![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
dolboedДля прессы:
Первое сообщение об уязвимости — LSD Research Group, 16 июля
Microsoft Security Bulletin MS03-026 — 16 июля
CERT Vulnerability Note VU#568148 — 16 июля
Уточнение от Todd Sabin: уязвимость 139, 445 и 593 портов — BugTraq, 17 июля (подтверждено LSD Group 22 июля)
Department of Homeland Security Advisory — оригинал от 24 июля, update от 30 июля
Описание червя на LURHQ — 11 августа
Newly Discovered Worm Attacks Vulnerable Systems — Information Week, 11 августа
'MSBlast' worm begins spreading — все новости News.Com, с 16 июля по 11 августа
Описание вируса Worm.Win32.Blaster.a — Proantivirus Lab
Proantivirus Lab регистрирует массовую эпидемию — 12 августа
Для пользователя:
Worm.Win32.Blaster.a поражает только системы, родственные Windows NT (в том числе Win2000 и XP), но не трогает ME.
В задачи червя не входит причинение какого-либо ущерба пользователю, его компьютеру и файлам (если не считать перезагрузки ОС вскоре после заражения). В период до 16 августа червь, проникший в компьютер, занимается сканированием той подсети, куда он попал, выявлением уязвимых машин и их заражением. 16 августа (по локальному времени зараженной машины) все копии червя начнут атаку Syn Flood на сервер Microsoft Windows Update.
Те версии червя Worm.Win32.Blaster.a, которые до сих пор описаны специалистами из Symantec, LURHQ и Proantivirus Lab, ущербны. Они содержат две существенных ошибки, из-за которых запланированная атака на Microsoft может и не состояться. Первая ошибка состоит в том, что червь приводит к перезагрузке системы, т.е. обнаруживает себя раньше времени. Вторая — червь неправильно отдает уязвимым машинам свой собственный IP-адрес, а потому не может распространяться дальше после первичного заражения. Специалисты Symantec отмечают по этому поводу, что создатели червя наверняка устранят ошибки в ближайшую пару дней и выпустят новую версию.
Для профилактики заражения нужно поставить заплату от Microsoft. Если же червь уже заполз к вам в компьютер, его можно прибить вручную. Сперва через Task Manager (Диспетчер задач) следует убить процесс msblast, затем стереть файл из директории windows\system32. После этого нужно зачистить привет от вируса в registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Первое сообщение об уязвимости — LSD Research Group, 16 июля
Microsoft Security Bulletin MS03-026 — 16 июля
CERT Vulnerability Note VU#568148 — 16 июля
Уточнение от Todd Sabin: уязвимость 139, 445 и 593 портов — BugTraq, 17 июля (подтверждено LSD Group 22 июля)
Department of Homeland Security Advisory — оригинал от 24 июля, update от 30 июля
Описание червя на LURHQ — 11 августа
Newly Discovered Worm Attacks Vulnerable Systems — Information Week, 11 августа
'MSBlast' worm begins spreading — все новости News.Com, с 16 июля по 11 августа
Описание вируса Worm.Win32.Blaster.a — Proantivirus Lab
Proantivirus Lab регистрирует массовую эпидемию — 12 августа
Для пользователя:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2003-08-12 02:44 am (UTC)no subject
Date: 2003-08-12 02:54 pm (UTC)Norton
Date: 2003-08-12 02:52 am (UTC)+ Подчистить этого червячка можно с помощью маленькой экзешки (http://securityresponse.symantec.com/avcenter/FixBlast.exe), которую дает фирма Симантек(Мама Нортона)
Re: Norton
Date: 2003-08-12 02:57 am (UTC)Re: Norton
А я уже собиралась WINDOWS переставлять (не считывались линки, которые в других окнах, и еще парочка мелких радостей).
no subject
было много-много вирусов, вроде от всех избавилась, но теперь комп упорно не показывает иконку подсоединения к интернету:
переинсталлировала модем (у меня ADSL), пыталась создавать новые конекшены - нету. ничего. все иконки появляются и работают, а этой нет.
в супорте нетвижена сказали - вирус. ворде этот самый.
не знаешь чем его можно?
no subject
Date: 2003-08-13 05:08 am (UTC)Уверен, что если позвонишь и скажешь что у тебя проблема с сайтом икс, то скажут что вирус :)
А теперь к делу :)
После того как ставишь модем, айкон автоматом вылазит, насколько я помню...
Попробуй сделать так:
1. выдерни модем
2. перезагрузи комп
3. воткни модем
4. комп заорет, что найдено новое устройство и станет ставить под него драйвер, только NEXT будешь нажимать, все файлы у него уже есть.
5. вставишь свой диск с ADSL и запустишь установку.
6. напишишь мне что получилось :)
УДАЧИ :)
no subject
Date: 2003-08-13 05:16 am (UTC)а так же: вручную пыталась сделать коннекшен - БЕСПОЛЕЗНО. он проходит весь процесс и всё. ничего нигде не появляется.
no subject
Date: 2003-08-12 03:26 am (UTC)no subject
Date: 2003-08-12 04:22 am (UTC)Т.к. твой имидж не содержит заплатку :))
no subject
Date: 2003-08-12 04:54 am (UTC)Истину глаголишь :)
Date: 2003-08-12 06:00 am (UTC)Огненные стены на работе надоели :)
Хотя вчера вынужден был поставить, посмотрим через ско-ко времени надоест.
Re: Истину глаголишь :)
Date: 2003-08-12 06:02 am (UTC)а домой не обязательно вашего монстра ставить, мне вот этот (www.kerio.com) вполне подходит ;)
no subject
Date: 2003-08-12 07:19 am (UTC)no subject
Date: 2003-08-12 04:23 am (UTC)no subject
Date: 2003-08-12 05:40 am (UTC):)
Date: 2003-08-12 06:01 am (UTC)Re: :)
Date: 2003-08-12 08:02 am (UTC)Где можно найти заплату?
Я тут (http://web.archive.org/web/19961020014044/http://www.microsoft.com/) искал, и не нашел. Может не так искал...
Re: :)
Date: 2003-08-12 08:09 am (UTC)Re: :)
Date: 2003-08-12 08:16 am (UTC)хотел начать делать downgrade,
а у меня тут 200+ компутеров и сложная конфигурация сети (Домены, Exchange, MSSQL).
А Exchange под ДОС 6.22 я еще на нашел... :-(
Мда...
Date: 2003-08-12 06:10 am (UTC)no subject
Date: 2003-08-12 07:56 am (UTC)Теперь лечим всю локалку ;-))))
no subject
Date: 2003-08-12 08:58 am (UTC)Новая версия не убивается через task manager, потому что загружается не напрямую, а через svchost.exe, специальный загрузчик, входящий в состав системы. Поэтому при осмотре списка задач ничего подозрительного не видно, залезть глубже можно только командой tlist -t для Windows2000 или командой tasklist /svc для Windows XP.
Зато подозрительное видно, когда заглядывают в Settings - Control Panel - Automatic Updates. Если там стоит птичка в боксе "Keep my computer up to date" и убрать её невозможно (всё такое серое и не кликается), то это основание для тревоги. Вирус использует стандартные модули служб обновления и заинтересован в том, чтобы опция автоматического обновления была включена и пользователь не мог её убрать.
Как лечить - пока неясно. Разбираемся.
no subject
Date: 2003-08-12 02:48 pm (UTC)no subject
Date: 2003-08-12 02:52 pm (UTC)no subject
Date: 2003-08-12 03:23 pm (UTC)no subject
Date: 2003-08-12 10:28 am (UTC)no subject
Date: 2003-08-12 02:49 pm (UTC)no subject
Date: 2003-08-12 04:18 pm (UTC)no subject
Date: 2003-08-13 03:01 am (UTC)отключение DCOM -- выход, для множества людей которые не только не используют его, но и не знают, что такое DCOM...
no subject
Date: 2003-08-13 03:22 am (UTC)Вообще, этот диалог становится абсолютно бессмысленным, Вы не находите? :)
no subject
Date: 2003-08-13 03:50 am (UTC)И мой тебе
Date: 2003-08-12 11:43 am (UTC)no subject
Date: 2003-08-12 11:48 am (UTC)Не только можно, но и пишут
Date: 2003-08-12 12:41 pm (UTC)http://www.sherpasoft.org.uk/MacSupporters/macvir.html