ВИРУС W32.Blaster.Worm !

[Flep]

Вчера утром у меня начал выключаться комп (русский XP), говорит что модуль RPС по-моему, утратил жизненную силу и у меня есть 60 секунд, чтобы сохранить данные.

Вообщем обнаружилось, что есть дырка в XP, в которую и лезет вирусняк новый. Дырка лечиться вот таким патчем (настоятельно рекомендую) WindowsXP-KB823980-x86-RUS. Вот здесьнапример лежит 900к.

[Splinter]

Прочитал про этот вирус в рассылке сегодня утром. Написано, что факт его присутствия на компе можно очень просто обнаружить: в папке windows\system появляется исполняемый файл mblaster.exe

[Flep]

> Прочитал про этот вирус в рассылке сегодня утром. Написано, что факт его присутствия
> на компе можно очень просто обнаружить: в папке windows\system появляется
> исполняемый файл mblaster.exe

Первый признак - просьба закруглиться в течении 60 сек.

И кстати зря переместили, в Хард-н-Софт не все заходят

http://www.cnews.ru/newcom/index.shtml? ... /12/147313

[Splinter]

И кстати зря переместили, в Хард-н-Софт не все заходят

Дык поэтому и оставил ссылку в Общем.

А про закруглится в 60 сек - что-то я не очень понял....

[Flep]

> А про закруглится в 60 сек - что-то я не очень понял....

Специалисты Microsoft по неизвестной причине до сих пор не закрыли брешь в RPC. Использование этой уязвимости дает удаленному пользователю возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу RPC-службы, а также всех служб, зависящих от нее. При этом на атакованной системе, в зависимости от версии и установленного комплекта заплаток, появляется сообщение об ошибке памяти или отключении сервиса svchost.exe. Результатом работы разрушительного кода является отказ в создании и отправке электронной почты в MS Outlook Express, масса ошибок при запуске всех офисных программ и т.д.

Вот как раз аварийное завершение и происходит в течении 60 секунд.

[ХЗ]

Не совсем так, это не аварийное завершение. RPC - Remout Procedure Call. И через этот сервис, можно удаленно вызвать функцию перезагрузки компутера. А она как раз по умолчанию дает 60 секундна то чтобы все сохранить, или отменить перезагрузку.

[Mikis]

Йоптыть, а шумиха-то какая поднялась! Уже и по центральным каналам в новостях предупреждают... (побежал качать заплатку)

[Mikis]

[ХЗ]

Аааа... Значит я был не прав...... Все таки это ошибка....

[Mikis]

Собственно вот, если кто еще не читал:

По Сети с угрожающей скоростью распространяется новый червь Blaster (так его назвали специалисты Symantec), известный также под кодовыми именами Lovsan (McAfee), Poza (CA) и MSBLAST (Trend). О появлении подобного вредоносного кода неоднократно предупреждали специалисты. Blaster использует «дыру» в операционных системах Windows NT/2000/XP и Windows 2003 Server, обнаруженную около 3 недель назад.

Первые сообщения об обнаружении червя Blaster появились 11 августа примерно в 23 часа по московскому времени. Интернет-червь использует для распространения уязвимость в службе Microsoft Windows DCOM RPC. Данная «дыра» позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы. Используя данную уязвимость, червь может распространяться самостоятельно, без вмешательства пользователя. По данным экспертов, вирус пока еще не вызвал серьезных сбоев в Сети, но угроза такого исхода сохраняется из-за его быстрого распространения.

По словам специалистов "Лаборатории Касперского", опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров. В черве Slammer, вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - отметил Евгений Касперский.

Признаками заражения компьютера являются:
наличие файла msblast.exe в каталоге windows\system32;
cообщение об ошибке (RPC service failing), приводящее к перезагрузке системы.



При запуске червь просматривает случайный диапазон IP-адресов для поиска уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь пытается установить удаленное соединение и посылает на уязвимый компьютер специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя Blaster MSBLAST.EXE. После успешной загрузки этот файл регистрируется в секции автозагрузки системного реестра Windows (каталог %WinDir%\system32) и запускается на выполнение.

Червь создает в системном реестре ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! Bill

Благодаря фразе I just want to say LOVE YOU SAN! («Просто хочу сказать: любите свои SAN (системные сети)») червь получил одно из своих названий – Lovsan. Кроме того, в коде червя найдено послание, адресованное Биллу Гейтсу: "billy gates why do you make this possible? Stop making money and fix your software!" («Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!»).

В качестве побочного действия новый червь содержит функцию DDoS-атаки на сайт WindowsUpdate.com, содержащий обновления операционной системы Windows, в том числе, обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

Для защиты от червя специалисты в области информационной безопасности рекомендуют загрузить последнее обновление своего антивируса, провести сканирование и удалить все обнаруженные подозрительные файлы, а также установить «заплатку» от Microsoft и заблокировать порты 135, 69 и 4444 для предотвращения проникновения червя на компьютер.

[nastalgi]

0:
Ссылка не для ХР а для 2000 и на ХР-RUS не устанавливается...

[Mikis]

Ссылка, с которой я скачал нормально впоследствии вставшую заплатку.

[BadBlock]

Народ! Типа юзать обычный Windows Update уже религия не позволяет да?

[патап]

"Лаборатория Касперского" сообщает об обнаружении новой модификации сетевого червя "Lovesan", который также известен как "Blaster".

"Лаборатория Касперского" прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации "Lovesan" могут беспрепятственно существовать на одном и том же компьютере. Иными словами, все компьютеры, зараженные оригинальной версией этого червя, скоро также будут атакованы его новой модификацией.

"Учитывая, что количество инфицированных систем сейчас достигает 300 тысяч, рецидив эпидемии будет означать по крайней мере удвоение этого числа, что повлечет за собой непредсказуемые последствия, - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - В худшем случае мировое сообщество ждет повторение ситуации января 2003 г., когда из-за червя "Slammer" значительно замедлилась работа интернета и наблюдались региональные отключения сети".

Технологически новая модификация "Lovesan" ничем не отличается от оригинала. Изменения коснулись только имени файла-носителя червя (TEEKIDS.EXE вместо MSBLAST.EXE), технологии его упаковки (утилита FSG вместо UPX) и текстовых строк внутри программного кода, которые содержат ненормативную оскорбительную лексику в адрес Microsoft и антивирусных компаний

[Flep]

> Народ! Типа юзать обычный Windows Update уже религия не позволяет да?

Ну типа я юзал, а толку ?

[патап]

Вирус под названием MSBlast за минувшие сутки "заразил" почти 200 тыс. компьютеров.
В результате "инфекции" скорость передачи данных в некоторых сетях замедлилась в 100 раз. Как сообщает Би-би-си, больше всего пострадали домашние компьютеры из-за того, что их владельцы проигнорировали объявленную месяц назад угрозу и не воспользовались антивирусными заплатками.

Вирус MSBlast проникает в сетевые файлы, к которым обращаются все подключенные к интернету компьютеры, проверяет машины и влезает в них через "дыры" в программном обеспечении. MSBlast способен выполнять команды и запускать приложения от имени системы. Вирус распространяться самостоятельно, без помощи пользователя, в итоге нарушается работа локальных сетей.

Уже инфицированные компьютеры программируются на автоматические атаки на Web-сайт Microsoft. Этот сайт как раз предоставляет пользователям Microsoft программное обеспечение для защиты от такого рода вирусов.

Напомним, несколько дней назад в интернете появился новый вирус российского производства под кодовым названием Mimail. Он уже входит в топ-листы практически всех компаний, занимающихся борьбой с виртуальными вредителями. Этот вирус распространяется во вложенных файлах электронных писем.

Обсудите эту статью на форуме top.rbc

[BadBlock]

> > Народ! Типа юзать обычный Windows Update уже религия не позволяет да?
>
> Ну типа я юзал, а толку ?

Ну типа в последних обновлениях закрытие этой дырки имеется.

[BadBlock]

> Вирус распространяться самостоятельно, без помощи пользователя

Ну и бред.

[Avatar]

microsoft.com не коннектицца уже 20 минут...

[Splinter]

18:
И правда...

[Necroman]

Достаточно включить XP-шный firewall, в установках службы RPC везде включить перезапуск службы по ошибке, уничтожить процесс msblaster.exe и стереть ссылку на него в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.

После чего спокойно ждать, когда очухается microsoft.com или искать патч гуглом.

[Avatar]

Если кому срочно нужно, могу выслать по почте, есть патч для Win2000 RUS/ENG

[Splinter]

А может майкрософтовцы сами сервак отрубили?

[Burg]

> Достаточно включить XP-шный firewall, в установках службы RPC везде включить
> перезапуск службы по ошибке, уничтожить процесс msblaster.exe и стереть ссылку
> на него в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Ты еще чего посоветуй... Тебе админы сетей потом спасибо скажут

[Necroman]

Не понял тебя, Бург. Какие админы сетей, я про домашний компьютер говорю? Пока вышеописанное не проделал, постоянно перезагружался. А сейчас все пучком, вот только патч для XP скачать надо.

[FatCat]

Люди перезагружаются вовсю, а я, дурак, всё под 98SE сижу...

А кашперсий не помогает? http://www.kaspersky.ru/news.html?id=1319264

[FatCat]

> Достаточно включить XP-шный firewall, в установках службы RPC везде включить
> перезапуск службы по ошибке, уничтожить процесс msblaster.exe и стереть ссылку
> на него в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.

А проследить просто, что бы файерволл затыкал 135, 69 и 4444 порт - что - недостаточно?
> После чего спокойно ждать, когда очухается microsoft.com или искать патч гуглом.
Да электриктчевство это у них ещё ночью кончилось... Щас уже дали вроде.

[Splinter]

А кашперский вчера по ТНТ самолично про этот вирус говорил. Сказал ,что единственный способ - это патч скачать.

[FatCat]

IMHO говорилось про машину с открытыми портами.

Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.

А патчить конечно надо для сохранения полной функциональности и удалённого управления.

[Necroman]

FatCat, а разве можно настроить XP-шный firewall на работу в режиме "пускать все, кроме ..." ? Там, кажется, можно только "разрешать" некоторые сервисы в порядке исключения.

А патч, скачанный по ссылке Касперского, сильно тормознул машину. Пришлось винду переустановкой выводить из анабиоза. Так что я пока с firewall'ом посижу