Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

pascuale

виры в локалке

Рекомендованные сообщения

Scan.Generic.UDP Сканер портоф по системе UPD

apelset, Видел пару раз в нэте проги для фтп которые ограничивают попытки ввода пороля

andrey26,

RPC DCOM Вроде эксплойд дающий доступ к командной строке

"узел подменяет свои IP-адреса" это прокси или тобой пользуются (Используют твой IP)

 

Хорошо что фаервол палит это а так бы ты винду раз по 20 за месец снасил

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Самая первая уязвимость (и самая опасная!) была обнаружена в июле 2003 года (описано в бюллетене безопасности MS03-026). Эту уязвимость эксплуатирует самый разрушительный червь за всю историю существования интернета - MSBlast. Спустя неделю после выхода MS03-026 китайцы сообщили еще об одной уязвимости в DCOM при обработке __RemoteGetClassObject, которая позволяла выполнить отказ в обслуживании даже при установленной заплате MS03-026. Данную уязвимость компания Microsoft устранила только через 2 месяца в совокупности с двумя новыми уязвимостями (MS03-039), позволяющими атакующему выполнить произвольный код на уязвимой системе, используя специально сформированный DCERPC "bind" пакет, за которым следует специально сформированный пакет DCOM object activation request. Однако на этом история не закончилась. Буквально через месяц впервые на сайте SecurityLab.ru был опубликован новый эксплоит, который вызывал отказ в обслуживании даже при установленной заплате MS03-039. Удаленный атакующий мог вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. Изначально предполагалось, что уязвимость может эксплуатироваться только для отказа в обслуживании, однако спустя полгода Microsoft наконец-то опубликовала исправление для этой уязвимости (MS04-012), в котором утверждалось, что она может эксплуатироваться для выполнения произвольного кода. В MS04-012 также было устранено еще три уязвимости в RPC DCOM: RPCSS Service Vulnerability, CAN-2004-0116, RPC over HTTP Vulnerability - CAN-2003-0807, Object Identity Vulnerability - CAN-2004-0124.

1. RPC Runtime Library Vulnerability, CAN-2003-0813 – уязвимость состояния операции обнаружена в Windows RPC DCOM. Удаленный атакующий может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC запроса. Как сообщает Microsoft, уязвимость может использоваться для выполнения произвольного кода на уязвимой системе. Microsoft оценила риск этой уязвимости как “критическая”.

 

2. RPCSS Service Vulnerability, CAN-2004-0116 – Удаленный атакующий может послать специально обработанный запрос к RPCSS службе, чтобы вызвать условия отказа в обслуживании. Microsoft оценила риск этой уязвимости как “Важная”.

 

3. COM Internet Services (CIS) – RPC over HTTP Vulnerability - CAN-2003-0807. Отказ в обслуживании обнаружен в CIS и в RPC over HTTP Proxy компонентах. Когда перенаправляется запрос к внутреннему интерфейсу системы, нападающий может ответить на запрос, используя специально обработанное сообщение, которое может заставить уязвимые компоненты перестать обрабатывать последующие запросы. Microsoft оценила риск этой уязвимости как “Низкая”.

 

4. Object Identity Vulnerability - CAN-2004-0124 – уязвимость раскрытия информации обнаружена в пути, которым создается тождественный объект. Эта уязвимость позволяет атакующему разрешить приложениям открыть сетевые коммуникационные порты. Хотя уязвимость не позволяет атакующему напрямую скомпрометировать систему, однако она может использоваться для открытия сетевых подключений через “неожиданные” коммуникационные порты. Microsoft оценила риск этой уязвимости как “Низкая”.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

apelset,

Пару раз в нэте видел прогу для фтп которая аграничивает кол-во ввода поролей, пооещи поможет.

 

RA1AFE(Dmitriy),

Scan.Generic.UDP это сканирование портов.

andrey26,

RPC DCOM эксплойт дающий доступ к командной строке

узел подменяет свои IP-адреса это может быть прокси или твой комп используют как прокси.

 

Простите за дублируещие сообщение. Удолите плизззз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

apelset,

Пару раз в нэте видел прогу для фтп которая аграничивает кол-во ввода поролей, пооещи поможет.

 

RA1AFE(Dmitriy),

Scan.Generic.UDP это сканирование портов.

Понятно,еще один наивный)))

А сегодня долбятся уже с этого адреса 10.215.40.45.Армия холявщиков растет)))

Адреса свои светят,могут проблем огрести.

 

Как послать сообщение долбящемуся на его IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RA1AFE(Dmitriy), Можно попробывать через telnet (Если у него открыт 23 порт)

 

Если разберешся то вот еще прога LanSend (Я так и не понел как работает. А свиду простинькая)

 

andrey26, Незачто. Обращяйся еще обьесню какой гадостью тебя травят =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На мой комп учестились атаки не известного вируса кейлогера (Он запоминает все нажатые клавиши) как я понял он использует дырку в браузере opera 8.5 и все время поевляется в папке как фаил ожидающий загрузки. panda его палит без проблем, а насчет других антивирусов не знаю!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Штырлиц: а ты поставь оперу, отключи антивирь с фаером и скоро узнаешь. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Штырлиц: а ты поставь оперу , отключи антивирь с фаером и скоро узнаешь. :)

А чё с Оперой не ладно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сарыч, выше (до Штирлтица пост) читай...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to gold goblin LanSend в вопросах и ответах : www.lantricks.ru/lansend/faq.php (может ещё кому сгодится) ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Штирлитц, Название все время разное. Я заметил что оно меняется от IP отакуещего (Все время разное название).

Dimaska, Я последывал твоему совету, скоро ждите результатьв иследования вируса.

 

Так первая информация:

Адрес размещения: C:\documents and settings\Имя пользователя\application data\opera\profile\cache4\opr00xmw.rar

В этом архиве без палева лежит фаил с названием keylogger.exe

Распространение: Фаил keylogger.exe очень умный и убегает из архива если отключен антивирус в папку windows или system

Противодействие: Поставить антивирь (Фаервол), обнавить оперу.

Индификация: пандой индифицируется как trj/Gorgs.C

Пандой не лечится и не удоляется поскольку используется системой.

Скоро узнаю куда логи ныкает или отсылает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Идинственный способ лечения этого вируса (Который я нашол) Обнавить оперу и просканится антивирусом.

Кстати может это прикол а может и явь вирус отправляет нажатые клавиши на скрипт по адресу www.microsoft.com/loger.php Может закодиравано а может прикол.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Dimaska, у меня тоже самое было. Додумалась переустановить винду с включенным кабелем. Неуспела антивирусы поставить на чистую винду- у меня уже все заражено, в диспетчере висит приложение ____j.exe а в виндоус32 лежит ____r.exe. (явно вирусы) и lsass летит и винда перегружается.

 

выход один. отключать шнур из сетевухи и ставить винду, затем устанавливать антивирусы и файерволы и только потом локалку и инет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пандой не лечится?ну ну, ты еще и НОДом полечи..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кста, ANTIVIR (немецкий антивирус) все эти вирусы ловит оперативно (даже файервол впринципе не нужен). рекомендую

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этой немецкой конторе я бы не доверил бы свою машину.Сомнительная защита.Ставьте то,чем пользуется большинство пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот зря ты так. немецкое- не значит плохое. у меня например комп не переваривает касперского. все висит по полчаса. а АНТИВИРом уже несколько лет пользуюсь и горя не знаю.

 

кста, атака от 10.215.29.10 - проверьтесь, люди)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

gold goblin хаха...вы другие антивирусы пробовали??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

apelset, Ну каспер, дорогое гэээ, он не палит простенький блочный вирус, нод его даже без базы палит, а у панды он палится уже при скачке

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

детский лепет,не правда это

 

1.jpg

 

 

 

жду комментариев

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это онлайн проверка???

Ну не знаю у меня нод с пандой вирусы нормально ганяет.

И твой вирус который ты искал он не блочный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

всмысле не блочный??он закриптован

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

apelset, Блочный вирус - это такойв вирус который состаит из нескольких файлов.

К примеру сэйсер создает несколько exe файлов по всей системе. (Я их блочными называю а как они правельно называются я не знаю) =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2.jpg

Вопросы к ноду и панде отпали - лажа.Кто не согласен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а мя юзает симантек 10 и вмваре

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Виры-виры. Смешно.

Знаете что говорят ОФИЦИАЛЬНЫЕ представители Корбины в службе поддержки?:angry:

 

"...А вы отключите фаервол и касперского и инет будет хорошо работать.."

 

После этой рекомендации у меня был ступор минут 10. А вы говорите пользователи должны просто обязаны следить за своими компами. ну-ну.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах