Новости интернет-центра: подробности
Главная Контакты Карта сайта Добавить в избранное


интернет-центр > новости: подробности

Навигация:

поддержка
работы на узле
сервер статистики
смена пароля
нормы поведения
тех. документация
looking glass
контакты
    архив  

Внимание! Вирус-червь Blaster

Интернет-червь использует для распространения уязвимость в службе Microsoft Windows DCOM RPC. Данная «дыра» позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы. Используя данную уязвимость, червь может распространяться самостоятельно, без вмешательства пользователя.

Признаками заражения компьютера являются:

 
наличие файла msblast.exe в каталоге windows\system32;
 
cообщение об ошибке (RPC service failing), приводящее к перезагрузке системы.

При запуске червь просматривает случайный диапазон IP-адресов для поиска уязвимых компьютеров. Для этого он «ощупывает» порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь пытается установить удаленное соединение и посылает на уязвимый компьютер специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя Blaster MSBLAST.EXE. После успешной загрузки этот файл регистрируется в секции автозагрузки системного реестра Windows (каталог %WinDir%\system32) и запускается на выполнение.

Червь создает в системном реестре ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run «windows auto update» = msblast.exe I just want to say LOVE YOU SAN!! Bill

В качестве побочного действия новый червь содержит функцию DDoS-атаки на сайт WindowsUpdate.com, содержащий обновления операционной системы Windows, в том числе, обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

Для защиты от червя рекомендуется загрузить последнее обновление своего антивируса, провести сканирование и удалить все обнаруженные подозрительные файлы, а также установить заплатку от Microsoft и заблокировать порты 135, 69 и 4444 для предотвращения проникновения червя на компьютер.


 ©2005 Воронежский филиал ОАО "Центртелеком"
 Сегодня: 17.08.2017
 Загрузок страницы с 07.03.2002: 776837

главная   |   контакты   |   форум   |   карта сайта

ОАО "Центртелеком" - Воронежский интернет-центр

Россия, г. Воронеж, 394000,
пр. Революции д. 35,
Тел.: 050