• Высокая скорость передачи данных
  • Свободная телефонная линия
  • Мгновенный доступ в любое время суток
Главная | Услуги | Тарифные планы | Дизайн-студия | Настройки | FAQ | Юмор | Вакансии | Контакты

Услуги:
 Доступ в интернет
 Дизайн-студия
 Игровой сервер
Пользователям:
 Тарифные планы
 Программа контроля состояния счета
 Правила работы
 Настройки компьютера
 Словарь терминов
 Ответы на общие
 вопросы
 Юмор
 Форумы
 Чат
 Служба поддержки
 Библиотека исходников
Информация:
 Реквизиты
 О канале связи
 Вакансии



 
 

Червь Worm.Win32.Sasser.b

[ 01.05.2004 20:03, GMT +03:00, Москва ]
Опасность: средняя
Вирус-червь.
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.
Размножение:
При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N - случайное число.

Действия:

1. Скачать антивирусную программу sassgui.com с нашего сайта или с первоисточника - http://www.sophos.com/support/cleaners/sassgui.com и запустить для проверки и дезинфекции.
2. Выбрать и скачать заплатку в зависимости от используемой вами операционной системы со страницы Майкрософт:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.
Предлагаем патч (заплатку) от Майкрософт для следующих операционных систем:
1) Windows 2000 Service Pack 2, или 3, или 4 (русская и англ.);
2) Windows XP и Windows XP Service Pack 1 (русская и англ.);
3) Windows XP версия 64 бита (только англ.);
4) Windows XP release 2003 64 бита (только англ.)

I-Worm.Mydoom

Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает о зафиксированом ночью 27 января 2004 года начале крупномасштабной эпидемии почтового червя Mydoom, также известного как Novarg. В настоящий момент всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров.

Загрузить патч

I-Worm.Mydoom, вирус-червь. Также известен как Novarg. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.

Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.

Часть тела вируса зашифрована.

Инсталляция. После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.

При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"

Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = "%SysDir%\shimgapi.dll"

Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".
Также червь создает файл "Message" во временном каталоге системы (обычно, %windir\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]

Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".

Рассылка писем. При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя. Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt

и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".

Содержание зараженных писем. Адрес отправителя:

[произвольный]

Тема письма выбирается произвольно из списка:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Тело письма выбирается произвольно из списка:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":

document
readme
doc
text
file
data
test
message
body

Вложения могут иметь одно из расширений:

pif
scr
exe
cmd
bat

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

Размножение через P2P. Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

с расширением из списка:

bat
exe
scr
pif

Прочее. "Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.

В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.

Интернет-червь Blaster

использует уязвимость в службе Microsoft Windows DCOM RPC, что позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem).
При запуске червь просматривает случайный диапазон IP адресов для поиска уязвимых компьютеров (TCP порт 135) и к найденным компьютерам пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку основного тела червя.
После успешной загрузки основного тела червя, он копируется в каталог
%WinDir%\\\\system32 и запускается на выполнение.

Признаки поражения компьютера:
- Наличие файла msblast.exe в каталоге %WinDir%\\\\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие записи в системном реестре.

Рекомендации по защите и удалению:
- Загрузить последнее обновление антивирусной программы. для детектирования и удаления червя.
- Установить обновление для Windows (патч).
- Провести сканирование и удалить все обнаруженные файлы.

Патчи для Windows XP:
Русская версия;
Английская версия.
Для Windows 2000:
Русская версия;
Английская версия.
Патчи для других операционных систем можно выбрать на официальном сайте компании Microsoft .


С 24 августа в сети интернет распространяется вирус W32.Sobig.F@mm.
Проверьте свой компьютер с помощью программы FixSbigF.exe.
С 12 августа в сети интернет распространяется вирус-червь Worm.Win32.Lovesan.
Проверьте свой компьютер с помощью программы FixBlast.exe.
Программы разработаны SYMANTEC CORPORATION и получены с сайта - http://symantec.com/ .
Напоминаем вам, что в случае вирусной активности, наша система блокирует компьютеры пользователей.
Программы находятся на нашем сервере и доступны пользователям даже в случае блокировки завирусованного компьютера.


Подробная информация о вирусах на сайте лаборатории Касперского http://www.kaspersky.ru
 
 

Для пользователей:
Номер договора: Пароль:
  Дизайн - ИК