Новая эпидемия: червь w32.Blaster.worm

Новая эпидемия: червь w32.Blaster.worm

Этим вечером, примерно после 23 часов по Москве, во многих форумах стали появляться сообщения о странном поведении Windows 2000 и Windows XP при заходе в Сеть: система выдала сообщение об ошибке сервиса RPC и необходимости перезагрузки. После перезагрузки сообщение повторялось максимум через несколько минут, и этому не было конца.



Проведенное расследование показало, что виной всему начавшаяся сегодня эпидемия нового сетевого червя w32.Blaster.worm.Червь эксплуатирует найденную 16 июля уязвимость в сервисе RPC DCOM, присутствующую во всех операционных системах семейств Windows 2000, Windows XP и Windows 2003. Эта уязвимость – переполнение буфера, которое вызывается соответствующим образом составленным TCP/IP пакетом, пришедшим на порт 135, 139 или 445 атакуемого компьютера. Она позволяет как минимум провести DoS-атаку (DoS означает “Denial of Service”, или “отказ в обслуживании”, в данном случае – атакуемый компьютер перезагружается), а как максимум – выполнить в памяти атакуемого компьютера любой код. Подробнее об уязвимости можно прочитать либо на сайте SecurityFocus, либо в официальном бюллетене Microsoft.

Первое, что вызвало обеспокоенность сетевой общественности еще до появления червя – это наличие очень простого в использовании эксплоита (программы для использования уязвимости), что обычно приводит к ситуации, когда любой желающий может взять эту программу и начать ей пользоваться отнюдь не в мирных целях. Однако это были цветочки...

Новый червь при своем распространении проводит атаку на 135-й порт, и, в случае успеха, запускает программу TFTP.exe, с помощью которой скачивает на атакуемый компьютер свой исполняемый файл. При этом пользователю выдается сообщение об остановке сервиса RPC и последующей перезагрузке. После перезагрузки червь автоматически запускается и начинает сканировать доступные с компьютера сети на предмет компьютеров с открытым 135-м портом. При обнаружении таковых червь проводит атаку, и все повторяется сначала. Причем, судя по темпам распространения на данный момент, скоро червь выйдет на первое место в списках антивирусных компаний.

Существуют три способа защиты от червя. Во-первых, в бюллетене Microsoft приведены ссылки на патчи для всех уязвимых версий Windows, закрывающие брешь в RPC (эти патчи были выпущены еще 16 июля, поэтому тем, кто регулярно обновляет систему, беспокоиться не стоит). Во-вторых, если 135-й порт закрыт файрволлом – червь не сможет проникнуть на компьютер. В-третьих, в качестве крайней меры помогает отключение DCOM (подробно эта процедура описана в бюллетене от Microsoft). Таким образом, если вы еще не подверглись атаке червя – настоятельно рекомендуется как можно скорее скачать патч для вашей ОС с сервера Microsoft, либо настроить блокировку портов 135, 139 и 445 в файрволле. Если же ваш компьютер уже заражен (а появление сообщения об ошибке RPC однозначно означает, что он заражен), то необходимо выключить DCOM (иначе каждая следующая атака будет вызывать перезагрузку), после чего скачать и установить патч. Для уничтожения червя необходимо удалить из ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "windows auto update"="msblast.exe", после чего найти и стереть файл msblast.exe – это и есть тело червя. Более подробно о процедуре удаления червя можно прочитать на сайте Symantec.

Также отмечу, что на данный момент не все антивирусы обнаруживают червя – надеяться на защиту с их стороны можно будет только завтра, после выхода обновлений.

Источник: Ф-Центр

Пользователи нашей сети могут установить заплатки для Windows XP с файл-сервера

Внимание! Отсутствие интернета!

Внимание! Сегодня 28.03.03 с 11:00 до 13:00 в связи заменой и настройкой оборудования у провайдера возможны перебои в работе Интернета. Приносим свои извинения за временные неудобства.

Интернет будет отсутствовать до пятницы.

Внимание! Сегодня в 09:10 связь с Интернетом прервалась. Причина - выход из строя оборудования провайдера. Завтра в первой половине дня будет произведена замена неисправного оборудования. Наш канал до провайдера работает в нормальном режиме. Приносим свои извинения за временные неудобства.

С Новым Годом!

Поздравляем с самым лучшим,
Древним праздником веселым,
Самым нежным и певучим,
Белоснежным годом новым;
Пусть придут в году грядущем
К Вам удача и успех!
Пусть он будет самым лучшим,
Самым радостным для всех!
Пусть для вас - людей хороших,
Не боящихся забот,
Будет он не просто новый,
А счастливый новый год!

С Новым Годом!

Новогодние скидки!

Уважаемые пользователи сети. В преддверии Нового Года администрация сети информирует Вас о том, что в период с 30 декабря по 13 января действуют скидки на тарифные планы «Бизнес плюс» (скидка 15%) и «Бизнес» (скидка 10%). Скидки предоставляются только тем пользовалям, кто в нашей конференции в этой теме оставит своё поздравление всем пользователям нашей сети.
Дополнительные требования:
1) Поздравление должно быть отправлено от зарегистрированного пользователя. Если Вы еще не зарегистрировались у нас в конференции, то самое время это сделать тут.
2) Сообщение не должно быть похоже ни на одно из тех, что были опубликованы ранее.
3) Поздравления-"штампы" запрещены.

Для получения скидки при заказе тарифного плана нужно назвать своё имя (ник), под которым Вы зарегистрировались в конференции, и пароль.

У нас новый телефон!

Телефон: 105-07-84, Андрей/Владимир.
Можно звонить в любое время, по любым вопросам. Но ночью, желательно, только при ЧП.
С этого момента это официальный телефон администрации сети, поэтому если по данному номеру никто не отвечает, не надо перезванивать по домашним телефонам администраторов (лучше оставьте голосовое сообщение на автоответчике).

P.S.
Вы можете отправить пейджинговое сообщение, позвонив в операторскую службу по телефону 961-33-33 или 974-22-22, абонент 84112.

Основной канал связи с интернетом будет отсутствовать до 12-ти часов понедельника.

Выяснена проблема, которая произошла на площадке провайдера. К сожалению, полностью она будет решена только во второй половине понедельника. Сейчас наш провайдер использует резервный канал, что может сказаться на надёжности и скорости доступа к интернету.

RSS-материал