Портал аспирантов
 

Вернуться   Портал аспирантов > Компьютер для аспирантов > Интернет

Закрытая тема
 
Опции темы
Старый 22.08.2003, 00:39   #11
lynx
Администратор
 
Аватар для lynx
 
Регистрация: 30.07.2001
Сообщений: 2,827
По умолчанию Новый почтовый вирус

heilig

Цитата:
А мне больше 800 на один ящик!

Цитата:
а я на 3 ящика ни одного не получила.

Ура!!! Я лучше всех забочусь о безопасности своего компьютера!!
лолллллллллллл Давай я тебе 800 вирей перешлю и ты все их получишь. А я не получила ни одного

Jacky
Цитата:
насчет первых двух всё ясно, а вот третий-то зачем?

Из чрезмерной склонности к порядку.
Во-во. В жизни не было. Грамотно настроенный файер - рулез форева и в принципе и и вири даже не страшны. Мой дак еще и баннеры прямо в почте режет - я балдею просто

lynx вне форума  
Реклама
Старый 22.08.2003, 18:32   #12
Jacky
Администратор
Jack of Shadows
 
Аватар для Jacky
 
Регистрация: 13.05.2002
Адрес: Москва
Сообщений: 7,523
По умолчанию Новый почтовый вирус

heilig
Цитата:
Ура!!! Я лучше всех забочусь о безопасности своего компьютера!!
В данном случае от твоего компьютера мало что зависело. Причины другие.
lynx
Цитата:
Грамотно настроенный файер - рулез форева и в принципе и и вири даже не страшны.
Я предпочитаю, чтобы каждый работал по своей основной специальности. Для проверки почты "на лету" спайдер мэйл, для мониторинга спайдер гард, для общей проверки -- собственно доктор веб, против шпионов ad aware, ну и файрвол типа против хакеров.
---------
Рано или поздно, так или иначе...
Jacky вне форума  
Старый 24.08.2003, 00:21   #13
McLaud
Newbie
 
Регистрация: 23.08.2003
Сообщений: 8
По умолчанию Новый почтовый вирус

Цитата:
Ура!!! Я лучше всех забочусь о безопасности своего компьютера!!
Я тоже.
Я не знаю нипро какие файерволы и мэйкфайеры. Мне кажется, что если не запускаешь сам всякую дрянь, что шлют, то и вирус не подцепишь. Чай не 2000 год.
Вот тут меня одолели идиоты из АмериканЛэнгвичЦентра. Кто бы сказал, как от них избавиться, а?

И еще про это вирус, а как конкретно он пролезает?
Ну, я помню, что прошлый массовый вирус лез через дырку в ИЕ5 и писал себя в реестр, а потом рассылал. Без моего клика. А этот что, тоже без ведома получателя влезает в реестр?
Расскажите, кто грамоте обучен, плиз.
Вобще про вирусы - это интересно, лучше, чем про советскую власть.

А я в обмен могу показать вирус БольшойБилл. Я его почти сам написал. Но он безвредный. Детей пугать только и ламеров. Но неприятный.
Полезно бывает всяких спамеров учить.


Добавлено


О... Сам нашел.
Делюсь впечатлениями:
========

Воздействие
Распространяется через открытые порты RPC. Компьютер пользователя перезапускается, или в его системе появляется файл msblast.exe.

Техническая информация
Червь выполняет сканирование порта TCP 135 произвольного диапазона IP-адресов в поисках уязвимой системы. Червь пытается воспользоваться уязвимостью DCOM RPC, для защиты от которой было выпущено исправление MS03-026.

Отправленный в систему пользователя код злоумышленника загружает и запускает файл MSBLAST.EXE с удаленного компьютера по протоколу TFTP. После запуска червь создает в реестре следующий раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Симптомы заражения вирусом
Некоторые пользователи могут вообще не заметить никаких симптомов. Основной признак заражения — перезагрузка системы с интервалом в несколько минут без участия пользователя. Кроме того, пользователи могут обнаружить следующее:

наличие необычных файлов TFTP;
наличие файла msblast.exe в каталоге WINDOWS\SYSTEM32.
Чтобы обнаружить вирус, попытайтесь найти в каталоге WINDOWS\SYSTEM32 файл msblast.exe или загрузите последние версии описаний вирусов с веб-узла своего поставщика антивирусных программ и выполните сканирование компьютера.

========
Это все с сайта дырявого Микрософта:
http://www.microsoft.com/rus/news/bl...&LN=RU&gssnb=1
Так что надо посмотреть этот бласт и в реестре его посмотреть. И удалить, если что. Вот и весь файервол.
Спасибо.
Правда, так и не сказали, умники дырявые, сам червь запускается или пользователь запускает из приложенного файла.


Обновление для 4:21 воскресенья

Привет, Ревинский!
Чего не спишь?
Черви гложат?


Добавлено


А это мой "вирус":

http://mclaud.by.ru/BigBill/index.html
Он называется Большой Билл. Никаких троянов там нет и ничего он не пишет на винч. Но о-о-о-очень страшный!
Кто боится - ни в коем случае не кликать!
Но кто скажет, как защититься - буду благодарен, поскольку сам не знаю.
McLaud вне форума  
Старый 24.08.2003, 12:24   #14
lynx
Администратор
 
Аватар для lynx
 
Регистрация: 30.07.2001
Сообщений: 2,827
По умолчанию Новый почтовый вирус

McLaud

Цитата:
Мне кажется, что если не запускаешь сам всякую дрянь, что шлют, то и вирус не подцепишь. Чай не 2000 год.
А про скан портов ничего не слышал? А про удаленное подключение к твоей машине через 139 порт? А про ДОС-атаки ничего не слышал?
мхо, работать без файервола не в локальной сети - убийство. В локальной тоже, в общем-то, но опасность от своих только.

Цитата:
я помню, что прошлый массовый вирус лез через дырку в ИЕ5 и писал себя в реестр, а потом рассылал. Без моего клика.
Во! Надо во время патчить систему и браузер, а лучше из браузеров юзать Оперу.

Цитата:
А я в обмен могу показать вирус БольшойБилл. Я его почти сам написал. Но он безвредный. Детей пугать только и ламеров. Но неприятный.
Полезно бывает всяких спамеров учить.
Давай исходник. На чем написан?


Цитата:
Распространяется через открытые порты RPC. Компьютер пользователя перезапускается, или в его системе появляется файл msblast.exe.
лол, вот все про него, включая фотку баги, исходник, методы профилактики и лечения:
http://forum.ru-board.com/topic.cgi?...8&topic=4299#1

Добавлено


лол

document.body.onmousedown=new Function("if (event.button==2||event.button==3)aler t('No! You don not able!&#39"


и все что ли? Опера рулит
lynx вне форума  
Старый 24.08.2003, 22:54   #15
McLaud
Newbie
 
Регистрация: 23.08.2003
Сообщений: 8
По умолчанию Новый почтовый вирус

Цитата:
и все что ли? Опера рулит
Не... Это как раз для отмазки, чтоб все так думали. Эта строчка только в ИЕ работает.
Опера рулит лучше, чем ИЕ как раз из-за нее, но тоже как умная Маша отрывает сто окон. В ИЕ бывает часто, что и перезагружаться надо, поскольку "Системе существенно не хватает ресурсов!". На том суть и основана. НетКаптор со второго окна понимает, что фигня в файле и не дает больше открывать.
Только все одно 90% юзеров и я с ними юзают ИЕ, и впредь юзать будут. Потому на них и расчет. Это на любой сайт с тыщей народу в день сходить и посмотреть статистику юзеров: http://top.mail.ru/stat?id=7753;what=sys;period=1
Цитата:
Давай исходник. На чем написан?
Ни на чем. На динамическом HTML, если так можно сказать.
А суть файла простая и в таких словах:
<body
onLoad=&#34;full(&#39;menu.html&#39&#34;
onUnLoad=&#34;full(&#39;menu.htm&#39&#34;
onMouseOver=&#34;full1(&#39;menu.htm&#39&#34;>
(Эти слова в трех одинаковых файлах index.htm, menu.htm,menu.html в папке BigBill.)
то есть по всем мыслимым событиям юзера окно открывается в полный рост и загружает свои дубли. Ну, и файлик должен быть маленький, чтобы завгрузиться успеть.
В файлик тоже для отмазки пару строчек full1(&#39;menu.htm&#39 вставить.
А full1(&#39;menu.htm&#39 - это такая штука:
function full1(x){
window.open(x, &#39;&#39;, &#39;fullscreen=yes&#39;
if (document.all) document.body.onmousedown=new Function(&#34;if (event.button==2&#0124;&#0124;event.button==3)aler t(&#39;No! You don not able!&#39&#34;
//сюда вот как раз можно фигню всякую вставить для попсы
//типа не alert, а confirm(&#34;Форматировать диск A или не надо?&#34
// или full1(&#39;VIRUS_BIG_BILL.EXE&#39&#34; или чередовать
}

Короче парение мозгов натуральное.
Но психологически работает неплохо. Проверял неоднократно.
Добрая такая шутка.
Я ее Джеку пошлю в письме потом. Он самый продвинутый, мне кажется. И Хильге, чтобы не скучала.

Цитата:
А про скан портов ничего не слышал? А про удаленное подключение к твоей машине через 139 порт? А про ДОС-атаки ничего не слышал?
Никогда реально не видел, только слова слышал. Был бы премного благодарен, если кто бы пример привел реального скана какого-нибюудь компа или атаки, вот по типу, как я ссылку вставил. А потом бы так же и рассказал, где собака зарыта.
Могу свой комп на такой эксперимент отдать. А то чего тут философию разводить.
McLaud вне форума  
Старый 24.08.2003, 23:43   #16
lynx
Администратор
 
Аватар для lynx
 
Регистрация: 30.07.2001
Сообщений: 2,827
По умолчанию Новый почтовый вирус

McLaud

Цитата:
Могу свой комп на такой эксперимент отдать. А то чего тут философию разводить.
Не интересно - ты с диалапа входишь, каждый раз IP разный.

Можешь сам себя нюкнуть. Возми Shadow Securiry Scaner, настрой на скан портов и скорми ему свой текущий IP-шник. После синего экрана поймешь, что такое ДОС-атака и как она выглядит

lynx вне форума  
Старый 25.08.2003, 02:14   #17
Jacky
Администратор
Jack of Shadows
 
Аватар для Jacky
 
Регистрация: 13.05.2002
Адрес: Москва
Сообщений: 7,523
По умолчанию Новый почтовый вирус

McLaud
Цитата:
Я ее Джеку пошлю в письме потом.
Ну, пошли, как же. Обязательно.
---------
Рано или поздно, так или иначе...
Jacky вне форума  
Старый 25.08.2003, 03:33   #18
lynx
Администратор
 
Аватар для lynx
 
Регистрация: 30.07.2001
Сообщений: 2,827
По умолчанию Новый почтовый вирус

Про дос-атаки:

Цитата:
Направленный шторм запросов на 21, 25, 80, 11О и 139 порты

Эксперимент осуществлялся следующим образом. На соответствующий порт атакуемого сервера в цикле TCP SYN отправлялось 9 500 запросов в секунду, что составляет около 50% от максимально возможного количества сообщений при пропускной способности канала 10 Мбит/с. В результате было выведено пороговое значение, определяющее число запросов в секунду, при превышении которого удаленный доступ к серверу становится невозможным.

Во время шторма TCP-запросов на указанные порты наблюдалась следующая реакция системы:
замедлялась работа локального пользователя (нажатия на клавишу обрабатывались 1-10 секунд, менеджер задач показывал 100-процентную загрузку процессора);
удаленный доступ но сети к атакуемому серверу на любой порт оказывался невозможным;
на сервере из-за нехватки памяти переставали запускаться любые процессы (появлялись сообщения &#34;Нет системных ресурсов&#34;
при шторме на 139-й порт с довольно большой вероятностью (около 40%) система через некоторое время &#34;зависала&#34; (&#34;синий экран&#34;
после перезагрузки сервера при постоянно идущем шторме на 139-й порт сервер, как правило, &#34;зависал&#34; (вероятность более 50%);
при попытке обращения с консоли сервера в сеть возникали многочисленные ошибки (пакеты не передавались, система &#34;зависала&#34.

После прекращения шторма запросов TCP SYN у атакуемого NT-сервера наблюдалась следующая реакция:
из-за нехватки памяти переставали запускаться любые процессы (появлялись сообщения &#34;Нет системных ресурсов&#34. Удаленный пользователь не всегда мог получить необходимую ему информацию, даже если удаленный доступ к портам сервера был возможен (HTTP-сервер при попытке обращения к ссылке возвращал ошибку);
при попытке вызова Менеджера задач на локальной консоли система &#34;зависала&#34;;
иногда наблюдались отказы в обслуживании при любом удаленном доступе.
Тут посложнее про технику удаленного подключения с использованием открытого 139 порта:

http://mirny.yakutia.ru/vrem/lit/com...win/warnt.html
lynx вне форума  
Старый 25.08.2003, 05:20   #19
McLaud
Newbie
 
Регистрация: 23.08.2003
Сообщений: 8
По умолчанию Новый почтовый вирус

Цитата:
Возми Shadow Securiry Scaner, настрой на скан портов и скорми ему свой текущий IP-шник
Круто, млин... Умные, млин, все, как на партсобрании.
Нашел &#34;Shadow Securiry Scaner&#34;
Скачал кряк.
Буду разбираться сам, если вы такие неэкспериментальные все тут.
Только вот словари паролей где брать, не знаю?
Везде написано, что их много, а я не видел.

Ссылку почтал...
Но это уже не по мне. Это надо крутым сисадмином быть.

McLaud вне форума  
Старый 02.09.2003, 04:42   #20
Protivolynksoid
Newbie
 
Регистрация: 02.09.2003
Сообщений: 1
По умолчанию Новый почтовый вирус

banned

Protivolynksoid вне форума  
Закрытая тема

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.



Текущее время: 11:08. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.8
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© 2001—2017, «Аспирантура. Портал аспирантов»
Рейтинг@Mail.ru