Новая компьютерная угроза - червь Win32.Blaster.a По сети пополз новый червь, использующий уязвимость в RPC. Червь быстро распространяется по сети, включая и Российский сегмент. Заражению подвержены Windows NT® 4.0, Win 2000, WinXP, Windows Server™ 2003. Возможные названия (алиас): W32/Lovsan.worm(McAfee), W32.Blaster.Worm (Symantec), Win32.Poza (CA), WORM_MSBLAST.A (Trend), msblast.exe, tftp. Уязвимость, используемая вирусом, позволяет злоумышленнику подключиться к уязвимому компьютеру, выполнять команды и запускать приложения от имени системы (пользователь LocalSystem). При запуске, червь просматривает случайный диапазон IP адресов, для поиска уязвимых компьютеров (TCP порт 135). К найденным компьютерам, червь пытается применить уязвимость в службе Microsoft Windows DCOM RPC для удаленного соединения и передаче уязвимому компьютеру TFTP команды на загрузку тела червя. После успешной загрузки, червь копируется в каталог %WinDir%\system32 под названием msblast.exe и запускается на выполнение. При этом в реестре появляется запись: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill Признаки заражения: * Наличие файла msblast.exe в каталоге %WinDir%\system32. * Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы. * Наличие записи в системном реестре Червь также виден в менеджере процессов (CTRL+ALT+Del) под именем msblast Заражения можно избежать установив патч от Микрософт http://www.microsoft.com/technet/tr...
Тритон
(13.08.2003 Ср 14:39)
|