Зеркало




12 августа, 2003

Suxxx млять...

Блин вчера словил сию гадость Сетевой червь Blaster
И не я один судя по жалобам друзей...

Worm.Win32.Blaster.a

Тип: Интернет-Червь (Worm)

Длина: 6'169 (6'176) байт (UPX packed)

ОС подверженные заражению:
Microsoft Windows NT® 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003

Патч для ОС: Здесь

Возможные названия: W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend), msblast.exe, tftp

Обнаружен: 11 августа 2003

Описание:
Интернет-червь. Червь использует уязвимость в службе Microsoft Windows DCOM RPC. Данная уязвимость позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).
При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку основного тела червя.
После успешной загрузки основного тела червя, оно копируется в каталог %WinDir%\system32 и запускается на выполнение.
Создает в системном реестре ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Инсталляция
При запуске, создается файл msblast.exe в каталоге %WinDir%\system32 и вышеуказанная запись в системном реестре.

Признаки заражения
Наличие файла msblast.exe в каталоге %WinDir%\system32.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
Наличие записи в системном реестре

Рекомендации по защите и удалению
Загрузить последнее обновление для Антивируса (Drweb уже знает)
Провести сканирование и удалить все обнаруженные файлы.
Установить обновление (См выше).

Оригинал статьи здесь
Спасибо Srez.ru за ссылку.

Posted by at        
« Туды | Навигация | Сюды »






Советуем так же посмотреть

Комментарии
Set
12.08.03 11:39

а файеры потому-что юзать надо...

 

12.08.03 14:35

это точно!
у меня на серваке free bsd и хрен до меня какая зараза доползёт. а если, товарищи, ваш комп открыт всем ветрам и ваш ай пи светица как фонарь в ночном лесу, то извиняйте, хотя бы outpost firewall будьте любезны воткнуть.

 
bookworm
13.08.03 13:50

Твою мать!!! У меня же тоже! :((((

 
Старый кот
13.08.03 13:52

Можа ещё через F8 удалить и регистр почистить))) вроде прокатывает

 
[Dominant]
13.08.03 17:05

Надо мозги юзать, а не "файеры"... и фсё будет пучком.. :)))

 
Axxe
14.08.03 10:23

LMD

 


Последние посты:

Девушка дня
Итоги дня
Глава родительского комитета
Фен Шуй
Как меня ребенком в милицию забирали
Экскаваторщиков лучше не трогать
Как из умницы превратиться в тварь: пособие для девушек
Расширяем словарный запас
4 вида спорта, от которых потом член не стоит
Правильные наряды к Новому году


Случайные посты:

Итоги дня
Политический юмор
Не все знают, за счет чего утки держатся на воде
Итоги дня
"Это Россия, брат!". Что шокировало американца в России
Тем временем в метро продолжаеться показ мод
Мгновенная карма. Лучшее за год
Расширяем словарный запас
В Казахстане много интересных конкурсов
Как изменился Челябинск к приезду Владимира Путина