Одесса: 5°С (вода 9°С)
Киев: 3°С
Львов: 2°С

Тема: Achtung! Новый червь Worm.Win32.Sasser.a (b)

Ответить в теме
Показано с 1 по 13 из 13
  1. Вверх #1

    По умолчанию Achtung! Новый червь Worm.Win32.Sasser.a (b)

    В интернете появился новый сетевой червь Sasser, распространяющийся аналогично вирусу Blaster, который вызвал масштабную эпидемию в прошлом году. Sasser использует уязвимость в операционной системе Windows и не рассылает свои копии по электронной почте. Он заражает только операционные системы Windows XP и Windows 2000.

    Специалисты по компьютерной безопасности пока зафиксировали лишь небольшое число зараженных компьютеров. Ожидается, что червь станет активнее распространяться с началом рабочей недели. "Лаборатория Касперского" сообщила о средней опасности вируса.
    (c) Lenta.Ru

    Worm.Win32.Sasser.a
    Опасность : средняя
    Вирус-червь.

    Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:

    http://www.microsoft.com/technet/sec.../MS04-011.mspx

    Червь написан на языке C/C++, с использованием компилятора Visual C.
    Имеет размер ок. 15 Кб, упакован ZiPack.

    Размножение

    При запуске червь регистрирует себя в ключе автозапуска системного реестра:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    avserve.exe = %WINDIR%\avserve.exe

    Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.

    Загрузка выполняется по протоколу FTP.
    Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "_up.exe", где N - случайное число.
    (c) VirusList.com

    Обновляйте свои антивирусы, дамы и господа. Т.к. эта дрянь действует как и Бластер, то вы даже можете и не заметить заражения.
    И пользуйтесь файерволлами.


  2. Вверх #2
    Частый гость
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    589
    Репутация
    50
    Я уже грохнул такого )
    он мне комп постояно ребутил и отсчет показывал мол через минуту ребут :wink:

  3. Вверх #3
    В названии топика вынесен Worm.Win32.Sasser.a, а уже, бушует его модификация Worm.Win32.Sasser.b.
    Отличие - в имени файла червя, прописываемого в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]:
    у версии а - avserve.exe
    у версии b - avserve2.exe

    Будьте бдительны.

  4. Вверх #4
    У мя вчера эта гадость 2 или 3 раза заргузиться хотела(((. Хорошо что мой Norton AntiVirus спас мну))))
    Мнение, как одежда. Если не можешь менять, то хотя бы регулярно чисти и подправляй его, чтобы оно оставалось ярким и свежим. (ЯНКОВСКИЙ Стас)

  5. Вверх #5
    Супер модератор Аватар для VOD
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    3,329
    Репутация
    958
    Lray, какой файерволл лучше ловит этого червика? или все на это гаразд?

  6. Вверх #6
    VOD, в 1-ю очередь советую выкачать с сайта Микрософта заплату от этой заразы - http://www.microsoft.com/technet/sec.../MS04-011.mspx - там найдешь для своей ОС. Обновить антивирь, и отключившись от Сети, провериться.

    Файерволл - любой, нормально контролирующий порты.

  7. Вверх #7
    Антигламурный Паршивец
    Пол
    Мужской
    Сообщений
    1,768
    Репутация
    358
    Записей в дневнике
    16
    был такой на работе сразу убил, и все в порядке...
    The world is mine!

  8. Вверх #8
    Постоялец форума Аватар для igva
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    1,232
    Репутация
    38
    Блин ,откуда он берётся ? Стоит файрвол и антивирь,раза 2 -3 на день DrWeb выкидывает меседж, что обноружен вирь и я его удаляю,но как он через файрвол проходит?? стоит Агнитум аутпост в режиме обучения,лишнего вроде ничего нет
    кто что скажет ?

  9. Вверх #9
    Посетитель Аватар для Bewza
    Пол
    Мужской
    Адрес
    Город, которого нет...
    Возраст
    31
    Сообщений
    344
    Репутация
    28
    У меня его нема, стоит Outpost...
    Что случилось однажды, может никогда больше не случиться. Но то, что случилось два раза, непременно случится и в третий.

  10. Вверх #10
    Спасибо создателю топика, и отдельное спасибо Regreth(у)- уже как два дня ломал голову, не знал что с машиной, оказалось...........
    Не мы такие, жизнь такая...

  11. Вверх #11
    igva, если в твоем Аутпосте разрешён доступ службе LSASS Microsoft Windows (а она системная и многие фаерволлы по дефолту ей разрешают доступ) - то через неё, собственно, ты и заражаешься.
    Внимательно прочти описание червяка в 1-м посте этоо топика и описание уязвимости на сайте Микрософта и Касперского (ссылки выше).

  12. Вверх #12
    Постоялец форума Аватар для igva
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    1,232
    Репутация
    38
    Немецкая полиция задержала подозреваемого в написании вируса Sasser 18-летнего жителя земли Нижняя Саксония. Официальные лица выразили уверенность в том, что это именно тот, кого они искали, поскольку, во-первых, он сделал соответствующее признание, во-вторых, принимавшие участие в расследовании эксперты Microsoft обнаружили необходимые доказательства -- в частности, на домашнем ПК арестованного (живущего с родителями, которые имеют бизнес в сфере обслуживания компьютеров) был найден исходный код вируса.

    Как считают специалисты, автор Sasser вероятнее всего действовал в одиночку; кроме того, в настоящее время проверяется предположение о том, что он является создателем другого, появившегося уже достаточно давно червя -- Netsky.

    Сообщается, что позднее задержанный был временно отпущен, поскольку, по мнению полиции, он не склонен к дальнейшим противоправным действиям. Максимальное наказание, которое ему теоретически может грозить по немецким законам -- до пяти лет тюремного заключения.
    Взято отсюда http://www.itc.ua/article.phtml?ID=17134

  13. Вверх #13
    Новичок
    Пол
    Мужской
    Адрес
    местные мы
    Сообщений
    92
    Репутация
    14
    2 Lray с майкрософта ему дороговато будет =)
    2 Vod на норме есть...если не найдеш я кину на мыло и заплатки и сами файлы уничтажения и сассера и бласта =))

    мну уже хватал =))
    чем дальше в лес тем ну его нафиг


Ответить в теме

Похожие темы

  1. Win32/Nanspy.I trojan
    от Martyr A.D. в разделе Интернет
    Ответов: 4
    Последнее сообщение: 03.02.2006, 00:11
  2. Это приложение не расчитано для работы в Win32 ЧТО ЭТО?
    от Ruslan.V. в разделе Программное обеспечение
    Ответов: 15
    Последнее сообщение: 04.12.2005, 21:56
  3. Вирус (червь) для смартфонов - Worm.SymbOS.Cabir.a
    от Lray в разделе Мобильная техника
    Ответов: 5
    Последнее сообщение: 02.07.2004, 10:22
  4. Подскажите компилятор C++ под win32?
    от NEtPuMp в разделе Программирование
    Ответов: 2
    Последнее сообщение: 09.06.2004, 13:53
  5. Вирусы и привет от Win32.HLLM.MyDoom...
    от Яр в разделе Интернет
    Ответов: 19
    Последнее сообщение: 07.03.2004, 02:18

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения