Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Riddler

Сетевая безопасность!

Рекомендованные сообщения

мб обратиццо к представителям корбины

шлют оповещения на мыло/смс об окончании денег, могут послать и про вирусы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ, а разве лавсан заражает компы с СП2? К августу 2003 года сп2 уже вышел?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин, у меня не стоит СП2, но в течении недели обязательно поставлю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:huh: слушайте.. ааа вместо Касперского мона поставить Dr Web ??? :huh:

 

В принципе любого антивируса + штатного фаервола из СП2 достаточно... Могут быть какие-то нюансы, но очень низкая вероятность.. Поставьте любой антивирь, Каспера, ДрВэба, НОД32... главное, чтоб вирусные базы были свежие и обновлялись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:huh: объясните тупому ... что такое фаерфволл...??? штатный фаер это брандмауэр виндовс??или что??

я понимаю что это защита но чем фаер отличается от антивируса??? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:( объясните тупому ... что такое фаерфволл...??? штатный фаер это брандмауэр виндовс??или что??

я понимаю что это защита но чем фаер отличается от антивируса??? :(

 

Да, фаервол=брандмауер, он не пускает в Ваш комп и из Вашего компа несанкционированный трафик. То есть защищает от атак.

А антивирус не пускает и борется с вирусами, которые могут попасть через санционированные Вами коннекты, через браузер, почту или аську, к примеру...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фишка Kaspersky Internet Securiti 6 - иногда после перезагрузки и обновлений перестаёт показывать сетевой трафик и сразу- никаких сетевых атак ;) Пришлось дополнительно поставить kaspersky antihaker в режиме отключена вся защита, чтобы is6 стал опять показывать трафик и соответственно, следить за атаками. Российские программисты..... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня все было гораздо хуже, сидел без антивируса и файервола месяц... Короче фат32 был разрушен - диск доктор показывал около 30 бэдов, файлы-сетапы не запускались в принципе, скандиск, естественно, ничего востановить не смог, помог только формат...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня все было гораздо хуже, сидел без антивируса и файервола месяц...

 

Полезная и юморная статья А.Экслера по этому поводу: Компьютерные авгиевы конюшни

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставил себе форум phpBB 2.0.21 http://10.120.200.116 :(

Слышал, что phpBB содержит в себе много дырок, стало страшно! :(

Если кто знает как защитится от хацкеров и разных эксплойтов подскажите...

 

PS поставил SP2 - lovesan теперь не мучает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставил себе форум phpBB 2.0.21 http://10.120.200.116 :)

Слышал, что phpBB содержит в себе много дырок, стало страшно! :)

Если кто знает как защитится от хацкеров и разных эксплойтов подскажите...

 

PS поставил SP2 - lovesan теперь не мучает.

 

защититься от дырок пхпбб можно только одим образом: удалить его нах :) И поставить какой-нибудь малоизвестный движок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
защититься от дырок пхпбб можно только одим образом: удалить его нах И поставить какой-нибудь малоизвестный движок.

Скорее всего так и придется сделать, т.к. если к нему будет доступ через интернет, то думаю он долго не протянет.

 

PS Weider посоветовал Invision Power Board, какую-нибудь крякнутую версию...

PSS !Shoorf какой посоветуешь форум?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм, я уже тащусь!.. Такая паника, такая паника! Эпидемия ВЫРЮСЕВ!!! Инопланетные полЧАЩА!!! Да как же мы все ПЕРЕЗЯМУЕМ-та без СП2, НОД-а, Каспера и его собутыльника Веба??? :lol: :lol: :(

 

 

ЗЫ: Что-то рриддлер слишком сильно беспокоица об апчественнсти! Помню времена, когда у него на компе было около 4500 вырусяг!.. :lol:

А теперь пугают 2-3 атаки!?! Наводит на мысли!..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то рриддлер слишком сильно беспокоица об апчественнсти! Помню времена, когда у него на компе было около 4500 вырусяг!.. :lol:

А теперь пугают 2-3 атаки!?! Наводит на мысли!..

Мама с ребенком у доктора:

- Доктор, у моего мальчика болит пиписька!

- С этого момента пипиську называем членом, и начинаем лечить гонорею...

 

Риддлер вырос, и в некоторых моментах я готов у него учиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм, я уже тащусь!.. Такая паника, такая паника! Эпидемия ВЫРЮСЕВ!!! Инопланетные полЧАЩА!!! Да как же мы все ПЕРЕЗЯМУЕМ-та без СП2, НОД-а, Каспера и его собутыльника Веба??? ;) ;) :)

ЗЫ: Что-то рриддлер слишком сильно беспокоица об апчественнсти! Помню времена, когда у него на компе было около 4500 вырусяг!.. ;)

А теперь пугают 2-3 атаки!?! Наводит на мысли!..

 

Цитата с http://www.kaspersky.ru/

Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции.

 

В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.

 

Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров.

 

Кстати это и тебя должно беспокоить, т.к. и ты играешь и скачиваешь файлы с локалки и вряд ли хочешь, чтобы она лагала.

 

ЗЫ: Поставил себе СП2 и Outpost Firewall Pro 4.0. Outpost называет Ловсаны, как Атака RPC DCOM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ой-ой, батюшки... Ну все! Хана!.. Куда ж мне без фаервола-то!.. :(

 

Касперский анти-хрюкер заметил пару червяков - и те какие-то галименькие были... Как-то не вижу особого дискомфорта!

 

Лучше бы выявили лапухов, от кого все это лезло...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучше бы выявили лапухов, от кого все это лезло...

 

Как и зачем? Ну, предположим, выявили... дальше что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прищло мне тут письмо...

 

Mail server report.

 

Our firewall determined the e-mails containing worm copies are being sent from your computer.

 

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

 

 

Using the new bug in the Windows, these viruses infect the computer unnoticeably.

After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail

addresses

 

Please install updates for worm elimination and your computer restoring.

 

Best regards,

Customers support service

 

И файл прикрепили - Update-KB5990-x86.zip c червяком ;) Ну ваще спамеры охринели уже.

 

////////////////////////////////////////////////////////////////////

Люди расскажите, кто как спасается от спама? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прищло мне тут письмо...

И файл прикрепили - Update-KB5990-x86.zip c червяком ;) Ну ваще спамеры охринели уже.

 

Люди расскажите, кто как спасается от спама? ;)

 

Ну во первых все письма с непрошеными вложениями СРАЗУ летят в корзину, даже если я от Риддлера получу письмо с аттачем, о котором мы не договорились, в корзину нах! ... Во вторых настраиваем фильтры, обязательно пишем абузы, долбим хостеров, с чьих серваков спамят...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я в сетке хапнул друго красавца w32.stration@mm....снес касперского...поставил нортон антивирус....поиграл в кс по лакалке...покачал фильмы...время от времени нортон выкидывал мессаги...атака с ..... атака с ..... до атаковались....причем нортон его находит, но сделать с ним ничего не может...завтра поставлю касперского, если и он не сможет удалить, загружусь в досе и почикую пару файлов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я в сетке хапнул друго красавца w32.stration@mm....

Сегмент озвучьте, плз.....

 

 

Уже не надо..... понял, сорри....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я в сетке хапнул друго красавца w32.stration@mm....снес касперского...поставил нортон антивирус....поиграл в кс по лакалке...покачал фильмы...время от времени нортон выкидывал мессаги...атака с ..... атака с ..... до атаковались....причем нортон его находит, но сделать с ним ничего не может...завтра поставлю касперского, если и он не сможет удалить, загружусь в досе и почикую пару файлов

 

Да, это знатная зараза. У меня на работе один человек подхватил, дык ни один антивирь ещё не сумел убить. До сих пор в карантине кажись сидит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

w32.stration он же

 

Email-Worm.Win32.Warezov.gl

 

можно прочитать на сайте http://www.viruslist.com/ru/viruses/encycl...irusid=21777092

 

 

Технические детали

Деструктивная активность

Рекомендации по удалению

Технические детали

 

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.

 

Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

 

Червь является приложением Windows (PE EXE-файл), имеет размер около 110 КБ. Упакован при помощи UPX. Размер в распакованном виде – около 235 КБ.

 

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows с именем "cservv32.exe":

 

%WinDir%\cservv32.exe

Также червь создает следующие файлы в системном и корневом каталогах Windows:

 

%System%\e1.dll (20 480 байт)

%Windir%\cservv32.s

%Windir%\cservv32.wax

%Windir%\cservv32.dat

Также червь создает следующие записи в системном реестре:

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"cservv32" = "%Windir%\cservv32.exe s"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs" = "e1.dll"

т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

 

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

 

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

 

Характеристики зараженных писем

Тема письма:

Выбирается произвольным образом из списка:

 

Error

Good Day

hello

Mail Delivery System

Mail server report

Mail Transaction Failed

picture

Server Report

Status

test

Текст письма:

Выбирается произвольным образом из списка:

 

Mail transaction failed. Partial message is available.

__________________________

 

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

 

__________________________

 

The message contains Unicode characters and has been sent as a binary attachment.

 

__________________________

 

Mail server report.

 

Our firewall determined the e-mails containing worm copies are being sent from your computer.

 

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

 

 

Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

 

Please install updates for worm elimination and your computer restoring.

 

Best regards,

Customers support service

 

Имя файла вложения:

body

data

doc

docs

document

file

message

readme

test

text

Update-KB<случайные цифры>-x86

В качестве файла вложения червь рассылает свою компоненту, которая может загружать из интернета другие вредоносные программы.

 

Данный файл является компонентом червя и детектируется Антивирусом Касперского так же, как и основной модуль — Email-Worm.Win32.Warezov.gl Деструктивная активность

 

Действия основного модуля червя

Червь завершает работу различных запущенных на зараженном компьютере антивирусных программ и межсетевых экранов.

 

Действия рассылаемого по почте компонента

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.

 

Размер данного файла - 23 556 байт.

 

После запуска на компьютере данный файл открывает окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»):

 

 

Или выдает следующее сообщение:

 

 

При инсталляции данный файл создает в системном каталоге Windows свою копию со случайным именем.

 

Рассылаемый червем компонент содержит в себе список URL адресов, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.

 

Рекомендации по удалению

 

Обнаружение

Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».

 

«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данный вирус без обновления антивирусных баз.

 

Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).

В диспетчере задач найдите процесс с именем:

cservv32.exe

Если обнаружите такой процесс, - завершите его.

Вручную удалите следующие файлы из корневого и системного каталогов Windows:

%Windir%\сservv32.exe

%Windir%\cservv32.s

%Windir%\cservv32.wax

%Windir%\cservv32.dat

%System%\e1.dll

Удалите из системного реестра следующие записи:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"cservv32" = "%Windir%\cservv32.exe s"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs" = "e1.dll"

Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.

Произведите полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кроме e1.dll, обнаруживается и wdmicpui.dll....в безопасном режиме не дает ни чего с ними делать....процесс не возможно завершить----> не дает удалять эти файлы....ща поставлю обратно касперского

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во-во, мне такого и прислали:

 

удалено: вирус Email-Worm.Win32.Warezov.gj

Почтовое вложение:

[From:<secur@scholzes.com>]

[subject:Mail server report.]

[Time:2006/11/22 07:31:58]\Update-KB5990-x86.zip\Update-KB5990-x86.exe

 

stfu Спасибо за подробную информацию о черве.

 

========================================================

Вот что мне сегодня написал Оутпост:

17:24:49 Сканирование портов 10.220.19.149 TCP (445)

 

Неужто новая зараза? В инете написано, что эти порты сканят два червяка:

 

"Randon"

"Randon" распространяется по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows 2000 и Windows XP. Для проникновения на компьютер он подключается к IRC-серверу (или локальной сети), сканирует находящихся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы "Randon" пересылает на нее троянскую программу "Apher", которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя (всего 13 файлов, в том числе полноценный mIRC-клиент - программа для работы с IRC-каналами). После этого "Randon" устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл и mIRC-клиента в ключе автозапуска системного реестра Windows и запускает их на выполнение.

К счастью "Randon" не содержит каких-либо деструктивных функций. Его побочные эффекты - создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов.

http://www.kaspersky.ru/securitylab?id=1211974

 

"Deloder"

Зарегестрированы случаи заражений новым интернет-червем "Deloder". Новый вирус размножается по локальным и глобальным сетям через ресурсы, открытые на доступ. Инсталлирует в зараженные системы троянские программы удаленного администрирования (бекдор-троянцы).

 

Данная вредоносная программа распространяется в виде файла с именем "Dvldr32.exe", который является приложением Windows (PE EXE-файл), имеет размер около 746K (упакован ASPack, размер распакованного файла - около 780K), написан на Microsoft Visual C++.

 

Червь "Deloder" запускает до 512 процедур-"ниток", которые одновременно сканирует порт 445 по случайным IP-адресам. При обнаружении открытого 445 порта червь ищет на удаленном компьютере открытые ресурсы и пытается подобрать к ним пароли из списка: "","admin", "administrator", "root", "admin", "test", "test123", "temp", "temp123", "pass", "password", "changeme" и т.п. Всего в списке 85 паролей. В случае успеха червь копирует себя на компьютер-жертву и запускает себя на выполнение при помощи специальной утилиты "PsExec".

 

Червь записывает на диск и запускает на исполнение файл "inst.exe", который является инсталлятором "Wise installation Wizard" с двумя троянскими программами внутри.

http://www.viruslist.com/ru/news?id=1937372

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да мало ли кто сканить может. Хоть Вася-сосед. А аутпост вообще много чего тебе может наговорить :huh:

Не верю я этой х*ровине...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да мало ли кто сканить может. Хоть Вася-сосед. А аутпост вообще много чего тебе может наговорить :lol:

Не верю я этой х*ровине...

 

Я отключил оповещение, и пусть себе сканят, мне не мешает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах