Новый вирус! & Винды летят.

[SHARKenstein]

TIER

От касперского "Kaspersky Anti-Hacker", хотя какая нафиг разница? :)

ЗЫ. Систему я нафиг переустановил, задал новые настройки файрфолла и теперь наблюдаю за безрезультатными попытками вируса пробится ко мне.

ЗЗЫ. Заметил хитрую особенность, что вирь, с одного компа, делает 2-3 попытки на пробивание системы, а потом забивает. Кста, он ещё и в локалку лезет падла :), но теперь у него ничего не получается :P

Изменено 16 августа, 2003 пользователем SHARKenstein

[Tarabrin]

Слушайте, проконсультируйте: по-моему я именно этот вирус и подцепил. Симптомы такие: примерно где-то после 15 минут работы в сети вышибает окошко, сообщающее о том, что агрегат будет выключен через минуту. Я залез в архив событий и откопал его там, вот она ошибка.

Тип события:	ОшибкаИсточник события:	Service Control ManagerКатегория события:	ОтсутствуетКод события:	7031Дата:  15.08.2003Время:  15:40:28Пользователь:  Н/ДКомпьютер:	TARABRINОписание:Служба Удаленный вызов процедур (RPC) была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 60000 мсек: Перезагрузите компьютер.

P.S. Стоят у меня 2 системы: 98 и XP. Вирус (или что это?) проявляется только на XP. В связи с этим ещё вопрос: если я запускаю 98, то будет ли активен вирус? Системы стоят на разных дисках: 98- загрузочный, XP- логический.

И кстати, рад всех снова приветствовать. Давно я здесь не был, с пол года наверное. А раньше каждый день залезал... :)

[dartman]

Tarabrin Вэлкам Бэк :)

Похоже, вирь действительно хачит только NT-системы. Хотя, на маздай-апдейте мне под 98-ой тоже предложили скачать против него патч.

Так что можешь смело юзать 9х, и из-под неё прибивать вирь, если раздел с ХР у тебя на НТФС.

[Dashnak]

Те, кто поставил бластер ворм... Не повлияло ли это на скорость инета?

[Tarabrin]

Нашёл файл с телом вируса (посредством Norton'a).

Какие же его авторы циники козлы!

Вирус называется Blaster, а файл с телом вируса - msblast.exe!

Во гады, а!

[SHARKenstein]

Tarabrin

Дык, вроде уже несколько раз говорили про файл с таким названием. Чтож такой не внимательный-то? :(

Его 3 модификации на самом деле.

[t@r@k@n]

Да, и у себя этот вирус вчера обнаружил, удалил, а Outpost в своем логе записал 700000 записей за 4 дня - Lovesan пытался вылезти в инет :( , но Outpost не дал!!!

[Asakra]

сегодня скачал прогу от создателя нортон антивиря, просканил, нету у меня этого виря! :( поздравьте! :( :( :(

[pitkin]

нигде не могу найти заплатку на longhorn от"lovsan"кто знает подскажите что можно сделать?

[Ray]

А что, уже вышел официальный релиз Longhorn? Если нет. то и не найдешь нигде ИМХО...

[Тролль]

Официальная альфа-версия Longhorn ожидается в октябре. Пока еще идут "преальфы". Соответственно, заплат для несуществующей операционки никто не пишет. Однако, насколько я могу предположить, вирус на внедрение в Longhorn не нацелен и может заразить его только при ручном копировании на компьютер и запуске.

Изменено 17 августа, 2003 пользователем Тролль

[pitkin]

да я также думал но дыры остались теже что и в xp.... :)

[Тролль]

pitkin

Цитата:

"компания Symantec указывает на то, что в коде червя отсутствуют процедуры для использования дыры в службе DCOM RPC в операционных системах Windows NT 4 и Windows Server 2003, несмотря на то, что такая уязвимость в них присутствует.

По-видимому, авторы червя ориентировались на заражение наиболее распространенных на сегодняшний день ОС на ядре NT - Windows 2000 и Windows XP, поэтому 80% времени своей работы Blaster рассылает запросы, опасные для Windows XP, а 20% времени он тратит на атаки Windows 2000. Если любой из этих запросов достигнет компьютера с Windows NT 4 или Windows Server 2003, в таком компьютере может произойти сбой в службе DCOM RPC с зависанием всей системы, но заражения при этом не произойдет.

Впрочем, превратить компьютер с Windows NT 4 или Windows Server 2003 в очаг распространения инфекции можно. Для этого нужно самостоятельно скопировать на него файл червя и вручную запустить его." (www.compulenta.ru)

Для Longhorn должна быть та же картина.

Изменено 18 августа, 2003 пользователем Тролль

[Баджиоли]

Как сдесь, по телику сказали, вирус этот на USB Horst To Horst Bridge запрыгнул! А оно сидит в дополнительном оборудовании!

И ваще, помойму корпорация сама замутила это!

Сейчас новый Винт продавать начали.

[Colin]

А у меня получается следующее:

Стоит антивирусник и файрвол.

Отбивался отлично.

но потом в какой то моент видимо отключил файрвол (иногда требует такого работа).

В это время все и началось.

Антивирус не мог убрать заразу. А файрвол не давл ей развиться.

Комп начал тормозиться страшно.

В интернет вхожу, но ничего не могу загрузить.

Если отключаю файрвол, то начинал качать почту, инфо, но комп перезагружался.

Скачал у касперского противоядие. Запустил.

Он почистил и сказал - все отлично.

Установил патч. Перезагрузил комп и все началось по прежнему.

Интернета нет.

И так раз нанадцать...

Сейчас интернет грузиться только без файрвола.

Но это же не нормально!?

Внешне комп работает неплохо. Но меня мучают сомнения, что не все так хорошо.

У меня стоит ZoneAlarm - бесплатная версия.

Может ее поменять?

Или что изменить в настройках?

Как убедиться, что комп очистил?

Антивирусник (AVG) ничего не обнаруживает. Версия свежая.

[reptile]

LoveSan херит только WinXP, прописывается в реестре. Сам файл в папке WINDOWSSYSTEM32msblas.exe (или .com)

Кто еще не нашел прогу как убить вирь пишите на мыло я вышлю. весит софтин 38Кб. Качал с www.kaspersky.ru

[Тимка]

Есть и другие!!!!

"Welchia" принадлежит к разряду вирусов, несущих определенную

гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не

наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные

программы и иммунизируют компьютеры. Наиболее известный пример подобного

вируса был зарегистрирован (http://www.kaspersky.ru/news.html?id=251) в

сентябре 2001 г.: тогда сетевой червь "CodeBlue" искал в интернете

компьютеры, зараженные другим червем, "CodeRed", и лечил их.

"Welchia" проводит заражение подобно червю "Lovesan": через бреши в

системе безопасности. Однако, в отличие от него, "Welchia" атакует не

только уязвимость в службе DCOM RPC

(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp),

но также брешь WebDAV в системе IIS 5.0

(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp)

(специальное программное обеспечение для управления web-серверами). Для

проникновения на компьютеры червь сканирует интернет, находит жертву и

проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь

WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель,

устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS

системного каталога Windows и создает сервис "WINS Client".

После этого "Welchia" начинает процедуру нейтрализации червя

"Lovesan". Для этого он проверяет наличие в памяти процесса с именем

"MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с

диска одноименный файл. Далее "Welchia" сканирует системный реестр

Windows для проверки установленных обновлений. В случае, если

обновление, закрывающее уязвимость в DCOM RPC не установлено, червь

инициирует процедуру его загрузки с сайта Microsoft, запускает на

выполнение и, после успешной установки, перегружает компьютер.

Наконец, в "Welchia" существует механизм самоуничтожения. Червь

проверяет системную дату компьютера и, если текущий год равен 2004,

удаляет себя из системы.

Уже сейчас распространение "Welchia" достигло глобальных масштабов.

При сохранении этой тенденции можно считать, что в течение недели червь

сможет полностью погасить эпидемию "Lovesan".

"Приходится констатировать, что и в интернете работает пословица

"Клин клином вышибают". Оказывается, самый эффективный способ борьбы с

вирусом - вирус. Во время последней эпидемии многие пользователи

проявили полное безразличие к защите своих компьютеров, из-за чего

интернет снова оказался под угрозой паралича, - сказал Денис Зенкин,

руководитель информационной службы "Лаборатории Касперского", - Жаль,

если в будущем сеть превратится в арену ожесточенной битвы вирусов,

безнаказанно заражающих компьютеры под молчаливое согласие безразличных

пользователей".

С момента обнаружения шестой по счету модификации сетевого червя

"Sobig" прошел всего один день, но уже сейчас можно сказать, что

эпидемия "Sobig.f" приобрела глобальные масштабы.

По мнению "Лаборатории Касперского" - это крупнейшая эпидемия

почтового червя за последние полтора года. По количеству пораженных

компьютеров она пока уступает лишь печально известному "Klez",

обнаруженному еще в октябре 2001 г., но до сих пор "гуляющему" по

интернету.

"По масштабам бедствия Sobig.f можно сравнить с продолжающейся

эпидемией сетевого червя Lovesan, - комментирует Денис Зенкин,

руководитель информационной службы "Лаборатории Касперского", - Однако,

если Lovesan представляет угрозу для интернет, замедляя его работу, то

Sobig.f - это реальная опасность для рядовых пользователей. С помощью

этого червя его автор может получить полный контроль над зараженными

компьютерами".

Статистика отслеживания почтового трафика "Лаборатории Касперского"

показывает, что "Sobig.f" уверенно занимает первое место в списке

наиболее распространенных вредоносных программ. По данным на 10.00

московского времени 20 августа доля этого червя составляет 92%. Число

пораженных систем оценивается в несколько сотен тысяч компьютеров.

Размах эпидемии "Sobig.f" вызывает ряд вопросов и предположений.

Прежде всего, вызывает удивление степень распространения червя,

использующего самые обычные методики заражения. Этот червь не атакует

бреши в системах безопасности. Пользователь должен самостоятельно

запустить присланный по электронной почте вложенный файл, чтобы

"Sobig.f" смог проникнуть на компьютер. Интернет-сообщество прекрасно

осведомлено о такой опасности, поэтому, скорее всего, автор червя снова

прибег к использованию спам-технологий для массовой рассылки этой

вредоносной программы.

[Maksim]

"Welchia" проводит заражение подобно червю "Lovesan": через бреши в

системе безопасности. Однако, в отличие от него, "Welchia" атакует не

только уязвимость в службе DCOM RPC

(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp),

но также брешь WebDAV в системе IIS 5.0

(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp)

(специальное программное обеспечение для управления web-серверами). Для

проникновения на компьютеры червь сканирует интернет, находит жертву и

проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь

WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель,

устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS

системного каталога Windows и создает сервис "WINS Client".

Хм. нашел у себя такое, вс мысле DLLHOST.EXE но сервиса WINS Client нет.

[sasha]

есть еще мнения по этому поводу:

Слава и недостатки червя w32.blaster.worm (LoveSan) не дают покоя конкурирующим вирусописателям :). На просторы интернета вышел новый червь Welchia, использующий ту же уязвимость DCOM RPC... для устранения червя Blaster!

В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.

Не стоит однако, обольщаться на "дружественный" характер нового Welchia и надеяться на "автоматическое" устранение им Blaster'а, так как червь не был бы червем, если бы не нес в себе вредоносную компоненту. Итак:

Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).

Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы.

Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?).

Несанкционированная перезагрузка может привести к потере данных.

Лаборатория Касперского сообщает, что эпидемия нового червя достигла глобальных масштабов и к концу недели червь Blaster будет полностью вытеснен новым Welchia.

Для удаления червя рекомендуется скачать небольшую бесплатную утилиту от Symantec:

информация взята отсюда

[Colin]

Ребята, я вроде бы излечился от вирусов.

Сейчас комп не требует перезагрузки.

Но появилась новая напасть.

Первая - резко упала скорость загрузки в интернете.

Вторая напасть - отсылаю писмо. Приходит ответ, что в письме был вирус и его не дал прочитать провайдер моего респондера.

То есть получается, что у меня ничего нет (стоит антивирус с последним обновлением и ежесуточной проверкой всего компа. Стоит файрвол с защитой). А вирусы от меня идут.

В чем дело?

Как с этим бороться.

И третья проблема.

Тольк сегодня закачал писем 200 с вирусами и спамом. Хорошо, что есть прога и прямо с сервера своего провайдера все удаляю. А так бы замучился.

Кто просветит чайника?

Прокомментируйте, пожалуйста.

[sasha]

даю совет по третьей проблеме: смени адресс, и больше не лазь порносайтам :)

[Баджиоли]

даю совет по третьей проблеме: смени адресс, и больше не лазь порносайтам :(

Вот и не лазь! А то сам горя хапнеш!

Это проблема большого масштаба!

[Ragnar]

Привет.

Помогите пожалуста исправить глюк....

например:

я жму на смайлик в форумах и иффекта некакого он в текст не ставится. И везде где ссылка java script:().....

у меня не открывает :)

[Old Man]

Ragnar

Похоже у тебя Java не поддерживается. Зайди на Update и скачай.

[Ragnar]

Можешь кинуть ссылку ?

а то я в этой яве не очень разбираюсь.