Xena: Warrior Princess

Не много не в тот подфорум, но важно, чтобы это узнало как можно больше людей
Worm.Win32.Lovesan


Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe".

Содержит текстовые строки:


I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Признаками заражения компьютера являются:

Наличие файла "msblast.exe" в системном (system32) каталоге Windows.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.



Размножение

При запуске червь регистрирует себя в ключе автозапуска:


HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
windows auto update="msblast.exe"

Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса:


20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:

В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.


В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.
С http://www.viruslist.com/

Червь сканирует сеть и заражает все найденые незащищенные компы, т. е. даже если вы просто находитесь в сети, не заходя ни на какие сайты, не получая почту вас могут заразить.
16 числа обещают DoS атаку на микрософт.(если по Русски, то все копии червя 16 зафлудят сервер микрософта, и он (возможно)упадет ).
Короче, после каждого входа в инет ищите у себя на винте файл msblast.exe, если найдете удаляйте, если не сможите - грузитесь под Досом и удаляйте msblast.exe от туда.
А еще поставьте фаирволл
Можете отключить прот 69: TFTP - этот протокол является упрощенным аналогом FTP протокола.
И вообще, сделайте себе загрузочную дискету, поставьте себе Нортон(Волков) командер и помните, что если вылезет сообщение об ошибке RPC service failing и комп перезагрузится - вы заражены.

К чему ты это написал? В частности подробности? Если уж было желание, достаточно было проинформировать . Ежедневно в Сети появляется по несколько вирусов. Хотя, я только позавчера с данным умучался бороться - он, подлюга, меня "упарил" перезагружать .

Да уж,подробности ни к чему-слишком мало народу действительно поймет,не как я тьфу-тьфу-тьфу

Я, тебя, ДАлекс сейчас не обрадую, ты кажись с ним и боролся. Да, в сети куча новых вирей появляется, но не насчет всех них Касперский говорит, мол если последнюю заплатку микрософта не поставите, то до конца года в интернет лучше не ходить. Он дядя умный, за базар отвечает.

По моему все понятно и интересно

Последние новости.

Мадрид, 29 августа 2003 - По данным статьи, опубликованной в различных
СМИ, в том числе и в Sydney Morning Herald
(http://www.smh.com.au/articles/2003/08/ ... 52666.html), ФБР
вычислило подростка - создателя червя Blaster.

18 летний молодой человек, чьи имя и место жительства не разглашаются,
обвиняется в создании одной из версий Blaster, широко распространившейся
в сети Internet на прошлой неделе. По словам представителей ФБР никакой
более подробной информации об обвиняемом опубликовано не будет до его ареста.

Червь Blaster использует брешь RPC DCOM для непосредственного попадания на
компьютеры из сети Internet через 135 порт. Данная брешь была недавно обнаружена
в нескольких версиях операционной системы Windows. После этого происходит
переполнение буфера на зараженном компьютере.

ФБР не сообщает о версии, созданной подозреваемым (существует 5 различных версий
этого червя). последняя из них, Blaster.E, была совсем недавно обнаружена Вирусной
Лабораторией компании Panda Software.

Главной целью червя Blaster является заражение как можно большего числа компьютеров
для инициирования отказа от обслуживания на сайте windowsupdate.com. В период
с
16 августа по 31 декабря 2003 червь каждые 20 миллисекунд отправляет 40-байтные
пакеты
по адресу веб сайта windowsupdate.com, используя 80 TCP порт.

Мадрид, 1 сентября 2003 - По данным некоторых источников, включая Yahoo! News
и eWeek, арестован создатель одной из версий червя Blaster, нанесшего большой
урон этим летом.

Подозреваемым, арестованным ФБР, является Джефри Ли Парсон (Jeffrey Lee Parson),
18- летний молодой человек, известный в электронном мире как 'teekid'. Подросток
был арестован за преднамеренное нанесение ущерба компьютерам во всем мире, что
является нарушением уголовного кодекса США. В случае признания судом его виновным
Парсону грозит до 10 лет лишения свободы и/или штраф в размере 250,000 долларов
США.

Эрик Смитмайер (Eric Smithmier), специальный агент ФБР, заявил, что Джефри Ли
Парсон признался в тома, что он измени начальную версию Blaster, создав 'Blaster.B'.
Парсон показал, что он встроил в свою версию механизм, позволяющий червю
впоследствии заново соединяться с компьютерами жертв.

Этим арестом автора одной из версий червя 'Blaster' ФБР сделало предупреждение
всем создателям вирусов, показав, что такие преступления будут серьезно наказываться.

Если не ошибаюсь, то этот самый червь только Win 2000 или на XP пристает. Владельцам Win 98 он вроде не страшен. Если чесно то Касперским я не очень доволен. Нет, в принципе он действительно самый эффективный антивирус в мире и обновления каждый день мне присылает (т.к. я подписан на них), но блин систему тормозит... дай боже. Не случайно анекдот появился: "Если хочешь сделать из своего Pentium IV Pentium II - поставь себе Касперского.

Спасибо за предупреждение

On 2003-09-02 20:59, Rex wrote:
Если не ошибаюсь, то этот самый червь только Win 2000 или на XP пристает. Владельцам Win 98 он вроде не страшен. Если чесно то Касперским я не очень доволен. Нет, в принципе он действительно самый эффективный антивирус в мире и обновления каждый день мне присылает (т.к. я подписан на них), но блин систему тормозит... дай боже. Не случайно анекдот появился: "Если хочешь сделать из своего Pentium IV Pentium II - поставь себе Касперского.

Именно по этому я пользуюсь старой версией 3.5.133 она действует гораздо быстрее, и базы новые подходят.

Вот сегодня прочитал, что появился новый неприятный вирус, вроде Troyan называется. Маскируется под обновление Касперского и внедряется в корневые папки Windows. Будте внимательны.

Вот, поднял тему. т.к. появилось заражение. ЗЫ: вообще, забейте на всякие сайты, ищите обновления и новости на сайте Касперского!

Касперски сакс, а нортон 2003 рулит!

Недавно вирус падлюга завелся.
Короче подгружается в бут-сектор всех подключаемых *DD. Формат С не подходит пришлось переразбивать винт. Так у меня там Линукс стоял, я решил его оставить.

Все переставил и тут опять он проявляет активность. Тогда удалил еще раз все разделы и вуалляя работаю сейчас.

Самое главное вирус обнаружить не возможно активности то и нет Только провайдоровский exchange меня заблокировал и только тогда я понял