Сетевая безопасность!

[Smartass 0]

мб обратиццо к представителям корбины

шлют оповещения на мыло/смс об окончании денег, могут послать и про вирусы)

[!Shoorf 0]

Народ, а разве лавсан заражает компы с СП2? К августу 2003 года сп2 уже вышел?

[Riddler 0]

Блин, у меня не стоит СП2, но в течении недели обязательно поставлю.

[iliya1701 0]

слушайте.. ааа вместо Касперского мона поставить Dr Web ???

[bagerspb 0]

слушайте.. ааа вместо Касперского мона поставить Dr Web ???

 

В принципе любого антивируса + штатного фаервола из СП2 достаточно... Могут быть какие-то нюансы, но очень низкая вероятность.. Поставьте любой антивирь, Каспера, ДрВэба, НОД32... главное, чтоб вирусные базы были свежие и обновлялись.

[iliya1701 0]

объясните тупому ... что такое фаерфволл...??? штатный фаер это брандмауэр виндовс??или что??

я понимаю что это защита но чем фаер отличается от антивируса???

[bagerspb 0]

объясните тупому ... что такое фаерфволл...??? штатный фаер это брандмауэр виндовс??или что??

я понимаю что это защита но чем фаер отличается от антивируса???

 

Да, фаервол=брандмауер, он не пускает в Ваш комп и из Вашего компа несанкционированный трафик. То есть защищает от атак.

А антивирус не пускает и борется с вирусами, которые могут попасть через санционированные Вами коннекты, через браузер, почту или аську, к примеру...

[iliya1701 0]

спс за ответ

[serg_ch 0]

Фишка Kaspersky Internet Securiti 6 - иногда после перезагрузки и обновлений перестаёт показывать сетевой трафик и сразу- никаких сетевых атак Пришлось дополнительно поставить kaspersky antihaker в режиме отключена вся защита, чтобы is6 стал опять показывать трафик и соответственно, следить за атаками. Российские программисты.....

[Murky_Laughter 0]

У меня все было гораздо хуже, сидел без антивируса и файервола месяц... Короче фат32 был разрушен - диск доктор показывал около 30 бэдов, файлы-сетапы не запускались в принципе, скандиск, естественно, ничего востановить не смог, помог только формат...

[bagerspb 0]

У меня все было гораздо хуже, сидел без антивируса и файервола месяц...

 

Полезная и юморная статья А.Экслера по этому поводу: Компьютерные авгиевы конюшни

[Riddler 0]

Поставил себе форум phpBB 2.0.21 http://10.120.200.116

Слышал, что phpBB содержит в себе много дырок, стало страшно!

Если кто знает как защитится от хацкеров и разных эксплойтов подскажите...

 

PS поставил SP2 - lovesan теперь не мучает.

[!Shoorf 0]

Поставил себе форум phpBB 2.0.21 http://10.120.200.116

Слышал, что phpBB содержит в себе много дырок, стало страшно!

Если кто знает как защитится от хацкеров и разных эксплойтов подскажите...

 

PS поставил SP2 - lovesan теперь не мучает.

 

защититься от дырок пхпбб можно только одим образом: удалить его нах И поставить какой-нибудь малоизвестный движок.

[Riddler 0]

защититься от дырок пхпбб можно только одим образом: удалить его нах И поставить какой-нибудь малоизвестный движок.

Скорее всего так и придется сделать, т.к. если к нему будет доступ через интернет, то думаю он долго не протянет.

 

PS Weider посоветовал Invision Power Board, какую-нибудь крякнутую версию...

PSS !Shoorf какой посоветуешь форум?

[!Shoorf 0]

да, ставь ipb - сойдет =)

[KreySlider 0]

Хм, я уже тащусь!.. Такая паника, такая паника! Эпидемия ВЫРЮСЕВ!!! Инопланетные полЧАЩА!!! Да как же мы все ПЕРЕЗЯМУЕМ-та без СП2, НОД-а, Каспера и его собутыльника Веба??? :lol:

 

 

ЗЫ: Что-то рриддлер слишком сильно беспокоица об апчественнсти! Помню времена, когда у него на компе было около 4500 вырусяг!..

А теперь пугают 2-3 атаки!?! Наводит на мысли!..

[bagerspb 0]

Что-то рриддлер слишком сильно беспокоица об апчественнсти! Помню времена, когда у него на компе было около 4500 вырусяг!..

А теперь пугают 2-3 атаки!?! Наводит на мысли!..

Мама с ребенком у доктора:

- Доктор, у моего мальчика болит пиписька!

- С этого момента пипиську называем членом, и начинаем лечить гонорею...

 

Риддлер вырос, и в некоторых моментах я готов у него учиться.

[Riddler 0]

Хм, я уже тащусь!.. Такая паника, такая паника! Эпидемия ВЫРЮСЕВ!!! Инопланетные полЧАЩА!!! Да как же мы все ПЕРЕЗЯМУЕМ-та без СП2, НОД-а, Каспера и его собутыльника Веба??? ;)

ЗЫ: Что-то рриддлер слишком сильно беспокоица об апчественнсти! Помню времена, когда у него на компе было около 4500 вырусяг!..

А теперь пугают 2-3 атаки!?! Наводит на мысли!..

 

Цитата с http://www.kaspersky.ru/

Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции.

 

В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.

 

Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров.

 

Кстати это и тебя должно беспокоить, т.к. и ты играешь и скачиваешь файлы с локалки и вряд ли хочешь, чтобы она лагала.

 

ЗЫ: Поставил себе СП2 и Outpost Firewall Pro 4.0. Outpost называет Ловсаны, как Атака RPC DCOM.

[KreySlider 0]

Ой-ой, батюшки... Ну все! Хана!.. Куда ж мне без фаервола-то!..

 

Касперский анти-хрюкер заметил пару червяков - и те какие-то галименькие были... Как-то не вижу особого дискомфорта!

 

Лучше бы выявили лапухов, от кого все это лезло...

[bagerspb 0]

Лучше бы выявили лапухов, от кого все это лезло...

 

Как и зачем? Ну, предположим, выявили... дальше что?

[Riddler 0]

Прищло мне тут письмо...

 

Mail server report.

 

Our firewall determined the e-mails containing worm copies are being sent from your computer.

 

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

 

 

Using the new bug in the Windows, these viruses infect the computer unnoticeably.

After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail

addresses

 

Please install updates for worm elimination and your computer restoring.

 

Best regards,

Customers support service

 

И файл прикрепили - Update-KB5990-x86.zip c червяком Ну ваще спамеры охринели уже.

 

////////////////////////////////////////////////////////////////////

Люди расскажите, кто как спасается от спама?

[bagerspb 0]

Прищло мне тут письмо...

И файл прикрепили - Update-KB5990-x86.zip c червяком Ну ваще спамеры охринели уже.

 

Люди расскажите, кто как спасается от спама?

 

Ну во первых все письма с непрошеными вложениями СРАЗУ летят в корзину, даже если я от Риддлера получу письмо с аттачем, о котором мы не договорились, в корзину нах! ... Во вторых настраиваем фильтры, обязательно пишем абузы, долбим хостеров, с чьих серваков спамят...

[Daniel123 0]

я в сетке хапнул друго красавца w32.stration@mm....снес касперского...поставил нортон антивирус....поиграл в кс по лакалке...покачал фильмы...время от времени нортон выкидывал мессаги...атака с ..... атака с ..... до атаковались....причем нортон его находит, но сделать с ним ничего не может...завтра поставлю касперского, если и он не сможет удалить, загружусь в досе и почикую пару файлов

[bagerspb 0]

я в сетке хапнул друго красавца w32.stration@mm....

Сегмент озвучьте, плз.....

 

 

Уже не надо..... понял, сорри....

[!Shoorf 0]

я в сетке хапнул друго красавца w32.stration@mm....снес касперского...поставил нортон антивирус....поиграл в кс по лакалке...покачал фильмы...время от времени нортон выкидывал мессаги...атака с ..... атака с ..... до атаковались....причем нортон его находит, но сделать с ним ничего не может...завтра поставлю касперского, если и он не сможет удалить, загружусь в досе и почикую пару файлов

 

Да, это знатная зараза. У меня на работе один человек подхватил, дык ни один антивирь ещё не сумел убить. До сих пор в карантине кажись сидит.

[stfu 0]

w32.stration он же

 

Email-Worm.Win32.Warezov.gl

 

можно прочитать на сайте http://www.viruslist.com/ru/viruses/encycl...irusid=21777092

 

 

Технические детали

Деструктивная активность

Рекомендации по удалению

Технические детали

 

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Во вложение червь помещает не свою копию, а компонент, который может загружать из интернета другие вредоносные программы.

 

Зараженные письма рассылаются по всем найденным на компьютере адресам электронной почты.

 

Червь является приложением Windows (PE EXE-файл), имеет размер около 110 КБ. Упакован при помощи UPX. Размер в распакованном виде – около 235 КБ.

 

Инсталляция

При инсталляции червь копирует себя в корневой каталог Windows с именем "cservv32.exe":

 

%WinDir%\cservv32.exe

Также червь создает следующие файлы в системном и корневом каталогах Windows:

 

%System%\e1.dll (20 480 байт)

%Windir%\cservv32.s

%Windir%\cservv32.wax

%Windir%\cservv32.dat

Также червь создает следующие записи в системном реестре:

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"cservv32" = "%Windir%\cservv32.exe s"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs" = "e1.dll"

т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

 

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

 

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

 

Характеристики зараженных писем

Тема письма:

Выбирается произвольным образом из списка:

 

Error

Good Day

hello

Mail Delivery System

Mail server report

Mail Transaction Failed

picture

Server Report

Status

test

Текст письма:

Выбирается произвольным образом из списка:

 

Mail transaction failed. Partial message is available.

__________________________

 

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

 

__________________________

 

The message contains Unicode characters and has been sent as a binary attachment.

 

__________________________

 

Mail server report.

 

Our firewall determined the e-mails containing worm copies are being sent from your computer.

 

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

 

 

Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

 

Please install updates for worm elimination and your computer restoring.

 

Best regards,

Customers support service

 

Имя файла вложения:

body

data

doc

docs

document

file

message

readme

test

text

Update-KB<случайные цифры>-x86

В качестве файла вложения червь рассылает свою компоненту, которая может загружать из интернета другие вредоносные программы.

 

Данный файл является компонентом червя и детектируется Антивирусом Касперского так же, как и основной модуль — Email-Worm.Win32.Warezov.gl Деструктивная активность

 

Действия основного модуля червя

Червь завершает работу различных запущенных на зараженном компьютере антивирусных программ и межсетевых экранов.

 

Действия рассылаемого по почте компонента

Данный компонент рассылается основным модулем червя. Его функция заключается в загрузке из интернета других файлов без ведома пользователя.

 

Размер данного файла - 23 556 байт.

 

После запуска на компьютере данный файл открывает окно обработчика TXT-файлов, установленного в системе по умолчанию (чаще всего это программа Notepad/«Блокнот»):

 

 

Или выдает следующее сообщение:

 

 

При инсталляции данный файл создает в системном каталоге Windows свою копию со случайным именем.

 

Рассылаемый червем компонент содержит в себе список URL адресов, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.

 

Рекомендации по удалению

 

Обнаружение

Процедуры обнаружения этой версии червя были выпущены срочным обновлением баз данных «Антивируса Касперского».

 

«Антивирус Касперского» версии 6.0 с включенной проактивной защитой способен обнаруживать данный вирус без обновления антивирусных баз.

 

Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).

В диспетчере задач найдите процесс с именем:

cservv32.exe

Если обнаружите такой процесс, - завершите его.

Вручную удалите следующие файлы из корневого и системного каталогов Windows:

%Windir%\сservv32.exe

%Windir%\cservv32.s

%Windir%\cservv32.wax

%Windir%\cservv32.dat

%System%\e1.dll

Удалите из системного реестра следующие записи:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"cservv32" = "%Windir%\cservv32.exe s"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs" = "e1.dll"

Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.

Произведите полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

[Daniel123 0]

кроме e1.dll, обнаруживается и wdmicpui.dll....в безопасном режиме не дает ни чего с ними делать....процесс не возможно завершить----> не дает удалять эти файлы....ща поставлю обратно касперского

[Riddler 0]

Во-во, мне такого и прислали:

 

удалено: вирус Email-Worm.Win32.Warezov.gj

Почтовое вложение:

[From:<secur@scholzes.com>]

[subject:Mail server report.]

[Time:2006/11/22 07:31:58]\Update-KB5990-x86.zip\Update-KB5990-x86.exe

 

stfu Спасибо за подробную информацию о черве.

 

========================================================

Вот что мне сегодня написал Оутпост:

17:24:49 Сканирование портов 10.220.19.149 TCP (445)

 

Неужто новая зараза? В инете написано, что эти порты сканят два червяка:

 

"Randon"

"Randon" распространяется по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows 2000 и Windows XP. Для проникновения на компьютер он подключается к IRC-серверу (или локальной сети), сканирует находящихся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы "Randon" пересылает на нее троянскую программу "Apher", которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя (всего 13 файлов, в том числе полноценный mIRC-клиент - программа для работы с IRC-каналами). После этого "Randon" устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл и mIRC-клиента в ключе автозапуска системного реестра Windows и запускает их на выполнение.

К счастью "Randon" не содержит каких-либо деструктивных функций. Его побочные эффекты - создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов.

http://www.kaspersky.ru/securitylab?id=1211974

 

"Deloder"

Зарегестрированы случаи заражений новым интернет-червем "Deloder". Новый вирус размножается по локальным и глобальным сетям через ресурсы, открытые на доступ. Инсталлирует в зараженные системы троянские программы удаленного администрирования (бекдор-троянцы).

 

Данная вредоносная программа распространяется в виде файла с именем "Dvldr32.exe", который является приложением Windows (PE EXE-файл), имеет размер около 746K (упакован ASPack, размер распакованного файла - около 780K), написан на Microsoft Visual C++.

 

Червь "Deloder" запускает до 512 процедур-"ниток", которые одновременно сканирует порт 445 по случайным IP-адресам. При обнаружении открытого 445 порта червь ищет на удаленном компьютере открытые ресурсы и пытается подобрать к ним пароли из списка: "","admin", "administrator", "root", "admin", "test", "test123", "temp", "temp123", "pass", "password", "changeme" и т.п. Всего в списке 85 паролей. В случае успеха червь копирует себя на компьютер-жертву и запускает себя на выполнение при помощи специальной утилиты "PsExec".

 

Червь записывает на диск и запускает на исполнение файл "inst.exe", который является инсталлятором "Wise installation Wizard" с двумя троянскими программами внутри.

http://www.viruslist.com/ru/news?id=1937372

[!Shoorf 0]

Да мало ли кто сканить может. Хоть Вася-сосед. А аутпост вообще много чего тебе может наговорить

Не верю я этой х*ровине...

[serg_ch 0]

Да мало ли кто сканить может. Хоть Вася-сосед. А аутпост вообще много чего тебе может наговорить

Не верю я этой х*ровине...

 

Я отключил оповещение, и пусть себе сканят, мне не мешает