Червь "Lovesan" снова атакует брешь в службе DCOM RPC операционной системы Windows
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о начале крупномасштабной эпидемии нового сетевого червя "Lovesan". Всего за несколько часов распространения он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров.
Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление.
"Lovesan" уже вторая вредоносная программа, которая атакует компьютеры через эту брешь: всего неделю назад в интернете был обнаружен червь "Autorooter". Однако в отличие от своего предшественника "Lovesan" имеет полнофункциональную систему автоматического распространения, что и определило возникновение глобальной эпидемии. "Лаборатория Касперского" прогнозировала такое развитие событий и рекомендовала пользователям принять необходимые меры предосторожности.
"Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.
Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров. В черве "Slammer", вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - продолжает Евгений Касперский.
В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащем обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.
В целях противодействия угрозе "Лаборатория Касперского" рекомендует немедленно установить обновление Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана порты 135, 69 и 4444 (например Kaspersky® Anti-Hacker), если они не используются другими приложениями.
Процедуры защиты от "Lovesan" уже добавлены в базу данных Антивируса Касперского®. Более подробная информация о вредоносной программе доступна в Вирусной Энциклопедии Касперского.
http://www.kasperskylabs.ru/news.html?id=1317864
Внимание новый опасный червь!!! Проверьте свои компы.
Модераторы: Neoxygen, vsm, MadFlower
-
Крестоносец
- Продвинутый
- Сообщения: 350
- Зарегистрирован: Вт авг 05, 2003 15:33
но мы его прибили и заплатки поставили на винду)
* 
на рюмочку чая )WertSania,
как раз ковыряю все это.
короче имеется сервис RPC(remote procedure call). Он занимается доставкой маппера эндпойнтов другим рпк сервисам. Открывает порт 135 по удп (протокол называется DCE endpoint resolution) .Почему открывает - хер его знает. Вот троян и сканирует этот порт, и сервис этот дырявый, и позволяет ему закачать на комп ту прогу, и заодно запускать и прописать ее. (сервис наверное считает что пришли обновления от мелкомягкого)
Убить сервис нельзя, ибо слишком много депенденсов от него. Единтсвенные два выхода которые я вижу - поставить патч, либо хороший файрвол, и строго следить за тем что по 135 течет.
как раз ковыряю все это.
короче имеется сервис RPC(remote procedure call). Он занимается доставкой маппера эндпойнтов другим рпк сервисам. Открывает порт 135 по удп (протокол называется DCE endpoint resolution) .Почему открывает - хер его знает. Вот троян и сканирует этот порт, и сервис этот дырявый, и позволяет ему закачать на комп ту прогу, и заодно запускать и прописать ее. (сервис наверное считает что пришли обновления от мелкомягкого)
Убить сервис нельзя, ибо слишком много депенденсов от него. Единтсвенные два выхода которые я вижу - поставить патч, либо хороший файрвол, и строго следить за тем что по 135 течет.
http://lenta.ru/internet/2003/08/12/worm/
замечательная статейка
замечательная статейка
-
Fulgerul
- Юзер
- Сообщения: 87
- Зарегистрирован: Пн июн 16, 2003 21:28
- Откуда: From Earth
- Контактная информация:
Очистил свой комп от этой @$%^(&^ (рестабилировал с помощю Norton Ghost). Поискал "msblast.exe" и не нашол. Вошол в инет, зашол на chat.md и вижу эту гадость опять. Поискал "msblast.exe" и нашол.
Так может сначало надо почистить место где мы все дружно болтаем (www.chat.md).
P.S. Хорошо что оно не берёт W98.
Так может сначало надо почистить место где мы все дружно болтаем (www.chat.md).
P.S. Хорошо что оно не берёт W98.
Fulgerul,
попробуй поставить брандмауэр новый ...
у мелкософта на офф.сайте есть патч для брандмауэра. может именно он у тя глючит ... какой билд у винды ? есть глюченные версии , так шо брадмауэр там не помогает. а так он червя не пустил бы , если бы я его включил есессно : )
и ещё отруби сервис Internet Connection Firewall. именно от него у тебя глючит чат.мд ...
попробуй поставить брандмауэр новый ...
у мелкософта на офф.сайте есть патч для брандмауэра. может именно он у тя глючит ... какой билд у винды ? есть глюченные версии , так шо брадмауэр там не помогает. а так он червя не пустил бы , если бы я его включил есессно : )
и ещё отруби сервис Internet Connection Firewall. именно от него у тебя глючит чат.мд ...