К списку форумов К списку вопросов
Вирус
ketler
03.05.2004 - 18:35
в последнее время (пару дней)был удивлён сообщениями файревола о запросах входящего соединения процесом Generic Host Process for Win32 Services с IP-адресов не имеющих ко мне никакого отношения,оказалось что "Worm.Win32.Sasser.b Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число." Для заражения достаточно простого соединения с сетью.Одним словом всем срочно ставить файревол,если у кого нет такой программы.
Eduard
1 - 03.05.2004 - 19:26
== используя для своего размножения уязвимость в службе LSASS ==
== всем срочно ставить файревол ==
Так может проще устранить первопричину заражения? ;)
ketler
2 - 03.05.2004 - 20:35
но это же не последняя уязвимость...
andron
3 - 03.05.2004 - 20:47
Так как бороться с этой хренью?, только подключился, пару минут и презагружается, причем как то странно, когда конект с телекомсервисом, рабатает устойчиво, а когда к СБ, тут же слетает.
Avi
4 - 03.05.2004 - 21:20
ва часа назад закончил борьбу с этой хренью, только у меня был Worm.Win32.Sasser.a и вместо avserve2.exe был avserve.exe!!!
Ручичками удалил из реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve.exe, после чего перезагрузился, обновил Касперского, протестил систему, выловил кучу ***_up.exe, установил новую заплатку WindowsXP-KB828741-x86-ENU (URL - пока тихо, и всё работает.
WOW
5 - 03.05.2004 - 21:25
на хп)
Eduard
6 - 03.05.2004 - 21:29
Речь не о том последняя или нет - спору нет, файрвол вещь полезная. Смысл в том что надо устранить первопричину. ;)
plugged
7 - 03.05.2004 - 22:56
о чудо! уже пол часа в нете и тихо...
качнул -> WindowsXP-KB828741-x86-RUS
поставил на свежую winXp после формат с:
значит ли это что всё позади?
ketler
8 - 03.05.2004 - 23:51
"значит ли это что всё позади?" - нет не значит,что самое плохое что я заметил это то что червем используется священая корова SVCHOST,которую попробуй не пусти в интернет.
ketler
9 - 03.05.2004 - 23:55
to Eduard:какие способы для устранения первопричины?По очереди закрывать службы в которых будут находить дыры или физически устранить вирусописателей,или перейти на другую ОС?
Eduard
10 - 04.05.2004 - 00:02
:)
Все вместе. ;)
Да нет, ты не понял смысла. Повторюсь - файрвол вещь неплохая, но заплатки ставить тоже необходимо.
Это типа как с зубами - можно их чистить фторсодержащей пастой а можно попросту не есть сладости (все это утрированно). ;)
Что касается "священной коровы" - то ты ее не трожь. Она не при чем - она попросту запускает системные процессы и не ее вина что её имеют вири.
ketler
11 - 04.05.2004 - 14:28
блин,я давно зубы точу на эту священую корову

К списку вопросов на форуме Использование программ

>>