вот как это работает..._
11 августа в интернете началась_эпидемия нового сетевого червя, получившего название Blaster (другие названия Lovsan или MSBlaster). Этот червь использует дыру в службе DCOM RPC, служащей для удаленного вызова процедур в операционных системах семейства Windows NT. Сообщение об этой дыре было опубликовано Microsoft в конце июля, одновременно с выходом соответствующего патча. Дыра актуальна для всех поддерживаемых Microsoft ОС на базе ядра NT от Windows NT 4.0 до Windows Server 2003. Код для использования дыры вскоре был опубликован китайской организацией Xfocus, появились следом и первые трояны, паразитирующие на бреши в DCOM RPC.
_ Однако всем этим программам далеко до Blaster по скорости распространения в Сети. На текущий момент этим червем атакованы множество компьютеров по всему миру, в том числе и в России. Будучи запущен на компьютере, червь начинает генерировать список IP-адресов, используя два различных алгоритма (подробности о действиях червя можно найти на сайте компании Symantec). Для каждого адреса проверяется наличие уязвимой машины. При этом сначала поражаются компьютеры в локальной подсети, а затем червь начинает устраивать атаки за ее пределами. Отправка на другие компьютеры кода, использующего уязвимость, осуществляется через порт 135. Если атака прошла успешно, то пораженный компьютер посылает запрос на порт 69, который прослушивает червь. Получив запрос, Blaster передает на другой компьютер свою копию - файл под названием Msblast.exe, который тут же запускается.
_ Помимо собственного распространения, червь выполняет функции "черного хода" в пораженные системы. Для этого на пораженном компьютере открывается доступная удаленно командная строка, принимающая информацию через порт 4444. Кроме этого, Blaster содержит код для организации DoS-атаки на сервер службы Microsoft Windows Update. Атака начинается, если системная дата содержит любой месяц, идущий после августа, или любое число после 15 - то есть атака должна начаться 15 августа и продолжаться до конца года. Наконец, активность червя может приводить к самопроизвольной перезагрузке системы из-за сбоя в службе удаленного вызова процедур (RPC).
_ Нужно отметить, что на момент подготовки данного материала сайты компании Microsoft были недоступны. Конечно, нельзя утверждать, что причиной тому является активность Blaster, но подобное совпадение все же наводит на размышления о том, что серверы Microsoft также могли быть поражены червем. Для борьбы с Blaster необходимо установить выпущенную Microsoft заплатку для дыры в DCOM RPC и, по возможности, заблокировать уязвимые порты с помощью брандмауэра.
(с) kadets.ru

Я сегодня хотел поставить у себя на компе XP и прочитал про этот вирус.
Подскажите пожалуста что сделать что-бы избежать его?

Желающие проверить порты 135 , 139 , 445 могут просканиться у Sygate -
http://scan.sygatetech.com/quickscan.html

;Yanek<
Поставь заплату.

Dead Man

На эту ОС которая теперь есть?

>Yanek<
Потом сходи сюда _http://www.winall.ru/xp/updates.shtml скачай все критические
обновления для ХР, ну и стенку поставь

>Yanek<
Moderator
он не валит 9x системы...
поставь XP и ставь этот патч..
+ стенку :-)

>Yanek<
Ставить будешь ХР, вот для нее и поставишь заплату

Gerasim
мы дублируемся :-)

PrayeR
Всегда найдется тот, кто быстрей набирает:D

Gerasim
PrayeR
Dead Man

Спасибо
:yees:

&gt;Yanek&lt;
Ха вот туть и положу!!!
Ет та мой маханкий сервис пак!!!

Добавлено через 3 минуты:
Аж два метра :blin: а делов на всё ноч економит.
Да там есчё заплата на 5000-ный порт.

Cyber Punk
Два метра сюда не прилепишь. А что это такое?

Блин, у меня оказывается такая же срань была, но я не беспокоился пока на форум не зашёл. Зато эту траблу быстро для себя решил (как я думал) просто зашёл в Services нашёл этот RPC, зашёл в его свойства и поотрубал функцию перезагрузки компа и думал всё. А оно вонна как...

Ой как бидно!!! :blin: Там ет, как червя убить, сама заплатка на RPC и Blaze 5 Троян который у всех пользоватилей винды в трафике седит на порту 5000 + инструкция ету всю белеберду ставить...
Не знаеш куда ето можно выложить?

Cyber Punk
Зачем заплатку-то лепить? Кому надо скачают у Билла.
Остальное архивируй и лепи

vorys
И ни фига ты не решил ет я те точно говорю! Ет ты тока четвердь дела сделал у тебя как етот сервис вырубит половины возможностей вины пропадают разом!!!
У меня есть вон уже готовый фаил не знаю куда положить!!!:confused:

Gerasim
Дык там же не только она вот иструкцию мою почитай всю ноч мучалса лепил красил!!!

Я тоже вначале отрубил сервис но комп глюкало не по-детски...так что лучше заплату скачать

Cyber Punk
Я ж говорю, что пока на форум не зашёл был уверен, что это всё :D

Дык вот оно в одном раре всё лежит 2 метра берёт куды кинуть только не знаю!!!

Cyber Punk
Не мучайся
Hеконтролируемый буфер в UPnP (Universal Plug and Play)
rus
http://download.microsoft.com/downlo...P1_x86_RUS.exe
eng
http://download.microsoft.com/downlo...P1_x86_ENU.exe
это 5000 порт закрывает
Ну и сервис этот можно отрубать или руками, или
xpAntySpy это делает

Хелп
 

Здравствуйте.

Я тут новичок, и форум этот нашел только из-за того, что вчера у меня на компе выскочило всем известное окно о перезагрузке. У меня стоит Win-XP без необходимой заплатки. Но после того, как комп перезагрузился, я сразу скачал и поставил патч от Microsoft, т.к. знаю про этот вирус и необходимость ставить патч, чтобы быть защищенным от него. Также сразу после перезагрузки защитил все подключения по сети родным XP-шным брендмауэром. Скачал антивирус от Симантика по приведенным выше в форуме ссылкам. Проверил комп - симантик не нашел ничего. Скачал последние вирусные базы DrWeb и прошерстил компьютер им тоже, DrWeb опять не нашел ничего. Никаких файлов msblast и пр. я также не нашел.
Вот тут выше написано, что сначала пораженный компьютер перезагружается, а потом он принимает файл msblast, который сразу запускается... Что у меня может быть? Может, мой компьютер не успел после перезагрузки принять этот злосчастный файл, т.к. я сразу установил заплатку? И как убить эту заразу до конца, если антивирусы её не видят? Помогите советом, если кто знает.

Заранее спасибо.

Читайте внимательно на мелкософтовском сайте - для установки заплаток надо:

Additional information about this patch
Installation platforms:

The Windows NT 4.0 patch can be installed on systems running Service Pack 6a.
The Windows NT 4.0, Terminal Server Edition patch can be installed on systems running Windows NT 4.0, Terminal Server Edition Service Pack 6.
The Windows 2000 patch can be installed on systems running Windows 2000 Service Pack 2, Service Pack 3, or Service Pack 4.
The patch for Windows XP can be installed on systems running Windows XP Gold or Service Pack 1.
The patch for Windows Server 2003 can be installed on systems running Windows Server 2003 Gold.
Inclusion in future service packs:
The fix for this issue will be included in Windows 2000 Service Pack 5, Windows XP Service Pack 2, and Windows Server 2003 Service Pack 1.

Reboot needed: Yes.

Patch can be uninstalled: Yes.

Superseded patches: None.

Verifying patch installation:

Windows NT 4.0:
To verify that the patch has been installed on the machine, confirm that all files listed in the file manifest in Knowledge Base article 823980 are present on the system.
Windows NT 4.0 Terminal Server Edition:
To verify that the patch has been installed on the machine, confirm that all files listed in the file manifest in Knowledge Base article 823980 are present on the system.
Windows 2000:
To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980.

To verify the individual files, use the date/time and version information provided in the file manifest in Knowledge Base article 823980 are present on the system.

Windows XP
If installed on Windows XP Gold:
To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980

To verify the individual files, use the date/time and version information provided in the file manifest in Knowledge Base article 823980 are present on the system.

If installed on Windows XP Service Pack 1:
To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980.

To verify the individual files, use the date/time and version information provided in the file manifest in Knowledge Base article 823980 are present on the system.

Windows Server 2003:
To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980.

To verify the individual files, use the date/time and version information provided in the file manifest in Knowledge Base article 823980 are present on the system.

Добавлено через 2 минуты:
Альф

Семантик выпустил антивирус - кит - лечит всё.
качай тут ftp://212.164.40.14/pub/Blast/
или с РОДНОГО сайта...:cool:

kisasoft
 

Спасибо за ответ, но, как я уже написал, необходимый патч для моего XP-SP1 я поставил. И с родного сайта Симантика антивирус скачал. Антивирус не нашел ничего. А спросить я хотел следующее: может эта штука как-то "спряталась" у меня? И как её найти и прихлопнуть?:confused:

Альф
Окошко пропало?

GERASIM
 

Окно с перезагрузкой у меня появилось один раз, после чего я произвел все вышеописанные действия. После того, как врубил брендмауэр и поставил патч комп больше не перезагружался (я работал на нем часа два). Вот я и думаю, это бластер я схватил или ещё чего? У нас в районе в нашей домашней сети многие этой гадости понахватались...

Альф
Скорей всего, раз ты его не находишь, он не успел у тебя поселиться.
Закрой порты, которые тут советуют и радуйся
На всякий зайди сюда
http://securityresponse.symantec.com...oval.tool.html
и скачай там фишку для удаления этого червя

Вопрос про дыру в службе Dcom Rpc
 

Доброго время суток !
Недавно на компе выскочило сообщение : ...NT AUTHORITY / SYSTEM EROR ( аж целых 2 раза ).
Перед тем как появиться комп зависал просто мрачно ( WinXP SP1 ).Потом прочел на вашем форуме что это вирус, так у меня вообще чуть волосы невыпали, только зделал переустановку как на тебе получи еще:( .
Так вот - антивирус ничего ненашел ( Norton 2003 ), стену поставил ( Outpost.... ), в реестре по ключу : "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run"
такого значения как : "windows auto update"="msblast.exe", я вообще ненашел.
Так вот я теперь вообще ничего непонимаю если ето всё же вирус то куда он делся, или он портизанится начал, или же мне повезло как утопленнику.
Если есть возможность разъесните, а то так нехочиться переустанавливать ( мне это приложение DOS скоро в кошмарах являться будет )

Заранее благодарю

Gerasim
 

Пасиба, этот антивирус я уже качал и проверял им - ничего он у меня не нашел...

Альф
Я так и не понял, по какому поводу ты волнуешься? Вроде признаков заражения у тебя нет никаких...
Кстати, не забывайте отключать System Restore и удалять _Restore... толку от этого сервиса мало, а всякая гадость может сохраняться, "до лучших времён".

Clown
 

А переживаю я из-за того, что у моего друга в выходные похожий вирус накрыл винды. И комп у меня перезагрузился, показав перед этим известное окно, которое видят все пострадавшие от этого вируса:))) За все время работы на win2К/ХР это окошко вижу впервые, а в случайные совпадения верится с трудом...
Лана, я уже успокоился, один хрен антивирусы не находят ничего и никаких файлов msblast на компе нет...

ппп
 

не парьтесь... установите каждый свою заплатку и
загляните на http://www.proantivirus.com/info/1/180_1.html ...

там все есть.. как отключить нужную службу и так далее!

Новый вирус убьет Microsoft через 3 дня
13.08.2003 12:01 | NEWSru.com


В интернете с угрожающей быстротой распространяется новый компьютерный вирус W32.Blaster.Worm (другое название LoveSun). Согласно экспертным оценкам, вирус уже успел поразить сети 400 компаний в США и Европе, в том числе и в России, всего - около 20 тыс. персональных компьютеров.

В МВД Австрии сообщают, что в ночь на среду LoveSun атаковал компьютерные системы многих австрийских компаний, передает ИТАР-ТАСС.

Специалисты считают, что реальное количество зараженных компьютеров может быть значительно больше, и уже достигает сотен тысяч. Однако их владельцы пока не подозревают об опасности - новый вирус находится в "спящем" состоянии и пока не дает о себе знать.

Особенностью LoveSun является том, что он как бы заранее создает "плацдарм" для самой большой в истории интернета атаки против программ Microsoft, которая начнется 16 августа в 00:00 часов.

В тексте вируса содержится обращение к главе компании Биллу Гейтсу с призывом "прекратить делать деньги и исправить программное обеспечение".

Вирус распространяется на компьютерах с операционными системами Microsoft Windows NT 4.0, Microsoft Windows 2000, Microsoft Windows XP, Microsoft Windows Server 2003.

LoveSun использует уязвимое место в оперативных системах Microsoft, обнаруженное три недели назад. Попав в компьютер, он разрушает все защитные системы и выводит его из строя, после чего распространяется на другие компьютеры.

Одним из признаков заражения становится самопроизвольная перезагрузка компьютера, а также наличие в системном реестре ссылки на файл msblast.exe.

Первый удар вируса произошел вечером 11 августа и пришелся по компьютерным сетям США.

Одна из крупнейших компаний-торговцев программным обеспечением PC World ввела в действие "горячую" телефонную линию, куда за советом могут обратиться все владельцы пострадавших компьютеров.

Microsoft сообщил своим клиентам, что нужно делать, чтобы уберечься от вируса

Компания Microsoft сообщила своим клиентам о мерах, которые необходимо принять, чтобы победить новый компьютерный вирус.

На своем сайте компания Microsoft разместила рекомендации по лечению зараженного компьютера, а также ссылки на дополнительные программы-"заплатки", устраняющие возможность заражения.

Кроме того, уберечься от распространения червя позволяют специальные программы-брандмауэры, защищающие компьютер от несанкционированного доступа извне.

Что из себя представляет новый вирус и как он действует

Новый вирус получил несколько названий, среди которых - W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, пишет ДиалогНаука.

Червь существует в виде файла msblast.exe длиной 6176 байт, упакованного утилитой сжатия UPX. Проявление червя характеризуется резким увеличением трафика по порту 135 (DCOM RPC), а также самопроизвольным перезапуском компьютеров, находящихся в сети и работающих под Windows XP (в компьютерах под Windows 2000 возможно появление сообщения об ошибке системной программы svchost.exe).

Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.

Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить "атакующему" компьютеру полный доступ к "атакуемому", а в случае удачи - открыть порт 4444 для прослушивания и ожидания последующих команд.

Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe).

Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows.

С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.

Для того, чтобы помешать пользователям скачать соответствующий патч с сайта Microsoft, червь может предпринимать, начиная с 16 августа, DDOS-атаки на windowsupdate.com

Для предотвращения заражения необходимо, прежде всего, закрыть порт 4444 с помощью межсетевого экрана (firewall), а также порты 135 и 69, если они не используются приложениями системы. Кроме того, необходимо установить рекомендованный Microsoft патч.

С 12 августа червь определяется всеми антивирусными модулями Dr.Web, при активном резидентном стороже SpIDer Guard заражение компьютера этим червем невозможно.

Clown
черт, я про те порта давно написал - 0 внимания...
толку писать.

Вот стал устанавливать заплатку и вылетела ошибка

Диcпeтчepy ycтaнoвки нe yдaлocь пpoвepить цeлocтнocть фaйлa Update.inf. Убeдитecь, чтo cлyжбы кpиптoгpaфии зaпyщeны нa дaннoм кoмпьютepe

тока Cryptograhic Services у меня вклучен. Что надо ещё вклучить или сделать

removal tool to clean the W32.Blaster.Worm infections. It will terminate the viral process, delete the worm files, dropped files, and delete the registry values that were added.
165 KB
Platform: Windows XP/2000
License: Freeware

W32.Blaster.Worm Removal Tool

ААА!!! Спасибо KPNEMO - что предупредил про стену!
Закрыл 135 порт, через минуты две кто-то защемился,
Виря также стеной (OUTPOST) и антивирем (F-PROT) поймал! Хотя антивирь не знал его, но предупредил...
KPNEMO - еще раз большое спасибо - лови пятерик!!!

Народ, а подскажите можно-ли настроить родной XP-шный брендмауэр на запрет конкретных портов, которые использует msblast?

Пасиба.

Для отмены перезагрузки нужно успеть выполнить команду

shutdown -a