ZXNet эхоконференция «zxnet.pc»

Hе режь дойную корову, несущую золотые яйца, All...!

Hарод, после msblast это вторая аналогичная по проникабельности зараза.

ГАДОСТЬ ГHУСHЕЙШАЯ.

XP - ДЫРИЩА и МАЗДАЙ.

Hа работе все, кто не под моим началом и с XP, словили.
Заплатки ставить обязательно. Заплатки от 14 апреля, 3 штуки,
нужна одна из них, какая именно, не уточнял (вообще та, которая lsass
правит), проще налепить все ;-) .
Для удаления червя отсоединиться от Интернета, воспользоваться Касперским
со свежей базой (удаляет корректно и реестр чистит - проверено),
либо руками удалить из %windir%avserve2.exe ,
из %windir%system32 - все обнаруженные ?_up.exe ,
из автозапуска через msconfig убрать avserve2.exe,
вычистить ветку реестра, указанную ниже,
перезагрузить компьютер, убедиться, что всё выполнено.

Для Windows 2000 и Server 2003 всё то же самое.

=== Cut ===
Worm.Win32.Sasser.b

Опасность : высокая

Вирус-червь.

Распространяется по глобальным сетям, используя для своего
размножения уязвимость в службе LSASS Microsoft Windows. Ее
описание приведено в Microsoft Security Bulletin MS04-011:

http://www.microsoft.com/technet/security/bulletin/MS04-
011.mspx

Червь написан на языке C/C++, с использованием компилятора
Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.

Размножение

При запуске червь регистрирует себя в ключе автозапуска
системного реестра:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run]
avserve2.exe = %WINDIR%avserve2.exe

Червь сканирует IP-адреса в поисках компьютеров, подверженных
уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996
запускает командную оболочку "cmd.exe" и принимает команду на
загрузку и запуск копии червя.

Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по
запросу с уязвимого компьютера загружает туда свою копию.
Загруженная копия имеет имя "N_up.exe", где N - случайное число.

Copyright c 2000
Лаборатория Касперского
All rights reserved

Последнее обновление: 05.05.2004
=== Cut ===

С наилучшими - Wlodek # wlblack(@)newmail.ru # http://wlodeks.narod.ru
[ZX] [500:95/462@ZXNet] [2:5016 Forever] [Golyanovo] [Старые русские]

=== Cut ===
Защита домашнего компьютера
Защита от уязвимости кода PCT/SSL
Защита от уязвимости кода LSASS
Дополнителная информация
Бюллетень безопасности Microsoft MS04-011 (EN)


Статья 187498 Microsoft Knowledge Base (EN)

Терминология
Вирус (EN)


Сетевой червь (EN)

Общая информация
В корпорацию Майкрософт поступают сообщения о появлении в
интернете программных средств, осуществляющих поиск и
использование подтвержденных уязвимостей, о которых сообщалось в
исправлении безопасности от 13 апреля. Действие этих вредоносных
программных средств направлено на протокол Private
Communications Transport (PCT), реализация которого входит в
библиотеку Microsoft Secure Sockets Layer (SSL). Кроме того,
подтверждено наличие уязвимости кода в службе LSASS. Корпорация
Майкрософт считает инциденты, о которых сообщается, вероятными и
серьезными, и убедительно просит всех своих клиентов как можно
скорее установить исправление безопасности MS04-011 (EN), так же
как и остальные важные исправления безопасности, опубликованные
13 апреля.


Внимание: загрузите и установите критические обновления
безопасности Windows. Пользователям Microsoft WindowsR
необходимо немедленно загрузить новые критические обновления
безопасности на веб-узле Windows Update.



Защита домашнего компьютера
Если вы уже установили исправление безопасности MS04-011
(EN), то ваш компьютер уже защищен. Всегда важно предпринимать
необходимые меры для обеспечения безопасности компьютера.

Выполните три действия для защиты компьютера (EN)

Корпорация Майкрософт предпринимает все меры, чтобы помочь
пользователям в поддержании безопасности компьютерной среды. Эта
страница будет обновляться по мере поступления сведений о том,
как устранить данную уязвимость.

Защита от уязвимости кода PCT/SSL
Hа данный момент по этому вопросу имеется следующая
информация.

Для того чтобы избежать риска пользователям личных
компьютеров и рабочих станций, не являющихся веб-серверами,
следует установить последние обновления, загрузив их с веб-узла
центра загрузки обновлений Windows Update.

Если вами было установлено и развернуто исправление
безопасности MS04-011 (EN), ваша система защищена от данной
угрозы.

Данная уязвимость распространяется на все программы,
использующие протокол SSL. Хотя протокол SSL в основном
используется службами Internet Information Services,
взаимодействие с которыми осуществляется по протоколу HTTP через
порт 443, вполне вероятно, что уязвимой является любая служба,
реализующая протокол SSL на платформе, подверженной данной
угрозе. Список таких служб включает, но не ограничивается
следующими:

Microsoft Internet Information Services 4.0
Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1
Microsoft Exchange Server 5.5
Microsoft Exchange Server 2000
Microsoft Exchange Server 2003
Microsoft Analysis Services 2000 (входит в состав поставки
Microsoft SQL Server¤ 2000)
Все программы независимых производителей, использующие
протокол PCT. Уязвимость не распространяется на SQL Server 2000,
так как он специально блокирует соединения по протоколу PCT.
Если у вас установлена ОС Microsoft Windows XP или Windows
2000, и включена поддержка SSL, ваша система находится под
угрозой.

Если у вас развернута ОС Windows Server¤ 2003 и включена
поддержка PCT в SSL, ваша система также находится под угрозой.

Если вы все еще проводите оценку и тестирование исправления
безопасности MS04 011, вам следует незамедлительно выполнить
приведенные на данной странице действия, позволяющие снизить
риск.

Корпорацией Майкрософт были протестированы различные способы
защиты уязвимости протокола PCT/SSL. Хотя данные меры не
устраняют проблему, они могут помочь предотвратить известные
атаки. Если способ защиты связан с ограничением
функциональности, это будет отмечено ниже.

Отключение поддержки протокола PCT через системный реестр
Описанный здесь способ подробно изложен в статье 187498 (EN)
базы знаний Майкрософт (Microsoft Knowledge Base).

Данная последовательность действий позволяет отключить
поддержку протокола PCT 1.0, предотвращая его использование его
уязвимости для атаки на систему.


Внимание! Hеправильное использование редактора реестра может
привести к серьезным проблемам и необходимости переустановки
операционной системы. Корпорация Майкрософт не гарантирует
решение проблем, возникших в результате неправильной работы с
редактором реестра. Ответственность за использование редактора
реестра несет пользователь. Перед внесением изменений в реестр,
всегда создавайте его резервную копию.



Информацию о редактировании системного реестра можно найти в
разделе 'Изменение ключей и значений' справочной системы
редактора реестра (Regedit.exe) или в разделах 'Добавление и
удаление информации из реестра' и 'Редактирование данных
реестра' справочной системы программы Regedt32.exe.

Hажмите кнопку 'Пуск

"...И примешь ты смерть от червя своего!"

=== Cut ===
08.05 14:23 http://lenta.ru/internet/2004/05/08/sasser/
В ГЕРМАHИИ ЗАДЕРЖАH ПРЕДПОЛАГАЕМЫЙ АВТОР ЧЕРВЯ Sasser

В пятницу в Германии в земле Hижняя Саксония задержан 18-
летний школьник, подозреваемый в создании интернет-червя Sasser,
вызвавшего в начале мая очередную эпидемию.
Предполагаемый автор червя проживал с родителями в местечке
Ваффензен под Ротенбургом.
Как сообщает Associated Press со сслыкой на представителя
местного угрозыска, в ходе обыска дома у подозреваемого были
обнаружены доказательства его причастности к созданию вируса.
=== Cut ===