безопасности в сфере высоких технологий, вирус, эксплуатирующий ошибку в программном обеспечении Windows, пока еще не вызвал серьезных сбоев, но угроза такого исхода сохраняется из-за его быстрого распространения.

Вирус был впервые обнаружен накануне вечером и уже инфицировал десятки тысяч компьютеров в американских университетах, офисах и домах. Инфицированные компьютеры программируются на автоматические атаки на Web-сайт Microsoft. Этот сайт предоставляет пользователям Microsoft программное обеспечение для защиты от такого рода вирусов.

p.s. предлагаю перенести топик в general, чтобы прочли многие
Reply With Quote
Old 12.08.2003, 12:33   #2
»
 
z0mbie's Avatar
 
Join Date: 01 2002
Posts: 777
Downloads: 1
Uploads: 0
Reputation: 0 | 0
Default

я тоже заразился.. через freenet причем :[

patch можно скачать отсюда :
http://www.microsoft.com/technet/tre...n/MS03-026.asp

, а также надо удалить файл msblast.exe если он есть
Reply With Quote
Old 12.08.2003, 12:40   #3
»
 
z0mbie's Avatar
 
Join Date: 01 2002
Posts: 777
Downloads: 1
Uploads: 0
Reputation: 0 | 0
Default

вот подробности:

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка (раз, два) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:



Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec.

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.
Attached Thumbnails
rpccrash.gif  
Reply With Quote
Old 12.08.2003, 12:45   #4
холостяк и точка.
 
Medved Kosolapiy's Avatar
 
Join Date: 03 2002
Location: Live?
Age: 35
Posts: 6,942
Downloads: 2
Uploads: 0
Reputation: 515 | 6
Default

Червь "Lovesan" снова атакует брешь в службе DCOM RPC операционной системы Windows

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о начале крупномасштабной эпидемии нового сетевого червя "Lovesan". Всего за несколько часов распространения он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров.

Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление.

"Lovesan" уже вторая вредоносная программа, которая атакует компьютеры через эту брешь: всего неделю назад в интернете был обнаружен червь "Autorooter". Однако в отличие от своего предшественника "Lovesan" имеет полнофункциональную систему автоматического распространения, что и определило возникновение глобальной эпидемии. "Лаборатория Касперского" прогнозировала такое развитие событий и рекомендовала пользователям принять необходимые меры предосторожности.

"Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.

Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров. В черве "Slammer", вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - продолжает Евгений Касперский.

В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащем обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

В целях противодействия угрозе "Лаборатория Касперского" рекомендует немедленно установить обновление Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана порты 135, 69 и 4444 (например Kaspersky® Anti-Hacker), если они не используются другими приложениями.
Reply With Quote
Old 12.08.2003, 12:50   #5
холостяк и точка.
 
Medved Kosolapiy's Avatar
 
Join Date: 03 2002
Location: Live?
Age: 35
Posts: 6,942
Downloads: 2
Uploads: 0
Reputation: 515 | 6
Default

Worm.Win32.Lovesan


Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "mblast.exe".

Содержит текстовые строки:


I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Признаками заражения компьютера являются:

Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.



Размножение

При запуске червь регистрирует себя в ключе автозапуска:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса:


20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:

В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.


В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.




Прочее

После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться.

C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу.


by Вирусная Энциклопедия
__________________
Сколько волка не корми, Медведь все равно круче!!!

Идет по лесу турист.Вдруг ему навстречу выходит медведь,и между ними
происходит следующий диалог.
Медведь:
- Ты кто?
- Турист.
- Врешь,турист - это я,а ты 'завтрак туриста'.
Reply With Quote
Old 12.08.2003, 16:58   #6
Академик
 
W_z_rd's Avatar
 
Join Date: 08 2002
Location: Yerevan, Armenia
Age: 45
Posts: 4,854
Downloads: 1
Uploads: 0
Reputation: 225 | 4
Default

U menya problema, vizvannaya, po-vidimomu, temi zhe prichinami, no viglyadit po-drugomu. Posle nekotoroy raboti v seti u menya na kompe viletaet service svchost.exe. Komp vrode ne zarazhen.
Poka ne znayu kak spravitsya s situaciey.
Reply With Quote
Old 12.08.2003, 17:59   #7
»
 
z0mbie's Avatar
 
Join Date: 01 2002
Posts: 777
Downloads: 1
Uploads: 0
Reputation: 0 | 0
Default

попробуй выключить DCOM , я правда слабо представляю что это но вроде помогает :]

Administrative Tools->Computer Management->Component Services->Computers->My Computer->Properties->" Enable Distributed COM on this Computer"
Reply With Quote
Old 12.08.2003, 18:09   #8
Студент
 
R0nIn's Avatar
 
Join Date: 10 2002
Location: who cares?
Posts: 268
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

u menya taje situaciya proizoshla.....
segodya 2 raz viskakivalo okno takoje tipa cherez 1min komp peregrujalsya... ya posmotrel po tcpview vopshemto dlya togo chtob oni b sumeli uploadnut mblast.exe potrebovalos` bi xotyabi 2 sec...(v osnovnom connectilis` is armincovskogo dialuap inogda prixodili connectioni is 195.249.*.*)
a oni connectilis` pol sec i na 135 port posle etogo comp pomiral....no eto skoree poxoje na tot starii exploit RPC.....(kak naprimer v GFI LanGuarde delali...)

posle ustanovleniaya lekarstva ...vse propalo xotya propali i jelaushie....(vsmisle napadaushie..)

ves` den` za 10 min kak min bilo 2-3 zaprosa... na 135 port a
kak patch postavil vse ...... (znachit scanner est`....)


P.S. a ya to dumal eti armincoevskie maloletki... mlin.... an net xuje

vot tol`ko shto poka pisal eshe odin prishel.... znachit bes scennera 195.250.75.11 ;(

da u vsex atakuushix otrkit 110 port
__________________
.::Try not to become a man of success but rather try to become a man of value::.
Reply With Quote
Old 12.08.2003, 18:20   #9
Академик
 
W_z_rd's Avatar
 
Join Date: 08 2002
Location: Yerevan, Armenia
Age: 45
Posts: 4,854
Downloads: 1
Uploads: 0
Reputation: 225 | 4
Default

Ustanovil patch, vrode pomoglo. Vozmozhno, chto i ataki prekratilis` tozhe. Kak by to ni bilo, z0mbie - spasibo za informaciyu !
Reply With Quote
Old 12.08.2003, 21:27   #10
Студент
 
Biovir's Avatar
 
Join Date: 05 2002
Location: .
Age: 38
Posts: 352
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

Вот один из эксплоитов… Он не только гасит тачки но и даёт доступ к файлам…
Reply With Quote
Old 12.08.2003, 22:03   #11
холостяк и точка.
 
Medved Kosolapiy's Avatar
 
Join Date: 03 2002
Location: Live?
Age: 35
Posts: 6,942
Downloads: 2
Uploads: 0
Reputation: 515 | 6
Default

Меня пару дней атакуют уже ,,,
точнее пытаются!
Reply With Quote
Old 13.08.2003, 20:21   #12
Дошкольник
 
Dark Abyss of Yerevan's Avatar
 
Join Date: 01 2002
Location: hell
Posts: 124
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

u menya ta je problema . svchost.exe..the memory cannot be read
nikogda bi ne podumal chto eto svyazano s chervyakom..
posmotrel okozalos' chto u menya toje etot blast sidit v registry.
voobshem udalil, patch sdelal.. nadeyus' shas budet ok.
daje jalko nemnojko, dumayu pust' bi sebe atakoval microsoft.
svyatoe delo vse taki

Quote:
Originally posted by W_z_rd
U menya problema, vizvannaya, po-vidimomu, temi zhe prichinami, no viglyadit po-drugomu. Posle nekotoroy raboti v seti u menya na kompe viletaet service svchost.exe. Komp vrode ne zarazhen.
Poka ne znayu kak spravitsya s situaciey.
__________________
[x]-=-[ ]-=-[x]
Reply With Quote
Old 13.08.2003, 21:41   #13
Академик
 
W_z_rd's Avatar
 
Join Date: 08 2002
Location: Yerevan, Armenia
Age: 45
Posts: 4,854
Downloads: 1
Uploads: 0
Reputation: 225 | 4
Default

Esli b oni etu progu po pochte poslali, s vezhlivoy pros`boy - eto bilo bi drugoe delo
Reply With Quote
Old 20.08.2003, 06:00   #14
Дошкольник
 
Diane-'s Avatar
 
Join Date: 04 2003
Location: USA
Posts: 103
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

i u menya toje bil, cherez min 5 posle zagruzki Windows message vixodil, chto nado restart in 1 min . koe kak ochistila i ustanovila patch, poka chisto. zato perepugalas to kak. Svolochi
Reply With Quote
Old 20.08.2003, 06:56   #15
Не Младенец
 
Kooper's Avatar
 
Join Date: 03 2003
Location: nowhere
Age: 41
Posts: 91
Downloads: 0
Uploads: 0
Reputation: 0 | 0
Default

Quote:
Originally posted by Dark Abyss of Yerevan

daje jalko nemnojko, dumayu pust' bi sebe atakoval microsoft.
svyatoe delo vse taki
Что же ты Windows-ом пользуешься ????
Reply With Quote
Sponsored Links
Reply

Thread Tools


На правах рекламы:
реклама

All times are GMT. The time now is 21:40.


Powered by vBulletin® Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.