| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Гарик™
Зарегистрирован: 07.12.2004
Сообщения: 13472
Откуда: 97 RUS
|
 Добавлено: Вт Фев 14, 2006 3:15 pm Заголовок сообщения: Касперский кричит о атаках |
 |
|
Сетевая атака Hellkern с адресов
61,184,196,146
61,134,47,131
222,174,117,19 успешно отражена
вопрос: шо за хрень???? |
|
| Вернуться к началу |
|
 |
Pe®fe©tEvil
Черножопый
Зарегистрирован: 26.01.2003
Сообщения: 7967
Откуда: from hell
|
| Добавлено: Вт Фев 14, 2006 8:09 pm Заголовок сообщения: |
|
|
Вот бы знать, мне тоже постоянно орёт ... ну и хрен с ним  |
|
| Вернуться к началу |
|
|
Гарик™
Зарегистрирован: 07.12.2004
Сообщения: 13472
Откуда: 97 RUS
|
| Добавлено: Ср Фев 15, 2006 12:48 pm Заголовок сообщения: |
|
|
пугает просто этот лошадиный визх  |
|
| Вернуться к началу |
|
|
Белый
Зарегистрирован: 02.09.2005
Сообщения: 398
|
| Добавлено: Ср Фев 15, 2006 1:15 pm Заголовок сообщения: |
|
|
| Гарик™ писал(а): | | пугает просто этот лошадиный визх |
Звук выключи и прекрати по порносайтам лазить |
|
| Вернуться к началу |
|
|
Pe®fe©tEvil
Черножопый
Зарегистрирован: 26.01.2003
Сообщения: 7967
Откуда: from hell
|
| Добавлено: Ср Фев 15, 2006 2:29 pm Заголовок сообщения: |
|
|
| Белый писал(а): | | Гарик™ писал(а): | | пугает просто этот лошадиный визх |
Звук выключи и прекрати по порносайтам лазить |
Ты не понял, он не о вирусах орёт а об атаке ... совершенно не обязательно куда то лезть, чтобы он орать начал ... можно просто в инет зайти а тебя уже атакуют  |
|
| Вернуться к началу |
|
|
Гарик™
Зарегистрирован: 07.12.2004
Сообщения: 13472
Откуда: 97 RUS
|
| Добавлено: Ср Фев 15, 2006 2:58 pm Заголовок сообщения: |
|
|
| Цитата: | Hellkern... Вирус, и очень опасный... Если известен айпи и с него постоянно лезет червь - заблокируй его (айпи).
Описалово в сети есть на него:
Net-Worm.Win32.Sasser.d
Другие названия
Net-Worm.Win32.Sasser.d («Лаборатория Касперского») также известен как: Worm.Win32.Sasser.d («Лаборатория Касперского»), W32/Sasser.worm.e (McAfee), W32.Sasser.E.Worm (Symantec), Win32.HLLW.Jobaka.5 (Doctor Web), W32/Sasser-E (Sophos), Win32/Sasser.E.worm (RAV), WORM_SASSER.E (Trend Micro), Worm/Sasser.E (H+BEDV), W32/Sasser.E (FRISK), Win32:Sasser-E (ALWIL), I-Worm/Sasser.E (Grisoft), Win32.Worm.Sasser.E (SOFTWIN), Worm.Sasser.E (ClamAV), W32/Sasser.E.worm (Panda), Win32/Sasser.E (Eset) Описание опубликовано 12 апр 2005
Поведение Net-Worm, интернет-червь
Технические детали
Сетевой вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows — RPC DCOM.
Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 16КБ, упакован PECompact2.
Признаками заражения компьютера являются:
наличие файла "lsasss.exe" в каталоге Windows;
сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.
Отличия от версии Sasser.c
Данный вариант червя отличается от варианта Sasser.c измененным именем своего файла. Вместо skynetave.exe используется lsasss.exe (соответственно изменен и ключ в системном реестре).
Червь удаляет из реестра возможные записи, относящиеся к различным модификациям вирусов Email-worm.Win32.Bagle и Trojan-Proxy.Win32.Mitglieder.
Также изменено название создаваемого идентификатора - SkynetNotice.
После двух часов работы червь выводит на экран сообщение со следующим содержанием:
1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar
the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch
from the www.microsoft.com website
4. This is an message from the SkyNet Team for
malicious activity prevention
При атаке на удаленной машине запускает FTP службу на порту TCP 1023 и remote shell на порту TCP 1022.
|
 |
|
| Вернуться к началу |
|
|
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
|
Powered by phpBB © 2001, 2005 phpBB Group
|
FAQ
Поиск
Пользователи
Группы
Регистрация
Мои настройки
Войти и проверить личные сообщения
Вход
