Пятница, 2024-11-08, 2:58 PM
 
Начало Форум Регистрация Вход
Вы вошли как Гость
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: denix  
MSBlast: ещё раз о наболевшем
denixДата: Пятница, 2006-06-09, 0:49 AM | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 531
Репутация: 0
Статус: Offline
Q: Помогите, пожалуйста, справиться с глюком на компе. Через некоторое время после запуска системы она выдаёт надпись: «…вызвано NT AUTORITYSYSTEM… остановка службы Удалённый вызов процедур (RPC)…». С большой красной кнопкой с крестом и благополучно перезагружает комп. На компе стоит XP и internet как выделенка. КАК с этой дрянью бороться? Она не даёт работать в Интернете больше нескольких минут. Неужто настало время сносить систему? Отпишите, не поленитесь. Буду вам очень признателен.

A: Не, ну у меня просто наболело! Господа хорошие, ну как же так можно? Эпидемия вируса «MSBlast», он же «Lovesan», «Lovsan», «Blaster», «Poza» началась уже достаточно давно, чтобы даже до самых неповоротливых пользователей дошли слухи об этом опасном черве, но, тем не менее, в почтовый ящик всё ещё валятся вопросы на эту тему (а знакомые обрывают мобильник). Уважаемые, меня сильно удивляет такая позиция! Во-первых, все, кто подцепил этот вирус, сами виноваты, поскольку не выполнили буквально самых элементарных требований сетевой безопасности: своевременная установка всех патчей и заплаток операционной системы и прикладных программ; использование качественного и хорошо настроенного файерволла; использование регулярно обновляемого антивируса. Во-вторых, мне непонятно, как можно, имея доступ в Интернет (а без него не было бы и этого вируса), совершенно не быть в курсе происходящего? Ведь достаточно было бы в любой поисковой службе ввести часть текста того сообщения, с которым Windows XP уходит в перезагрузку, как вы получили бы подробнейшую информацию по борьбе с этим червём из самых первых рук — от антивирусных компаний! Кстати говоря, антивирусные компании (например, Касперского) очень оперативно предоставляли своим подписчикам всю необходимую информацию по новой эпидемии непосредственно по электронной почте. Или просто загляните в какие-нибудь веб-конференции и почитайте, что пишут люди. Но нет, в конференции журнала Upgrade вообще доходило до смешного, когда несколько сообщений о появлении странного сбоя RPC или файла MSBlast.exe шли почти одно за другим и при этом те, кто их писал, не удосуживались взглянуть ни на объявление в заголовке конференции, ни в чуть более ранние посты, где уже давно имелись все необходимые разъяснения по данной проблеме и все ссылки на подробные материалы, посвящённые новому вирусу и борьбе с ним.

Ну да делать нечего, раз всё так запущено, то попробую вкратце пересказать всё то, что уже давно известно. Итак, примерно с 12 августа всемирную сеть серьёзно потряс новый (но далеко не последний!) червь w32.Blaster.worm, использующий в своих коварных замыслах давно известную и давно (фактически более месяца назад, в июле) закрытую заплатками уязвимость DCOM RPC в Windows NT/2000/XP/2003. Соответственно, в Windows 9x червь проникнуть не может. Для успешного заражения этим вирусом достаточно иметь открытыми порты 135, 139, 445. «Голова» червя, специальный пакет данных, проникает в атакованную систему беспечного пользователя через незащищённый файерволлом порт 135 и после этого без какого-либо участия пользователя закачивает всё «тело» — файл-носитель MSBLAST.EXE (или TEEKIDS.EXE, или PENIS32.EXE) с помощью законной системной программы TFTP.EXE — мини FTP-сервера. Файл MSBLAST.EXE регистрируется в разделе Run системного реестра Windows:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
"windows auto update"="msblast.exe"

И после перезагрузки ПК вирус срабатывает во всей своей красе. Затем вирус сканирует сеть в поисках других жертв и продолжает своё победное распространение по Интернету, генерируя огромный объём «левого» трафика (к слову, даже серверы windowsupdate.com компании Microsoft не выдержали его DDoS-атаки, активизирующейся 16 августа каждого месяца), а на компьютере пострадавшего отныне могут выполняться любые действия — перезагрузка, выполнение программ и т. п. К счастью, в своей исходной модификации вирус не удаляет, не изменяет и не похищает данные пользователя, но то ли ещё будет…

Таким образом, симптомы присутствия вируса в системе таковы:

в папке WINDOWSSYSTEM32 присутствует файл MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE

в списке запущенных процессов имеется один из вышеуказанных файлов

наличие в разделе реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run команды на запуск вышеуказанного файла

после нескольких минут работы в Интернете происходит перезагрузка компьютера

в работе программ MS-Office наблюдаются многократные сбои
появляются сообщения об ошибках, связанных с файлом SVCHOST.EXE

на экране появляется окна с сообщением об ошибке RPC Service

Для удаления червя (в том числе вручную) и защиты от подобных вирусов впредь необходимо сделать следующее:

отключитесь от Интернет

используя менеджер процессов (вызывается клавишами CTRL-ALT-DEL),
выгрузите из памяти процесс MSBLAST.EXE, TEEKIDS.EXE или PENIS32.EXE

удалите с диска соответствующий файл

удалите в разделе реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run команду на запуск файла вируса

перегрузите ПК

более тщательно удалите все следы текущей модификации вируса из системы с помощью антивирусной программы или специальных бесплатных утилит, предназначенных исключительно для борьбы с «Lovesan»:
1. ftp://ftp.kaspersky.com/utils/clrav.zip
2. http://securityresponse.symantec.com/avcenter/FixBlast.exe

Установите хороший файерволл и заблокируйте TCP/UDP порты 135, 139, 445, 69 и 4444.

Файерволл можно использовать как англоязычный, например:

Norton Internet Security (http://www.symantec.com/),

Sygate Personal Firewall (http://www.sygate.com/),

Network Ice Black ICE Defender (http://www.networkice.com/),

Zone Alarm (http://www.zonelabs.com/),

ConSeal PC Firewall (http://www.signal9.com/),

так и отечественный:

Kaspersky Anti-Hacker (http://www.kaspersky.ru/buyonline.html?info=1092732),

Outpost (http://www.agnitum.com/products/outpost/).

Автор: Трошин Сергей
Источник: http://www.winzone.ru

 
  • Страница 1 из 1
  • 1
Поиск:


Бесплатный хостинг uCoz