IPB

Здравствуйте, гость ( Вход | Регистрация )

 
ОтветитьСоздать новую тему
> Новый вирус Worm.Win32.Sasser
Stitch
сообщение 3.5.2004, 8:59
Сообщение #1





Группа: Teremki@LAN
Сообщений: 3063
Регистрация: 28.2.2004
Из: kieff
Пользователь №: 15



Опасность : ВЫСОКАЯ
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows.
Ее описание приведено в Microsoft Security Bulletin MS04-011:

http://www.microsoft.com/technet/security/...n/MS04-011.mspx

Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.

Размножение:
При запуске червь регистрирует себя в ключе автозапуска системного реестра:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
avserve.exe = %WINDIR%avserve.exe
или
avserve2.exe = %WINDIR%avserve2.exe
или
SKYNETAVE.EXE = %WINDIR%SKYNETAVE.EXE

Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.

Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.
[by www.viruslist.com]

Патч тут:
http://www.microsoft.com/technet/security/...n/MS04-011.mspx
Patch for WinXP (noSP, SP1):
http://www.microsoft.com/downloads/details...&displaylang=en

Информация:
http://www.viruslist.com/index.html
http://securityresponse.symantec.com/avcen...asser.worm.html
http://us.mcafee.com/virusInfo/default.asp...&virus_k=125007
http://isc.sans.org/diary.php?date=2004-04-30
http://www3.ca.com/threatinfo/virusinfo/vi...s.aspx?id=39012
http://www.f-secure.com/v-descs/sasser.shtml
Вернуться к началу страницы
 
+Цитировать сообщение
Mr.Cool
сообщение 3.5.2004, 10:13
Сообщение #2



Иконка группы

Группа: Admin
Сообщений: 793
Регистрация: 22.3.2004
Из: Teremki@LAN
Пользователь №: 51



ftp://ftp.teremki.org.ua/LSASS/

тут лежат заплатки на WinXp rus/eng и утилитка которая его лечит.
Вернуться к началу страницы
 
+Цитировать сообщение
Stitch
сообщение 3.5.2004, 11:13
Сообщение #3





Группа: Teremki@LAN
Сообщений: 3063
Регистрация: 28.2.2004
Из: kieff
Пользователь №: 15



Больше инфы о червяке:
http://www.f-secure.com/v-descs/sasser.shtml


Кратко о процедуре лечения:
1. Отключаем System Restore
2. Устанавливаем security fix for the MS04-011 (LSASS)
3. Сканим и лечим комп утилькой fxSasser
4. Включаем (если нужно) System Restore обратно
5. Перезагружаемся

(с) ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.txt

Патч для англ. Windows 2000 можно взять у меня.
Вернуться к началу страницы
 
+Цитировать сообщение
Crazy_Noodl
сообщение 11.12.2007, 18:59
Сообщение #4





Группа: Teremki@LAN
Сообщений: 65
Регистрация: 11.9.2007
Пользователь №: 4343



Чуваки!
хелп, Я не знаю что уже делать, два раза винт форматировал, и не хочет удалятся!
LSASS.EXE u SMSS.EXE запарили! я не знаю как удалить! кто что посоветует?

Сообщение отредактировал Crazy_Noodl - 11.12.2007, 19:03
Вернуться к началу страницы
 
+Цитировать сообщение
Morfeus
сообщение 11.12.2007, 20:41
Сообщение #5





Группа: Teremki@LAN
Сообщений: 2036
Регистрация: 5.2.2005
Из: Teremki@LAN
Пользователь №: 244



(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) Crazy_Noodl

Цитата
LSASS.EXE u SMSS.EXE


Это не вирусы, это виндовые службы. Но они могут быть заражены. Опиши НОРМАЛЬНО проблему.
Вернуться к началу страницы
 
+Цитировать сообщение
Zer0
сообщение 11.12.2007, 20:47
Сообщение #6





Группа: Teremki@LAN
Сообщений: 878
Регистрация: 9.2.2006
Пользователь №: 741



Цитата(Morfeus @ Dec 11 2007, 20:41) *
(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) Crazy_Noodl
Это не вирусы, это виндовые службы. Но они могут быть заражены. Опиши НОРМАЛЬНО проблему.

бугага! помню кто-то тоже пытался svchost удалять (IMG:http://board.teremki.net.ua/style_emoticons/default/icon_biggrin.gif)
Вернуться к началу страницы
 
+Цитировать сообщение
Crazy_Noodl
сообщение 11.12.2007, 20:51
Сообщение #7





Группа: Teremki@LAN
Сообщений: 65
Регистрация: 11.9.2007
Пользователь №: 4343



Короче описую!
LSASS.EXE u SMSS.EXE ето вирус! а lsass.exe u smss.exe это виндовые службы!
Теперь сама трабла!
Гдето месяц назад, подцепил эту парашу! По началу закрывались произвольно приложения, ресался комп, жестоко лагал! НУ это пох! Вычитал в нете что ето какойто там вирус, короче нада формат винт, по другому никак! Взял у друга винт, скинул все свое гавно ему на винт (думал может повезет, вирус не скопируется, а БОЛТ) форматнул свой винт, установил две винды как и было, скчал каспера, обновил, подконектил другой винт, пробил каспером (7 часов пробивало) нашло 56 вирусо, поудаляло их! думаю что уже все(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif) Зашол на другую винду, и опять началось! ППЦ! Потом зашол опять ну ту где каспер стоял, а каспер то уже не открывается! Короче там что то с ауторанами лакальных дисковЮ только не знаю как их удалить)
Вернуться к началу страницы
 
+Цитировать сообщение
Zer0
сообщение 11.12.2007, 21:06
Сообщение #8





Группа: Teremki@LAN
Сообщений: 878
Регистрация: 9.2.2006
Пользователь №: 741



Цитата(Crazy_Noodl @ Dec 11 2007, 20:51) *
LSASS.EXE u SMSS.EXE ето вирус!

ну значит у меня все в вирусах (IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif)

Цитата(Crazy_Noodl @ Dec 11 2007, 20:51) *
Теперь сама трабла!

да видел я такое. оно кидает в корень диска и в отдельные папки что-то вроде autorun.inf не помню точно. если открывать эти папки проводником то запускаеться вирус. просто зайди тоталом и поудаляй.
Вернуться к началу страницы
 
+Цитировать сообщение
Crazy_Noodl
сообщение 11.12.2007, 21:18
Сообщение #9





Группа: Teremki@LAN
Сообщений: 65
Регистрация: 11.9.2007
Пользователь №: 4343



Цитата(Zer0 @ Dec 11 2007, 22:06) *
ну значит у меня все в вирусах (IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif)
да видел я такое. оно кидает в корень диска и в отдельные папки что-то вроде autorun.inf не помню точно. если открывать эти папки проводником то запускаеться вирус. просто зайди тоталом и поудаляй.

Что я только уже и не делал, и тоталом, и не тоталом(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif) всем! не нада конектить другой винт, так как он полностюю заражен, и свой тел, потомучто он ,сука, тож заражен, и как теперь жить!:) без всего!

Сообщение отредактировал Crazy_Noodl - 11.12.2007, 21:57
Вернуться к началу страницы
 
+Цитировать сообщение
Morfeus
сообщение 11.12.2007, 23:24
Сообщение #10





Группа: Teremki@LAN
Сообщений: 2036
Регистрация: 5.2.2005
Из: Teremki@LAN
Пользователь №: 244



(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) Crazy_Noodl

Удаляешь касперского. Ставишь что то типа Нода32. Чистишь Весь винт и первый и второй, желательно в безопасном режиме. После очищения всех дисков (Только ставь удалять все файлы а не лечить), вероятно будут места на диске с: где стоит винда, что файлы системные будут заражены и они не смогут удалится, вот тогда просто перегружаешь комп - форматируешь диск с: через установку винды, ставишь новую винду и вуаля комп свободен.

Если поставить винду с заплатками скажем от осени 2007 года - то ей уже эти вирусы не страшны - т.к. "дыры" залатаны. Хотя никто не отрицает "апдейт" вирусов.

Сообщение отредактировал Morfeus - 11.12.2007, 23:25
Вернуться к началу страницы
 
+Цитировать сообщение
Crazy_Noodl
сообщение 13.12.2007, 17:02
Сообщение #11





Группа: Teremki@LAN
Сообщений: 65
Регистрация: 11.9.2007
Пользователь №: 4343



Спас Каспер, нод не люблю!:)
Вернуться к началу страницы
 
+Цитировать сообщение

ОтветитьСоздать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 28.3.2024, 16:22
Ошибка работы драйвера БД

Ошибка при работе с базой данных

Возникла проблема при работе с базой данных.
Вы можете попробовать обновить эту страницу, нажав сюда