ВНИМАНИЕ! Вирус...

[rj-karter]

Новый вирус... Пока что эту хрень я наблюдал у себя на компе и у двух своих знакомых.
При обращении к svhost вирус вешает машину. Точнее "просит", как могут просить только винды перезагрузиться в минутный срок. Впрочем, это видно по картинке:
[Для просмотра ссылки зарегистрируйтесь]
Дыра была известна довольно давно, но никто (до сих пор по крайней мере) не пытался написать вирус, основанный на этой проблемке.
Так что если у кого такая проблема, вот заплатки на все версии виндов:
-[Для просмотра ссылки зарегистрируйтесь]-
-[Для просмотра ссылки зарегистрируйтесь]-

[Xac]

Он вызывает перегрузки компьютеров и координирует атаки на сайт "Майкрософт". Вирус поражает популярные среди пользователей операционной системы Windows - 2000, XP и NT. Уже инфицированы десятки тысяч компьютеров в США. Вирус быстро распространяется.

Инфицированные компьютеры не позволяют скачать "родные" программы для дальнейшей антивирусной защиты. Эксперты указывают на тот факт, что вирус был запущен после очередных упреков главе корпорации "Майкрософт" Биллу Гейтсу в монополизации рынка программных обеспечении. Одно из посланий, сопровождающих вирус, прямо так и гласит: "Билл Гейтс, как ты это допустил? Перестань делать деньги и ставить своe программное обеспечение".

А вот скрин с моей машины :-)

[Lika Malevi4]

Xac

вот-вот, у меня дома такая фигня вылазит каждые 40 минут  

[Xac]

Lika Malevi4

Так что если у кого такая проблема, вот заплатки на все версии виндов:
-Для английской версии виндовс-
-Для русской версии виндовс-

У меня всего раза три выскачила за два месяца...

[Lika Malevi4]

Xac

а вот этим займётся мой личный программист-компьюторщик  )))  

[Vulko]

Не забудте потереть файлы червя. Поищите все файлы msblast.exe или thekids.exe. Все найденные удалите.

[Кость]

Как всё вовремя, а то я уже пол письма накатал Касперскому, со вчерашнего дня житья не стало, как выйду в инет так через две минуты перезагружается. Сейчас вроде всё тип топ.  

[Dimonius]

Тьфу-тьфу у меня все в порядке !!

[Xac]

Dimonius
Давай пришлю, а то что-то отстаешь от коллектива

[Xac]

from some sites (©[Для просмотра ссылки зарегистрируйтесь]):
*в xp вдруг вылазит окно с таким содержанием:
NT AUTHORITY / SYSTEM EROR
ошибка при удаленном вызове процедур(RPC)

*Эта падла называется W32.Blaster.Worm
Копирует себя в системную диру под именем msblast.exe
Прописывается в реестре в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr
entVersionRun
Создает значение "windows auto update"="msblast.exe"
Удаляем все это, ставим патч и спим спокойно.
Он кроме реестра никуда не прописывается. Просто если ты его удалишь при включенной system restore, то в резервных файлах он все равно останется и при откате вылезет опять.

*Корпорация Microsoft сообщила 16 июля о серьезной уязвимости во всех ОС семейства Windows NT, причем это первая подобная недоработка, обнаруженная в самой новой серверной операционной системе Windows Server 2003. Microsoft присвоил новой «дыре» статус «критической», что по классификации компании означает самую высокую степень угрозы безопасности, и призвала всех пользователей как можно скорее скачать бесплатную «заплатку» для исправления этой проблемы с корпоративного сайта. Кроме того, две уязвимости, пусть и менее серьезные, была обнаружены в ОС Windows XP с установленным пакетом обновлений Service Park 1 и в пакете Internet Security and Acceleration (ISA) Server 2000.
Критическая уязвимость во всех ОС семейства Windows NT связана с ошибкой переполнения буфера в интерфейсе DCOM протокола RPC, ответственного за удаленный вызов процедур в операционной системе. По словам представителей Microsoft, с помощью этой «дыры» хакеры могут получить доступ к хранящимся на удаленных компьютерах данным и электронной почте, смогут удалять файлы и т.п. Как ожидают эксперты, хакеры воспользуются новой «дырой» уже в ближайшие месяцы, так что с установлением «заплаток» тянуть не стоит.
заплатка
_http:[Для просмотра ссылки зарегистрируйтесь]

* Заплатка для XPrus
_http:[Для просмотра ссылки зарегистрируйтесь]

XPeng
_http:[Для просмотра ссылки зарегистрируйтесь]

*программка от Symantec, которая стирает червяка msblast.exe и его value в registry
[Для просмотра ссылки зарегистрируйтесь]
хотя всё это можно сделать и вручную. Если система ещё не защищена, надо закрыть порты 4444, 135 и 69.

*11 августа в интернете началась_эпидемия нового сетевого червя, получившего название Blaster (другие названия Lovsan или MSBlaster). Этот червь использует дыру в службе DCOM RPC, служащей для удаленного вызова процедур в операционных системах семейства Windows NT. Сообщение об этой дыре было опубликовано Microsoft в конце июля, одновременно с выходом соответствующего патча. Дыра актуальна для всех поддерживаемых Microsoft ОС на базе ядра NT от Windows NT 4.0 до Windows Server 2003. Код для использования дыры вскоре был опубликован китайской организацией Xfocus, появились следом и первые трояны, паразитирующие на бреши в DCOM RPC.
_ Однако всем этим программам далеко до Blaster по скорости распространения в Сети. На текущий момент этим червем атакованы множество компьютеров по всему миру, в том числе и в России. Будучи запущен на компьютере, червь начинает генерировать список IP-адресов, используя два различных алгоритма (подробности о действиях червя можно найти на сайте компании Symantec). Для каждого адреса проверяется наличие уязвимой машины. При этом сначала поражаются компьютеры в локальной подсети, а затем червь начинает устраивать атаки за ее пределами. Отправка на другие компьютеры кода, использующего уязвимость, осуществляется через порт 135. Если атака прошла успешно, то пораженный компьютер посылает запрос на порт 69, который прослушивает червь. Получив запрос, Blaster передает на другой компьютер свою копию - файл под названием Msblast.exe, который тут же запускается.
_ Помимо собственного распространения, червь выполняет функции "черного хода" в пораженные системы. Для этого на пораженном компьютере открывается доступная удаленно командная строка, принимающая информацию через порт 4444. Кроме этого, Blaster содержит код для организации DoS-атаки на сервер службы Microsoft Windows Update. Атака начинается, если системная дата содержит любой месяц, идущий после августа, или любое число после 15 - то есть атака должна начаться 15 августа и продолжаться до конца года. Наконец, активность червя может приводить к самопроизвольной перезагрузке системы из-за сбоя в службе удаленного вызова процедур (RPC).
_ Нужно отметить, что на момент подготовки данного материала сайты компании Microsoft были недоступны. Конечно, нельзя утверждать, что причиной тому является активность Blaster, но подобное совпадение все же наводит на размышления о том, что серверы Microsoft также могли быть поражены червем. Для борьбы с Blaster необходимо установить выпущенную Microsoft заплатку для дыры в DCOM RPC и, по возможности, заблокировать уязвимые порты с помощью брандмауэра.
(с) [Для просмотра ссылки зарегистрируйтесь]

*Обнаружена новая модификация червя "Lovesan" - ждите продолжения эпидемии
"Лаборатория Касперского" сообщает об обнаружении новой модификации сетевого червя "Lovesan" (также известен как "Blaster"). Наши ведущие вирусологи прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации "Lovesan" могут беспрепятственно существовать на одном и том же компьютере. "Иными словами, все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией. Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать по крайней мере удвоение этого числа, что повлечет за собой непредсказуемые последствия, - комментирует Евгений Касперский.

*"Лаборатория Касперского" распространяет бесплатное противоядие от "Lovesan" новости [ 15.08.2003 ]
Эта программа обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, также восстанавливает системный реестр Windows. По сути дела, данная утилита полностью восстанавливает компьютер и удаляет все следы
заражения червем.
Утилита является абсолютно бесплатной и доступна для загрузки:
* Версия в ZIP-архиве [Для просмотра ссылки зарегистрируйтесь]
* Неархивированная версия [Для просмотра ссылки зарегистрируйтесь]
* Документация для утилиты в формате .txt [Для просмотра ссылки зарегистрируйтесь]
Сразу же после дезинфекции компьютера "Лаборатория Касперского" настоятельно рекомендует установить обновление для Windows, которое закроет брешь, используемую "Lovesan". Обновление доступно бесплатно на сайте Microsoft:
* Для английских версий операционных систем:
* Для русских версий операционных систем.

Dimonius
Так, что не огорчайся!
У тебя все еще уперди