Вернуться   Дизайнерский форум » РАЗНОЕ » Кальянная

Дыра в системе Nt

Обсуждение темы Дыра в системе Nt в разделе Кальянная, часть категории РАЗНОЕ; 11 августа мировая сеть была атакована новым ранее неизвестным вирусом, использующим дыру в защите операционных систем семейства Windows. Об этой "дырке" стало известно ...


Закрытая тема
 
Опции темы
Старый 13.08.2003, 23:44   #1
11 августа мировая сеть была атакована новым ранее неизвестным вирусом, использующим дыру в защите операционных систем семейства Windows. Об этой "дырке" стало известно месяц назад, благодаря чему Microsoft выпустила патчи для всех этих систем. До этого момента был предпринят ряд атак (с помощью вирусов), но они так и не были распространены. Вчера был запущен новый вирус, отличающийся от своих предшественников очень быстрым распространением. Всего за несколько часов он распространился по всему миру, в том числе и по нашей сети, заражая всё большее количество компьютеров.

Действие этого вируса заключается в распространении самого себя на как можно большее число компьютеров. Вреда он практически никакого не приносит, за исключением трафика. Поэтому могу предположить, что данный вирус был разработан самой корпорацией Microsoft с целью шумихи и последующим "латанием" этой дыры пользователями, чтобы в случае серьезной атаки все операционные системы Windows NT были уже готовы к ней.

А теперь о главном. Данный вирус легко удаляется обычными средствами, поскольку он очень безобиден для вирусов такого класса.

Процесс удаления вируса:

1. Нажмите Ctrl-Shift-Esc. Появится диспетчер задач. Найдите в нём процесс под именем msblast.exe, кликните на него правой кнопкой мыши и нажмите "Завершить процесс".
2. Скопируйте к себе патч, подходящий для Вашей операционной системы и установите его.
Отныне Ваш компьютер защищен.
3. Удалите файлы c:\windows\system32\msblast.exe и c:\windows\system32\tftp.exe.
4. Запустите реестр (меню Пуск - Выполнить, там наберите "regedit" и нажмите Enter).
В нём найдите путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run.
Удалите пункт "windows update" (или что-то подобное, где в значениях стоит "msblast.exe").
------------
я минут тридцать искал патч, это было сложновато когда комп перегружаеться каждые 60 секунд ))
В файле смотрите, какое окно всплывает на экране

Shumell_Veter добавил [date]1060804542[/date]:
Эпидемия червя Blaster - статья вторая

11:33, 12.8.2003
Компьюлента


11 августа в интернете началась эпидемия нового сетевого червя, получившего название Blaster (другие названия Lovsan или MSBlaster). Этот червь использует дыру в службе DCOM RPC, служащей для удаленного вызова процедур в операционных системах семейства Windows NT. Сообщение об этой дыре было опубликовано Microsoft в конце июля, одновременно с выходом соответствующего патча. Дыра актуальна для всех поддерживаемых Microsoft ОС на базе ядра NT от Windows NT 4.0 до Windows Server 2003. Код для использования дыры вскоре был опубликован китайской организацией Xfocus, появились следом и первые трояны, паразитирующие на бреши в DCOM RPC.

Однако всем этим программам далеко до Blaster по скорости распространения в Сети. На текущий момент этим червем атакованы множество компьютеров по всему миру, в том числе и в России. Будучи запущен на компьютере, червь начинает генерировать список IP-адресов, используя два различных алгоритма (подробности о действиях червя можно найти на сайте компании Symantec). Для каждого адреса проверяется наличие уязвимой машины. При этом сначала поражаются компьютеры в локальной подсети, а затем червь начинает устраивать атаки за ее пределами. Отправка на другие компьютеры кода, использующего уязвимость, осуществляется через порт 135. Если атака прошла успешно, то пораженный компьютер посылает запрос на порт 69, который прослушивает червь. Получив запрос, Blaster передает на другой компьютер свою копию - файл под названием Msblast.exe, который тут же запускается.

Помимо собственного распространения, червь выполняет функции "черного хода" в пораженные системы. Для этого на пораженном компьютере открывается доступная удаленно командная строка, принимающая информацию через порт 4444. Кроме этого, Blaster содержит код для организации DoS-атаки на сервер службы Microsoft Windows Update. Атака начинается, если системная дата содержит любой месяц, идущий после августа, или любое число после 15 - то есть атака должна начаться 15 августа и продолжаться до конца года. Наконец, активность червя может приводить к самопроизвольной перезагрузке системы из-за сбоя в службе удаленного вызова процедур (RPC).

Нужно отметить, что на момент подготовки данного материала сайты компании Microsoft были недоступны. Конечно, нельзя утверждать, что причиной тому является активность Blaster, но подобное совпадение все же наводит на размышления о том, что серверы Microsoft также могли быть поражены червем. Для борьбы с Blaster необходимо установить выпущенную Microsoft заплатку для дыры в DCOM RPC и, по возможности, заблокировать уязвимые порты с помощью брандмауэра.
Изображения
Тип файла: gif untitled-2.gif (8.3 Кб, 207 просмотров)
 
Старый 13.08.2003, 23:44
Ссылки
Старый 14.08.2003, 10:33   #2
Shumell_Veter, а у меня cvshost.exe был=)))(это в 2000)
а ещё лавсан появился(вырубает)... Кстати про бластер, маленькая история... у меня вирусняк этот нитолько трафик повышал, он ещё мешал работать, не открывал окна итд итп... вообщем это мог быть побочный эффект от того, что когда он сам на себя наклабывался, он вызывал ошибку +))) вот такая бяка
 
Старый 14.08.2003, 13:10   #3
Бласт и лавсан - это одно и тоже :-)
 
Старый 14.08.2003, 21:40   #4
Spy

поправка: дыра не только в NT. =). она также присувствует в очень распостранённой среди обычных пользователей системе, XP.
 
Старый 15.08.2003, 07:53   #5
А XP полностью на платфореме NT стоит, разве не так!
 
Старый 15.08.2003, 14:24   #6
Spy

Shumell_Veter, точно не знаю. этим не интересовался, иначе говоря ламер .)
 
Старый 15.08.2003, 15:54   #7
2000, хр и 2003 винда полность на платформе NT стоит
 
Старый 15.08.2003, 16:38   #8
Spy

2003? Это еще что за хрень?
LongHorn чтоли?
 
Старый 19.09.2003, 20:49   #9
Есть 2 варианта: либо постоянно патчиться, на что уходит большая часть времени, либо применять новейшие файерволлы, которые, даже при заражении, предпринимают меры по ликвидации нежелательных элементов(помимо файерволлов существует куча программ, регулирующих эти проблемы)...
Уязвимости есть всегда, а латать дыры, не умея их оградить - гиблое дело.
 
Старый 12.10.2003, 05:47   #10
Цитата:
Spy:
2003? Это еще что за хрень?
LongHorn чтоли?
Зайди на сайт микрософта, там прочитай по-подробней, я себе ставил недавно его, правдо сразу удалил =)
Смесь XP + все преимущества 2000
 
Старый 12.10.2003, 05:47
Закрытая тема




Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Оплата в системе UkrMoney life24x7 ASP, Perl, PHP и MySQL 2 18.08.2006 14:03
Требуется веб-программист в системе Битрикс Nikitawork Вакансии 2 14.06.2006 16:55
Нужен веб-программист в системе Битрикс (от 500 до 800 Usd) Nikitawork Вакансии 1 07.04.2006 13:10
Мнения о системе Бегун Lex Зал дебютантов 11 03.08.2003 22:22


Текущее время: 01:46. Часовой пояс GMT +4.

Реклама на форуме Условия размещения рекламы
Биржа ссылок Заработай на сайте!
Дизайнерский форум