Jump to content


Photo

ВИРУСЫ


2558 replies to this topic

#1 alf27

alf27

    Advanced Member

  • Members
  • PipPipPip
  • 398 posts

Posted 16 November 2004 - 00:47

Сдесь будет выкладываться информация про вирусы. ФЛУД и ФЛЕЙМ запрещен ! За нарушение БАН !
  • 0

#2 alf27

alf27

    Advanced Member

  • Members
  • PipPipPip
  • 398 posts

Posted 16 November 2004 - 16:48

I-Worm.Bagz.g Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь является приложением Windows (PE EXE-файл), имеет размер около 167КБ, упакован UPX. Размер распакованного файла около 200КБ. Инсталляция После запуска червь создает в системном каталоге Windows следующие файлы: C:\WINDOWS\SYSTEM32\sysinfo32.exe C:\WINDOWS\SYSTEM32\trace32.exe Также червь копирует себя в системный каталог Windows с именем: C:\WINDOWS\SYSTEM32\sqlssl.doc           .exe Затем червь создает запись в системном реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Xuy v palto] Размножение через email Червь ищет на диске файлы с расширениями из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты. TBB tbb TBI tbi DBX dbx HTM htm TXT txt Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Игнорируется отправка писем на адреса, содержащие строки: @avp @foo @iana @messagelab @microsoft abuse admin administrator@ all@ anyone@ bsd bugs@ cafee certific certs@ contact@ contract@ feste free-av f-secur gold- gold-certs@ google help@ hostmaster@ icrosoft info@ kasp linux listserv local netadmin@ news nobody@ noone@ noreply ntivi oocies panda pgp postmaster@ rating@ root@ samples sopho spam support support@ unix update webmaster@ winrar winzip Характеристики зараженных писем Тема письма: Выбирается из списка: ASAP Administrator Allert! Amirecans Att attach attachments best regards contract Have a nice day Hello Money office please responce re: Andrey re: order re: please Read this Russian's text toxic urgent Vasia waiting Warning Текст письма: Выбирается из списка: Did you get the previous document I attached for you? I resent it in this email just in case, because I really need you to check it out asap. Best Regards Hi I made a mistake and forgot to click attach on the previous email I sent you. Please give me your opinion on this opportunity when you get a chance. Best Regards Hi I was supposed to send you this document yesterday. Sorry for the delay, please forward this to your family if possible. It contains important info for both of you. Hi Sorry, I forgot to send an important document to you in that last email. I had an important phone call. Please checkout attached doc file when you have a moment. Best Regards Hi I was in a rush and I forgot to attach an important document. Please see attached doc file. Best Regards, Sorry to bother you, but I am having a problem receiving your emails. I am responding to your last email in the attached file. Please get back to me if there is any problem reading the attachment. I am responding to your last email in the attached file. I had a delivery problem with your inbox, so maybe you'll receive this now. Can you please check out the email I have attached? For some reason, I received only part of your last several emails. I want to make sure that there are no problems with either of our accounts. This email is being sent as attachment because it was previously blocked by your email filters. Please view the attachment and respond. Thanks I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks I apologize, but I need you to verify that I have the correct contact info for you. My system crashed last weekend and I lost most of my friends and work contacts. Please check the attached (.pdf) and please let me know if your info is current. My last email to you was returned. The reason is that I am not currently added to your allowed contact list. Please add my updated contact info provided in the attached (.pdf) file so I can send you emails in the future. Sincerely I have updated my email address See the (.pdf) file attached and please respond if you have any questions. We have made recent updates to our database. Please verify your mailing address on file is correct. We have attached a (.pdf) sheet for you to use for your response. Hello Our contact information has changed. See the attached (.pdf) sheet for details. Sincerely, ***URGENT: SERVICE SHUTDOWN NOTICE*** Due to your failure to comply with our email Rules and Regulations, your email account has been temporarily suspended for 24 hours unless we are contacted regarding this situation. You must read the attached document for further instructions. Failure to comply will result in termination of your account. Regards, Net Operator ***URGENT: SERVICE SHUTDOWN NOTICE*** ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** You are currently unable to send emails. This may be a billing issue. Please call the billing center. The # for the billing office is located in the attached contact list for your convenience. ***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!*** ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** Hello, The previous email you sent has been recognized as spam. This means your email was not delivered to your friend or client. You must open the attached file to receive more information. ***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM*** Hello, What version of windows you are using? This last document I received from you came out weird. Please see the attached word file and resend the file to me. Many thanks, User Hello, My PC crashed while I was sending that last email. I have re-attached the document of yours that I discovered. Please read attached document and respond ASAP. Sincerely, User Hello, Your email was sent in an INVALID format. To verify this email was sent from you, simply open the attached email (.eml) file and click yes in the sender options box. Thank You, User Hello, Your email was received. YOUR REPLY IS URGENT! Please view the attached text file for instructions. Regards, User Hello, I was in a hurry and I forgot to attach an important document. Please see attached. Best Regards, User Hello, I resent this email as attachment because it was previously blocked by your email filters. Please read the attachment and respond. Thanks,User Hello, Sorry, I forgot to attach the new contact information. Please view the attached (.pdf) contact sheet. Sincerely, User Имя файла-вложения: Выбирается из списков: about.zip admin.zip archivator.zip archives.zip ataches.zip backup.zip docs.zip documentation.zip help.zip inbox.zip manual.zip outbox.zip payment.zip photos.zip rar.zip readme.zip save.zip zip.zip about.doc                    .exe admin.doc                    .exe archivator.doc                    .exe archives.doc                   .exe ataches.doc                   .exe backup.doc                    .exe docs.doc                   .exe documentation.doc                   .exe help.doc                   .exe inbox.doc                   .exe manual.doc                   .exe outbox.doc                   .exe payment.doc                   .exe photos.doc                   .exe rar.doc                   .exe readme.doc                   .exe save.doc                   .exe sqlssl.doc                   .exe zip.doc                   .exe Действие I-Worm.Bagz.g изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст, запрещая доступ к следующим ресурсам: 127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com 127.0.0.1 avp.ru 127.0.0.1 awaps.net 127.0.0.1 banner.fastclick.net 127.0.0.1 banners.fastclick.net 127.0.0.1 ca.com 127.0.0.1 click.atdmt.com 127.0.0.1 clicks.atdmt.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.microsoft.com 127.0.0.1 downloads.microsoft.com 127.0.0.1 engine.awaps.net 127.0.0.1 fastclick.net 127.0.0.1 f-secure.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.sophos.com 127.0.0.1 go.microsoft.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 localhost 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 media.fastclick.net 127.0.0.1 msdn.microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 office.microsoft.com 127.0.0.1 phx.corporate-ir.net 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 spd.atdmt.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.ru 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 www.avp.ch 127.0.0.1 www.avp.com 127.0.0.1 www.avp.ru 127.0.0.1 www.awaps.net 127.0.0.1 www.ca.com 127.0.0.1 www.fastclick.net 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.ru 127.0.0.1 www3.ca.com Червь удаляет из системного реестра ключи, содержащие следующие строки: 804mbd1.chk 804mbd1.img aboutplg.dll alert.zap appinit.ini apwcmdnt.dll apwutil.dll ashavast.exe ashbug.exe ashchest.exe ashdisp.exe ashldres.dll ashlogv.exe ashmaisv.exe ashpopwz.exe ashquick.exe ashserv.exe ashsimpl.exe ashskpcc.exe ashskpck.exe aswboot.exe aswregsvr.exe aswupdsv.exe avcompbr.dll avres.dll bootwarn.exe camupd.dll ccavmail.dll ccimscan.dll ccimscn.exe cerbprovider.pvx cfgwiz.exe cfgwzres.dll defalert.dll djsalert.dll dunzip32.dll edisk.dll email.zap emscnres.dll filter.zap firewall.zap framewrk.dll ftscnres.dll idlock.zap imscnbin.inf imscnres.inf ltchkres.dll mcappins.exe mcavtsub.dll mcinfo.exe mcmnhdlr.exe mcscan32.dll mcshield.dll mcshield.exe mcurial.dll mcvsctl.dll mcvsescn.exe mcvsftsn.exe mcvsmap.exe mcvsrte.exe mcvsscrp.dll mcvsshl.dll mcvsshld.exe mcvsskt.dll mcvsworm.dll mghtml.exe mpfagent.exe mpfconsole.exe mpfservice.exe mpftray.exe mpfupdchk.dll mpfwizard.exe mvtx.exe n32call.dll n32exclu.dll naiann.dll naievent.dll navap32.dll navapscr.dll navapsvc.exe navapw32.dll navapw32.exe navcfgwz.dll navcomui.dll naverror.dll navevent.dll navlcom.dll navlnch.dll navlogv.dll navlucbk.dll navntutl.dll navoptrf.dll navopts.dll navprod.dll navshext.dll navstats.dll navstub.exe navtasks.dll navtskwz.dll navui.dll navui.nsi navuihtm.dll navw32.exe navwnt.exe netbrext.dll ntclient.dll oeheur.dll officeav.dll opscan.exe outscan.dll outscres.dll patch25d.dll patchw32.dll persfw.exe pfui.dll pfwadmin.exe probegse.dll programs.zap ptchinst.dll qconres.dll qconsole.exe qspak32.dll quar32.dll quarantine quaropts.dat s32integ.dll s32navo.dll savrt.sys savrt32.dll savrtpel.sys savscan.exe scan.dat scandlvr.dll scandres.dll scanmgr.dll scanserv.dll sched.exe scriptui.dll scrpres.dll scrpsbin.inf scrstres.inf sdpck32i.dll sdsnd32i.dll sdsok32i.dll sdstp32i.dll security.zap shextbin.inf shextres.inf shlres.dll ssleay32.dll statushp.dll symnavo.dll tutorwiz.dll vsagntui.dll vsavpro.dll vsdb.dll vsmon.exe vsoui.dll vsoupd.dll vsowow.dll vsruledb.dll vsvault.dll wormres.dll zatutor.exe zauninst.exe zav.zap zl_priv.htm zlclient.exe zlparser.dll zonealarm.exe Информация взята с http://www.avp.ru/
  • 0

#3 alf27

alf27

    Advanced Member

  • Members
  • PipPipPip
  • 398 posts

Posted 16 November 2004 - 16:50

-Worm.Skybag.a Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь представляет собой PE EXE-файл, размером 205КБ. Инсталляция Во время запуска червь может выводить сообщение: Windows encountered an error reading the file После запуска червь копирует себя в системный каталог Windows с именами: bloodred.exe Windows_kernel32.exe Также в системном каталоге Windows червь создает следующие файлы: base64exe.sys base64zip.sys frun.txt В каталоге Windows червь создает файл "bloodred.zip". I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Kernel"="%System%\Windows_kernel32.exe" Распространение через email Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями: adb asp dbx doc htm html jsp rtf txt xml Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Игнорируется отправка писем на адреса, содержащие строки: @avp @fsecure @hotmail @microsoft @mm @msn @noreply @norman @norton @panda @sopho @symantec @virusli Характеристики зараженных писем Адрес отправителя: Выбирается из списка: administration@<домен получателя> management@<домен получателя> server@<домен получателя> service@<домен получателя> userhelp@<домен получателя> Тема письма: Выбирается из списка: Detailed Information Email Account Information Server Error URGENT PLEASE READ! Urgent Update! User Info User Information http://www.avp.ru/
  • 0

#4 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 16 November 2004 - 18:43

Backdoor.WinCE.Brador.a  (для КПК) Инфо старое (01.10.04), но полезное! У владельцев КПК на платформе Windows Mobile появился серьёзный повод озаботиться обеспечением безопасности своих налодонников. Антивирусная компания «Лаборатория Касперского» сообщила об обнаружения вредоносной программы для КПК под названием Backdoor.WinCE.Brador.a, которая представляет собой утилиту удаленного администрирования (backdoor). После запуска программа размером 5632 байта создаёт свой файл с именем svhost.exe в каталоге запуска ОС и получает полное управление системой при каждом включении КПК. При наличии подключении к Интернету  WinCE.Brador.a определяет IP-адрес заражённой систему и отправляет его по электронной почте своему автору. Получив сообщение, злоумышленник знает, что поражённый КПК находится в Сети и программа удаленного управления активна. Затем Троян открывает на КПК порт 44299 для приёма различных команд со стороны злоумышленника. В итоге хакер может получить полный контроль над подключённым к Сети КПК. Помимо функций автозагрузки и удаленного управления, программа удаляет или создаёт файлы, а так же пересылает их злоумышленнику. К счастью  Brador.a не имеет функции самораспространения и может попасть на чужой компьютер только под видом другой безобидной программы в виде вложения в электроном письме или просто файла, переданного из настольного ПК или из Интернета. По данным аналитиков «Лаборатории Касперского», автором WinCE.Brador.a может быть российский вирусописатель. Такой вывод сделали в связи с тем, что информация о появлении программы поступила с российского адреса электронной почты и текст сообщения был составлен на русском языке. Особые опасения борцам с вирусной угрозой внушает тот факт, что программа комерцеская0 то есть автор продаёт её всем желающим.
  • 0

#5 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 16 November 2004 - 18:49

Вирус выдаёт себя за программу ICQFLOOD.EXE ... Место хранения ICQFLOOD.EXE c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011A78ABE1}\RP47\A0017428.exe A0017428.exe c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011A78ABE1}\RP47 A0017429.EXE c:\System Volume Information\_restore{01044B79-4E53-4EBF-87C3-A5011A78ABE1}\RP47 Расшерение .exe .EXE .sfx.exe Этот вирус распологается на данной ссылки http://hacksss2.stsl...cqflood.sfx.exe ...
  • 0

#6 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 16 November 2004 - 20:28

Обход ограничений в Microsoft IE на Windows XP SP2 Программа: Microsoft IE на Windows XP SP2 Опасность: Высокая Наличие эксплоита: Нет Описание: Обнаружено несколько уязвимостей в Microsoft Internet Explorer. Удаленный атакующий может получить полный контроль над уязвимой системой. Удаленный атакующий может создать специальным образом злонамеренную страницу, с помощью которой он сможет загрузить и выполнить произвольный файл на уязвимой системе. Подробности неизвестны. URL производителя: www.microsoft.com Решение: Решение на данный момент не существует. Microsoft Internet Explorer on XP SP2 Has Unspecified Flaws That Let Remote Users Bypass File Download Restrictions Finjan issued a press release reporting several vulnerabilities in Microsoft Windows XP SP2. According to the report, a remote user can create a specially crafted web page that, when loaded by the target user, will silently take full control of the target user's system. > Hackers can remotely access users' local files > Hackers can switch between Internet Explorer Security Zones to obtain rights of > local zone > Hackers can bypass SP2’s notification mechanism on the download and execution of > EXE files and therefore download files without any warning or notification
  • 0

#7 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 16 November 2004 - 20:36

Microsoft Internet Explorer IFRAME Tag Overflow Exploit Цель эксплоита: Interner Explorer Воздействие эксплоита: Remote Shell Скачать эксплоит: http://www.securityl...iframe.html.txt Новая версия интернет-червя MyDoom Новая версия компьютерного червя MyDoom использует незакрытую брешь в Microsoft Internet Explorer. Недавно обнаруженная уязвимость в IE позволяет вирусу проникать на компьютер пользователя после клика по гиперссылке в зараженном письме. В теле письма содежится призыв загрузить фото- или видеоизображения. После клика, на Windows-машину загружается Internet Explorer и специально изготовленная веб-страница, использующая IFrame-уязвимость. Затем исполняется вредоносная программа. После заражения системы вирус распространяет себя по найденным адресам электронной почты, создает веб-сервер и использует некоторые ретранслируемые чаты для оповещения вирусописателя о заражении нового компьютера.
  • 0

#8 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 17 November 2004 - 13:16

I-Worm.Skybag.a (немного поглубже с уточнениями) Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Червь представляет собой PE EXE-файл, размером 205КБ. Инсталляция Во время запуска червь может выводить сообщение: Windows encountered an error reading the file После запуска червь копирует себя в системный каталог Windows с именами: bloodred.exe Windows_kernel32.exe Также в системном каталоге Windows червь создает следующие файлы: base64exe.sys base64zip.sys frun.txt В каталоге Windows червь создает файл "bloodred.zip". I-Worm.Skybag.a регистрирует себя в ключе автозапуска системного реестра: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Microsoft Kernel"="%System%\Windows_kernel32.exe" Распространение через email Для поиска адресов жертв червь сканирует адресную книгу Outlook, а также ищет адреса в файлах со следующими расширениями: adb asp dbx doc htm html jsp rtf txt xml Для отправки почты червь использует прямое подключение к SMTP-серверу получателя. Игнорируется отправка писем на адреса, содержащие строки: @avp @fsecure @hotmail @microsoft @mm @msn @noreply @norman @norton @panda @sopho @symantec @virusli Характеристики зараженных писем Адрес отправителя: Выбирается из списка: administration@<домен получателя> management@<домен получателя> server@<домен получателя> service@<домен получателя> userhelp@<домен получателя> Тема письма: Выбирается из списка: Detailed Information Email Account Information Server Error URGENT PLEASE READ! Urgent Update! User Info User Information Текст письма: Выбирается из вариантов: Our server is experiencing some latency in our email service. The attachment contains details on how your account will be affected. Due to recent internet attacks, your Email account security is being upgraded. The attachment contains more details Our Email system has received reports of your account flooding email servers. There is more information on this matter in the attachment We regret to inform you that your account has been hijacked and used for illegal purposes. The attachment has more information about what has happened. Your Email account information has been removed from the system due to inactivity. To renew your account information refer to the attachment There is urgent information in the attachment regarding your Email account Имя файла-вложения: Выбирается из списка: Account_Information Details Gift Information Update Word_Document Возможные расширения: cmd, pif, scr, zip. Размножение через локальную и файлообменные сети Червь создает свои копии на всех жестких дисках во всех подкаталогах, содержащих в своем названии слово "Share" с именами выбираемыми из списка: ACDSEE10.exe Adobe Photoshop Full Version.exe Battlefield 1942.exe Brianna banks and jenna jameson.mpeg ..exe Britney spears naked.jpeg .exe Cisco source code.zip ..exe DVD Xcopy xpress.exe jenna jameson screensaver.scr Kazaa Lite.zip ..exe NETSKY SOURCE CODE.zip ..exe Norton AntiVirus 2004.exe Opera Registered version.exe Snood new version.exe Teen Porn.mpeg ..exe Visual Studio.NET.zip .exe WinAmp 6.exe Windows crack.zip ..exe Windows Longhorn Beta.exe WINDOWS SOURCE CODE.zip ..exe WinRAR.exe Действие I-Worm.Skybag.a закрывает диспетчер задач Windows, в том случае, если он был открыт. Червь изменяет файл "%System%\DRIVERS\ETC\HOSTS" и дописывает в него следующий текст: 127.0.0.1 www.norton.com 127.0.0.1 norton.com 127.0.0.1 yahoo.com 127.0.0.1 www.yahoo.com 127.0.0.1 microsoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 windowsupdate.com 127.0.0.1 www.windowsupdate.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 www.google.com 127.0.0.1 google.com После 15 ноября 2004 червь пытается произвести DoS-атаку на сайт www.kazaa.com. Также червь пытается выгрузить из памяти различные межсетевые экраны и антивирусные программы. Червь открывает и затем отслеживает TCP порт 2345 для приема команд от злоумышленника.
  • 0

#9 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 17 November 2004 - 13:18

Trojan.Webus.D Trojan.Webus.D – троянская программа, которая соединяется с IRC сервером и открывает “черный ход” на скомпрометированной систме. При запуске Trojan.Webus.D выполняет следующие действия: 1.Копирует себя в %System%\lsvchost.exe. 2.Создает мьютекс с названием "3586E64A-W323-121E-BFC6-083C2BF2S511", чтобы убедиться что только один Троян выполняется на скомпрометированной системе. 3.Добавляет значения : ".mscdr"="%System%\lsvchost.exe" В ключи реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4. Открывает случайный TCP порт на локальной машине и ждет входящих соединений. Может открыть прокси соединение с другим хостом. 5. Открывает “черный ход” на 1088 TCP порту для соединения с одним из следующих IRC серверов : serv.gigaset.org gimp.robobot.org Затем Троян может посылать команды удаленному атакующему для выполнения ряда действий, включая скачивание и выполнение произвольных файлов.
  • 0

#10 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 17 November 2004 - 13:19

I-Worm.Bofra.a Вирус-червь. Использует уязвимость в Internet Explorer. Распространяется через интернет в виде зараженных писем без вложения. Червь не помещает свою копию в зараженное письмо, а помещает только ссылку на зараженный файл, находящийся на компьютере, с которого пришло это письмо. В момент обращения к полученной ссылке (происходит автоматически в случае срабатывания эксплойта приведенной выше уязвимости) происходит переполнение буфера и автоматический запуск зараженного файла. Письма рассылаются по всем найденным на зараженном компьютере адресам электронной почты. Червь является приложением Windows (PE EXE-файл), имеет размер около 21КБ, упакован MEW. Размер распакованного файла около 135КБ. Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC. Инсталляция После запуска червь копирует себя с произвольным именем, (любой набор символов, который всегда заканчивается на "32.exe"), в системный каталог Windows. Например: C:\WINDOWS\SYSTEM32\kfilaxm32.exe Затем регистрирует данный файл в ключе автозагрузки системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Rhino" = "%System%\<любой набор символов>32.exe" Распространение через email Для поиска адресов жертв червь сканирует адресные книги MS Windows, а также ищет адреса в файлах со следующими расширениями: adbh aspd dbxn htmb phpq pl shtl tbbg txt wab При этом червем игнорируются адреса, содержащие следующие подстроки: .edu .gov .mil abuse accoun acketst admin anyone arin. avp berkeley borlan bsd bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google gov. help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mit.e mozilla msn. mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe. root ruslis samples secur sendmail service site soft somebody someone sopho submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам. Характеристики зараженных писем Отправитель: Имя отправителя включает в себя одну из следующих строк: adam alex alice andrew anna bill bob brenda brent brian claudia dan dave david debby fred george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda maria mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom Домен отправителя выбирается случайным образом из найденных на зараженном компьютере email-адресов или используется любой домен из списка: aol.com hotmail.com msn.com yahoo.com Тема письма: Выбирается из списка: funny photos :) hello hey! Текст письма: Выбирается из следующих вариантов: FREE ADULT VIDEO! SIGN UP NOW! Look at my homepage with my last webcam photos! Файл-вложение: В письме нет никаких вложений. Червь отправляет только ссылку на зараженный компьютер. Ссылка имеет следующий формат: http://<IP-адрес зараженного компьютера>:<номер открытого порта>/<название файла> Червь открывает на зараженном компьютере TCP порт от 1639 и выше для скачивания файла. Подпись к письму: Выбирается из списка: Checked by Dr.Web (http://www.drweb.net) Checked for viruses by Gordano's AntiVirus Software scanned for viruses by AMaViS 0.2.1 (http://amavis.org/) Удаленное администрирование Червь открывает на зараженной машине TCP порт 6667 для соединения с IRC-каналами для приема команд.
  • 0

#11 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 17 November 2004 - 13:22

TrojanSpy.Win32.Montp.l Троянская программа-шпион. Является приложением Windows (PE EXE-файл), упакована UPX. Размер упакованного файла - около 20KB. При инсталляции "троянец" создает в системной папке Windows директорию "mset". В этой директории "троянец" создает свою копию с именем "svchost.exe". Также создаются файлы "_mails.txt" и "_pass.log", в которых собирается вся информация о зараженном компьютере. Полученную информацию троянец выкладывает на FTP-сервер злоумышленника. Троянская программа регистрирует себя в ключе автозагрузки системного реестра: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "mset"="%Windir%\%System%\mset\svchost.exe" Также в системной папке Windows "троянец" создает следующие файлы: C:\WINDOWS\SYSTEM32\kwuie_x.dll C:\WINDOWS\SYSTEM32\xtempx.xxx После запуска троянец выдает следующее окно: http://www.securityl...montp_l_1_s.gif TrojanSpy.Win32.Montp.l пытается остановить работу следующих процессов: _AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE ARMOR2NET.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLEANER.EXE CLEANER3.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE ESAFE.EXE ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.EXE JEDI.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCANW.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NPROTECT.EXE NUPGRADE.EXE NVC95.EXE NVSVC32.EXE OUTPOST.EXE PADMIN.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCFWALLICON.EXE PCWIN98.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RESCUE.EXE SAFEWEB.EXE SAVSCAN.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE VSCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSTAT.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE
  • 0

#12 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 17 November 2004 - 13:23

Backdoor.Selka Backdoor.Selka - это бэкдор, который позволяет получить удаленный доступ на зараженный компьютер. При запуске Backdoor.Selka выполняет следующие действия: 1.Копирует себя в %System%\WIN32SVC.EXE. 2.Создает сервис со следующими свойствами: Service Name: win32svc Display Name: Win32 service 3.Создает следующие подключи реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\win32svc HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WIN32SVC HKEY_LOCAL_MACHINE\Software\Netmaniac\aSeLka\iNfecTeD 4.Открывает 33333 TCP порт для связи с удаленным атакующим. Установя соединение, бэкдор создает командную оболочку под названием cmd.exe и ждет команд. 5.Использует собственный SMTP сервер для того, чтобы послать письмо атакующему через почтовый сервер mxs.mail.ru. Email имеет следующие характеристики: From: sweetamy@bk.ru To: sweetamy@bk.ru Subject: -= iNfEcTeD hOsT [infected computer name] [infected user name] =- Message text: (various system information)
  • 0

#13 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 17 November 2004 - 20:01

FAQ по LaveSan. 1. "Lovesan", "Lovsan", "Blaster", "Msblast", "Poza" - это одно и тоже или разные черви? Все эти имена относятся к одной вредоносной программе, но используются разными антивирусными компаниями. В терминологии "Лаборатории Касперского" этот червь называется "Lovesan". На данный момент известны три модификации червя, которым некоторыми разработчиками присвоены индексы "a", "b" и "c". 2. Как понять, заражен ли мой компьютер? Признаками заражения компьютера являются: •      Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\) •      Внезапная перезагрузка компьютера после соединения с интернетом каждые несколько минут •      Многочисленные сбои в работе программ Word, Excel и Outlook •      Сообщения об ошибках, вызванных файлом "SVCHOST.EXE" •      Появление на экране окна с сообщением об ошибке (RPC Service Failing) 3. Чем опасен этот червь для моего компьютера? "Lovesan" не несет существенной опасности непосредственно для зараженного компьютера. Червь не удаляет, не изменяет и не похищает данные. Его угроза состоит в нарушении нормальной работы интернета в целом, что происходит из-за перегрузки каналов передачи данных рассылкой вирусного кода. Кроме того, начиная с 16 августа "Lovesan" атакует web-сайт windowsupdate.com, на котором содержатся обновления для операционной системы Windows. В результате этого web-сайт может выйти из строя, и пользователи окажутся отрезанными от этой важной информации. В этой связи "Лаборатория Касперского" рекомендует как можно быстрее установить обновление, не дожидаясь возможных перебоев в работе web-сайта. 4. Какие системы заражает "Lovesan"? Червь заражает компьютеры под управлением Windows NT, Windows 2000, Windows XP. Полный список уязвимых операционных систем приведен ниже: •      Windows NT 4.0 Server •      Windows NT 4.0 Terminal Server Edition •      Windows 2000 •      Windows XP 32 bit Edition •      Windows XP 64 bit Edition •      Windows Server 2003 32 bit Edition •      Windows Server 2003 64 bit Edition 5. Как защитить мой компьютер? Существует несколько способов защиты от "Lovesan". Во-первых, необходимо загрузить последние обновления антивируса и ни в коем случае не отключать антивирусный монитор во время работы с интернетом. Во-вторых, используйте межсетевой экран (firewall) для блокировки портов 135, 69 и 4444. Наконец, установите обновление для Windows, закрывающее брешь, через которую "Lovesan" проникает на компьютеры. Последний способ является наиболее эффективным, поскольку предотвращает заражение не только "Lovesan", но также всеми его разновидностями и другими подобными червями, использующими описанную брешь Windows. 6. Что такое межсетевой экран и где его взять? Межсетевой экран (англ. Firewall) - это специальная программа, которая защищает от хакерских атак, контролируя потоки данных между интернетом и компьютером. Она допускает только безопасные соединения с сетью, фильтрует вредоносные пакеты данных и предотвращает доступ в интернет неавторизованных приложений. Существуют два типа межсетевых экранов: для защиты сетей и рабочих станций. Для защиты домашних компьютеров мы рекомендуем воспользоваться Kaspersky® Anti-Hacker (http://www.kaspersky...ml?info=1092732). 7. Как устанавливать обновление для Windows? Вам необходимо загрузить обновление с сайта Microsoft по адресам: •      Windows NT 4.0 Server (русский, английский, немецкий, французский, испанский) •      Windows NT 4.0 Terminal Server Edition (английский, немецкий, французский, испанский) •      Windows 2000 (русский, английский, немецкий, французский, испанский) •      Windows XP 32 bit Edition (русский, английский, немецкий, французский, испанский) •      Windows XP 64 bit Edition (английский, немецкий, французский) •      Windows Server 2003 32 bit Edition (русский, английский, немецкий, французский, испанский) •      Windows Server 2003 64 bit Edition (английский, немецкий, французский) После окончания загрузки запустите файл и установка пройдет в автоматическом режиме. Следуйте инструкциям, которые будет предоставлять мастер установки. 8. Не могу загрузить обновление с сайта Microsoft - компьютер постоянно перегружается. Внезапная перезагрузка компьютера - одно из проявлений "Lovesan". Для обеспечения передачи обновления с сайте Microsoft мы рекомендуем найти файл TFTP.EXE (в системном каталоге Windows, обычно \WINDOWS\SYSTEM32\, и скрытом каталоге \WINDOWS\SYSTEM32\DLLCACHE) и переименовать его. После окончания загрузки и установки обновления можно вернуть файлу оригинальное название. 9. Что мне делать, если вирус уже заразил мой компьютер? Для этого достаточно использовать установленный на вашем компьютере антивирус. Перед этим убедитесь, что антивирус содержит последние обновления базы данных. Также вы можете воспользоваться бесплатной утилитой для защиты от "Lovesan", предлагаемой "Лабораторией Касперского". Данная программа обнаруживает активную копию червя в памяти компьютера, деактивирует ее, удаляет зараженные файлы с жесткого и сетевых дисков, восстанавливает системный реестр Windows. После завершения работы утилиты перезагрузите компьютер и запустите антивирусный сканер с последними обновлениями базы данных. Утилита является абсолютно бесплатной и доступна для загрузки по адресам: •      Версия в ZIP-архиве: ftp://ftp.kaspersky.com/utils/clrav.zip •      Неархивированная версия: ftp://ftp.kaspersky.com/utils/clrav.com •      Документация для утилиты: ftp://ftp.kaspersky.com/utils/clrav_ReadMe.txt 10. Воспользовался утилитой против "Lovesan", но мой компьютер снова заразился. Утилита только удаляет червя и восстанавливает зараженный компьютер, но не создает иммунитет против "Lovesan". Для этого вам необходимо установить описанное выше обновление для Windows.
  • 0

#14 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 17 November 2004 - 20:08

•      Рекомендации CERT по LoveSan: ПЕРВАЯ СВИДЕТЕЛЬСТВО - Консультативная CA-2003-19 Эксплуатация Уязвимости в Microsoft RPC Интерфейс Первоначальная(Оригинальная) дата проблемы(выпуска): 31 июля 2003 Последний пересмотренный: 31 июля 2003 21:25 UTC-0400 Источник: СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ Полная история пересмотра - в конце этого файла. Системы, которые затрагивают Windows NT Microsoft 4.0 Windows NT Microsoft 4.0 Предельных Издания Услуг Windows 2000 Microsoft Windows Microsoft XP Сервер Windows Microsoft 2003 Краткий обзор СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ получает сообщения широко распространенного просмотра и эксплуатации двух недавно обнаруженной уязвимости в Microsoft Отдаленный Запрос Процедуры (RPC) Интерфейс. I. Описание Сообщения к СВИДЕТЕЛЬСТВУ/МАШИНОПИСНОЙ КОПИИ указывают, что злоумышленники активно просматривают для и эксплуатируют уязвимость в DCOM Microsoft RPC интерфейс как описано в VU*568148 <http://www.kb.cert.o...vuls/id/568148> и CA-2003-16 <http://www.cert.org/...-2003-16.html>. Многократные деяния для этой уязвимости были публично выпущены, и есть активное развитие улучшенных и автоматизированных инструментов деяния для этой уязвимости. Известная цель деяний TCP порт 135 и создает привилегированный закулисный снаряд(раковину) команды на успешно компрометированных хозяевах. Некоторые версии деяния используют TCP порт 4444 для задней двери, и другие версии используют TCP число(номер) порта, указанное злоумышленником во времени выполнения. Мы также получили сообщения просмотра деятельности для общих(обычных) закулисных портов типа 4444/TCP. В некоторых случаях, из-за завершения обслуживания(службы) RPC, ставившая под угрозу(скомпрометированная) система может переботинок после того, как к задней двери обращается злоумышленник. Кажется, будет отдельная уязвимость опровержения-обслуживания в интерфейсе RPC Microsoft, который также преследуется. Базируемый на текущей информации, мы полагаем, что эта уязвимость является отдельной и независимой от RPC уязвимости, к которой обращаются(адресуют) вMS03-026 <http://microsoft.com.../MS03-026.asp>. СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ отслеживает эту дополнительную уязвимость какVU*326746 <http://www.kb.cert.o...vuls/id/326746> и продолжает работать, чтобы понять стратегии уменьшения и проблему(выпуск). Кодекс деяния для этой уязвимости был публично выпущен и также цели TCP порт 135. В обоих из нападений, описанных выше, TCP сессия к порту 135 используется, чтобы выполнить нападение. Однако, доступ к TCP портам 139 и 445 может также обеспечить векторы нападения и нужно рассмотреться(счесть) при применении(обращении) стратегий уменьшения. II. Воздействие Отдаленный нападавший мог эксплуатировать эту уязвимость, чтобы выполнить произвольный кодекс с Местными привилегиями Системы или причинять опровержение условия(состояния) обслуживания(службы). III. Решения Примените заплаты Все пользователи поощрены применить заплаты, упомянутые в Бюллетене Безопасности MicrosoftMS03-026 <http://microsoft.com...S03-026.asp>как можно скорее чтобы смягчить уязвимость, описанную вVU*568148 <http://www.kb.cert.o...uls/id/568148>. Эти заплаты также доступны черезМодернизацию WindowsMicrosoft<http://windowsupdate...m/>обслуживают. Системы, управляющие Windows 2000 могут все еще быть уязвимы к по крайней мере опровержению нападения обслуживания(службы) черезVU*326746 <http://www.kb.cert.o...vuls/id/326746>, если их DCOM RPC обслуживание(служба) доступен через сеть. Поэтому, участки(сайты) поощрены использовать подсказки(чаевые) фильтрования пачки ниже в дополнение к применению(обращению) заплат, снабженных вMS03-026 <http://microsoft.com.../MS03-026.asp>. Движение сети фильтра Участки(Сайты) поощрены блокировать доступ сети к обслуживанию(службе) RPC в границах сети. Это может минимизировать потенциал нападений опровержения-обслуживания, происходящих снаружи периметра. Определенные услуги, которые должны быть блокированы, включают 135/TCP 135/UDP 139/TCP 139/UDP 445/TCP 445/UDP Если доступ не может быть блокирован для всех внешних хозяев, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует доступ ограничения только тем хозяевам, которые требуют этого для нормального действия. Как правило, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует фильтрованию все типы движения сети, которые не требуются для нормального действия. Поскольку текущие деяния дляVU*568148 <http://www.kb.cert.o...vuls/id/568148> создают заднюю дверь, которая является в некоторых случаях 4444/TCP, блокируя прибывающие TCP сессии к портам, на которых никакие законные услуги не обеспечены, может ограничить доступ злоумышленника компрометированными хозяевами. Восстановление от компромисса системы Если Вы полагаете, что система при вашем административном контроле(управлении) была скомпрометирована, пожалуйста следуйте за шагами, выделенными в Шаги для того, чтобы Оправляться от UNIX или NT Компромисса Системы <http: // www.cert.org/tech_tips/win-UNIX-system_compromise.html> Сообщение СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ отслеживает деятельность, связанную с эксплуатацией первой уязвимости (VU*568148 <http://www.kb.cert.o...vuls/id/568148>) как CERT*27479 и второй уязвимости (VU*326746 <http://www.kb.cert.o...vuls/id/326746>) как CERT*24523. Уместным экспонатам или деятельности можно послать cert@cert.org с соответствующим СВИДЕТЕЛЬСТВОМ * на подчиненной линии. Приложение A. Информация Продавца Это приложение содержит информацию, обеспеченную продавцами. Когда продавцы сообщают о новой информации, эта секция обновлена, и изменения(замены) отмечены в истории пересмотра. Если продавец не упомянут ниже, мы не получили их комментарии. Microsoft <http: // www.microsoft.com/> Пожалуйста см. Бюллетень Безопасности MicrosoftMS03-026 <http://microsoft.com.../MS03-026.asp>. Приложение B. Ссылки(рекомендации) Примечание Уязвимости СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ VU*561284 - <http://www.kb.cert.o...vuls/id/561284> Примечание Уязвимости СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ VU*326746 -<http://www.kb.cert.o...vuls/id/326746> Бюллетень Безопасности Microsoft MS03-026 -<http://microsoft.com...n/MS03-026.asp> Статья(Изделие) Основы Знания Microsoft 823980 -<http: // support.microsoft.com? kbid=823980> Авторы:Чад Dougherty и Кевин Ху <mailto:cert@cert.org? subject=CA-2003-19%20Feedback> Этот документ доступен от:<http://www.cert.org/...A-2003-19.html> Информация Контакта СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ Пошлите по электронной почте: cert@cert.org <mailto:cert@cert.org> Звоните: +1 412-268-7090 (24-часовая экстренная связь) Факс: +1 412-268-6989 Почтовый адрес: Центр Координации СВИДЕТЕЛЬСТВА Институт Разработки Программного обеспечения Carnegie Mellon Университет Питсбург Пенсильвания 15213-3890 США. Персонал СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ отвечает на экстренную связь 08:00-17:00 восточное стандартное время (5 ПО ГРИНВИЧУ) / ПО ВОСТОЧНОМУ ВРЕМЕНИ (4 ПО ГРИНВИЧУ) с понедельника до пятницы; они находятся на призыве к критическому положению в течение других часов, на американском отпуске, и по уикэндам. Использование шифрования Мы настоятельно убеждаем Вас зашифровать чувствительную информацию, посланную электронной почтой. Наша публика PGP ключ доступна от <http://www.cert.org/CERT_PGP.key> Если Вы предпочитаете использовать DES, пожалуйста назовите(вызовите) экстренную связь СВИДЕТЕЛЬСТВА за дополнительной информацией. Получение информации безопасности Публикации СВИДЕТЕЛЬСТВА и другая информация безопасности доступны от нашего вебсайта <http://www.cert.org/> * "СВИДЕТЕЛЬСТВО" и "Центр Координации СВИДЕТЕЛЬСТВА" зарегистрировано в американском Патенте и Офисе Торговой марки. НИКАКАЯ ГАРАНТИЯ Любой материал, снабженный(доставленный) Carnegie Mellon Университет и Институт Разработки Программного обеспечения снабжен(доставлен) на, "как-" основание. Carnegie Mellon Университет не делает никаких гарантий любого вида, или выраженный или подразумеваемый относительно любого вопроса, включая, но не ограниченными, гарантия пригодности(соответствия) для специфической цели или высокого спроса, исключительности или результатов, полученных от использования материала. Carnegie Mellon Университет не делает никакой гарантии любого вида относительно свободы от патента, торговой марки, или нарушения авторского права.
  • 0

#15 Virusolog

Virusolog

    Advanced Member

  • Members
  • PipPipPip
  • 1,116 posts

Posted 17 November 2004 - 20:12

•      Рекомендации CERT по LoveSan: ВТОРАЯ СВИДЕТЕЛЬСТВО - Консультативный CA-2003-20 W32/Blaster червь Первоначальная(Оригинальная) дата проблемы(выпуска): 11 августа 2003 Последний пересмотренный: 14 августа 2003 Источник: СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ Полная история пересмотра - в конце этого файла. Системы, которые затрагивают Windows NT Microsoft 4.0 Windows 2000 Microsoft Windows Microsoft XP Сервер Windows Microsoft 2003 Краткий обзор СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ получает сообщения широко распространенной деятельности, связанной с новой частью злонамеренного кодекса, известного как W32/Blaster. Этот червь, кажется, эксплуатирует известную уязвимость в Microsoft Отдаленный Запрос Процедуры (RPC) Интерфейс. I. Описание W32/Blaster червь эксплуатирует уязвимость в DCOM Microsoft RPC интерфейс как описано в VU*568148 <http://www.kb.cert.o...vuls/id/568148> и CA-2003-16 <http://www.cert.org/...-2003-16.html>. После успешного выполнения, червь пытается восстанавливать копию файла msblast.exe от компрометирующего хозяина. Как только этот файл восстановлен, ставившая под угрозу(скомпрометированная) система тогда управляет этим и начинает просматривать для других уязвимых систем, чтобы идти на компромисс в той же самой манере. В ходе распространения, TCP сессия к порту 135 используется, чтобы выполнить нападение. Однако, доступ к TCP портам 139 и 445 может также обеспечить векторы нападения и нужно рассмотреться(счесть) при применении(обращении) стратегий уменьшения. Microsoft издал информацию об этой уязвимости в Бюллетене Безопасности Microsoft MS03-026 <http://microsoft.com.../MS03-026.asp>. Испытание лаборатории подтвердило, что червь включает способность начать(запустить) TCP SYN нападение опровержения-обслуживания наводнения противwindowsupdate.com <http://windowsupdate.com/>. Мы исследуем условия(состояния), при которых это нападение могло бы проявиться. Необычное или неожиданное движение к windowsupdate.com может указать инфекцию на вашей сети, так что Вы можете желать контролировать движение сети. Участки(Сайты), которые не используют windowsupdate.com, чтобы управлять заплатами, могут желать блокировать движение за границу к windowsupdate.com. Практически, это может быть трудно достигнуть, с тех пор windowsupdate.com не может решить к тому же самому, обращаются каждый раз. Правильно движение блокирования к windowsupdate.com будет требовать детального понимания вашей архитектуры направления сети, потребностей управления системы, и называть окружающую среду решения. Вы не должны блокировать движение к windowsupdate.com без полного понимания ваших эксплуатационных потребностей. Мы были в контакте с Microsoft относительно этой возможности этого нападения опровержения-обслуживания. II. Воздействие Отдаленный нападавший мог эксплуатировать эту уязвимость, чтобы выполнить произвольный кодекс с Местными привилегиями Системы или причинять условие(состояние) опровержения-обслуживания. III. Решения (ПРИМЕЧАНИЕ: Детальные инструкции для того, чтобы возвращать Windows XP системы от W32/Blaster червя могут быть найдены в W32/Blaster Восстановлении <http://www.cert.org/...2_blaster.html> Техническим Наконечником(Чаевыми)) Примените заплаты Все пользователи поощрены применить заплаты, упомянутые в Бюллетене Безопасности MicrosoftMS03-026 <http://microsoft.com...S03-026.asp>как можно скорее чтобы смягчить уязвимость, описанную вVU*568148 <http://www.kb.cert.o...uls/id/568148>. Эти заплаты также доступны черезМодернизацию WindowsMicrosoft<http://windowsupdate...m/>обслуживают. Системы, управляющие Windows 2000 могут все еще быть уязвимы к по крайней мере нападению опровержения-обслуживания черезVU*326746 <http://www.kb.cert.o...vuls/id/326746>, если их DCOM RPC обслуживание(служба) доступен через сеть. Поэтому, участки(сайты) поощрены использовать подсказки(чаевые) фильтрования пачки ниже в дополнение к применению(обращению) заплат, снабженных вMS03-026 <http://microsoft.com.../MS03-026.asp>. Сообщалось, что некоторые затронутые машины(механизмы) не способны остаться связанными с сетью достаточно долго, чтобы разгрузить заплаты от Microsoft. Для хозяев в этой ситуации, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует следующее: Физически разъедините систему от сети. Проверьте систему для признаков(подписей) компромисса. В большинстве случаев, инфекция будет обозначена присутствием ключа регистрации(регистратуры) "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows авто модернизация" с ценностью msblast.exe. Другие возможные ценности включают teekids.exe и penis32.exe. Если этот ключ присутствует, удалите это использующий редактора регистрации(регистратуры). Если Вы заражены(инфицированы), заканчиваете бегущую копию msblast.exe, teekids.exe или penis32.exe, используя Менеджера Задачи. Поиск и удаляет файлы, названные msblast.exe, teekids.exe или penis32.exe. Возьмите один из следующих шагов, чтобы защитить против компромисса до монтажа заплаты Microsoft: Калечьте DCOM как описано вMS03-026 <http://microsoft.com...n/MS03-026.asp> и Статье(Изделии) Основы Знания Microsoft825750 <http: // support.microsoft.com/default.aspx? scid=kb; en-us; 825750>. Позволите Брандмауэр Связи Интернета Microsoft (ICF <http://www.microsoft...omenet/icf.asp>) или другую программу фильтрования пачки уровня хозяина блокировать поступающие(наступающие) связи к порту 135/TCP. Информация о ICF доступна в Статье(Изделии) Основы Знания Microsoft283673 <http: // support.microsoft.com/default.aspx? scid=kb; en-us; 283673>. Повторно соедините систему с сетью, и примените заплаты, на которые упоминают вMS03-026 <http://microsoft.com.../MS03-026.asp>. Trend Micro, Inc <http://www.trendmicro.com/>издал <http: // www.trendmicro.com/vinfo/virusencyclo/default5.asp? VName=WORM_MSBLAST.A> набор шагов, чтобы достигнуть этих целей.Symantec <http://www.symantec.com> такжеиздал <http://securityrespo...ster.worm.html> набор шагов, чтобы достигнуть этих целей. Калечьте DCOM В зависимости от требований участка(сайта), Вы можете желать калечить DCOM как описано вMS03-026 <http://microsoft.com.../MS03-026.asp>. Выведение из строя DCOM поможет защищать против этой уязвимости, но может также причинить нежелательные побочные эффекты. Дополнительные детали относительно выведения из строя DCOM и возможных побочных эффектов доступны в Статье(Изделии) Основы Знания Microsoft825750 <http: // support.microsoft.com/default.aspx? scid=kb; en-us; 825750>. Движение сети фильтра Участки(Сайты) поощрены блокировать доступ сети к следующим уместным портам в границах сети. Это может минимизировать потенциал нападений опровержения-обслуживания, происходящих снаружи периметра. Определенные услуги, которые должны быть блокированы, включают 69/UDP 135/TCP 135/UDP 139/TCP 139/UDP 445/TCP 445/UDP 593/TCP 4444/TCP Участки(Сайты) должны рассмотреть(счесть) блокирование и прибывающее и движение за границу к этим портам, в зависимости от требований сети, в уровне сети и хозяине.Брандмауэр Связи Интернета Microsoft<http://www.microsoft...omenet/icf.asp> может использоваться, чтобы достигнуть этих целей. Если доступ не может быть блокирован для всех внешних хозяев, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует доступ ограничения только тем хозяевам, которые требуют этого для нормального действия. Как правило, свидетельство/МАШИНОПИСНАЯ КОПИЯ рекомендует фильтрованию все типы движения сети, которые не требуются для нормального действия. Поскольку текущие деяния дляVU*568148 <http://www.kb.cert.o...vuls/id/568148> создают заднюю дверь, которая является в некоторых случаях 4444/TCP, блокируя прибывающие TCP сессии к портам, на которых никакие законные услуги не обеспечены, может ограничить доступ злоумышленника компрометированными хозяевами. Восстановление от компромисса системы Если Вы полагаете, что система при вашем административном контроле(управлении) была скомпрометирована, пожалуйста следуйте за шагами, выделенными в Шаги для того, чтобы Оправляться от UNIX или NT Компромисса Системы <http: // www.cert.org/tech_tips/win-UNIX-system_compromise.html> Сообщение СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ отслеживает деятельность, связанную с этим червем как CERT*30479. Уместным экспонатам или деятельности можно послать cert@cert.org с соответствующим СВИДЕТЕЛЬСТВОМ * на подчиненной линии. Приложение A. Информация Продавца Это приложение содержит информацию, обеспеченную продавцами. Когда продавцы сообщают о новой информации, эта секция обновлена, и изменения(замены) отмечены в истории пересмотра. Если продавец не упомянут ниже, мы не получили их комментарии. Microsoft <http: // www.microsoft.com/> Пожалуйста см. Бюллетень Безопасности MicrosoftMS03-026 <http://microsoft.com.../MS03-026.asp>. Приложение B. Ссылки(рекомендации) СВИДЕТЕЛЬСТВО/МАШИНОПИСНАЯ КОПИЯ Консультативный CA-2003-19 - <http://www.cert.org/...A-2003-19.html> Примечание Уязвимости СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ VU*561284 -<http://www.kb.cert.o...vuls/id/561284> Примечание Уязвимости СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ VU*326746 -<http://www.kb.cert.o...vuls/id/326746> Бюллетень Безопасности Microsoft MS03-026 -<http://microsoft.com...n/MS03-026.asp> Статья(Изделие) Основы Знания Microsoft 823980 -<http: // support.microsoft.com? kbid=823980> Благодарность Наш благодаря Корпорации Microsoft для их обзора и входа(вклада) к этому консультативному. Авторы:Чад Dougherty, Джеффри Хаврилла, Shawn Hernan, и Мартай Линднер <mailto:cert@cert.org? subject=CA-2003-20%20Feedback> Этот документ доступен от:<http://www.cert.org/...A-2003-20.html> Информация Контакта СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ Пошлите по электронной почте: cert@cert.org <mailto:cert@cert.org> Звоните: +1 412-268-7090 (24-часовая экстренная связь) Факс: +1 412-268-6989 Почтовый адрес: Центр Координации СВИДЕТЕЛЬСТВА Институт Разработки Программного обеспечения Carnegie Mellon Университет Питсбург Пенсильвания 15213-3890 США. Персонал СВИДЕТЕЛЬСТВА/МАШИНОПИСНОЙ КОПИИ отвечает на экстренную связь 08:00-17:00 восточное стандартное время (5 ПО ГРИНВИЧУ) / ПО ВОСТОЧНОМУ ВРЕМЕНИ (4 ПО ГРИНВИЧУ) с понедельника до пятницы; они находятся на призыве к критическому положению в течение других часов, на американском отпуске, и по уикэндам. Использование шифрования Мы настоятельно убеждаем Вас зашифровать чувствительную информацию, посланную электронной почтой. Наша публика PGP ключ доступна от <http://www.cert.org/CERT_PGP.key> Если Вы предпочитаете использовать DES, пожалуйста назовите(вызовите) экстренную связь СВИДЕТЕЛЬСТВА за дополнительной информацией. Получение информации безопасности Публикации СВИДЕТЕЛЬСТВА и другая информация безопасности доступны от нашего вебсайта <http://www.cert.org/> * "СВИДЕТЕЛЬСТВО" и "Центр Координации СВИДЕТЕЛЬСТВА" зарегистрировано в американском Патенте и Офисе Торговой марки.
  • 0



Reply to this topic



  


0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users