Dial-up
Домашняя сеть
IP-соединение
Проверить баланс
 ИНТЕРНЕТ
 Тарифы на услуги
 Документы
 Как подключиться
 Личная статистика
 Портал Домашней сети
 ТЕЛЕФОНИЯ
 Тарифы на услуги
 Документы
 Тарифы на  внутризоновую связь
Техническая поддержка
Dial-up модемы
Настройки доступа Dial-up
Настройки почты
ADSL модемы
Домашняя сеть
Поддержка
Помощь
Вопросы и ответы
О Вашей Home page
Странички
Полезные ссылки
Поисковики
Телефонные коды
Коды городов Росиии
Коды СНГ
Коды стран Европы
Наш край
Сайт Администрации района
Наш Дедовск
Фотографии г.Дедовска
История г. Дедовска
Карта Дедовска
Телефонная справка
Очерк об Истринском районе
Музеи в нашем районе
Мемориальный Музей
Расписания транспорта

 

  Статья

Главная страница / Помощь /  Cтатья Васильева Антона - "Вирус-червь

Вздрогнули????

Не пугайтесь, это всего лишь картинка. Многим из нас знакомо это окошко, предупреждающее о скорой перезагрузке и многим оно успело надоесть…. Если ваша "форточка" выкидывала это окошко, скорее всего вы заражены вирусом, а точнее червём, приводим краткое описание : "Lovesan", "Lovsan", "Blaster", "Msblast", "Poza" - Все эти имена относятся к одной вредоносной программе, но используются разными антивирусными компаниями. В терминологии "Лаборатории Касперского" этот червь называется "Lovesan". На данный момент известны три модификации червя, которым некоторыми разработчиками присвоены индексы "a", "b" и "c". Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем "msblast.exe". Содержит текстовые строки: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Признаками заражения компьютера являются:

  •   Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\)
  •  Внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут
  •  Многочисленные сбои в работе программ Word, Excel и Outlook
  •  Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"
  •  Появление на экране окна с сообщением об ошибке (RPC Service Failing)
  •  Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
Размножение:
При запуске червь регистрирует себя в ключе автозапуска:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
windows auto update="msblast.exe"

Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров. После этого червь "спит" в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если "base address" является 20.40.50.0, червь будет сканировать следующие адреса: 20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:
1. В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.
2. В 2 случаях из 5 червь сканирует подсеть.
Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.
Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0. Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 4444. После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.
Чем опасен данный зверь:
"Lovesan" не несет существенной опасности непосредственно для зараженного компьютера. Червь не удаляет, не изменяет и не похищает данные. Его угроза состоит в нарушении нормальной работы интернета в целом, что происходит из-за перегрузки каналов передачи данных рассылкой вирусного кода.
Для каких систем потенциально опасен:
Червь заражает компьютеры под управлением Windows NT, Windows 2000, Windows XP. Полный список уязвимых операционных систем приведен ниже:

  •   Windows NT 4.0 Server
  •   Windows NT 4.0 Terminal Server Edition
  •   Windows 2000
  •   Windows XP 32 bit Edition
  •   Windows XP 64 bit Edition
  •   Windows Server 2003 32 bit Edition
  •   Windows Server 2003 64 bit Edition
  • Как проверить свой компьютер:
    Скачайте эту утилиту и запустите на своем компьютере, но помните, утилита только удаляет червя и восстанавливает зараженный компьютер, но не создает иммунитет против "Lovesan". Для этого вам необходимо установить описанное ниже обновление для Windows.

    Как защититься:
    Существует несколько способов защиты от "Lovesan". Во-первых, необходимо загрузить последние обновления антивируса и ни в коем случае не отключать антивирусный монитор во время работы с интернетом. Во-вторых, используйте межсетевой экран (firewall) для блокировки портов 135, 69 и 4444. Наконец, установите обновление для Windows с сайта Microsoft, закрывающее брешь, через которую "Lovesan" проникает на компьютеры, Последний способ является наиболее эффективным, поскольку предотвращает заражение не только "Lovesan", но также всеми его разновидностями и другими подобными червями, использующими описанную брешь Windows. Скачать обновление можно здесь.

    Надеюсь, что мои советы помогли Вам избавиться от этой проблемы, все программы опробованы мной лично на XP pro, ни один компьютер при этом не пострадал.



    Модемные пулы
    561-7111, 2-11-11
    150 модемов, протоколы
    V.90, V.34, V.32bis
    561-7116, 2-11-16
    18 модемов USR Courier, протоколы V.34, V.32bis, HST  
    Тестовый вход
    Используйте
    тестовый вход для этого создайте соединение, где имя-test, пароль-test, тел: 561-7116,
    2-11-16

     

    О фирме Реквизиты Контакты Новости Услуги Интернет Услуги Телефонии

    Rambler's Top100

    E-mail:   Тел: +7 (495) 994-8000, 8-800-100-1117   Факс: +7 (495) 994-8130