Новый вирус... Пока что эту хрень я наблюдал у себя на компе и у двух своих знакомых.
При обращении к svhost вирус вешает машину. Точнее "просит", как могут просить только винды [Для просмотра ссылки зарегистрируйтесь]
Дыра была известна довольно давно, но никто (до сих пор по крайней мере) не пытался написать вирус, основанный на этой проблемке.
Так что если у кого такая проблема, вот заплатки на все версии виндов:
-[Для просмотра ссылки зарегистрируйтесь]-
-[Для просмотра ссылки зарегистрируйтесь]-

QUOTE

Он вызывает перегрузки компьютеров и координирует атаки на сайт "Майкрософт". Вирус поражает популярные среди пользователей операционной системы Windows - 2000, XP и NT. Уже инфицированы десятки тысяч компьютеров в США. Вирус быстро распространяется. Инфицированные компьютеры не позволяют скачать "родные" программы для дальнейшей антивирусной защиты. Эксперты указывают на тот факт, что вирус был запущен после очередных упреков главе корпорации "Майкрософт" Биллу Гейтсу в монополизации рынка программных обеспечении. Одно из посланий, сопровождающих вирус, прямо так и гласит: "Билл Гейтс, как ты это допустил? Перестань делать деньги и ставить своe программное обеспечение".

А вот скрин с моей машины :-)

Xac

вот-вот, у меня дома такая фигня вылазит каждые 40 минут

Lika Malevi4

QUOTE

Так что если у кого такая проблема, вот заплатки на все версии виндов: -Для английской версии виндовс- -Для русской версии виндовс-

У меня всего раза три выскачила за два месяца...

Xac

а вот этим займётся мой личный программист-компьюторщик )))

Не забудте потереть файлы червя. Поищите все файлы msblast.exe или thekids.exe. Все найденные удалите.

Как всё вовремя, а то я уже пол письма накатал Касперскому, со вчерашнего дня житья не стало, как выйду в инет так через две минуты перезагружается. Сейчас вроде всё тип топ.

Тьфу-тьфу у меня все в порядке !!

Dimonius
Давай пришлю, а то что-то отстаешь от коллектива

QUOTE

from some sites (©imho.ws): *в xp вдруг вылазит окно с таким содержанием: NT AUTHORITY / SYSTEM EROR ошибка при удаленном вызове процедур(RPC) *Эта падла называется W32.Blaster.Worm Копирует себя в системную диру под именем msblast.exe Прописывается в реестре в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun Создает значение "windows auto update"="msblast.exe" Удаляем все это, ставим патч и спим спокойно. Он кроме реестра никуда не прописывается. Просто если ты его удалишь при включенной system restore, то в резервных файлах он все равно останется и при откате вылезет опять. *Корпорация Microsoft сообщила 16 июля о серьезной уязвимости во всех ОС семейства Windows NT, причем это первая подобная недоработка, обнаруженная в самой новой серверной операционной системе Windows Server 2003. Microsoft присвоил новой «дыре» статус «критической», что по классификации компании означает самую высокую степень угрозы безопасности, и призвала всех пользователей как можно скорее скачать бесплатную «заплатку» для исправления этой проблемы с корпоративного сайта. Кроме того, две уязвимости, пусть и менее серьезные, была обнаружены в ОС Windows XP с установленным пакетом обновлений Service Park 1 и в пакете Internet Security and Acceleration (ISA) Server 2000. Критическая уязвимость во всех ОС семейства Windows NT связана с ошибкой переполнения буфера в интерфейсе DCOM протокола RPC, ответственного за удаленный вызов процедур в операционной системе. По словам представителей Microsoft, с помощью этой «дыры» хакеры могут получить доступ к хранящимся на удаленных компьютерах данным и электронной почте, смогут удалять файлы и т.п. Как ожидают эксперты, хакеры воспользуются новой «дырой» уже в ближайшие месяцы, так что с установлением «заплаток» тянуть не стоит. заплатка _http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp * Заплатка для XPrus _http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe XPeng _http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe *программка от Symantec, которая стирает червяка msblast.exe и его value в registry [Для просмотра ссылки зарегистрируйтесь] хотя всё это можно сделать и вручную. Если система ещё не защищена, надо закрыть порты 4444, 135 и 69. *11 августа в интернете началась_эпидемия нового сетевого червя, получившего название Blaster (другие названия Lovsan или MSBlaster). Этот червь использует дыру в службе DCOM RPC, служащей для удаленного вызова процедур в операционных системах семейства Windows NT. Сообщение об этой дыре было опубликовано Microsoft в конце июля, одновременно с выходом соответствующего патча. Дыра актуальна для всех поддерживаемых Microsoft ОС на базе ядра NT от Windows NT 4.0 до Windows Server 2003. Код для использования дыры вскоре был опубликован китайской организацией Xfocus, появились следом и первые трояны, паразитирующие на бреши в DCOM RPC. _ Однако всем этим программам далеко до Blaster по скорости распространения в Сети. На текущий момент этим червем атакованы множество компьютеров по всему миру, в том числе и в России. Будучи запущен на компьютере, червь начинает генерировать список IP-адресов, используя два различных алгоритма (подробности о действиях червя можно найти на сайте компании Symantec). Для каждого адреса проверяется наличие уязвимой машины. При этом сначала поражаются компьютеры в локальной подсети, а затем червь начинает устраивать атаки за ее пределами. Отправка на другие компьютеры кода, использующего уязвимость, осуществляется через порт 135. Если атака прошла успешно, то пораженный компьютер посылает запрос на порт 69, который прослушивает червь. Получив запрос, Blaster передает на другой компьютер свою копию - файл под названием Msblast.exe, который тут же запускается. _ Помимо собственного распространения, червь выполняет функции "черного хода" в пораженные системы. Для этого на пораженном компьютере открывается доступная удаленно командная строка, принимающая информацию через порт 4444. Кроме этого, Blaster содержит код для организации DoS-атаки на сервер службы Microsoft Windows Update. Атака начинается, если системная дата содержит любой месяц, идущий после августа, или любое число после 15 - то есть атака должна начаться 15 августа и продолжаться до конца года. Наконец, активность червя может приводить к самопроизвольной перезагрузке системы из-за сбоя в службе удаленного вызова процедур (RPC). _ Нужно отметить, что на момент подготовки данного материала сайты компании Microsoft были недоступны. Конечно, нельзя утверждать, что причиной тому является активность Blaster, но подобное совпадение все же наводит на размышления о том, что серверы Microsoft также могли быть поражены червем. Для борьбы с Blaster необходимо установить выпущенную Microsoft заплатку для дыры в DCOM RPC и, по возможности, заблокировать уязвимые порты с помощью брандмауэра. (с) kadets.ru

QUOTE

*Обнаружена новая модификация червя "Lovesan" - ждите продолжения эпидемии "Лаборатория Касперского" сообщает об обнаружении новой модификации сетевого червя "Lovesan" (также известен как "Blaster"). Наши ведущие вирусологи прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации "Lovesan" могут беспрепятственно существовать на одном и том же компьютере. "Иными словами, все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией. Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать по крайней мере удвоение этого числа, что повлечет за собой непредсказуемые последствия, - комментирует Евгений Касперский. *"Лаборатория Касперского" распространяет бесплатное противоядие от "Lovesan" новости [ 15.08.2003 ] Эта программа обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, также восстанавливает системный реестр Windows. По сути дела, данная утилита полностью восстанавливает компьютер и удаляет все следы заражения червем. Утилита является абсолютно бесплатной и доступна для загрузки: * Версия в ZIP-архиве [Для просмотра ссылки зарегистрируйтесь] * Неархивированная версия [Для просмотра ссылки зарегистрируйтесь] * Документация для утилиты в формате .txt [Для просмотра ссылки зарегистрируйтесь] Сразу же после дезинфекции компьютера "Лаборатория Касперского" настоятельно рекомендует установить обновление для Windows, которое закроет брешь, используемую "Lovesan". Обновление доступно бесплатно на сайте Microsoft: * Для английских версий операционных систем: * Для русских версий операционных систем.

Dimonius
Так, что не огорчайся!
У тебя все еще уперди

Xac

QUOTE

Он кроме реестра никуда не прописывается. Просто если ты его удалишь при включенной system restore, то в резервных файлах он все равно останется и при откате вылезет опять.

Ну это не совсем правда... Кадетовцы конечно хорошо работают, но!... Дело в том, что у меня на машине он пытается записать себя постоянно в разные места (в том числе и ПЗУ, верхние адреса и так далее). Заплатка дала почти полную защиту... В принципе, наверное неподготовленному человеку надо почитать статью, проделать все манипуляции, которые здесь приводились...
Я иногда забываю рассказать о чём-то само-сабой разумеющимся.

Интересно всё-таки - дырка была давно... причём во всех сетевых версиях виндов. Однако никто не шевелился... На сайте Майкросовта были эти заплаты. Мне кажется, это целиком и полностью русский вирус...

хех.....вот ток ща ось переставил....таже проблема.....

народ бесуспешно пытаюсь скачать clrav.com - может кто поделится

Кто бы знал...

QUOTE

народ бесуспешно пытаюсь скачать clrav.com - может кто поделится

все, кому нужно пишите письмо мне с реальным е-мейлом - вышлю.

Кто бы знал...
Да конечно!
Вот com

А вот ZIP!
Он с инструкцией...

Xac спасибо большое

Кто бы знал...
Странно, я только что проверил, все качает.....

Кто бы знал...
Незачто!

да енто я дюпель-пасиб те -да и те rj-karter за предложение незнаю чтоб я без вас делал
правда есть вопросы еси несложно я те в асю стукну сейчас

Кто бы знал...
Лучше тут, а то повторяться придется...

Xac

QUOTE

Странно, я только что проверил, все качает.....

Может браузер не воспринимает ftp протокол. Это самая частая "ошибка" в таких случаях.

Спасибо не дождетесь !!

Все сервис паки стоят. И все такое !!!
МАшинка моя защищена по полной программе ! ВОТ

Dimonius
Всему своё время...

QUOTE

Всему своё время..

[Для просмотра ссылки зарегистрируйтесь]

Народ, скажите - а как именно комп зпражается? Насколько я знаю, пока ты не запустишь программу с вирусом, он не сможет инфицировать коип, ведь так? Или тут что-то новое?
Слава богу, вирус хватал только один раз - с тех пор поумнел и ничего немытого не качаю...

Nazgul

QUOTE (Microsoft @ Дата: 14 августа 2003 г.)

Воздействие Распространяется через открытые порты RPC. Компьютер пользователя перезапускается, или в его системе появляется файл msblast.exe. Техническая информация Червь выполняет сканирование порта TCP 135 произвольного диапазона IP-адресов в поисках уязвимой системы. Червь пытается воспользоваться уязвимостью DCOM RPC, для защиты от которой было выпущено исправление MS03-026. Отправленный в систему пользователя код злоумышленника загружает и запускает файл MSBLAST.EXE с удаленного компьютера по протоколу TFTP. После запуска червь создает в реестре следующий раздел:

Xac
Прости если не то говорю,но вроде это Lovesan?

Mag
Их несколько разновидностей

Ага. То есть, пользователю с firewall с закрытыми портами беспокоиться не о чем? Так?

Nazgul

QUOTE

Насколько я знаю, пока ты не запустишь программу с вирусом, он не сможет инфицировать коип, ведь так? Или тут что-то новое?

Информация относительно вообще всех вирусов и этого в частности.
Большинство вирусов находятся на "крэк" сайтах или порно сайтах... Получить себе вирус можно и просто - открыв нет-биос протокол в настройках сети. Дело в том, что соединённый таким способом компьютер открыт для передачи незащищённых данных на ваш компьютер. Ещё один способ получить себе вирус - установить галочку в свойствах браузера: "установка компонентов по умолчанию" или "включить установку по запросу". Далее... один из самых распространённых способов - рассылка по почте. Вот пример: если вирус занимает примерно 20, 40 байт, его можно "замаскировать" слепив с jpg файлом - например это будет файл-картинка porno.jpg на которой будет порнуха, но первые 20 байт будет занимать сам вирус - физически этого практически не заметно - визуально несколько точек. Теперь дальше... А вместе с этой картинкой вы получаете исполняемый файл какой-нибудь программы, которая при установке ко всему прочему будет выполнять некое действие - например искать и переименовывать а так же отрезать 20 первых байт у всех файлов формата por*.jpg И переименованные файлы вида Explorer.exe который и будет вирусом....
Вообще, способов существует тысячи! Так что абсолютной гарантии просто нет!
Mag

QUOTE

Прости если не то говорю,но вроде это Lovesan?

Угу... Новая модификация - использующая новую дырку... Вирус, кстати, до идиотизма тупой!!! Надо было ещё додуматься сделать вирус, который практически никак себя не скрывает... В принципе, это даже и не вирус в полном смысле этого слова. Это что-то среднее между трояном, вирусом и червём...
Nazgul

QUOTE

Ага. То есть, пользователю с firewall с закрытыми портами беспокоиться не о чем? Так?

А вы знаете, что не все фаерволы могут просматривать необходимые порты? И в любом случае, любые данные могут быть переданы эхо-пакетом в сеть...

Ну, положим, всё это было известно и так. Поэтому человек, не качающий ничего из сети, не открывающий вложенных файлов из писем и не лезущий в настройки обозревателя ничего не подхватит. Об этом я и спрашивал - не найден ли новый способ распостранения вируса?

Nazgul

QUOTE

не найден ли новый способ распостранения вируса?

Да пока что я не слышал ничего такого... Хотя, меня тоже "расстраивают" возможности адаптации вирусов последнего поколения.

Да уж... Козлов навалом...