![]() |
![]() |
ketler 03.05.2004 - 18:35 |
в последнее время (пару дней)был удивлён сообщениями файревола о запросах входящего соединения процесом Generic Host Process for Win32 Services с IP-адресов не имеющих ко мне никакого отношения,оказалось что "Worm.Win32.Sasser.b Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx При запуске червь регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] avserve2.exe = %WINDIR%\avserve2.exe Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число." Для заражения достаточно простого соединения с сетью.Одним словом всем срочно ставить файревол,если у кого нет такой программы. |
Eduard 1 - 03.05.2004 - 19:26 |
== используя для своего размножения уязвимость в службе LSASS == == всем срочно ставить файревол == Так может проще устранить первопричину заражения? ;) |
ketler 2 - 03.05.2004 - 20:35 | но это же не последняя уязвимость... |
andron 3 - 03.05.2004 - 20:47 | Так как бороться с этой хренью?, только подключился, пару минут и презагружается, причем как то странно, когда конект с телекомсервисом, рабатает устойчиво, а когда к СБ, тут же слетает. |
Avi 4 - 03.05.2004 - 21:20 |
ва часа назад закончил борьбу с этой хренью, только у меня был Worm.Win32.Sasser.a и вместо avserve2.exe был avserve.exe!!! Ручичками удалил из реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] avserve.exe, после чего перезагрузился, обновил Касперского, протестил систему, выловил кучу ***_up.exe, установил новую заплатку WindowsXP-KB828741-x86-ENU (URL - пока тихо, и всё работает. |
WOW 5 - 03.05.2004 - 21:25 | на хп) |
Eduard 6 - 03.05.2004 - 21:29 | Речь не о том последняя или нет - спору нет, файрвол вещь полезная. Смысл в том что надо устранить первопричину. ;) |
plugged 7 - 03.05.2004 - 22:56 |
о чудо! уже пол часа в нете и тихо... качнул -> WindowsXP-KB828741-x86-RUS поставил на свежую winXp после формат с: значит ли это что всё позади? |
ketler 8 - 03.05.2004 - 23:51 | "значит ли это что всё позади?" - нет не значит,что самое плохое что я заметил это то что червем используется священая корова SVCHOST,которую попробуй не пусти в интернет. |
ketler 9 - 03.05.2004 - 23:55 | to Eduard:какие способы для устранения первопричины?По очереди закрывать службы в которых будут находить дыры или физически устранить вирусописателей,или перейти на другую ОС? |
Eduard 10 - 04.05.2004 - 00:02 |
:) Все вместе. ;) Да нет, ты не понял смысла. Повторюсь - файрвол вещь неплохая, но заплатки ставить тоже необходимо. Это типа как с зубами - можно их чистить фторсодержащей пастой а можно попросту не есть сладости (все это утрированно). ;) Что касается "священной коровы" - то ты ее не трожь. Она не при чем - она попросту запускает системные процессы и не ее вина что её имеют вири. |
ketler 11 - 04.05.2004 - 14:28 | блин,я давно зубы точу на эту священую корову |