Новый вирус Worm.Win32.Sasser |
Здравствуйте, гость ( Вход | Регистрация )
Новый вирус Worm.Win32.Sasser |
3.5.2004, 8:59
Сообщение
#1
|
|
Группа: Teremki@LAN Сообщений: 3063 Регистрация: 28.2.2004 Из: kieff Пользователь №: 15 |
Опасность : ВЫСОКАЯ
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011: http://www.microsoft.com/technet/security/...n/MS04-011.mspx Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер ок. 15 Кб, упакован ZiPack. Размножение: При запуске червь регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] avserve.exe = %WINDIR%avserve.exe или avserve2.exe = %WINDIR%avserve2.exe или SKYNETAVE.EXE = %WINDIR%SKYNETAVE.EXE Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя. Загрузка выполняется по протоколу FTP. Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число. [by www.viruslist.com] Патч тут: http://www.microsoft.com/technet/security/...n/MS04-011.mspx Patch for WinXP (noSP, SP1): http://www.microsoft.com/downloads/details...&displaylang=en Информация: http://www.viruslist.com/index.html http://securityresponse.symantec.com/avcen...asser.worm.html http://us.mcafee.com/virusInfo/default.asp...&virus_k=125007 http://isc.sans.org/diary.php?date=2004-04-30 http://www3.ca.com/threatinfo/virusinfo/vi...s.aspx?id=39012 http://www.f-secure.com/v-descs/sasser.shtml |
|
|
3.5.2004, 10:13
Сообщение
#2
|
|
Группа: Admin Сообщений: 793 Регистрация: 22.3.2004 Из: Teremki@LAN Пользователь №: 51 |
|
|
|
3.5.2004, 11:13
Сообщение
#3
|
|
Группа: Teremki@LAN Сообщений: 3063 Регистрация: 28.2.2004 Из: kieff Пользователь №: 15 |
Больше инфы о червяке:
http://www.f-secure.com/v-descs/sasser.shtml Кратко о процедуре лечения: 1. Отключаем System Restore 2. Устанавливаем security fix for the MS04-011 (LSASS) 3. Сканим и лечим комп утилькой fxSasser 4. Включаем (если нужно) System Restore обратно 5. Перезагружаемся (с) ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.txt Патч для англ. Windows 2000 можно взять у меня. |
|
|
11.12.2007, 18:59
Сообщение
#4
|
|
Группа: Teremki@LAN Сообщений: 65 Регистрация: 11.9.2007 Пользователь №: 4343 |
Чуваки!
хелп, Я не знаю что уже делать, два раза винт форматировал, и не хочет удалятся! LSASS.EXE u SMSS.EXE запарили! я не знаю как удалить! кто что посоветует? Сообщение отредактировал Crazy_Noodl - 11.12.2007, 19:03 |
|
|
11.12.2007, 20:41
Сообщение
#5
|
|
Группа: Teremki@LAN Сообщений: 2036 Регистрация: 5.2.2005 Из: Teremki@LAN Пользователь №: 244 |
(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) Crazy_Noodl
Цитата LSASS.EXE u SMSS.EXE Это не вирусы, это виндовые службы. Но они могут быть заражены. Опиши НОРМАЛЬНО проблему. |
|
|
11.12.2007, 20:47
Сообщение
#6
|
|
Группа: Teremki@LAN Сообщений: 878 Регистрация: 9.2.2006 Пользователь №: 741 |
(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) Crazy_Noodl Это не вирусы, это виндовые службы. Но они могут быть заражены. Опиши НОРМАЛЬНО проблему. бугага! помню кто-то тоже пытался svchost удалять (IMG:http://board.teremki.net.ua/style_emoticons/default/icon_biggrin.gif) |
|
|
11.12.2007, 20:51
Сообщение
#7
|
|
Группа: Teremki@LAN Сообщений: 65 Регистрация: 11.9.2007 Пользователь №: 4343 |
Короче описую!
LSASS.EXE u SMSS.EXE ето вирус! а lsass.exe u smss.exe это виндовые службы! Теперь сама трабла! Гдето месяц назад, подцепил эту парашу! По началу закрывались произвольно приложения, ресался комп, жестоко лагал! НУ это пох! Вычитал в нете что ето какойто там вирус, короче нада формат винт, по другому никак! Взял у друга винт, скинул все свое гавно ему на винт (думал может повезет, вирус не скопируется, а БОЛТ) форматнул свой винт, установил две винды как и было, скчал каспера, обновил, подконектил другой винт, пробил каспером (7 часов пробивало) нашло 56 вирусо, поудаляло их! думаю что уже все(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif) Зашол на другую винду, и опять началось! ППЦ! Потом зашол опять ну ту где каспер стоял, а каспер то уже не открывается! Короче там что то с ауторанами лакальных дисковЮ только не знаю как их удалить) |
|
|
11.12.2007, 21:06
Сообщение
#8
|
|
Группа: Teremki@LAN Сообщений: 878 Регистрация: 9.2.2006 Пользователь №: 741 |
LSASS.EXE u SMSS.EXE ето вирус! ну значит у меня все в вирусах (IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif) Теперь сама трабла! да видел я такое. оно кидает в корень диска и в отдельные папки что-то вроде autorun.inf не помню точно. если открывать эти папки проводником то запускаеться вирус. просто зайди тоталом и поудаляй. |
|
|
11.12.2007, 21:18
Сообщение
#9
|
|
Группа: Teremki@LAN Сообщений: 65 Регистрация: 11.9.2007 Пользователь №: 4343 |
ну значит у меня все в вирусах (IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif) да видел я такое. оно кидает в корень диска и в отдельные папки что-то вроде autorun.inf не помню точно. если открывать эти папки проводником то запускаеться вирус. просто зайди тоталом и поудаляй. Что я только уже и не делал, и тоталом, и не тоталом(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif) всем! не нада конектить другой винт, так как он полностюю заражен, и свой тел, потомучто он ,сука, тож заражен, и как теперь жить!:) без всего! Сообщение отредактировал Crazy_Noodl - 11.12.2007, 21:57 |
|
|
11.12.2007, 23:24
Сообщение
#10
|
|
Группа: Teremki@LAN Сообщений: 2036 Регистрация: 5.2.2005 Из: Teremki@LAN Пользователь №: 244 |
(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) Crazy_Noodl
Удаляешь касперского. Ставишь что то типа Нода32. Чистишь Весь винт и первый и второй, желательно в безопасном режиме. После очищения всех дисков (Только ставь удалять все файлы а не лечить), вероятно будут места на диске с: где стоит винда, что файлы системные будут заражены и они не смогут удалится, вот тогда просто перегружаешь комп - форматируешь диск с: через установку винды, ставишь новую винду и вуаля комп свободен. Если поставить винду с заплатками скажем от осени 2007 года - то ей уже эти вирусы не страшны - т.к. "дыры" залатаны. Хотя никто не отрицает "апдейт" вирусов. Сообщение отредактировал Morfeus - 11.12.2007, 23:25 |
|
|
13.12.2007, 17:02
Сообщение
#11
|
|
Группа: Teremki@LAN Сообщений: 65 Регистрация: 11.9.2007 Пользователь №: 4343 |
Спас Каспер, нод не люблю!:)
|
|
|
Текстовая версия | Сейчас: 28.3.2024, 11:48 |