новый вирус, атакующий сайты майкрософт

Aram Hambardzumyan · Aug 12, 2003, 06:19

В Интернете появился новый вирус, вызывающий перезагрузки компьютеров и координирующий атаки на сайт Microsoft.

http://www.rbc.ru/rbcfreenews.shtml?...12044141.shtml

Новый интернет-вирус, о котором предупреждали правительство США и компании высокотехнологического сектора, быстро распространяется по сети, вызывая "загадочные" перезагрузки компьютеров и координируя электронные атаки на сайт Microsoft. По данным экспертов по безопасности в сфере высоких технологий, вирус, эксплуатирующий ошибку в программном обеспечении Windows, пока еще не вызвал серьезных сбоев, но угроза такого исхода сохраняется из-за его быстрого распространения.

Вирус был впервые обнаружен накануне вечером и уже инфицировал десятки тысяч компьютеров в американских университетах, офисах и домах. Инфицированные компьютеры программируются на автоматические атаки на Web-сайт Microsoft. Этот сайт предоставляет пользователям Microsoft программное обеспечение для защиты от такого рода вирусов.

p.s. предлагаю перенести топик в general, чтобы прочли многие

z0mbie · Aug 12, 2003, 11:33

я тоже заразился.. через freenet причем :[

patch можно скачать отсюда :
http://www.microsoft.com/technet/tre...n/MS03-026.asp

, а также надо удалить файл msblast.exe если он есть

z0mbie · Aug 12, 2003, 11:40

вот подробности:

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка (раз, два) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Выглядеть атака будет, например, вот так:

Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.

Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все.

Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec.

Кто не спрятался - я не виноват.

Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.

Medved Kosolapiy · Aug 12, 2003, 11:45

Червь "Lovesan" снова атакует брешь в службе DCOM RPC операционной системы Windows

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о начале крупномасштабной эпидемии нового сетевого червя "Lovesan". Всего за несколько часов распространения он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров.

Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление.

"Lovesan" уже вторая вредоносная программа, которая атакует компьютеры через эту брешь: всего неделю назад в интернете был обнаружен червь "Autorooter". Однако в отличие от своего предшественника "Lovesan" имеет полнофункциональную систему автоматического распространения, что и определило возникновение глобальной эпидемии. "Лаборатория Касперского" прогнозировала такое развитие событий и рекомендовала пользователям принять необходимые меры предосторожности.

"Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.

Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров. В черве "Slammer", вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - продолжает Евгений Касперский.

В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащем обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

В целях противодействия угрозе "Лаборатория Касперского" рекомендует немедленно установить обновление Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана порты 135, 69 и 4444 (например Kaspersky® Anti-Hacker), если они не используются другими приложениями.

Medved Kosolapiy · Aug 12, 2003, 11:50

Worm.Win32.Lovesan

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "mblast.exe".

Содержит текстовые строки:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Признаками заражения компьютера являются:

Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.

Размножение

При запуске червь регистрирует себя в ключе автозапуска:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:

В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.

В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.

Прочее

После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться.

C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу.

by Вирусная Энциклопедия

W_z_rd · Aug 12, 2003, 15:58

U menya problema, vizvannaya, po-vidimomu, temi zhe prichinami, no viglyadit po-drugomu. Posle nekotoroy raboti v seti u menya na kompe viletaet service svchost.exe. Komp vrode ne zarazhen.
Poka ne znayu kak spravitsya s situaciey.

z0mbie · Aug 12, 2003, 16:59

попробуй выключить DCOM , я правда слабо представляю что это но вроде помогает :]

Administrative Tools->Computer Management->Component Services->Computers->My Computer->Properties->" Enable Distributed COM on this Computer"

R0nIn · Aug 12, 2003, 17:09

u menya taje situaciya proizoshla.....
segodya 2 raz viskakivalo okno takoje tipa cherez 1min komp peregrujalsya... ya posmotrel po tcpview vopshemto dlya togo chtob oni b sumeli uploadnut mblast.exe potrebovalos` bi xotyabi 2 sec...(v osnovnom connectilis` is armincovskogo dialuap inogda prixodili connectioni is 195.249.*.*)
a oni connectilis` pol sec i na 135 port posle etogo comp pomiral....no eto skoree poxoje na tot starii exploit RPC.....(kak naprimer v GFI LanGuarde delali...)

posle ustanovleniaya lekarstva ...vse propalo xotya propali i jelaushie....(vsmisle napadaushie..)

ves` den` za 10 min kak min bilo 2-3 zaprosa... na 135 port a
kak patch postavil vse ...... (znachit scanner est`....)

P.S. a ya to dumal eti armincoevskie maloletki... mlin.... an net xuje

vot tol`ko shto poka pisal eshe odin prishel.... znachit bes scennera 195.250.75.11 ;(

da u vsex atakuushix otrkit 110 port

W_z_rd · Aug 12, 2003, 17:20

Ustanovil patch, vrode pomoglo. Vozmozhno, chto i ataki prekratilis` tozhe. Kak by to ni bilo, z0mbie - spasibo za informaciyu !

Biovir · Aug 12, 2003, 20:27

Вот один из эксплоитов… Он не только гасит тачки но и даёт доступ к файлам…

Medved Kosolapiy · Aug 12, 2003, 21:03

Меня пару дней атакуют уже ,,,
точнее пытаются!

Dark Abyss of Yerevan · Aug 13, 2003, 19:21

u menya ta je problema . svchost.exe..the memory cannot be read
nikogda bi ne podumal chto eto svyazano s chervyakom..
posmotrel okozalos' chto u menya toje etot blast sidit v registry.
voobshem udalil, patch sdelal.. nadeyus' shas budet ok.
daje jalko nemnojko, dumayu pust' bi sebe atakoval microsoft.
svyatoe delo vse taki

Quote:

Originally posted by W_z_rd
U menya problema, vizvannaya, po-vidimomu, temi zhe prichinami, no viglyadit po-drugomu. Posle nekotoroy raboti v seti u menya na kompe viletaet service svchost.exe. Komp vrode ne zarazhen.
Poka ne znayu kak spravitsya s situaciey.

W_z_rd · Aug 13, 2003, 20:41

Esli b oni etu progu po pochte poslali, s vezhlivoy pros`boy - eto bilo bi drugoe delo

Diane- · Aug 20, 2003, 05:00

i u menya toje bil, cherez min 5 posle zagruzki Windows message vixodil, chto nado restart in 1 min . koe kak ochistila i ustanovila patch, poka chisto. zato perepugalas to kak. Svolochi

Kooper · Aug 20, 2003, 05:56

Quote:

Originally posted by Dark Abyss of Yerevan

daje jalko nemnojko, dumayu pust' bi sebe atakoval microsoft.
svyatoe delo vse taki

Что же ты Windows-ом пользуешься ????

Aug 12, 2003, 06:19	#1
Aram Hambardzumyan The Reloaded Join Date: Jan 2002 Location: behind the flesh and gelatinе of soft dull eyes Posts: 3,183 Rep Power: 7 Reputation: 45	новый вирус, атакующий сайты майкрософт В Интернете появился новый вирус, вызывающий перезагрузки компьютеров и координирующий атаки на сайт Microsoft. http://www.rbc.ru/rbcfreenews.shtml?...12044141.shtml Новый интернет-вирус, о котором предупреждали правительство США и компании высокотехнологического сектора, быстро распространяется по сети, вызывая "загадочные" перезагрузки компьютеров и координируя электронные атаки на сайт Microsoft. По данным экспертов по безопасности в сфере высоких технологий, вирус, эксплуатирующий ошибку в программном обеспечении Windows, пока еще не вызвал серьезных сбоев, но угроза такого исхода сохраняется из-за его быстрого распространения. Вирус был впервые обнаружен накануне вечером и уже инфицировал десятки тысяч компьютеров в американских университетах, офисах и домах. Инфицированные компьютеры программируются на автоматические атаки на Web-сайт Microsoft. Этот сайт предоставляет пользователям Microsoft программное обеспечение для защиты от такого рода вирусов. p.s. предлагаю перенести топик в general, чтобы прочли многие __________________ Сайт армянских маньяков

Aug 12, 2003, 11:33	#2
z0mbie » Join Date: Jan 2002 Posts: 776 Rep Power: 7 Reputation: 10	я тоже заразился.. через freenet причем :[ patch можно скачать отсюда : http://www.microsoft.com/technet/tre...n/MS03-026.asp , а также надо удалить файл msblast.exe если он есть __________________ •·•· ·•·· ·· •·•· •·•

Aug 12, 2003, 11:40	#3
z0mbie » Join Date: Jan 2002 Posts: 776 Rep Power: 7 Reputation: 10	вот подробности: Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка (раз, два) - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу. Выглядеть атака будет, например, вот так: Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хацкер посчитает своим долгом хакать все, что движется. Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их. Таким образом, началась настоящая пьянка - эпидемия очередного червя. Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших. Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете вот сюда, выбираете версию винды (в разделе Patch availability), на следующей странице выбираете нужный язык, скачиваете и устанавливаете патч. Все. Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec. Кто не спрятался - я не виноват. Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя. Attached Images __________________ •·•· ·•·· ·· •·•· •·•

Aug 12, 2003, 11:45	#4
Medved Kosolapiy холостяк и точка. Join Date: Mar 2002 Location: там где нет никому места Posts: 6,718 Rep Power: 8 Reputation: 393	Червь "Lovesan" снова атакует брешь в службе DCOM RPC операционной системы Windows "Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о начале крупномасштабной эпидемии нового сетевого червя "Lovesan". Всего за несколько часов распространения он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров. Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление. "Lovesan" уже вторая вредоносная программа, которая атакует компьютеры через эту брешь: всего неделю назад в интернете был обнаружен червь "Autorooter". Однако в отличие от своего предшественника "Lovesan" имеет полнофункциональную систему автоматического распространения, что и определило возникновение глобальной эпидемии. "Лаборатория Касперского" прогнозировала такое развитие событий и рекомендовала пользователям принять необходимые меры предосторожности. "Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского". В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение. Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров. В черве "Slammer", вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - продолжает Евгений Касперский. В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащем обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным. В целях противодействия угрозе "Лаборатория Касперского" рекомендует немедленно установить обновление Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана порты 135, 69 и 4444 (например Kaspersky® Anti-Hacker), если они не используются другими приложениями. __________________ Сколько волка не корми, Медведь все равно круче!!! Идет по лесу турист.Вдруг ему навстречу выходит медведь,и между ними происходит следующий диалог. Медведь: - Ты кто? - Турист. - Врешь,турист - это я,а ты 'завтрак туриста'.

Aug 12, 2003, 11:50	#5
Medved Kosolapiy холостяк и точка. Join Date: Mar 2002 Location: там где нет никому места Posts: 6,718 Rep Power: 8 Reputation: 393	Worm.Win32.Lovesan Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "mblast.exe". Содержит текстовые строки: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Признаками заражения компьютера являются: Наличие файла "msblast.exe" в системном (system32) каталоге Windows. Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. Размножение При запуске червь регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run windows auto update="msblast.exe" Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров. После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса: 20.40.50.0 20.40.50.1 20.40.50.2 ... 20.40.50.19 ----------- пауза 1.8 секунды 20.40.50.20 ... 20.40.50.39 ----------- пауза 1.8 секунды ... ... 20.40.51.0 20.40.51.1 ... 20.41.0.0 20.41.0.1 и так далее. Червь выбирает один из двух методов сканирования IP-адресов: В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0. В 2 случаях из 5 червь сканирует подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0. Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение. Прочее После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться. C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу. by Вирусная Энциклопедия __________________ Сколько волка не корми, Медведь все равно круче!!! Идет по лесу турист.Вдруг ему навстречу выходит медведь,и между ними происходит следующий диалог. Медведь: - Ты кто? - Турист. - Врешь,турист - это я,а ты 'завтрак туриста'.

Aug 12, 2003, 15:58	#6
W_z_rd Академик Join Date: Aug 2002 Location: Yerevan, Armenia Posts: 4,780 Rep Power: 7 Reputation: 191	U menya problema, vizvannaya, po-vidimomu, temi zhe prichinami, no viglyadit po-drugomu. Posle nekotoroy raboti v seti u menya na kompe viletaet service svchost.exe. Komp vrode ne zarazhen. Poka ne znayu kak spravitsya s situaciey. __________________ Женщин не надо понимать, их надо любить!

Aug 12, 2003, 16:59	#7
z0mbie » Join Date: Jan 2002 Posts: 776 Rep Power: 7 Reputation: 10	попробуй выключить DCOM , я правда слабо представляю что это но вроде помогает :] Administrative Tools->Computer Management->Component Services->Computers->My Computer->Properties->" Enable Distributed COM on this Computer" __________________ •·•· ·•·· ·· •·•· •·•

Aug 12, 2003, 17:09	#8
R0nIn Студент Join Date: Oct 2002 Location: who cares? Posts: 259 Rep Power: 7 Reputation: 10	u menya taje situaciya proizoshla..... segodya 2 raz viskakivalo okno takoje tipa cherez 1min komp peregrujalsya... ya posmotrel po tcpview vopshemto dlya togo chtob oni b sumeli uploadnut mblast.exe potrebovalos` bi xotyabi 2 sec...(v osnovnom connectilis` is armincovskogo dialuap inogda prixodili connectioni is 195.249..) a oni connectilis` pol sec i na 135 port posle etogo comp pomiral....no eto skoree poxoje na tot starii exploit RPC.....(kak naprimer v GFI LanGuarde delali...) posle ustanovleniaya lekarstva ...vse propalo xotya propali i jelaushie....(vsmisle napadaushie..) ves` den` za 10 min kak min bilo 2-3 zaprosa... na 135 port a kak patch postavil vse ...... (znachit scanner est`....) P.S. a ya to dumal eti armincoevskie maloletki... mlin.... an net xuje vot tol`ko shto poka pisal eshe odin prishel.... znachit bes scennera 195.250.75.11 ;( da u vsex atakuushix otrkit 110 port __________________ .::Try not to become a man of success but rather try to become a man of value::.

Aug 12, 2003, 17:20	#9
W_z_rd Академик Join Date: Aug 2002 Location: Yerevan, Armenia Posts: 4,780 Rep Power: 7 Reputation: 191	Ustanovil patch, vrode pomoglo. Vozmozhno, chto i ataki prekratilis` tozhe. Kak by to ni bilo, z0mbie - spasibo za informaciyu ! __________________ Женщин не надо понимать, их надо любить!

Aug 12, 2003, 20:27	#10
Biovir Студент Join Date: May 2002 Location: . Posts: 353 Rep Power: 7 Reputation: 10	Вот один из эксплоитов… Он не только гасит тачки но и даёт доступ к файлам… __________________ Нет бесконечных страданий, есть вечная надежда

Aug 12, 2003, 21:03	#11
Medved Kosolapiy холостяк и точка. Join Date: Mar 2002 Location: там где нет никому места Posts: 6,718 Rep Power: 8 Reputation: 393	Меня пару дней атакуют уже ,,, точнее пытаются! __________________ Сколько волка не корми, Медведь все равно круче!!! Идет по лесу турист.Вдруг ему навстречу выходит медведь,и между ними происходит следующий диалог. Медведь: - Ты кто? - Турист. - Врешь,турист - это я,а ты 'завтрак туриста'.

Aug 13, 2003, 20:41	#13
W_z_rd Академик Join Date: Aug 2002 Location: Yerevan, Armenia Posts: 4,780 Rep Power: 7 Reputation: 191	Esli b oni etu progu po pochte poslali, s vezhlivoy pros`boy - eto bilo bi drugoe delo __________________ Женщин не надо понимать, их надо любить!

Aug 20, 2003, 05:00	#14
Diane- Дошкольник Join Date: Apr 2003 Location: USA Posts: 103 Rep Power: 6 Reputation: 10	i u menya toje bil, cherez min 5 posle zagruzki Windows message vixodil, chto nado restart in 1 min . koe kak ochistila i ustanovila patch, poka chisto. zato perepugalas to kak. Svolochi __________________ No se preocupe, sea feliz !

Thread Tools
Show Printable Version Email this Page
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode