Антивирусы vs Вирусы, Вирусные эпидемии И борьба с ними Опции

[Griz]

Люди у кого стоит ХР!!!
Вчера вылез в инет и через 15 минут вылетелело сообщение об остановке системы (ака через 30 сек машина будет перезагружена из-за сбоя системы)...
Товарищи, будте бдительны это червь!!!
Исполняемый файл msblast.exe (7кб), висит в трее (вот наглый, гад!) и пускает себя после выхода в инет на портах 137 и т.п. менее 1024 порта!!!
Возможно это схвачено из аськи (я позавчера выходил и мне кто-то бросил мессагу со ссылкой (вот дурак, нафиг я ее нажал!)
Сам червь htm`овский.
Лекартсво одно - найти по поиску этот exe`шник и удалить его windowssystem32msblast.exe (я кстати его так и нашел, а только седня узнгал что это червь)
А так же выбить из реестра...
Ни один антивирус его не видит (хотя находит htm-червяка).
Подробности здесь http://www.livejournal.com/users/karimovru/172460.html

[Термит]

дА Гриз у меня тоже позавчера он был еле удалил...Чуть было систему собирался переустанавливать.

[Figli]

а я переустанавливала

[Amadeus]

Хочу червя.

[Griz]

Amadeus, если горишь таким желанием могу сбросить на мыло (экзешник) + тот самый htm (червь)... там как раз ссылка была на страницу (я ее себе на память оставил в отдельной папке - мож кому надо будет )

[jar]

нефиг по ссылкам левым жать...

[Griz]

А я и не жал... я ее сохранил Teleport`мо

[Griz]

Вернее нажал...
А уж потом сохранил...

[Griz]

Вести еще страшнее... Бешено начал гадить еще один червяк... W32.ElKern.4926
Прет через общие папки... Люди! Вырубайте компы!!!

[Rioter]

А у меня хуже - msblast.exe я не нашел, но система перегружается... Подозреваю Lovesun или нечто подобное. Их там целая компания подвалила. Все по одной дыре работают. Качайте апдейты с MS.
W32.ElKern.4926 - мутация какая-то от Klez. Вещь весьма неприятная. Если пролезла в сервисы - убивать только через сеть или вторую (чистую) систему удается. Есть вариант взять с SYMANTEC утилитку для чистки и следовать инструкциям.

[Rioter]

Worm.Win32.Lovesan
Вирус-червь. Распространяется по глобальным сетям, используя для
своего размножения уязвимость в службе DCOM RPC Microsoft Windows.
Ее описание приведено в Microsoft Security Bulletin MS03-026.
Червь написан на языке C, с использованием компилятора LCC. Имеет
размер 6КB, упакован UPX. Размножается в виде файла с именем
"mblast.exe".
Содержит текстовые строки:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and
fix your software!!
Признаками заражения компьютера являются:
Наличие файла "msblast.exe" в системном (system32) каталоге
Windows.
Сообщение об ошибке (RPC service failing) приводящее к
перезагрузке системы.


Размножение
При запуске червь регистрирует себя в ключе автозапуска:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается
соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.

После этого червь "спит" в течение 1,8 секунды, а затем снова
сканирует 20 IP-адресов и повторяет этот процесс в бесконечном
цикле. Например, если "base address" является 20.40.50.0, червь
будет сканировать следующие адреса:
20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:
В 3 случаях из 5 червь выбирает случайный "base address"
(A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона
1-255. Таким образом "base address" находится в диапазоне
[1-255].[1-255].[1-255].0.


В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает
D в ноль и выбирает значение C. Если C - больше чем 20, то червь
выбирает случайное число от 1 до 20. Если C меньше или равно 20,
червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес
"207.46.134.191", то червь будет сканировать адреса с
207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет
сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135
порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на
удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт
загружает себя на удаленную машину в системный каталог Windows и
запускает на исполнение.


Прочее
После заражения инфицированная машина выводит сообщение об ошибке
RPC service failing, после чего может попытаться перезагрузиться.
C 16 августа 2003 года червь запускает процедуры DDoS атаки на
сервер windowsupdate.com, пытаясь таким образом затруднить или
прервать его работу.

Взято у Каспера

[Rioter]

Лекарство от MSBlast.exe

[timonn]

мдя, вот вчера я его и подхватил...как раз в контру хотел порубиться, а он мне весь вечер испоганил...даже не понял во сколько...но ничего...щас все ок

[Sweety]

не одни вы такие.... ч червячком...

[Partizan]

Предохранятся нада не только в сексе...

[FETT]

Блин скока лазею по инету ещё не разу никаких вирей не подхватывал и притом у меня нет никаких антивирусов.....где вы вечно всякую лабуду находите??

[Partizan]

постучи по дереву, сплюнь через плечо левое, в лицо заднестоящему..... и да прибудет с тобой сила

[LM]

Меня вот счас сижу, и зло берет какие вы все наивные меня неберет, ненадо лазить там где непросят, итд итп в таком же духе, у когото есть, а у когото нету. Как вот счас сидел я думал червь во первых точно есть у того, кого ВИНДА стоит ХР, во вторых у кого внутренний модем типа АККОРПА, дженирика. ЗЮКСЕЛЬ зараза он непропускает тем повезло, а у осальных беда, одним словом, вот что я вам скажу. Просто закрывайте порты прогами кто умеет, это точно помогает сам убидился, а вот насчет антивирусов ни какой найти неможет, как и было написано уже выше. Червяк есть и будет пока что то с ним не зделают. Вот я сидел и думал, может идея и глупаю но подумайте. Может на усинский Сервак надо поставить какието фильтры ну незнаю может там тоже спец.программы это уже вам веднее. Но вот эта табличка "завершение вашего компа произойдет через 1 минуту" уже проста достало по самое немогу...

[Rioter]

Качать заплатку для Виндов:
Лекарство для XP
Лекарство для Win2000

Закрывает дыры в RPC.

[Griz]

Fett, а с чего ты взял что твой комп чист если ты не пользуешься ничем? Хе-хе, батенька, так ведь почти все самые вредные и негодяйские "триппаки" сидят себе до поры до времени, а потом - грох винде, а ты все сваливаешь на "долбанный мракософт" (хотя он действительно такой )
Но ведь, инфу то жалко... А тем более сейчас все черви (по вчерашним данным аж 3 штуки свирепствуют на планете), никак особо не проявляются, ну кроме msblast который перегружает систему, а седня с утра передавали что 14 августа в 24-00 будет салют на всех машинах с Mraco$oft`овскими продуктами (Win`ы любые!!! и Офися). Так что...
Face-off, ну эт ты зря, червь подцепить можно где и как угодно, у меня даже ZoneAlarm и NortonGost ничего не нашли (они его просто пропустили).
Да, вот еще что кроме XP, вы забыли еще про W2000, NT, W2003)... а они тоже стоят у народа...


__________________________
Наберу червей я в банку и поеду на рыбалку

[AV]

->Да, вот еще что кроме XP, вы забыли еще про W2000, NT, W2003)... а они тоже стоят у народа

У меня 98 всегда и трава не расти. Вири, хвири, вирусы - папирусы. НИчего нет. Для профилактики раз в полгода проверяюсь. Все чисто, только папку с приаттаченными файлами в бате, естественно дезинфицирую. Потому как только там они стопочкой и лежат, ждут, балбесы пока я письмо открою.
Не открывать (удалать сразу) неизвестные письма. Не нажимать на неизвестные урлы, не принимать автоматом файлы по аське и линьки, неизвестно от кого.
Короче - человек сам себе все это колбасит. А потом лечится.

[Griz]

Я тоже когда на 98 сидел - траблов не было...
ХРень все гадит и портит, но... система работает веселее.
По этому я и ХР и 98 поставил (вчера как раз через нее в инет выходил).
AV, будь человеком напиши ip-шник и DNS для выхода на модемный пулл и телефон дозвона до провайдера (я умудрился потерять листок), или дай ссылку, пожалста!!!
А если совсем не затруднит то и ip для CS.
ЗАРАНЕЕ блаходарен!

[Колька]

Народ посмотрите на занятную ссылочку, мож кому и поможет(нам помогла).........

Ахтунг! Срочно качаем заплату распространяющуюся на все версии виндов (англ или рус)!
Дыра была известна уже давно, но кто то шустрый сделал вирь опираясь на эту дырочку
При обращении к svhost данная хрень вешает Вашу машину...

Вещь не приятная... Тем, кто сидит за firewall`ом бояться нечего, но в качестве профилактики.
http://download.microsoft.com/download/7/0...980-x86-RUS.exe

[HalfHuman]

Цитата из сообщения face_off:
...... я думал червь во первых точно есть у того, кого ВИНДА стоит ХР, во вторых у кого внутренний модем типа АККОРПА, дженирика. ЗЮКСЕЛЬ зараза он непропускает тем повезло, а у осальных беда, одним словом, вот что я вам скажу. ......

А от модема это вообще как зависит? Матчасть читал?

[AV]

Цитата из сообщения Griz:
Я тоже когда на 98 сидел - траблов не было...
ХРень все гадит и портит, но... система работает веселее.
По этому я и ХР и 98 поставил (вчера как раз через нее в инет выходил).
AV, будь человеком напиши ip-шник и DNS для выхода на модемный пулл и телефон дозвона до провайдера (я умудрился потерять листок), или дай ссылку, пожалста!!!
А если совсем не затруднит то и ip для CS.
ЗАРАНЕЕ блаходарен!

Ну ты меня удивил в натуре. Да еще в таком топике. :-)
CS 217.74.155.3 - а вообще глаза разувать - как играть на усинском и вся фигня есть на http://games.usinsk.ru да и в Игровом форуме все это есть. Да и ты что сам никогда не играл чтоли с нами там? Ну ты даешь.
Ты вообще на www.usinsk.ru - ходишь? Или только форум? На главной странице - слева раздел - "Интернет".
Телефон модемного пула 278-00
Никаких DNS писать не надо.
Да-а-а, блин. :-(
Для кого работаю? Непонятно.

[LM]

Халф незнаю, незнаю про модем но вопервых я читал про ето то что Зюксель внешний червя этого непропускает, да и на деле уже заметил у меня у двух корешей такие модемы и у них проблем небыло с червячком. А вот насчет виндовса да там еще и 2000 гонит с NT насчет червя, точно прикрывайте дыры в ХР, а с него не слезу , имею ввиду Виндовс самый по моему лудший из всех ну ето уже не мне судить, просто скачайте патч как и я с сайта вроде все нормально.

[Griz]

AV,
понял ступил...Причем конкретно

[Griz]

Седня выхожу на поле битвы... Кто приходит?
Если никого не будет буду убивать сам себя статистику потрить

[Rioter]

Кстати, действительно странность есть... Все поимели червя и шатдауны, а я только шатдауны. Непонятки.
Если это другой червь, то какой? Вроде все чисто... Уже не перегружает. Хватило заплатки.
AV - не открывать незнакомые линки?! А зачем тогда Инет? ;-) А червяк кстати, ничего такого и не требовал. Сам себя рассылал пакетом, чем и был опасен.

[Griz]

Тявляблизорь смореть нада... 3 червя ходят по Еваропе и рубят окно в Россию

[Илья Владимирови...]

линк на патч для XP ENG prof/home

[Rage]

Win'98 рулез .... это я так.....вот млин..вам везёт...а у меня никогда ничего не было...никакиш вирей..и вормов...тока вот ещё бы не мои руки было бы всё нармуль..а то вечно млин из за них комп тупит

[Rioter]

Впервые вообще слышу о том, что червь зависит от момеда. По-моему чушь. Но у меня именно Zyxel Omni56k

[Crash]

Цитата из сообщения Rioter:
Впервые вообще слышу о том, что червь зависит от момеда. По-моему чушь. Но у меня именно Zyxel Omni56k

Пральна от модема нихрена не зависить....он тока принимает и отправляет данные ....но никак не фильтрует их!!!....

[AV]

Цитата из сообщения Rioter:
AV - не открывать незнакомые линки?! А зачем тогда Инет? ;-)

Я имел в виду - те, которые тебе посылают незнакомые люди, так же как и почту.
Тут как со спидом. Только проверенные партнеры, безопасный секс. - А хочешь экстрима - правильно - предохраняйся. Ставь себе всевозможные файрволы, портазащиту, антивирусников кучу. И всякой ерунды. Да и следи за обновлениями еще.
Говорю же, и как видно из флейма, что не я один, всего этого можно избежать если думать головой и не делать того - что я писал в предыдущем сообщении.
Но и на старуху бывает проруха и всякие вещи, поэтому, профилактика никогда не повредит.

[FETT]

Цитата из сообщения Griz:
Fett, а с чего ты взял что твой комп чист если ты не пользуешься ничем? Хе-хе, батенька, так ведь почти все самые вредные и негодяйские "триппаки" сидят себе до поры до времени, а потом - грох винде, а ты все сваливаешь на "долбанный мракософт" (хотя он действительно такой )

А у меня все последние апдейты есть на ХР и фаерволл стоит

[Figli]

http://www.utro.ru/articles/2003/08/13/222659.shtml

[Термит]

на XP не гоните виндовз нормальный если его по уму настроить............ну а для работы конечно лучше на мой взгляд 2000NT

[Термит]

[MadMax]

Ну... %) атаку червя выдержал!
Успел поставить патчик и заобно firewall.
Т.е. без потерь, а как остальные? Кто-нить "пострадал"?

[GLENN]

У меня эта сволочь в машину не смогла пробраться (Firewall и SP1 в XP стоят), так она пробовала создать себя, как пользователя от имени (!) .... Microsoft!!! Большой и толстый ...(нехорошее слово) ей по всей морде!

[Griz]

Жутко... ХРень себя НИКАК не оправдала!!!
Червь жестоко рулит!!! Думаю это не хуже WinChn95 (Чернобыль) себя проявит... Все ждем 16 числа и.... вырубаем кабели с сетевух...
ЗЫ
Вчера ко мне аж с .uk стучались через 135 порт по 15-20 пакетов в течении 1 минуты...
Слава Богу файрвол отсеял... А с Колмыка ваащеее труба была только 135,137,139 порты атаковали...
А вы: "Да фигня этот червь..." Ну-ну...
ЗЫ №2
А кто сказал что он толко на ХР? Неа... и на 98 тоже модификация есть!

[Илья Владимирови...]

А я из никогда стены и антивиры дома не ставил...
Раз в ..дцать месяцев проверку делаю и все чисто.
везет пока )) ...

а вот атаку блястера пережили практически вовремя заплатки поставили..

[AK]

Цитата из сообщения Griz:
Люди у кого стоит ХР!!!
Вчера вылез в инет и через 15 минут вылетелело сообщение об остановке системы (ака через 30 сек машина будет перезагружена из-за сбоя системы)...
Товарищи, будте бдительны это червь!!!
Исполняемый файл msblast.exe (7кб), висит в трее (вот наглый, гад!) и пускает себя после выхода в инет на портах 137 и т.п. менее 1024 порта!!!
Возможно это схвачено из аськи (я позавчера выходил и мне кто-то бросил мессагу со ссылкой (вот дурак, нафиг я ее нажал!)
Сам червь htm`овский.
Лекартсво одно - найти по поиску этот exe`шник и удалить его windowssystem32msblast.exe (я кстати его так и нашел, а только седня узнгал что это червь)
А так же выбить из реестра...
Ни один антивирус его не видит (хотя находит htm-червяка).
Подробности здесь http://www.livejournal.com/users/karimovru/172460.html

Блин! Таже хрень! Мы сделали проще..отключили перезагрузку при сбое..НО! Перестал работать буфер обмена.....Сейчас глянул, да...есть такое файло..сейчас буду удалять

[GLENN]

Всё в порядке. XP рулит! Никаких проблем!

[AK]

Еще есть время для того, чтобы убить червяка на своей машине. Специалисты компании Symantec выпустили специальную утилиту, способную удалять из системы самого червя и устранять все последствия его пребывания. Никаких настроек пользователю производить не потребуется - после запуска утилита W32.Blaster.Worm Removal Tool самостоятельно обнаружит и уничтожит зловредную программу.

W32.Blaster.Worm Removal Tool(165 кб)

[Griz]

Мдя... только избавились от МСБляста как тут весщь занятнее появилась... W32.Welchia.Worm
Чъярьвяк настолько бысто расползся по сети (енот included), что переплюнул своего предшественника...
Мало того этот самый Welchia при заражении системки убивает сам BLAST !!! (при таком раскладе этот топ уже в Юмор можно помещать ) msblast всего лишь на 10... Почуствуйте разницу!!!
Вредности червя W32.Welchia (а мож и нужности) :

В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.

Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).

Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы.

Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?).

Несанкционированная перезагрузка может привести к потере данных

(иточник Overclockers.ru)

Фикс червя:
http://www.symantec.com/avcenter/FixWelch.exe

Возрадуйтесь!!!

[AV]

Пострадавшие уже есть?

[KblTa]

Дык эта инфа у же была в новостях на усинск.ру

[Griz]

Угу... Читал - лажа...
Да, че там говорить сходите на сам симантек да прочитайте об энтой новой заразе...
AV, пострадавшие еще не появились (хотя я у себя на машине нашел энту дрянь)