|
Sasser атакует
В Сети появился новые черви Worm.Win32.Sasser.a и Worm.Win32.Sasser.b, эксплуатирующие уязвимость в службе LSASS Microsoft Windows. Данная "дыра" позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число. При запуске червь регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] avserve2.exe = %WINDIR%\avserve2.exe Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack. ВЗЯТО отсюда |
вчера вроде вывел...седня опять появился...
вообщем, боремся...кстати, появился даже после того как симнатековской спец. утилиткой прогнал. =\ |
интересноб было почитать что этот червяк делает, опять нибось ddos micro$oft.com gigi
|
jedi2003
Сам вчера хватанул эту заразу. Сообщил об ошибке и предложил перегрузить комп. У тебя такие же симптомы были? Кстати я его удалил нортоном корпоративным и пока все в порядке. |
а я не могу зайти на симантека сайт ...чего бы это ?
может слишком много народа там? |
CrazyCat
Что ты имеешь ввиду? Не можешь зайти в осле или не обновляются базы? |
Я эту бяку ещё в субботу схватил, он интернет вырубает напрочь (создаёт 128 одновременных подключений) и дядю нортона он тоже как то заткнул :-(((
Пришлось винду по новой ставить, потом опять схватил, но вовремя заплатки налепил от мелкомягких. Пока всё путём. |
jedi2003
Цитата:
или закрой 445'й порт и всё будет нормально: более не заберётся! R!xon Если бы ты написал подобный червяк что бы он делал? :) |
Червь Sasser написан дилетантом
Появившийся в пятницу сетевой червь быстро размножается, но, к счастью, содержит в себе некоторые ошибки, значительно снижающие его разрушительный потенциал. Как сообщает агентство CNET со ссылкой на экспертов компании eEye Digital Security, новый червь «написан человеком, которому едва хватило знаний, чтобы заставить его работать». В интервью агентству господин Марк Майфретт (Marc Maiffret), возглавляющий в eEye Digital Security аналитический отдел, выразил сдержанное удивление относительно того, что червяку вообще удается перебираться с одного компьютера на другой: настолько плохо он сделан. Sasser эксплуатирует ошибку в реализации подсистемы LSASS (Local Security Authority Subsystem Service), обнаруженную в Windows XP/2000 и 2003 Server. Обнаружив в сети незащищенную машину, червь устанавливает с ней удаленное соединение, устанавливает FTP-сервер и отправляет на нее свою копию. Распространение вируса началось в пятницу в конце рабочего дня, и за прошедшие двое суток он, если верить BBC News, уже успел поразить несколько миллионов пользовательских машин. Больше всего эксперты опасаются, что темпы распространения вируса могут значительно возрасти после того, как в офисах появятся отоспавшиеся за неделю сотрудники с зараженными лэптопами. Как это уже было в случае с «Бластером» и некоторыми другими, наделавшими немало бед червями, заражение хорошо защищенных от внешнего нападения корпоративных сетей может начаться изнутри, когда сотрудники примутся синхронизировать свои зараженные червем портативные компьютеры с настольными системами. Взято отсюда |
качаем Removal Tool: http://securityresponse.symantec.com...r/FxSasser.exe
обнаруживает Антивирусные базы на Norton AntiVirus (если не обновляется через LiveUpdate) можно скачать с этой паги: http://securityresponse.symantec.com...es/US-N95.html |
R!xon
Ты уже давно на форуме. Но Правила нарушаешь: ПРЯМЫЕ ссылки на файл ТОЛЬКО в разделе AppZ. |
Автора интернет-червя Sasser уже ищут
Компания Microsoft «сотрудничает с правоохранительными органами», на предмет установления личности автора очередного червя, поразившего множество компьютеров по всему миру и успевшего причинить уже немалый ущерб, сообщает Internet.ru По информации журнала PC World, компания Microsoft самым тесным образом сотрудничает с сотрудниками органов правопорядка, включая специалистов Северо-западной группы по раскрытию киберпреступлений (Northwest CyberCrime Taskforce), с целью «идентификации лиц, ответственных за злонамеренную деятельность». Как мы уже сообщали, червь Sasser был впервые обнаружен антивирусными компаниями в пятницу 30 апреля. Его автор выбрал в качестве цели брешь в компоненте Windows, известном как Local Security Authority Subsystem Service, или LSASS. Согласно задумке неизвестного героя, его червь поражает любой компьютер, работающий под управлением Windows XP/2000/2003 Server, с открытым 445-м портом. Несмотря на то, что соответствующий патч за номером MS04-011 был выпущен еще 13 апреля, уже за первые дни распространения червя были заражены сотни тысяч, а то и миллионы компьютеров, владельцы которых поленились скачать с сайта Microsoft относительно небольшой фрагмент программного кода. Так, служба BBC News пишет, что Национальная почтовая служба Тайваня была вынуждена закрыть треть своих офисов, компьютерное оборудование которых оказалось парализованным из-за бесчинства злокозненного червяка. Согласно жалобам, поступившим от операторов, сегодня примерно в десять утра по местному времени их машины принялись самостоятельно перезагружаться, не давая им нормально работать. Понятное дело, что уже через несколько минут перед кассами толпились огромные очереди разгневанных клиентов. Примерно такая же ситуация сложилась и в Финляндии, где местная страховая компания также закрыла на профилактику все свои 130 отделений. К счастью, червь не относится к разряду деструктивных: установив свою копию на компьютере, он перезагружает машину несколько раз подряд, а затем устремляется на поиски новых жертв. Главной неприятностью, вызванной Sasser’ом, может стать невозможность нормально работать в течение нескольких десятков минут, а также увеличение объемов паразитного трафика, что затруднит путешествия по Сети, а также поставит ряд товарищей, пользующихся тарифными планами с расчетом за трафик, под финансовый удар. Взято отсюда |
Panda QuickRemover for Sasser.A
Panda Quick Remove for Sasser.B Microsoft Sasser (A-D) Worm Removal Tool (new) Цитата:
|
oXyD
Ты неправ: ссылки на файл возможны ТОЛЬКО в разделе AppZ, будь то варёз или не варёз. Это как-то сказал один из модеров AppZ Закончим флейм! |
Ну, вот и дождались: сегодня с утра слышал, как по телеку журналисты говорили о "загадочном вирусе", который поражает компьютер НЕ через электронную почту и даже в то время, когда человек не сидит за компом.
Ждите: скоро обвинят в создании вируса "злобных хакеров"! |
Вчера по случаю словил W32.Sasser.B.Worm Дилетантом он написан или нет, но несколько часов я угробил, пока разобрался - что к чему. На абсолютно новую машину посадил home xp с ориг. диска, поставил все драйвера.... и тут она начала переодически ребутиться с ошибкой в .dll библиотеке. Вроде с этим разобрался, и тут инет умер, едва родившись. Причём gateway и DNS сервера пингуются на ура, VPN с удалённым сервером замыкается нормально, а пакеты не проходят .... вообще. Инет отсутствует напрочь. В общем, только когда я нашёл левый процесс (avserve2.exe), до меня, наконец дошло, что триппер уже пролез в "окно". :)
|
to Clown, а поподробней можешь, здесь дейтче телеком с прошлой субботы звенит o avserve.exe у них супорт, стал действительно горячей линией, лично часа 2 прозванивался, о том что файло никак не хочет уничтожаться, я слава богу его
не видел, ну что за геморой с уничтожением ???? |
Goor
Скорее всего, просто не выгрузили его из памяти. Выгрузите из памяти, а потом уничтожай на диске. И не забудьте удалить его из ключа автозапуска (его ключ в шапке написан) |
Варианты червя Sasser опаснее оригинала
Как и оригинальный червь, три новые программы — Sasser.B, Sasser.C и Sasser.D — используют брешь в защите непропатченных версий Windows XP и Windows 2000. Заражая уязвимые системы, червь организет дистанционное соединение с целевым компьютером, устанавливает сервер File Transfer Protocol (FTP), а затем загружает в новый хост собственную копию, сообщает Zdnet. Оригинальная версия червя Sasser распространялась медленно, но в субботу онлайновые вандалы выпустили Sasser.B, заражающий компьютеры гораздо быстрее. К понедельнику появились еще два варианта червя, и число зараженных систем стали измерять сотнями тысяч. «Червь значительно усовершенствован, — говорит старший директор центра секьюрити-реагирования Symantec Альфред Хьюгер. В понедельник утром Symantec насчитала не менее 10 тыс. подтвержденных случаев заражения и выразила предположение, что заражены сотни тысяч компьютеров. Для Массачусетского университета в Амхерсте Sasser оказался суровым испытанием. По словам менеджера по эксплуатации университетских сетей Скотта Конти, от Sasser здесь пострадало 1100 компьютеров. Если многие другие университеты потратили на борьбу с червем весь уикенд, то Массачусетский университет держался, пока кто-то не подключил к сети зараженный компьютер. Каждый семестр Конти и его коллегам приходится иметь дело примерно с 5000 случаев заражений червями, вирусами и бот-программами. «Как это ни досадно, но борьба с атаками теперь становится неотъемлемой частью нашего бизнес-плана», — сетует он. Взято отсюда |
Цитата:
Да вроде геморроя никакого нет. Симантековкий tool чистит без проблем (см. ссылку R!xon). Только не забывайте перед чисткой вырубать System Restore (в Me и Хр), а то там могут копии оставаться, по идее. Впрочем я бы рекомендовал System Restore отключать в любом случае. Я не думаю, что на нормально "упакованном" компе вообще могут быть какие-то проблемы. Я "попал" только потому, что просто НЕ УСПЕЛ до заражения ничего поставить на комп, кроме системы, и вышел в инет. |
ФБР открыло "охоту" на авторов червя Sasser
Федеральное бюро расследований США начало "охоту" на авторов вредоносной программы Sasser, эпидемия которой началась во Всемирной сети 1 мая. Червь Sasser, напомним, способен поражать компьютеры, работающие под управлением операционных систем Microsoft Windows 2000 и Windows ХР, используя дыру в локальной подсистеме аутентификации пользователей (LSASS). Несмотря на то, что данные о количестве зараженных машин серьезно варьируются, эксперты полагают, что на сегодняшний день инфицировано не менее миллиона ПК. Кстати, в течение всего двух суток с момента появления вируса специально созданную Microsoft страничку с описанием способов защиты от возможных атак посетили более полутора миллионов человек. Специалисты по вопросам компьютерной безопасности и правоохранительные органы, между тем, начали расследование с целью поимки создателей червя. В частности, по словам представителей финской компании F-Secure, проанализировавшей коды Sasser.D и Netsky.V, между двумя этими вирусами есть заметные сходства. Впрочем, вряд ли данная информация действительно поможет выйти на след злоумышленников, поскольку о создателях уже почти 30 модификаций вредоносной программы Netsky не известно ровным счетом ничего. Нужно добавить, что наиболее ощутимый урон червь Sasser нанес домашним пользователям и небольшим компаниям. Правда, некоторым крупным организациям также не удалось избежать проблем. Например, в Новом Орлеане (штат Луизиана) были отключены компьютерные системы примерно пятисот больниц; вирус поразил компьютеры Европейской комиссии, крупных банков, почтовых отделений и пр. Эксперты в очередной раз советуют всем пользователям уязвимых операционных систем загрузить заплатки Microsoft и установить брандмауэры, хотя сейчас эпидемия Sasser пошла на спад. Взято отсюда |
По поводу невозможности зайти на сайт Семантика. Я тоже подхватил этот вирус и тоже не мог зайти на symantec.com. А потом обнаружил причину в том, что в файл c:\WINDOWS\system32\drivers\etc\hosts внесены адреса большинства антивирусных компаний и перенаправлены на 127.0.0.1, т.е. на сам локальный компьютер. Работа ли это данного антиивруса - неуверен, но тем кот его схватил можно проверить файл hosts и почистить его.
|
KAV 5.0 bez utilit spravlaetsa ;)
a esli hotite besplatno on nego po4istitsa... vot utilka ot KAVa http://downloads1.kaspersky-labs.com/utils/clrav/ |
to Clown, я же писал, что его в глаза не видел, просто в германии основной провайдер только о нем и шумит, поэтому спросил на всякий случай, ну так чтобы готовым быть ))))
|
Автор вируса Sasser сознался
Германская полиция арестовала 18-летнего юношу, который сознался в создании компьютерного вируса Sasser, заразившего 18 миллионов компьютеров по всему миру. О признании молодого человека сообщил представитель полиции федеральной земли Нижняя Саксония Франк Федерау. Полиция не называет имени арестованного. Онлайн издание гамбургского еженедельника "Шпигель" утверждает, что это некий Свен. Он только что закончил школу и собирался продолжать занятия информатикой. Ранее некоторые эксперты высказывали предположение, что человек. создавший вирус, находится в России. Как информирует читателей интернет-ресурс другого немецкого еженедельника - "Штерн", есть подозрения, что хакер из Нижней Саксонии имеет отношение к созданию еще одного вируса - Netsky.ac, который появился в минувший четверг. Sasser был запущен в сеть 1 мая. В доме родителей юноши проведен обыск, и, по данным полиции, обнаружено множество улик В поисках кибер-злоумышленника принимали участие не только немецкие правоохранительные органы. В отличие от вирусов, распространяющихся через электронную почту и приложения к письмам, Sasser загружается из интернета напрямую, после чего атакует последние версии операционной системы Windows и заставляют компьютер выключаться. Жертвы вируса Больше всего от нового вируса пострадали домашние компьютеры и небольшие фирмы, хотя серьезные проблемы испытали и некоторые крупные компании. Только в почтовой службе Германии зараженными оказались до 300 тысяч терминалов, из-за чего сотрудники оказались не в состоянии выдавать клиентам наличные деньги. Жертвами "червя" стали также компьютеры инвестиционного банка Goldman Sachs, Европейской комиссии, 19 региональных офисов управления береговой охраны Британии. Во вторник вечером у авиакомпании British Airways в одном из терминалов лондонского аэропорта Хитроу отказала половина всех компьютеров на стойках регистрации пассажиров. В американском городе Новый Орлеан до 500 больниц были закрыты в течение нескольких часов; жертвами вируса оказались также социальные и здравоохранительные учреждения в Вашингтоне. http://news.bbc.co.uk/low/russian/sci/tech/newsid_3695000/3695909.stm |
Новость не радует :blin:
Ну, нафиг он сознался? |
Где-то писали, что парнишку, вроде, знакомые "сдали" за бабки... !?
|
Автор червя Sasser выпустил новую версию вируса после ареста
Немецкие правоохранительные органы, которые арестовали предполагаемого автора интернет-червя Sasser, сомневаются в том, что 18-летний школьник Свен Яшан (Sven Jaschan) мог создать программу такого уровня в одиночку, сообщает Lenta.ru. К тому же, через несколько часов после ареста в интернет был запущен новый червь, аналогичный Sasser, который называется Sasser.e. Во время ареста сотрудники правоохранительных органов застали программиста сидящим за своим компьютером, на диске которого был найден исходный код программы. Там же были обнаружены следы Sasser.e. По словам специалистов, новый вирус отличается от основной версии Sasser - он призван снизить вредоносный эффект первого червя. Кроме того, Sasser.e пытается найти и уничтожить на зараженном компьютере червей-конкурентов Bagle.x и Bagle.w. Однако, несмотря на то, что новая программа, как заявил представитель прокуратуры, была создана "из лучших побуждений", она также наносит вред, хотя и ограниченный. Прокурор, который ведет дело подозреваемого нарушителя, опроверг также информацию о том, что червь был создан с целью прорекламировать компьютерный магазин, который принадлежит матери программиста. Юрист заявил, что, скорее всего, молодой человек, даже если он не создавал вирус, взял на себя ответственность, чтобы прославиться. По мнению экспертов, автор Sasser'а может быть ответственен и за появление очередной разновидности почтового червя Netsky.ac. Судебный процесс по делу Свена Яшана может начаться в конце июня. Взято отсюда |
Автор интернет-червя Sasser «просто хотел помочь маме»
У полиции немецкого города Верден, задержавшей автора червя Sasser, есть подозрение, что таким странным образом сынишка-вредитель хотел помочь раскрутить семейный бизнес. По информации агентства Reuters, 18-летний Свен Яшан (Sven Jaschan), признавшийся в написании и распространении интернет-червя Sasser, возможно, пытался таким образом помочь в раскрутке маленькой компании PC Help, принадлежащей его матери и отчиму. По крайней мере, это предположение, высказанное автором журнала Der Spiegel, было поддержано пресс-секретарем прокуратуры города Верден, ведущей дело Яшана. Как известно, Яшан был задержан в минувшую пятницу и в тот же день отпущен домой под подписку о невыезде. Предполагается, что дело Яшана будет рассматриваться в одном из местных судов уже в июне. С учетом того, что парня обвиняют ни много ни мало – в компьютерном саботаже, ему светит до пяти лет лишения свободы, хотя мера наказания, возможно, будет немного мягче, поскольку в предположительный момент написания вируса Яшану еще не было восемнадцати лет. Другое дело, что помимо уголовного дела, заведенного против него властями Германии, Свену грозят отдельные гражданские иски от многочисленных компаний, пострадавших от его чрезмерно развитой креативности. Для того, чтобы приблизительно представить себе, какой может быть общая сумма иска о возмещении ущерба, достаточно сказать, что среди «клиентов» Яшана оказались такие крупные компании, как Delta Airlines, Goldman Sachs, австралийский Westpac Bank и даже Британская береговая охрана. Взято отсюда |
Показательный будет процесс, не часто ловят вирусописак. Что там говорит германское законодательство по этому поводу, может кто-то знает?
|
Цитата:
Но по моим представлением ему должны дать не более 5 лет. И то, может быть, условно. |
В субботу подхватил этот вирус, он обнаружился когда я гонял простенькую игрушку, а комп у меня тормозил. С помощью PKiller'a убил я ентот avserve, стер с винта. поставил антивирус (дрвеб) нашел n_up.exe - его тож убил. фаром почистил реестр. внимание вопрос: имеет ли этот вирус какие нить побочные действия? может мне еще чего нить где нить почистить? (мусор во дворе не предлагать)
|
ReapeR
Вроде, в этой теме всё подробно описано про вирь. Единственный его эффект на комп - перезагрузки |
Автор Sasser попытался предупредить своих жертв
Microsoft считает, что последний вариант червя, Sasser.E, был выпущен неделю назад. В нем предпринята попытка предупредить владельцев уязвимых компьютеров. «Похоже, что тот, кто его выпустил, кто бы это ни был, попытался поставить людей в известность, что их системы уязвимы», — говорит старший менеджер центра секьюрити-реагирования Symantec Оливер Фридрихс. Компания впервые обнаружила копию червя в воскресенье днем, но Фридрихс говорит, что инфекция распространяется достаточно медленно, так что вполне можно предположить, что она появилась в начале недели. В пятницу вечером в Германии был арестован обвиняемый в авторстве Sasser 18-летний житель Вафензена, городка в Нижней Саксонии. Правоохранительные органы уверены, что он же написал все 28 версий вируса массовой почтовой рассылки NetSky. Последняя версия Sasser пытается обезвредить варианты Bagle, удаляя из системного реестра ключи, созданные конкурирующим червем. Предыдущие версии Sasser этого не делали. Код Sasser.E содержит следующее предупреждение для своих жертв: 1. Ваш компьютер находится под влиянием уязвимости MS04-011 Возможно, что ваш компьютер заражен опасными вирусами, подобными червю Blaster 2. Пожалуйста, установите на свой компьютер патч MS04-011 LSASS с веб-сайта www.microsoft.com 3. Это сообщение от SkyNet Team имеет целью предотвращение действий злоумышленников Кроме того, Sasser.E создает remote shell на TCP port 1022, а не 9995, и использует протокол передачи файлов на TCP port 1023, а не 5554. Антивирусная компания Panda Software предположила, что время этой атаки — после ареста подозреваемого — может указывать на то, что Sasser создает «организованная преступная группа». «Этот новый вариант пока мало распространен», — говорит международный технический редактор Panda Software Фернандо Делакуадро. По его мнению, медлительность инфекции объясняется главным образом тем, что с момента начала эпидемии Sasser в конце апреля пользователи пропатчили свои системы. Взято отсюда |
Может быть не совсем по теме... надо было поместить в раздел ЮМОР... но всё же...
Что нашла в местной газете о Sasser'е))) :ржать: "Электронный червь" паразил Италию. Италия в понедельник подверглась атаке новейшего компьютерного вируса "Сассер", который распространяется, используя недостатки программного обеспечения "Windows". Десятки тысяч персональных компьютеров у частных пользователей и в различных организациях "зависли" и отключились на долгие часы. Особенно большой ущерб был нанесён электронным системам Итальянских железных дорог и Государственной почты. На некоторое время вышли из строя даже компьютеры МВД Италии, но программистам удалось восстановить их работу буквально в считанные минуты. Новый вирус является разновидностью так называемого "электронного червя" и поражает компьютер в момент входа в Интернет. Традиционные антивирусные программы не способны защитить компьютер от агрессивного "Сассера". По оценкам экспертов, в мире около 300 миллионов компьютеров могут в ближайшее время стать объектами нападения вируса. |
Я из-за этого паразита все майские праздники проработал, 350 зараженных машин и 7 серверов пришлось поднимать. Вирус в сети такой траффик создал, что локалка просто лежала. Пришлось вручную ставить патчи.
|
INFINITL
Одним словом: журналюги. Ну, что с них взять? Любят писать о том, в чём вообще не разбираются! Им лишь бы сенсация! Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
yazz Цитата:
Цитата:
Цитата:
|
Цитата:
|
yazz
Цитата:
|
да я бы сам этим секьюрити офицерам навалял бы :мир:
просто как мне кажется, большая корпорация менее поворотливая |
| Часовой пояс GMT +4, время: 05:33. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.