Приключения

[yms]

Подозреваю, что не у меня одного нижеописанные проблемы.
Давненько у меня не было ничего интересного в вирусно-троянском плане. Сегодня вечером комп (WinXP) стал вдруг перегружаться — event log потом показал, что упал сервис RPC по неизвестной причине. После перезагрузки через некоторое время он снова упал. После ещё одной перезагрузки я стал выяснять, что случилось, и в system32 обнаружил нечто интересное: маленький файлик msblast.exe с сегодняшней датой и временем, примерно соответствующим времени перезагрузки.
Беглый просмотр показал, что этот exe сжат UPX'ом — теперь уж точно стало понятно, что что-то здесь не так. Недолго думая, я его хотел удалить (перекинув в другое место), удаляться он не хотел, потому что оказался запущенным в память (что и так понятно, а что же ему там ещё делать). Я убил его фаром, попутно он оказался ещё и рид-онли. Распаковав .exe, увидел путь к SOFTWARE\Microsoft\Windows\CurrentVersion\Run — т.е. он себя ставит в автостарт. Зайдя туда, увидел, что он себя пишет как "windows auto update". Далее, в .exe оказались строчки:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!
Какую именно дырку нашёл добрый хакер, я пока не понял. Возможно, она связана с Windows Update. При подключении к инету перезагрузка продолжает происходить, и файлик продолжает возрождаться, как птица Феникс.
Кроме того, в теле .exe есть строка tftp — это мини-фтп, входящий в винду и позволяющий быстренько утянуть откуда-то файлик. Я его пока что переименовал, причём это понадобилось делать и в каталоге dllcache.
Продолжение следует...

Comments

[teodorchik.livejournal.com]

вот и у меня...
пишу пока успеваю:(((

[yms.livejournal.com]

Файрволл спасёт отца русской демократии.

[gera.livejournal.com]

Таких добрых хакеров надо бить ногами.
А Вам спасибо за информацию. Приду домой - проверю, что там делается...

[banchan.livejournal.com]

Тут заплатка:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Дырищща блин аж на все версии Винды.

[jasya.livejournal.com]

может поскажете как ей пользоваться?
я ее скачала, а как запустить?

[mz1313.livejournal.com]

У меня Windows 2003 Server, и тоже вирус подхватил. А файлик msblast в system32 почему-то отсутствует.
В ynet написали, что вирус безвредный - кроме перезагрузки ничего не далает. Ну и фразы, которые Миша уже нашел. А у меня сообщение об ошибке в svchost.exe уже часа 3 висит - первый раз я по дурости нажал на ОК и меня перезагрузило, а сейчас просто задвинул оное сообщение в угол, чтобы не мешалось и спокойно работаю.

[yms.livejournal.com]

Надо винду пропатчить, тогда сервис больше заваливаться не будет. А вообще у меня такое сообщение на днях появлялось, но без последствий (кроме перезагрузки). Я уже думаю — может, кто-то проверял дыру, не запуская червя...

[olegart.livejournal.com]

Описание со ссылками на все сопутствующие бюллетени, патчи и апдейты.
http://www.livejournal.com/users/olegart/33500.html

[yms.livejournal.com]

Ага, спасибо, я вчера (вернее, уже сегодня) поставил патч и убрал файрволл.

[yole.livejournal.com]

Тоже такое поймал на свежеустановленной (временно, на период ремонта моего основного винта) XP. Основная-то инсталляция и проапдейченная, и AtGuard'ом закрытая...

[karimovru.livejournal.com]

http://www.proantivirus.com/info/1/180_1.html
http://www.proantivirus.com/info/1/181_1.html

[ifyr.livejournal.com]

А чем же твой firewall с антивирусом занимались, когда вирус появился? Хотя бы один из них должен был бы поднять тревогу.

[yms.livejournal.com]

А зачем мне файрволл с антивирусом, если я есть? :) Файрволл (Sygate) был отключён, потому что всё никак не было времени найти к нему регистрилку, а trial period истёк. Родной файрволл включать было неохота по ряду причин.
А антивирусы - те вообще про этого червяка не знали, да и не пользуюсь я ими вообще. Настоящему индейцу антивирусы не нужны :)

[ifyr.livejournal.com]

Да уж, без файрволла с антивирусом только интересней и познавательней (если время есть на все эти манипуляции).

Я долгое время пользовался Symantecoвскими файрволлом и антивирусом, годовая подписка на которые шли в комплекте с материнкой. Пользовался тем, что подписка каждый раз начинается заново, а систему я переставляю как раз примерно раз в год.

Потом воспользовался скидкой и купил новую версию.

P.S. Извиняюсь за тыкание в предыдущем комменте. Мне почему-то показалось спросонья, что пост -- другого юзера.

[yms.livejournal.com]

За "тыкание" извиняться нечего - это родное, фидошное, и вообще оно мне больше нравится, чем "выкание" :)
Не доверяю я антивирусам: они или защищают только от того, что знают (что вчера не помогло бы), да ещё и за обновлением надо постоянно следить, или - в "параноидальном" режиме - только мешают.
Хороший файрволл - другое дело, он и массу других полезных вещей делает...

[ifyr.livejournal.com]

Ок, перехожу в режим "тыкания".

У меня и антивирус, и Windows установлены на автообновление, так что заплатка у меня установилась сразу после выхода.

Безусловно, новые вещи антивирус не словит, но тут я рассчитываю на файрволл и заплатки. Но антивирусы обновляются каждый день, и если повезло не подцепить вирус в первые часы после его появления, можно рассчитывать на антивирус.

[maria-tr.livejournal.com]

Та же хрень.
В регистрах убить то, что тут уже писали, потом остановить процесс, выполняемый файлом червя. Удалить его. Выключить сеть.
"Подключение по локальной сети" - "Свойства" - "Дополнительно" - "Защитить мое подключение к интернету" (поставить галочку). В "Параметрах" все пункты отключить. "Разрешить другим пользователям..." тоже должно быть выключено.
Можно включать сеть.