Слышал плохую новость
4843
28
Все чаще и чаще говорят о некой вирусной атаке,
мол в интернет червя запустили , который компы по сети приводит в нерабочее состояние,
пик Атаки назначен на 16 августа...Кто знает об этом поподробнее, и подскажите, как предохраниться от такой заразы? (у меня стоит антивирус Нортон, но по слухам боюсь что он не справится)
мол в интернет червя запустили , который компы по сети приводит в нерабочее состояние,
пик Атаки назначен на 16 августа...Кто знает об этом поподробнее, и подскажите, как предохраниться от такой заразы? (у меня стоит антивирус Нортон, но по слухам боюсь что он не справится)
Да вобщем все уже как бы и сказано - смотри
Тут подробные инструкции. Торопись, сегодня уже 14-е :).
Самое обидное из этои истории, что у меня операционка ХР, и сис.админ, появляется редко,
как Винду обновить без него? комп выдает, что для меня доступ закрыт
как Винду обновить без него? комп выдает, что для меня доступ закрыт
а вот фиг тебе тогда. без админских прав - только солитера запустить...
Ну или поломать, конечно.... %)))
Ну или поломать, конечно.... %)))
Если ваша сетка прикрыта фаерволом, то боятся в общем не о чем.
Ну или на крайний случай попробуй закрыться встроенным в ХР фаерволом. Какая-никакая, а всеже защита. Да и от проникновений из вне он не так уж и плох.
Закрывать нужно 135 порт.
P.S. В сети 10 минут, а уже 3 запроса на 135 порт прилетело.... Свирепствует вирусяка, однако...
Ну или на крайний случай попробуй закрыться встроенным в ХР фаерволом. Какая-никакая, а всеже защита. Да и от проникновений из вне он не так уж и плох.
Закрывать нужно 135 порт.
P.S. В сети 10 минут, а уже 3 запроса на 135 порт прилетело.... Свирепствует вирусяка, однако...
Наш сисадмин, к сожалению, прохлопал червяка. Целый день сегодня лечился.....
Всё-таки, как хорошо на RS/6000 - прикольно смотреть, как пытаются тебе "винду" сломать
ну если это шелезяка от голубого гиганта на PowerPC то можно на него накатить NT4 и смотреть как его таки зачервячит Ж--))))
ну если это шелезяка от голубого гиганта на PowerPC то можно на него накатить NT4 и смотреть как его таки зачервячит Ж--))))Ну уж хрен им
Пускай она и дальше под AIX вертитсяЧто-то типа поставить галочку "Защитить мое подключение к интернет" и в настройках указать только необходимые порты: http, FTP, pop3, IMAP, DNS, SMTP. Все остальные порты он будет отрезать самостоятельно.
Только нужно учитывать, что если ты уже заражен, то встроеный в ХР фаервол тебе ничем не поможет... Он "односторонний". Режет только запросы снаружи, но разрешает все исходящие. Так что предварительно проверься на "гадость".
msblast.exe запускается из реестра, т.е. непосредственно при логоне. Если реестр для тебя штука не чуждая, зайди в ветку "HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run" (или HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Run" и удали (если есть) ключ "windows auto update" со значением msblast.exe. Также посмотри, если ли файл msblast.exe в папке "C:\Windows\System32", правда сомневаюсь, что ты его сможешь удалить, но если у тебя на компе есть например Symantec Antivirus, запущенный с правами SYSTEM и он имеет базы хотя бы от 11.08, то он его удалить сможет. Не знаю, сможешь ли ты поставить personal firewall, ибо не помню, нужны ли на это права админа. Так же могут быть проблемы с удалением ключа из ветки реестра HKEY_LOCAL_MACHINE - может прав не хватить.
Кстати, а у тебя симтомы то были? Комп хоть раз вылетал с табличкой, что "Remote Procedure Call (RPC) Service has interrupted unexpectedly.." или "Служба Удаленных Вызовов была прервана" и 60 секунд на то, чтобы завершиться? (Цитата не точная, но смысл понятен). Если нет, то скорее всего тебя беда миновала. А если табличка была, значит комп скорее всего (но не обязательно) заражен. Если он заражен и ты не можешь вычистить файлы по причине недостаточных прав, то пинай вашего админа, пусть лечит. Это его работа!
Кстати, а у тебя симтомы то были? Комп хоть раз вылетал с табличкой, что "Remote Procedure Call (RPC) Service has interrupted unexpectedly.." или "Служба Удаленных Вызовов была прервана" и 60 секунд на то, чтобы завершиться? (Цитата не точная, но смысл понятен). Если нет, то скорее всего тебя беда миновала. А если табличка была, значит комп скорее всего (но не обязательно) заражен. Если он заражен и ты не можешь вычистить файлы по причине недостаточных прав, то пинай вашего админа, пусть лечит. Это его работа!
Только что оешился на опасный эксперимент: отключил оутпост и врубил встроенуй а ХР фаервол (есл честно, то эксперимент был вынужденный)
Вот выдеожка из его лога:
2003-08-16 23:10:25 OPEN UDP 217.8.227.15 217.8.224.194 3004 53 - - - - - - - -
2003-08-16 23:10:25 OPEN TCP 217.8.227.15 216.239.39.99 3005 80 - - - - - - - -
2003-08-16 23:10:35 OPEN TCP 217.8.227.15 195.209.36.140 3006 80 - - - - - - - -
2003-08-16 23:12:04 CLOSE UDP 217.8.227.15 217.8.224.194 3004 53 - - - - - - - -
2003-08-16 23:12:04 CLOSE TCP 217.8.227.15 195.209.36.140 3006 80 - - - - - - - -
2003-08-16 23:13:04 CLOSE TCP 217.8.227.15 216.239.39.99 3005 80 - - - - - - - -
2003-08-16 23:13:07 OPEN UDP 217.8.227.15 217.8.224.194 3004 53 - - - - - - - -
2003-08-16 23:13:08 OPEN TCP 217.8.227.15 66.250.54.212 3007 80 - - - - - - - -
2003-08-16 23:13:16 OPEN UDP 217.8.227.15 212.109.206.33 3004 53 - - - - - - - -
2003-08-16 23:13:16 OPEN TCP 217.8.227.15 66.250.54.213 3008 80 - - - - - - - -
2003-08-16 23:13:19 OPEN TCP 217.8.227.15 195.209.36.140 3009 80 - - - - - - - -
2003-08-16 23:13:20 OPEN TCP 217.8.227.15 66.250.54.212 3010 80 - - - - - - - -
2003-08-16 23:13:31 OPEN TCP 217.8.227.15 66.250.54.212 3011 80 - - - - - - - -
2003-08-16 23:13:37 OPEN TCP 217.8.227.15 66.250.54.213 3012 80 - - - - - - - -
2003-08-16 23:13:57 OPEN TCP 217.8.227.15 66.250.54.212 3013 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.212 3007 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.213 3008 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.212 3010 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.212 3011 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.213 3012 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.212 3013 80 - - - - - - - -
2003-08-16 23:14:13 DROP TCP 217.8.226.116 217.8.227.15 1985 135 48 S 849495480 0 8760 - - -
2003-08-16 23:14:27 OPEN TCP 217.8.227.15 217.16.29.51 3014 80 - - - - - - - -
2003-08-16 23:14:31 OPEN TCP 217.8.227.15 217.16.29.51 3015 80 - - - - - - - -
2003-08-16 23:14:38 OPEN TCP 217.8.227.15 217.16.28.101 3016 80 - - - - - - - -
Как видно он в общем помогает от сего червечка защититься.
)Вот выдеожка из его лога:
2003-08-16 23:10:25 OPEN UDP 217.8.227.15 217.8.224.194 3004 53 - - - - - - - -
2003-08-16 23:10:25 OPEN TCP 217.8.227.15 216.239.39.99 3005 80 - - - - - - - -
2003-08-16 23:10:35 OPEN TCP 217.8.227.15 195.209.36.140 3006 80 - - - - - - - -
2003-08-16 23:12:04 CLOSE UDP 217.8.227.15 217.8.224.194 3004 53 - - - - - - - -
2003-08-16 23:12:04 CLOSE TCP 217.8.227.15 195.209.36.140 3006 80 - - - - - - - -
2003-08-16 23:13:04 CLOSE TCP 217.8.227.15 216.239.39.99 3005 80 - - - - - - - -
2003-08-16 23:13:07 OPEN UDP 217.8.227.15 217.8.224.194 3004 53 - - - - - - - -
2003-08-16 23:13:08 OPEN TCP 217.8.227.15 66.250.54.212 3007 80 - - - - - - - -
2003-08-16 23:13:16 OPEN UDP 217.8.227.15 212.109.206.33 3004 53 - - - - - - - -
2003-08-16 23:13:16 OPEN TCP 217.8.227.15 66.250.54.213 3008 80 - - - - - - - -
2003-08-16 23:13:19 OPEN TCP 217.8.227.15 195.209.36.140 3009 80 - - - - - - - -
2003-08-16 23:13:20 OPEN TCP 217.8.227.15 66.250.54.212 3010 80 - - - - - - - -
2003-08-16 23:13:31 OPEN TCP 217.8.227.15 66.250.54.212 3011 80 - - - - - - - -
2003-08-16 23:13:37 OPEN TCP 217.8.227.15 66.250.54.213 3012 80 - - - - - - - -
2003-08-16 23:13:57 OPEN TCP 217.8.227.15 66.250.54.212 3013 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.212 3007 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.213 3008 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.212 3010 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.212 3011 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.213 3012 80 - - - - - - - -
2003-08-16 23:14:04 CLOSE TCP 217.8.227.15 66.250.54.212 3013 80 - - - - - - - -
2003-08-16 23:14:13 DROP TCP 217.8.226.116 217.8.227.15 1985 135 48 S 849495480 0 8760 - - -
2003-08-16 23:14:27 OPEN TCP 217.8.227.15 217.16.29.51 3014 80 - - - - - - - -
2003-08-16 23:14:31 OPEN TCP 217.8.227.15 217.16.29.51 3015 80 - - - - - - - -
2003-08-16 23:14:38 OPEN TCP 217.8.227.15 217.16.28.101 3016 80 - - - - - - - -
Как видно он в общем помогает от сего червечка защититься.
Также посмотри, если ли файл msblast.exe в папке "C:\Windows\System32", правда сомневаюсь, что ты его сможешь удалить,Удаляется за милую душу... Только его выгрузить из памяти надо...
Удаляется за милую душу... Только его выгрузить из памяти надо...А с какими правами msblast.exe кладется в папку System32? Разве owner'ом является не "Local System"? Или под кем обычно запущен RPC. Я имел ввиду, что может нехватить прав его удалить...
Кстати, а что слышно об вроде-бы как планировавшейся атаке на M$ в ночь с 15 на 16? Устояли или сломались? Наверное все-таки устояли, слишком много времени было, чтобы остановить эпидемию. Вот если бы 11-12 атака была, тоды бы мелкомягким худо пришлось...
Вирусописатели сами прокасячили.
...В полночь, 16 августа, заражённые вышеназванными вирусами компьютеры начали планомерно обращаться к адресу предполагаемого сервера Microsoft, на котором последняя хранит информацию о патчах и обновлениях. По плану злоумышленников, возросший трафик "забьёт" доступ к серверу тех пользователей, которые захотят скачать патч. Однако в одном моменте авторы вируса просчитались - "черви" были проинструктированы на вызов сайта http://www.windowsupdate.com, но на самом-то деле, истинный адрес выглядит так: http://windowsupdate.microsoft.com. Конечно, ссылка http://www.windowsupdate.com также была работоспособна - при её вызове проистекало автоматическое перенаправление на истинный адрес, вот только специалисты Microsoft, изучившие тело "червя", предусмотрительно отключили этот самый автоматический редирект. Реальный адрес сайта Windows Update - жив и здравствует, так что все желающие могут воспользоваться его услугами...Так что мелкомягким ничего страшног не было.
° Вирус Blaster поражает некоторые Cisco системы
Червь Blaster (также известный как LoveSan), принесший неисчислимое количество проблем пользователям компьютеров с ОС Windows, также способен поражать некоторые виды сетевого оборудования.
° "Добрый" вирус штопает дыры в Windows
° Новый вируc распространяется в Интернете через ту же самую брешь, что и LoveSan. Он не только не вредит компьютерам пользователей, но еще и штопает ту самую дыру в Windows, благодаря которой стало возможно его появление, сообщает Reuters.
Червь Blaster (также известный как LoveSan), принесший неисчислимое количество проблем пользователям компьютеров с ОС Windows, также способен поражать некоторые виды сетевого оборудования.
° "Добрый" вирус штопает дыры в Windows
° Новый вируc распространяется в Интернете через ту же самую брешь, что и LoveSan. Он не только не вредит компьютерам пользователей, но еще и штопает ту самую дыру в Windows, благодаря которой стало возможно его появление, сообщает Reuters.
А с какими правами msblast.exe кладется в папку System32? Разве owner'ом является не "Local System"? Или под кем обычно запущен RPC. Я имел ввиду, что может нехватить прав его удалить...Я собственными руками выкорчевал его с живой машины. Сначала убрал ссылку из реестра, потом выгрузил из памяти и удалил файл с диска. Вуаля...
Кстати! А что делать, если вирус всетаки попал? Ну ентот - самый последний, который вродебы как не лечится антивирусами... Он убивает винду, или вообще приводит комп, в нерабочее состояние? 
DOS - атака на микрософт, плюс переодический ребут
А что делать, если вирус всетаки попал?Что-что.. ЛЕЧИТЬСЯ!
Скачивать с сайта кашмарскогоили или симантека лечилку, а потом дыры закрывать.
Слушай, а ты про какой вирус говоришь то? Тот червь, про которого идет здесь обсуждение, практически "безвреден", т.е. саму систему он не рушит, и тем более комп не портит, разве что иногда вызывает перезгрузку и поднимает сетевой траффик :). Может ты про Win.Cih говоришь, или про какую-нибудь его разновидность (существует давольно давно)? Из какого источника слышал?
ЗЫ: А если вирус убивает винду, то лечение - полная переустановка с ноля. А если комп убивает, то лечиться от надо в СЦ, например менять вышебленный вирусом биос, или другую железку, которую портит вирус
ЗЫ: А если вирус убивает винду, то лечение - полная переустановка с ноля. А если комп убивает, то лечиться от надо в СЦ, например менять вышебленный вирусом биос, или другую железку, которую портит вирус
да я про тот самый, про который "наверху" написанно, в топике, там ссылки даже есть...
А, так ты все про тот же w32.blaster.worm? В нем особо страшного ничего нет (по крайней мере для компа), ну вырубается он регулярно, но железо и файлы вирус намерянно не портит и лечится очень легко. А 16 числа планировалась (как потом оказалось) безуспешная атака на windowsupdate.com, а как побочный эффект от действий вируса поднялся траффик в сети. Но эпидемия уже закончилась, и все позади. Можешь не волноваться, главное вовремя патчи ставить
А вот этим (http://www.securityfocus.com/news/6767) "умникам" неповезло от другого виря - Slammer.
Это писец! Атомную станцию рулить такой системой.
Чуть-чуть и очередной Чернобыль, но по-америкосски.
Куда мир катиться? (так, риторический вопрос).
Это писец! Атомную станцию рулить такой системой.
Чуть-чуть и очередной Чернобыль, но по-америкосски.
Куда мир катиться? (так, риторический вопрос).