Арестован автор вируса Lovesan - Флейм

30.08.2003, 02:36

http://www.dni.ru/news/web/2003/8/29/25914.html

В США арестован 18-летний молодой человек, обвиняемый в создании вируса Lovesan. Предполагается, что в пятницу ему будут придъявлены обвинения. Различные версии этого вируса поразили около 500 тысяч компьютеров во всем мире. "Червь" использовал брешь в операционной системе Windows, и вредоносное его действие заключалось в неконтролируемой и частой перезагрузке компьютера.

Как Дни.Ру писали ранее, Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST.EXE. Этот файл заносится в автозагрузку и запускается на выполнение.

"Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast.

//////////////////////////////////////////////////////////////////

Новый вирус излечивает от Lovesan

Во вторник был обнаружен новый вирус - "червь", получивший название Welchia. Его действие не разрушающее, как у большинства вирусов, а лечебное: Welchia ищет в сети компьютеры, зараженные "червем" Lovesan, лечит их и устанавливает обновление операционной системы. Welchia, так же как и Lovesan, проникает в компьютеры, используя брешь в системе безопасности.

В отличие от Lovesan, Welchia атакует не только уязвимость в службе удаленного доступа к файлам DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления веб-серверами), - сообщает "Лаборатория Касперского". "Червь" сканирует интернет, находит жертву, проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV) и проникает на компьютер. В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис WINS Client.

Далее Welchia удаляет червя Lovesan. Для этого он проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу, а также удаляет с диска одноименный файл. После этого Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь начинает его загрузку с сайта Microsoft, запускает на выполнение и перегружает компьютер после успешной установки.

Помимо этого, Welchia проверяет системную дату компьютера и, если текущий год равен 2004, сам удаляет себя из системы.

Распространение Welchia достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию Lovesan.

"Приходится констатировать, что и в интернете работает пословица "Клин клином вышибают". Оказывается, самый эффективный способ борьбы с вирусом - вирус. Во время последней эпидемии многие пользователи проявили полное безразличие к защите своих компьютеров, из-за чего интернет снова оказался под угрозой паралича, - сказал Денис Зенкин, руководитель информационной службы "Лаборатории Касперского". - Жаль, если в будущем сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей".

/////////////////////////////////////////////////////////////////

"Червь" использует обнаруженную месяц назад брешь в операционной системе Windows версий NT 4.0, 2000, XP и Server 2003. Не все пользователи успели установить себе "заплатку" с сайта Microsoft Update, этим и объясняется высокая скорость его распространения. "Червь" не причиняет ущерб зараженному компьютеру. До 16 августа он только сканирует сеть, в которую проник.

Брешь была обнаружена в службе DCOM RPC, - сообщает "Лаборатория Касперского". Эта служба осуществляет общий доступ к файлам в локальной сети.

Специалисты по сетевой безопасности предупреждают, что этот "червь" может проникнуть в десятки тысяч компьютеров. Компания Symantec уже заявила о том, что MSBlast уже проник на 57 тысяч машин, - добавляет BBC.

По данным компании Network Associates, пользователи зараженных компьютеров отмечают, что скорость соединения с интернетом становится гораздо ниже.

Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST.EXE. Этот файл заносится в автозагрузку и запускается на выполнение.

"Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast.

Программа также имеет функцию DDoS-атаки на сайт windowsupdate.com, на котором находятся обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: ожидается, что в этот день сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

В коде "червя" обнаружены два послания. В одном содержится вопрос: "Билли Гейтс, почему ты это допустил? Хватит делать деньги, иди и почини свое программное обеспечение". В другом - признание: "Я просто хотел сказать, что ЛЮБЛЮ ВАС, SAN".

ales · 30.08.2003, 19:02

Это не автор был арестован, а один из "модификаторов" первоначального вируса.

Pann · 30.08.2003, 19:35

Вот именно"мальчик для битья"

Jeff · 31.08.2003, 00:33

gifon4ik
gde to ja tebja uzhe videl.... :D

31.08.2003, 08:54

мне особенно понравилось первое послание.... в LOVESAN....

Цитата:

Первоначальное сообщение от gifon4ik
http://www.dni.ru/news/web/2003/8/29/25914.html

"Билли Гейтс, почему ты это допустил? Хватит делать деньги, иди и почини свое программное обеспечение".

давно пора было зделать что-то наподоби... а то Microsoft совсем обнаглел....

31.08.2003, 19:15

А вообще был ли МАЛЬЧИК ????

Сначала какой то червяк грохает компы либо с халявной Виндой либо компы у ненавистников Мелкософта, которые похерили "Alexa" и запретили Винде лазить на Мелкософт , чтобы качать НОВЫЕ Патчи! Готовится якобы атака на главный Сервер Мелких ! Хотя такая атака может быть реализована при помощи этого Вируса только теоретически -- обилие падающих компов при заражении заставит кого угодно искать противоядие на самом раннем этапе распространения Вируса.

Самечу ТОЛЬКО: личные компы , корпоративщики не страдают ! Что кто то в суд на Мелкософт подает -- я не слышал .
Теперь выкатывает Welchia -- благодетель похеренных компов.
Мне вот интересно : кто бы мог, гипотетически, содать такую бешенную рекламу для Мелких ? Особенно в преддверии Longhorn ???
За просто так и БЕЗМАЗМЕЗДНО??
Я акции Мелких не глядел , но думаю , что они хорошо поднялися .

joker99 · 31.08.2003, 22:25

Цитата:

igor.gm:
обилие падающих компов при заражении

В вирусе была ошибка, поэтому он валил RPC service

Цитата:

igor.gm:
Что кто то в суд на Мелкософт подает

А что в суд подавать? Заплатку они выложили за месяц до вируса, то что ты или кто-то другой её не установил это ваши проблемы.

Shanker · 24.02.2004, 14:32

Автору MSBlast "светит" 15 лет за решеткой
26-летний Дан Думитру Сиобану, обвиненный в создании нашумевшего в прошлом году вируса MSBlast, предстал перед Румынским судом. По законам этого государства он может быть приговорен к 15 годам тюремного заключения.

На самом деле предполагается, что Сиобану написал лишь модификацию вируса, который успел поразить всего лишь 27 компьютеров в сети его университета.

Случилось это в сентябре 2003, однако суд решил сделать из Дана "козла отпущения", ибо найти реальных авторов вируса практически не представляется возможным.

В случае неблагоприятного для него решения суда, Дэн Думитру может получить "на полную" за всю серию вирусов. Минимальный срок - от 3 лет.

networkdoc.ru

30.08.2003, 02:36	# 1
gifon4ik Guest Сообщения: n/a	Арестован автор вируса Lovesan http://www.dni.ru/news/web/2003/8/29/25914.html В США арестован 18-летний молодой человек, обвиняемый в создании вируса Lovesan. Предполагается, что в пятницу ему будут придъявлены обвинения. Различные версии этого вируса поразили около 500 тысяч компьютеров во всем мире. "Червь" использовал брешь в операционной системе Windows, и вредоносное его действие заключалось в неконтролируемой и частой перезагрузке компьютера. Как Дни.Ру писали ранее, Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST.EXE. Этот файл заносится в автозагрузку и запускается на выполнение. "Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast. ////////////////////////////////////////////////////////////////// Новый вирус излечивает от Lovesan Во вторник был обнаружен новый вирус - "червь", получивший название Welchia. Его действие не разрушающее, как у большинства вирусов, а лечебное: Welchia ищет в сети компьютеры, зараженные "червем" Lovesan, лечит их и устанавливает обновление операционной системы. Welchia, так же как и Lovesan, проникает в компьютеры, используя брешь в системе безопасности. В отличие от Lovesan, Welchia атакует не только уязвимость в службе удаленного доступа к файлам DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления веб-серверами), - сообщает "Лаборатория Касперского". "Червь" сканирует интернет, находит жертву, проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV) и проникает на компьютер. В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис WINS Client. Далее Welchia удаляет червя Lovesan. Для этого он проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу, а также удаляет с диска одноименный файл. После этого Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь начинает его загрузку с сайта Microsoft, запускает на выполнение и перегружает компьютер после успешной установки. Помимо этого, Welchia проверяет системную дату компьютера и, если текущий год равен 2004, сам удаляет себя из системы. Распространение Welchia достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию Lovesan. "Приходится констатировать, что и в интернете работает пословица "Клин клином вышибают". Оказывается, самый эффективный способ борьбы с вирусом - вирус. Во время последней эпидемии многие пользователи проявили полное безразличие к защите своих компьютеров, из-за чего интернет снова оказался под угрозой паралича, - сказал Денис Зенкин, руководитель информационной службы "Лаборатории Касперского". - Жаль, если в будущем сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей". ///////////////////////////////////////////////////////////////// "Червь" использует обнаруженную месяц назад брешь в операционной системе Windows версий NT 4.0, 2000, XP и Server 2003. Не все пользователи успели установить себе "заплатку" с сайта Microsoft Update, этим и объясняется высокая скорость его распространения. "Червь" не причиняет ущерб зараженному компьютеру. До 16 августа он только сканирует сеть, в которую проник. Брешь была обнаружена в службе DCOM RPC, - сообщает "Лаборатория Касперского". Эта служба осуществляет общий доступ к файлам в локальной сети. Специалисты по сетевой безопасности предупреждают, что этот "червь" может проникнуть в десятки тысяч компьютеров. Компания Symantec уже заявила о том, что MSBlast уже проник на 57 тысяч машин, - добавляет BBC. По данным компании Network Associates, пользователи зараженных компьютеров отмечают, что скорость соединения с интернетом становится гораздо ниже. Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST.EXE. Этот файл заносится в автозагрузку и запускается на выполнение. "Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast. Программа также имеет функцию DDoS-атаки на сайт windowsupdate.com, на котором находятся обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: ожидается, что в этот день сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным. В коде "червя" обнаружены два послания. В одном содержится вопрос: "Билли Гейтс, почему ты это допустил? Хватит делать деньги, иди и почини свое программное обеспечение". В другом - признание: "Я просто хотел сказать, что ЛЮБЛЮ ВАС, SAN".

30.08.2003, 19:02	# 2
ales Junior Member Регистрация: 20.07.2003 Адрес: Беларусь Сообщения: 132	Это не автор был арестован, а один из "модификаторов" первоначального вируса. __________________ -none-

30.08.2003, 19:35	# 3
Pann Fun MoDern Регистрация: 30.11.2002 Адрес: TheМля Пол: Male Сообщения: 4 915	Вот именно"мальчик для битья" __________________ Я счастлив по умолчанию. Пожалуйста, не лезьте в мои настройки! Мой блог на ЖЖ

31.08.2003, 00:33	# 4
Jeff Not moD грузчик кильки Регистрация: 21.07.2002 Адрес: Иссстоооония Сообщения: 5 439	gifon4ik gde to ja tebja uzhe videl.... :D

31.08.2003, 19:15	# 6
igor.gm Guest Сообщения: n/a	А вообще был ли МАЛЬЧИК ???? Сначала какой то червяк грохает компы либо с халявной Виндой либо компы у ненавистников Мелкософта, которые похерили "Alexa" и запретили Винде лазить на Мелкософт , чтобы качать НОВЫЕ Патчи! Готовится якобы атака на главный Сервер Мелких ! Хотя такая атака может быть реализована при помощи этого Вируса только теоретически -- обилие падающих компов при заражении заставит кого угодно искать противоядие на самом раннем этапе распространения Вируса. Самечу ТОЛЬКО: личные компы , корпоративщики не страдают ! Что кто то в суд на Мелкософт подает -- я не слышал . Теперь выкатывает Welchia -- благодетель похеренных компов. Мне вот интересно : кто бы мог, гипотетически, содать такую бешенную рекламу для Мелких ? Особенно в преддверии Longhorn ??? За просто так и БЕЗМАЗМЕЗДНО?? Я акции Мелких не глядел , но думаю , что они хорошо поднялися .

24.02.2004, 14:32	# 8
Shanker Banned Регистрация: 27.10.2002 Адрес: Питер Сообщения: 1 893	Автору MSBlast "светит" 15 лет за решеткой 26-летний Дан Думитру Сиобану, обвиненный в создании нашумевшего в прошлом году вируса MSBlast, предстал перед Румынским судом. По законам этого государства он может быть приговорен к 15 годам тюремного заключения. На самом деле предполагается, что Сиобану написал лишь модификацию вируса, который успел поразить всего лишь 27 компьютеров в сети его университета. Случилось это в сентябре 2003, однако суд решил сделать из Дана "козла отпущения", ибо найти реальных авторов вируса практически не представляется возможным. В случае неблагоприятного для него решения суда, Дэн Думитру может получить "на полную" за всю серию вирусов. Минимальный срок - от 3 лет. networkdoc.ru