Вирус Worm.Win32.Lovesan, он же MSBlast

[panteev]

А что, кно-нибудь кроме меня подхватил субж?
Я пока сидел на IOL, все было спокойно. А после того, как во вторник двое знакомых, сидящих на Eircom, обратились ко мне с одинаковыми симптомами, полез в Интернет искать в чем проблема. Причем в порядке эксперимента подключился к Eircom. Не прошло и пяти минут - заболел мой XP и перегрузился. Хорошо, что я к тому времени уже нашел описание этого вируса и знал как с ним бороться. В общем, вот парочка актуальных ссылок:

Подробное описание вируса на русском:
http://www.viruslist.com/viruslist.html?id=2727712
на английском:
http://www.viruslist.com/eng/viruslist.html?id=61577

А здесь патчи Windows XP и других NT-клонов, закрывающие дыру для этого червя:
http://www.microsoft.com/technet/tre...n/MS03-026.asp

Eircom вот тоже разродился alert-ом:
http://support.eircom.net/virus.html

А почему я не заразился, сидя на IOL, я так и не понял...

[KaraNagai]

о! ;)) мсбласт есть ;)) слава богу только дома. то-то у меня браузер падать начал ;)))

[Cuore Sportivo]

Spasibo za ssylki!
A ya uz dumal chto opyat vindy perestavlyat`! :D

[panteev]

Вот сегодня Касперский выложил утилиту для полного удаления его с компьютера:
http://www.kaspersky.ru/news.html?id=1319264
Но патч все равно надо ставить, иначе он обратно влезет

[TunerOK]

Молодцы, ребятки! Что бы я делал без этого форума 8)

[IL]

Цитата:

Сообщение от panteev

Вот сегодня Касперский выложил утилиту для полного удаления его с компьютера:
http://www.kaspersky.ru/news.html?id=1319264
Но патч все равно надо ставить, иначе он обратно влезет

http://securityresponse.symantec.com...r/FixBlast.exe
если кто симантек предпочитает

[Bibik]

Однако шустрая штучка...
Дали мне тут ноутбук на "починить"... Поменял HDD, поднял систему с Recovery Disks, настроил интернет, подключился к Eircom... И 2-х минут не прошло, как вирус уже сидел у меня. Я не понял Eircom... Неужели так сложно его фильтрануть? Вроде известно, каким образом он на машины лезет...

[AlexM]

Цитата:

Сообщение от Bibik

Однако шустрая штучка...
Дали мне тут ноутбук на "починить"... Поменял HDD, поднял систему с Recovery Disks, настроил интернет, подключился к Eircom... И 2-х минут не прошло, как вирус уже сидел у меня. Я не понял Eircom... Неужели так сложно его фильтрануть? Вроде известно, каким образом он на машины лезет...

дык нельзя... лезет он по 135 порту, вполне стандартному у виндов... а вычленять собственно тело из траффика - шибко накладно получается, да...

[Bibik]

Цитата:

Сообщение от AlexM

лезет он по 135 порту, вполне стандартному у виндов...

Дык это ж DCOM! Надо быть самоубийцей, что вот так, с диалапа на public ISP, пытаться что-то делать в виндовской сетке. Кому надо - тот себе VPN создаст. А остальным - нафига?
P.S. Уже в который раз убеждаюсь, что среди виндов "для дома" нет винды кроме Win98, и WinME - пророк её.

[Рулон Обоев]

Цитата:

Сообщение от Bibik

Цитата:

Дык это ж DCOM! Надо быть самоубийцей, что вот так, с диалапа на public ISP, пытаться что-то делать в виндовской сетке. Кому надо - тот себе VPN создаст. А остальным - нафига?
P.S. Уже в который раз убеждаюсь, что среди виндов "для дома" нет винды кроме Win98, и WinME - пророк её.

хех... ну я вообще весь траффик 135 перекрыл на своем "серваке" бздевом, что между мной и сегментом... =) все проблемы... нафиг мне dcom?.. =)))

30/08/2003 17:27 В США арестован создатель червя LoveSan.
Сотрудники американских правоохранительных органов, занимающиеся преступлениями в сфере информационной безопасности, арестовали в пятницу 18- летнего жителя Миннесоты Джеффри Ли Парсона, сообщает Associated Press. Задержанному инкриминируют создание b-версии сетевого червя LoveSan (Blaster). В ходе обыска, проведенного сотрудниками ФБР совместно с секретной службой министерства финансов во вторник, из дома Парсона было изъято 7 компьютеров. 18-летний житель Миннесоты создал версию червя, которая начала активно распространяться 13 августа. По словам специалистов в области антивирусной защиты, b-версия почти ничем не отличалась от оригинальной. В числе прочего Парсон изменил имя исполняемого файла msblast.exe. Подробнее: http://story.news.yahoo.com/news?tmp...nternet_attack