MSBlast: ещё раз о наболевшем
HashFlare
 
Главная HI-TECH Форум Поиск Книги Авторам Новости партнёров Реклама
Новостей на сайте: 10263
Программы  
  Система
  Безопасность
  Интернет и сети
  Текст
  Графика и дизайн
  Мультимедиа
  Программирование
  Бизнес
  Образование
  Дом, семья, хобби
  Игры и развлечения
 
Рассылка
 
HashFlare
 
Рейтинг программ...    
    Ф2Мастер Банк (138315)
    Коллекция руссификаторов O-S (34775)
    Товар версия 1.10 (25293)
    Коллекция софта № 13 (24859)
    NetGraf 1.0 (23983)
    New_Profile v3.4 (400) (23922)
    Revolter Commander 3.9 beta 8 (16377)
    Коллекция софта № 14 (15728)
    Net Transport 2.22 (15389)
    Intel Sound MAX 4.0 Ac' 97 5.12.01 (15206)
 

[!] Знаете ли Вы, что на сайте проходит опрос по поводу создания галереи с logon-screens, boot-screens, темами и обоями? Пожалуйста, выскажите своё мнение здесь.


Windows XP/2003 Статьи
MSBlast: ещё раз о наболевшем

Q: Помогите, пожалуйста, справиться с глюком на компе. Через некоторое время после запуска системы она выдаёт надпись: «…вызвано NT AUTORITYSYSTEM… остановка службы Удалённый вызов процедур (RPC)…». С большой красной кнопкой с крестом и благополучно перезагружает комп. На компе стоит XP и internet как выделенка. КАК с этой дрянью бороться? Она не даёт работать в Интернете больше нескольких минут. Неужто настало время сносить систему? Отпишите, не поленитесь. Буду вам очень признателен.

A: Не, ну у меня просто наболело! Господа хорошие, ну как же так можно? Эпидемия вируса «MSBlast», он же «Lovesan», «Lovsan», «Blaster», «Poza» началась уже достаточно давно, чтобы даже до самых неповоротливых пользователей дошли слухи об этом опасном черве, но, тем не менее, в почтовый ящик всё ещё валятся вопросы на эту тему (а знакомые обрывают мобильник). Уважаемые, меня сильно удивляет такая позиция! Во-первых, все, кто подцепил этот вирус, сами виноваты, поскольку не выполнили буквально самых элементарных требований сетевой безопасности: своевременная установка всех патчей и заплаток операционной системы и прикладных программ; использование качественного и хорошо настроенного файерволла; использование регулярно обновляемого антивируса. Во-вторых, мне непонятно, как можно, имея доступ в Интернет (а без него не было бы и этого вируса), совершенно не быть в курсе происходящего? Ведь достаточно было бы в любой поисковой службе ввести часть текста того сообщения, с которым Windows XP уходит в перезагрузку, как вы получили бы подробнейшую информацию по борьбе с этим червём из самых первых рук — от антивирусных компаний! Кстати говоря, антивирусные компании (например, Касперского) очень оперативно предоставляли своим подписчикам всю необходимую информацию по новой эпидемии непосредственно по электронной почте. Или просто загляните в какие-нибудь веб-конференции и почитайте, что пишут люди. Но нет, в конференции журнала Upgrade вообще доходило до смешного, когда несколько сообщений о появлении странного сбоя RPC или файла MSBlast.exe шли почти одно за другим и при этом те, кто их писал, не удосуживались взглянуть ни на объявление в заголовке конференции, ни в чуть более ранние посты, где уже давно имелись все необходимые разъяснения по данной проблеме и все ссылки на подробные материалы, посвящённые новому вирусу и борьбе с ним.

Ну да делать нечего, раз всё так запущено, то попробую вкратце пересказать всё то, что уже давно известно. Итак, примерно с 12 августа всемирную сеть серьёзно потряс новый (но далеко не последний!) червь w32.Blaster.worm, использующий в своих коварных замыслах давно известную и давно (фактически более месяца назад, в июле) закрытую заплатками уязвимость DCOM RPC в Windows NT/2000/XP/2003. Соответственно, в Windows 9x червь проникнуть не может. Для успешного заражения этим вирусом достаточно иметь открытыми порты 135, 139, 445. «Голова» червя, специальный пакет данных, проникает в атакованную систему беспечного пользователя через незащищённый файерволлом порт 135 и после этого без какого-либо участия пользователя закачивает всё «тело» — файл-носитель MSBLAST.EXE (или TEEKIDS.EXE, или PENIS32.EXE) с помощью законной системной программы TFTP.EXE — мини FTP-сервера. Файл MSBLAST.EXE регистрируется в разделе Run системного реестра Windows:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
"windows auto update"="msblast.exe"

И после перезагрузки ПК вирус срабатывает во всей своей красе. Затем вирус сканирует сеть в поисках других жертв и продолжает своё победное распространение по Интернету, генерируя огромный объём «левого» трафика (к слову, даже серверы windowsupdate.com компании Microsoft не выдержали его DDoS-атаки, активизирующейся 16 августа каждого месяца), а на компьютере пострадавшего отныне могут выполняться любые действия — перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя, но то ли ещё будет…

Таким образом, симптомы присутствия вируса в системе таковы:
  • в папке WINDOWSSYSTEM32 присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE
  • в списке запущенных процессов имеется один из вышеуказанных файлов
  • наличие в разделе реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run команды на запуск вышеуказанного файла
  • после нескольких минут работы в Интернете происходит перезагрузка компьютера
  • в работе программ MS-Office наблюдаются многократные сбои
    появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE
  • на экране появляется окна с сообщением об ошибке RPC Service

    Для удаления червя (в том числе вручную) и защиты от подобных вирусов впредь необходимо сделать следующее:
  • отключитесь от Интернет
  • используя менеджер процессов (вызывается клавишами CTRL-ALT-DEL),
  • выгрузите из памяти процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE
  • удалите с диска соответствующий файл
  • удалите в разделе реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run команду на запуск файла вируса
  • перегрузите ПК
  • более тщательно удалите все следы текущей модификации вируса из системы с помощью антивирусной программы или специальных бесплатных утилит, предназначенных исключительно для борьбы с «Lovesan»:
    1. ftp://ftp.kaspersky.com/utils/clrav.zip
    2. http://securityresponse.symantec.com/avcenter/FixBlast.exe

    Установите хороший файерволл и заблокируйте TCP/UDP порты 135, 139, 445, 69 и 4444.

    Файерволл можно использовать как англоязычный, например:
  • Norton Internet Security (http://www.symantec.com/),
  • Sygate Personal Firewall (http://www.sygate.com/),
  • Network Ice Black ICE Defender (http://www.networkice.com/),
  • Zone Alarm (http://www.zonelabs.com/),
  • ConSeal PC Firewall (http://www.signal9.com/),

    так и отечественный:
  • Kaspersky Anti-Hacker (http://www.kaspersky.ru/buyonline.html?info=1092732),
  • Outpost (http://www.agnitum.com/products/outpost/).

    Автор: Трошин Сергей
    Источник: http://www.oszone.net


  • Ссылки по теме:
    Как установить Windows XP на ноутбук или как добавить SATA-драйвер в дистрибутив Windows XP
    MSBlast: ещё раз о наболевшем
    Windows своими руками: XP Embedded
    Войди в систему красиво
    Обзор оснастки "Локальные пользователи и группы"



     
    Статьи    
      Windows 10
      Windows 8
      Windows 7
      Windows Vista
      Windows XP/2003
      Windows NT/2000
      Безопасность
      Windows 9x/ME
      Hardware
      Software
      Интернет
      BIOS
      Сеть
      Разное
     
    Рекомендуем
     
     
    Рейтинг статей...    
        Предел входящих подключений в Windows (128681)
        Как установить Windows XP на ноутбук или как добавить SATA-драйвер в дистрибутив Windows XP (69538)
        Из дома в офис - быстро, надежно и безопасно (55392)
        Всё, что надо начинающему хакеру (50397)
        Восстановление реестра Windows XP (23280)
        Второй сервис-пак для Windows XP: личный опыт (23150)
        Вызываем синий экран смерти Windows (18428)
        Настройка удаленного подключения между Windows 7 и Linux с помощью TightVNC (17426)
        Информация о proxy серверах (17278)
        Как устроена защита Windows Vista (17125)
     
     
    Programmed by Ventura
     

     

    Яндекс цитирования