ВНИМАНИЕ!!! ВНИМАНИЕ!!! ВНИМАНИЕ!!! ОПАСНЫЙ ЧЕРВЬ!!! Симптомы: При работе в сети внезапно выскакивает мессадж, сообщающий о том, что необходимо завершить все программы с сохранениями данных т.к. через 60 сек. произойдет перезагрузка. Диагноз: Сетевой червь w32.Blaster.worm.Червь эксплуатирует найденную 16 июля уязвимость в сервисе RPC DCOM, присутствующую во всех операционных системах семейств Windows 2000, Windows XP и Windows 2003. Эта уязвимость - переполнение буфера, которое вызывается соответствующим образом составленным TCP/IP пакетом, пришедшим на порт 135, 139 или 445 атакуемого компьютера. Она позволяет как минимум провести DoS-атаку (DoS означает "Denial of Service", или "отказ в обслуживании", в данном случае - атакуемый компьютер перезагружается), а как максимум - выполнить в памяти атакуемого компьютера любой код. Новый червь при своем распространении проводит атаку на 135-й порт, и, в случае успеха, запускает программу TFTP.exe, с помощью которой скачивает на атакуемый компьютер свой исполняемый файл. При этом пользователю выдается сообщение об остановке сервиса RPC и последующей перезагрузке. После перезагрузки червь автоматически запускается и начинает сканировать доступные с компьютера сети на предмет компьютеров с открытым 135-м портом. При обнаружении таковых червь проводит атаку, и все повторяется сначала. Причем, судя по темпам распространения на данный момент, скоро червь выйдет на первое место в списках антивирусных компаний. Лекарство: Существуют три способа защиты от червя. Во-первых, в бюллетене Microsoft приведены ссылки на патчи для всех уязвимых версий Windows, закрывающие брешь в RPC (эти патчи были выпущены еще 16 июля, поэтому тем, кто регулярно обновляет систему, беспокоиться не стоит). Во-вторых, если 135-й порт закрыт файрволлом - червь не сможет проникнуть на компьютер. В-третьих, в качестве крайней меры помогает отключение DCOM (подробно эта процедура описана в бюллетене от Microsoft). Таким образом, если вы еще не подверглись атаке червя - настоятельно рекомендуется как можно скорее скачать патч для вашей ОС с сервера Microsoft (например, воспользуйтесь службами Windows Update), либо настроить блокировку портов 135, 139 и 445 в файрволле. Если же ваш компьютер уже заражен (а появление сообщения об ошибке RPC однозначно означает, что он заражен), то необходимо выключить DCOM (иначе каждая следующая атака будет вызывать перезагрузку), после чего скачать и установить патч. Для уничтожения червя необходимо удалить из ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "windows auto update"="msblast.exe", после чего найти и стереть файл msblast.exe - это и есть тело червя. Более подробно о процедуре удаления червя можно прочитать на сайте Symantec. На данный момент не все антивирусы обнаруживают червя - надеяться на защиту с их стороны можно будет только после выхода обновлений. Если такое сообщение у вас пока не появлялось качайте патчи от Дяди Билла: Win XP (RUS) http://download.microsoft.com/downl...e-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe WinXP (ENG) http://download.microsoft.com/downl...7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe Тут линки на лекарство для NT 4.0 и 2000, 2003 Server http://en.safeurl.de/?http://microsoft.netvision.net.il/public/ Windows NT 4.0: http://en.safeurl.de/?http://micros...4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en Windows NT 4.0 Terminal Server: http://en.safeurl.de/?http://micros...60-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en Windows 2000: http://en.safeurl.de/?http://micros...46-F541-4C15-8C9F-220354449117&displaylang=en Windows 2003: http://en.safeurl.de/?http://micros...3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Немного старовата информация, но все равно многие еще не знают. Carma добавил [date]1069511108[/date]: Мессага такая может выходить во многих случаях, а не только при поражении вирусом. Самое простое - в диспетчере задач (по Ctrl+Alt+Del) проверить запущен ли процесс Msblast.exe. Если это так - вы точно заражены...
Согласен, но вроде не ламак, и о черве еще в августе слышал. Однако ведь забыл же? Так что мой долг предупредить, кто знает - молодец, а кому то может и ответ на проблемы. Совершенно правильно. У меня так было. Месага вылазиит, смотрю процессы, сканю винт всем чем можно, реестр - ничего. Только потом прочитал что червь использует TFTP.exe и вспомнил что Аутпост мой меня день до этого спросил насчет этой службы и я запретил (слава яйцам). Короче червь ломился и светился, но вторую часть своего мерзкого дела сделать не мог. Все исправила установка старого-доброго ATGuard и полная блокировка 135, 139 и 445 портов. Конечно не приминул качнуть патч от Билла. Desdichado добавил [date]1069539796[/date]: Больше не будем, можно закрыть тему. Знаете вообще не хочу гнать на людей, но тут такая история. Купил карту Коламбии и в течении первых 10 минут работы был атакован червяком. Суть червя, сканить пораженые компы на наличие сети и поражать сетевые компы, так и распространяется. И вот сдается мне, а не сервак ли у Коламбии поражен? Кто еще работает под ними?
Desdichado ты для начала IP удаленного хоста определи, потом глянь кому он принадлежит. Ну а потом уже и гнать можно. З.Ы. не учитываю возможность "крутой" атаки с подменой IP, но всё ж вероятность есть.
Desdichado Я вылез в ГПРС и через 5 минут поймал MSBlast Правда это было в дни "расцвета" вируса... А сейчас, сидя каждый день под "Коламбией" не атукуюсь ничем. Логи файрволла пусты.
24.11.2003 4:54:12 Сканирование портов 68.236.29.142 TCP (445) 24.11.2003 4:48:31 Сканирование портов 200.39.62.195 TCP (445) 24.11.2003 4:02:23 Сканирование портов 200.174.142.153 TCP (445) 24.11.2003 2:57:21 Сканирование портов 200.161.215.65 TCP (445) 24.11.2003 2:43:06 Сканирование портов 218.0.121.142 TCP (445) 24.11.2003 2:05:15 Сканирование портов 66.142.176.117 TCP (445) 24.11.2003 1:42:16 Сканирование портов 200.174.142.153 TCP (445) 24.11.2003 1:37:22 Сканирование портов 203.145.168.48 TCP (445) 24.11.2003 1:32:00 Сканирование портов 200.100.126.110 TCP (445) 24.11.2003 0:44:53 Сканирование портов 80.161.13.164 TCP (445) 24.11.2003 0:26:40 Сканирование портов 68.165.167.243 TCP (445) 24.11.2003 0:24:56 Сканирование портов 220.255.15.19 TCP (445) 24.11.2003 0:13:38 Сканирование портов 80.37.243.137 TCP (445) 24.11.2003 0:11:25 Сканирование портов 80.218.9.238 TCP (445) И там ещё лога на 3 старницы... Ага 445! Я то чегото забыл про этот порт, думал 135, 139.
Шелудивый кот, ни чего не понимаю... лучше наверное специалиста приглашу... а то я сейчас накачаю "лекарств"
Шелудивый кот, я до этого дошла... сейчас читаю.. может дойдет до меня ЗЫ.. Сегодня экзамен... надо же мне было этого червя найти, теперь сижу способы борьбы с паразитами изучаю.. вместо Культурологии сейчас сканирую комп с помощью Panda ActiveScan 2.0, нашел 3 зараженных файла))) , не знаю поможет ли?
Хз, но если уж чем сканировать так это http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool и http://www.freedrweb.com/cureit/?lng=ru соответственно
УРЯЯЯЯЯ у меня получилось! удалила с помощью AVZ4, спасибо уважаемые... пошла готовиться к экзамену!!!!!
Медуза, молодец! по информатике зачет автоматом! Это точно! Не то что некоторые - рядом темы похожие не видят, и плодят кучу похожих !
Filler, Шелудивый кот еще раз спасибо! Информатику сдала в том году. Сегодня сдала и культуру. МозГ разгрузила перед экзаменом и все прокатило!
По моему у ув-й Медуза стоит XP SP1, т.к. насколько я знаю в более поздних версиях эту уязвимость устранили. Рекомендовал бы поставить версию посвежее.
Гигант_Мысли, это Вы откуда такие буквы узнали Я сама и не знаю, что у меня Вы про винду,говорите? Если все повторится, то наверное воспользуюсь Вашим советом. Спасибо.
Переведу на русский- у вас старая версия винды, она может содержать и другие уязвимости которые устранены в более поздних версиях.
Не-не-не, лучше предупредить, чем потом исправлять! Правой кнопкой мышки по моему компьютеру -> Свойства моего компьютера -> Система: "Что тут написано?"