Форум.УСИНСК.ин - Усинский городской форум. Общение с 2000 года.

Здравствуйте, гость ( Вход | Регистрация )

23 страниц V   1 2 3 > »   
Reply to this topicStart new topic
> Антивирусы vs Вирусы, Вирусные эпидемии И борьба с ними
Griz
сообщение 12.8.2003, 9:26
Сообщение #1

Писатель
******
Сообщений: 690
Группа: Пользователи
Карма: 0/0
Регистрация: 27.10.2002
Предупреждения:
(0%) -----

Люди у кого стоит ХР!!!
Вчера вылез в инет и через 15 минут вылетелело сообщение об остановке системы (ака через 30 сек машина будет перезагружена из-за сбоя системы)...
Товарищи, будте бдительны это червь!!! sad.gif
Исполняемый файл msblast.exe (7кб), висит в трее (вот наглый, гад!) и пускает себя после выхода в инет на портах 137 и т.п. менее 1024 порта!!!
Возможно это схвачено из аськи (я позавчера выходил и мне кто-то бросил мессагу со ссылкой (вот дурак, нафиг я ее нажал!)
Сам червь htm`овский.
Лекартсво одно - найти по поиску этот exe`шник и удалить его windowssystem32msblast.exe (я кстати его так и нашел, а только седня узнгал что это червь)
А так же выбить из реестра...
Ни один антивирус его не видит (хотя находит htm-червяка).
Подробности здесь http://www.livejournal.com/users/karimovru/172460.html


--------------------
"Бyдет и на вашей yлице пpаздник!" (с) Фpедди Кpюгеp
Go to the top of the pageВставить ник в ответ
+Quote Post
Термит
сообщение 12.8.2003, 9:48
Сообщение #2

Участник
****
Сообщений: 249
Группа: Пользователи
Карма: 0/0
Регистрация: 2.6.2003
Предупреждения:
(0%) -----

дА Гриз у меня тоже позавчера он был еле удалил...Чуть было систему собирался переустанавливать. death.gif


--------------------
Слеза за слезою.За раною рана,моя жизнь утекает как вода из под крана.Хорошо если кто-то из друзей или близких подставит ладони или собачью миску.
Go to the top of the pageВставить ник в ответ
+Quote Post
Figli
сообщение 12.8.2003, 10:14
Сообщение #3

Гость
**
Сообщений: 86
Группа: Новички
Карма: 0/0
Регистрация: 25.10.2001
Предупреждения:
(0%) -----

а я переустанавливала sad.gif


--------------------
Совесть меня не гложет - я ей не по зубам.
Go to the top of the pageВставить ник в ответ
+Quote Post
Amadeus
сообщение 12.8.2003, 10:30
Сообщение #4

Знаток
*********
Сообщений: 6875
Группа: Модераторы
Карма: 3/0
Регистрация: 21.11.2002
Предупреждения:
(0%) -----

Хочу червя.


--------------------
Go to the top of the pageВставить ник в ответ
+Quote Post
Griz
сообщение 12.8.2003, 10:39
Сообщение #5

Писатель
******
Сообщений: 690
Группа: Пользователи
Карма: 0/0
Регистрация: 27.10.2002
Предупреждения:
(0%) -----

Amadeus, если горишь таким желанием могу сбросить на мыло (экзешник) + тот самый htm (червь)... smile.gif там как раз ссылка была на страницу (я ее себе на память оставил в отдельной папке - мож кому надо будет wink.gif )


--------------------
"Бyдет и на вашей yлице пpаздник!" (с) Фpедди Кpюгеp
Go to the top of the pageВставить ник в ответ
+Quote Post
jar
сообщение 12.8.2003, 10:42
Сообщение #6

риальни
********
Сообщений: 3461
Группа: Пользователи
Карма: 0/0
Регистрация: 28.10.2001
Предупреждения:
(0%) -----

нефиг по ссылкам левым жать...
Go to the top of the pageВставить ник в ответ
+Quote Post
Griz
сообщение 12.8.2003, 13:14
Сообщение #7

Писатель
******
Сообщений: 690
Группа: Пользователи
Карма: 0/0
Регистрация: 27.10.2002
Предупреждения:
(0%) -----

А я и не жал... я ее сохранил Teleport`мо smile.gif


--------------------
"Бyдет и на вашей yлице пpаздник!" (с) Фpедди Кpюгеp
Go to the top of the pageВставить ник в ответ
+Quote Post
Griz
сообщение 12.8.2003, 14:26
Сообщение #8

Писатель
******
Сообщений: 690
Группа: Пользователи
Карма: 0/0
Регистрация: 27.10.2002
Предупреждения:
(0%) -----

Вернее нажал... sad.gif
А уж потом сохранил...


--------------------
"Бyдет и на вашей yлице пpаздник!" (с) Фpедди Кpюгеp
Go to the top of the pageВставить ник в ответ
+Quote Post
Griz
сообщение 12.8.2003, 16:01
Сообщение #9

Писатель
******
Сообщений: 690
Группа: Пользователи
Карма: 0/0
Регистрация: 27.10.2002
Предупреждения:
(0%) -----

Вести еще страшнее... Бешено начал гадить еще один червяк... W32.ElKern.4926
Прет через общие папки... Люди! Вырубайте компы!!!
rupor.gif


--------------------
"Бyдет и на вашей yлице пpаздник!" (с) Фpедди Кpюгеp
Go to the top of the pageВставить ник в ответ
+Quote Post
Rioter
сообщение 12.8.2003, 16:54
Сообщение #10

Старожил
*******
Сообщений: 1004
Группа: Пользователи
Карма: 0/0
Регистрация: 25.7.2001
Предупреждения:
(0%) -----

А у меня хуже - msblast.exe я не нашел, но система перегружается... Подозреваю Lovesun или нечто подобное. Их там целая компания подвалила. Все по одной дыре работают. Качайте апдейты с MS.
W32.ElKern.4926 - мутация какая-то от Klez. Вещь весьма неприятная. Если пролезла в сервисы - убивать только через сеть или вторую (чистую) систему удается. Есть вариант взять с SYMANTEC утилитку для чистки и следовать инструкциям.


--------------------
Все проходит и я пройду.
Go to the top of the pageВставить ник в ответ
+Quote Post
Rioter
сообщение 12.8.2003, 17:28
Сообщение #11

Старожил
*******
Сообщений: 1004
Группа: Пользователи
Карма: 0/0
Регистрация: 25.7.2001
Предупреждения:
(0%) -----

Worm.Win32.Lovesan
Вирус-червь. Распространяется по глобальным сетям, используя для
своего размножения уязвимость в службе DCOM RPC Microsoft Windows.
Ее описание приведено в Microsoft Security Bulletin MS03-026.
Червь написан на языке C, с использованием компилятора LCC. Имеет
размер 6КB, упакован UPX. Размножается в виде файла с именем
"mblast.exe".
Содержит текстовые строки:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and
fix your software!!
Признаками заражения компьютера являются:
Наличие файла "msblast.exe" в системном (system32) каталоге
Windows.
Сообщение об ошибке (RPC service failing) приводящее к
перезагрузке системы.


Размножение
При запуске червь регистрирует себя в ключе автозапуска:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается
соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.

После этого червь "спит" в течение 1,8 секунды, а затем снова
сканирует 20 IP-адресов и повторяет этот процесс в бесконечном
цикле. Например, если "base address" является 20.40.50.0, червь
будет сканировать следующие адреса:
20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:
В 3 случаях из 5 червь выбирает случайный "base address"
(A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона
1-255. Таким образом "base address" находится в диапазоне
[1-255].[1-255].[1-255].0.


В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает
D в ноль и выбирает значение C. Если C - больше чем 20, то червь
выбирает случайное число от 1 до 20. Если C меньше или равно 20,
червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес
"207.46.134.191", то червь будет сканировать адреса с
207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет
сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135
порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на
удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт
загружает себя на удаленную машину в системный каталог Windows и
запускает на исполнение.


Прочее
После заражения инфицированная машина выводит сообщение об ошибке
RPC service failing, после чего может попытаться перезагрузиться.
C 16 августа 2003 года червь запускает процедуры DDoS атаки на
сервер windowsupdate.com, пытаясь таким образом затруднить или
прервать его работу.

Взято у Каспера


--------------------
Все проходит и я пройду.
Go to the top of the pageВставить ник в ответ
+Quote Post
Rioter
сообщение 12.8.2003, 17:44
Сообщение #12

Старожил
*******
Сообщений: 1004
Группа: Пользователи
Карма: 0/0
Регистрация: 25.7.2001
Предупреждения:
(0%) -----

Лекарство от MSBlast.exe


--------------------
Все проходит и я пройду.
Go to the top of the pageВставить ник в ответ
+Quote Post
timonn
сообщение 12.8.2003, 17:51
Сообщение #13

Читатель
*
Сообщений: 26
Группа: Новички
Карма: 0/0
Регистрация: 1.7.2003
Предупреждения:
(0%) -----

мдя, вот вчера я его и подхватил...как раз в контру хотел порубиться, а он мне весь вечер испоганил...даже не понял во сколько...но ничего...щас все ок
Go to the top of the pageВставить ник в ответ
+Quote Post
Sweety
сообщение 12.8.2003, 19:43
Сообщение #14

Смотритель
********
Сообщений: 3113
Группа: Пользователи
Карма: 0/0
Регистрация: 4.8.2003
Предупреждения:
(0%) -----

не одни вы такие.... ч червячком...


--------------------
Граница на карте обозначена точка-тире, точка-тире, что символизирует: пограничник-собака, пограничник-собака...
Go to the top of the pageВставить ник в ответ
+Quote Post
Partizan
сообщение 12.8.2003, 21:47
Сообщение #15

Старожил
*******
Сообщений: 1958
Группа: Пользователи
Карма: 0/0
Регистрация: 20.4.2002
Предупреждения:
(0%) -----

Предохранятся нада не только в сексе...


--------------------
"...люди столько в тюрьме не сидят, сколько мы - в Интернете..."
Go to the top of the pageВставить ник в ответ
+Quote Post
FETT
сообщение 13.8.2003, 0:14
Сообщение #16

Смотритель
********
Сообщений: 2764
Группа: Пользователи
Карма: 0/0
Регистрация: 15.3.2003
Предупреждения:
(0%) -----

Блин скока лазею по инету ещё не разу никаких вирей не подхватывал и притом у меня нет никаких антивирусов.....где вы вечно всякую лабуду находите??


--------------------
Ёк Макарёк
Go to the top of the pageВставить ник в ответ
+Quote Post
Partizan
сообщение 13.8.2003, 0:52
Сообщение #17

Старожил
*******
Сообщений: 1958
Группа: Пользователи
Карма: 0/0
Регистрация: 20.4.2002
Предупреждения:
(0%) -----

постучи по дереву, сплюнь через плечо левое, в лицо заднестоящему..... smile.gif и да прибудет с тобой сила smile.gif


--------------------
"...люди столько в тюрьме не сидят, сколько мы - в Интернете..."
Go to the top of the pageВставить ник в ответ
+Quote Post
LM
сообщение 13.8.2003, 1:35
Сообщение #18

Новичок
***
Сообщений: 106
Группа: Новички
Карма: 0/0
Регистрация: 25.1.2003
Предупреждения:
(0%) -----

Меня вот счас сижу, и зло берет какие вы все наивные меня неберет, ненадо лазить там где непросят, итд итп в таком же духе, у когото есть, а у когото нету. Как вот счас сидел я думал червь во первых точно есть у того, кого ВИНДА стоит ХР, во вторых у кого внутренний модем типа АККОРПА, дженирика. ЗЮКСЕЛЬ зараза он непропускает тем повезло, а у осальных беда, одним словом, вот что я вам скажу. Просто закрывайте порты прогами кто умеет, это точно помогает сам убидился, а вот насчет антивирусов ни какой найти неможет, как и было написано уже выше. Червяк есть и будет пока что то с ним не зделают. Вот я сидел и думал, может идея и глупаю но подумайте. Может на усинский Сервак надо поставить какието фильтры ну незнаю может там тоже спец.программы это уже вам веднее. Но вот эта табличка "завершение вашего компа произойдет через 1 минуту" уже проста достало по самое немогу...


--------------------
Или Мир Покончит С Войной, Или Война Покончит С Миром.
Go to the top of the pageВставить ник в ответ
+Quote Post
Rioter
сообщение 13.8.2003, 8:29
Сообщение #19

Старожил
*******
Сообщений: 1004
Группа: Пользователи
Карма: 0/0
Регистрация: 25.7.2001
Предупреждения:
(0%) -----

Качать заплатку для Виндов:
Лекарство для XP
Лекарство для Win2000

Закрывает дыры в RPC.


--------------------
Все проходит и я пройду.
Go to the top of the pageВставить ник в ответ
+Quote Post
Griz
сообщение 13.8.2003, 8:33
Сообщение #20

Писатель
******
Сообщений: 690
Группа: Пользователи
Карма: 0/0
Регистрация: 27.10.2002
Предупреждения:
(0%) -----

Fett, а с чего ты взял что твой комп чист если ты не пользуешься ничем? Хе-хе, батенька, так ведь почти все самые вредные и негодяйские "триппаки" сидят себе до поры до времени, а потом - грох винде, а ты все сваливаешь на "долбанный мракософт" (хотя он действительно такой smile.gif )
Но ведь, инфу то жалко... А тем более сейчас все черви (по вчерашним данным аж 3 штуки свирепствуют на планете), никак особо не проявляются, ну кроме msblast который перегружает систему, а седня с утра передавали что 14 августа в 24-00 будет салют на всех машинах с Mraco$oft`овскими продуктами (Win`ы любые!!! и Офися). Так что...
Face-off, ну эт ты зря, червь подцепить можно где и как угодно, у меня даже ZoneAlarm и NortonGost ничего не нашли (они его просто corpse.gif пропустили).
Да, вот еще что кроме XP, вы забыли еще про W2000, NT, W2003)... а они тоже стоят у народа...


__________________________
Наберу червей я в банку и поеду на рыбалку psix.gif


--------------------
"Бyдет и на вашей yлице пpаздник!" (с) Фpедди Кpюгеp
Go to the top of the pageВставить ник в ответ
+Quote Post
AV
сообщение 13.8.2003, 8:38
Сообщение #21

Понауехавший
**********
Сообщений: 14916
Группа: Без группы
Карма: 2/0
Регистрация: 29.5.2001
Предупреждения:
(0%) -----

->Да, вот еще что кроме XP, вы забыли еще про W2000, NT, W2003)... а они тоже стоят у народа

У меня 98 всегда и трава не расти. Вири, хвири, вирусы - папирусы. НИчего нет. Для профилактики раз в полгода проверяюсь. Все чисто, только папку с приаттаченными файлами в бате, естественно дезинфицирую. Потому как только там они стопочкой и лежат, ждут, балбесы пока я письмо открою.
Не открывать (удалать сразу) неизвестные письма. Не нажимать на неизвестные урлы, не принимать автоматом файлы по аське и линьки, неизвестно от кого.
Короче - человек сам себе все это колбасит. А потом лечится.


--------------------
Go to the top of the pageВставить ник в ответ
+Quote Post
Griz
сообщение 13.8.2003, 9:19
Сообщение #22

Писатель
******
Сообщений: 690
Группа: Пользователи
Карма: 0/0
Регистрация: 27.10.2002
Предупреждения:
(0%) -----

Я тоже когда на 98 сидел - траблов не было...
ХРень все гадит и портит, но... система работает веселее.
По этому я и ХР и 98 поставил (вчера как раз через нее в инет выходил).
AV, будь человеком напиши ip-шник и DNS для выхода на модемный пулл и телефон дозвона до провайдера (я умудрился потерять листок), или дай ссылку, пожалста!!! smile.gif
А если совсем не затруднит то и ip для CS.
ЗАРАНЕЕ блаходарен! smile.gif


--------------------
"Бyдет и на вашей yлице пpаздник!" (с) Фpедди Кpюгеp
Go to the top of the pageВставить ник в ответ
+Quote Post
Колька
сообщение 13.8.2003, 11:33
Сообщение #23

Новичок
***
Сообщений: 146
Группа: Новички
Карма: 0/0
Регистрация: 2.4.2003
Предупреждения:
(0%) -----

Народ посмотрите на занятную ссылочку, мож кому и поможет(нам помогла).........

Ахтунг! Срочно качаем заплату распространяющуюся на все версии виндов (англ или рус)!
Дыра была известна уже давно, но кто то шустрый сделал вирь опираясь на эту дырочку
При обращении к svhost данная хрень вешает Вашу машину...

Вещь не приятная... Тем, кто сидит за firewall`ом бояться нечего, но в качестве профилактики.
http://download.microsoft.com/download/7/0...980-x86-RUS.exe


--------------------
Дорога - мой дом и для любви это не место.......
Go to the top of the pageВставить ник в ответ
+Quote Post
HalfHuman
сообщение 13.8.2003, 12:40
Сообщение #24

Смотритель
********
Сообщений: 2812
Группа: Пользователи
Карма: 1/0
Регистрация: 29.5.2001
Предупреждения:
(0%) -----

Цитата
Цитата из сообщения face_off:
...... я думал червь во первых точно есть у того, кого ВИНДА стоит ХР, во вторых у кого внутренний модем типа АККОРПА, дженирика. ЗЮКСЕЛЬ зараза он непропускает тем повезло, а у осальных беда, одним словом, вот что я вам скажу. ......
А от модема это вообще как зависит? Матчасть читал?


--------------------
Turn off the light, take a deep breath and relax.
Go to the top of the pageВставить ник в ответ
+Quote Post
AV
сообщение 13.8.2003, 13:11
Сообщение #25

Понауехавший
**********
Сообщений: 14916
Группа: Без группы
Карма: 2/0
Регистрация: 29.5.2001
Предупреждения:
(0%) -----

Цитата
Цитата из сообщения Griz:
Я тоже когда на 98 сидел - траблов не было...
ХРень все гадит и портит, но... система работает веселее.
По этому я и ХР и 98 поставил (вчера как раз через нее в инет выходил).
AV, будь человеком напиши ip-шник и DNS для выхода на модемный пулл и телефон дозвона до провайдера (я умудрился потерять листок), или дай ссылку, пожалста!!! smile.gif
А если совсем не затруднит то и ip для CS.
ЗАРАНЕЕ блаходарен! smile.gif
Ну ты меня удивил в натуре. Да еще в таком топике. :-)
CS 217.74.155.3 - а вообще глаза разувать - как играть на усинском и вся фигня есть на http://games.usinsk.ru да и в Игровом форуме все это есть. Да и ты что сам никогда не играл чтоли с нами там? Ну ты даешь.
Ты вообще на www.usinsk.ru - ходишь? Или только форум? На главной странице - слева раздел - "Интернет".
Телефон модемного пула 278-00
Никаких DNS писать не надо.
Да-а-а, блин. :-(
Для кого работаю? Непонятно.


--------------------
Go to the top of the pageВставить ник в ответ
+Quote Post

23 страниц V   1 2 3 > » 
Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Яндекс.Метрика УСИНСК.ин - информационный городской сайт Сейчас: 18.7.2019, 8:44
© 2000-2016 В рамках проекта "УСИНСК.ин".