Создаем, ломаем, ловим...

[TOTALREN]

Не далее как в июле в Windows 2000, XP и 2003 была обнаружена ошибка - переполнение буфера в одном из сетевых сервисов (DCOM RPC). Эта ошибка позволяет атаковать по сети любой компьютер под упомянутыми системами, выполняя на нем произвольные программы. Технически - на порт 135, 139 или 445 отправляется пакет, вызывающий остановку упомянутого выше сервиса. Ошибка позволяет как минимум перезагружать атакуемый компьютер, как максимум - выполнять на нем произвольную программу.
Для этой ошибки есть общедоступный эксплоит (программа, позволяющая проводить атаки), который настолько прост, что атака доступна любой жертве церебрального паралича. Желающие могут его без труда найти, скажем, на SecurityFocus. Прямое следствие из этого - каждый второй малолетний хакер посчитает своим долгом хакать все, что движется.

Но это еще игрушки. На днях кто-то подсуетился и запустил в Сеть червя, использующего эту дырку. Червь w32.Blaster.worm атакует машины по 135-у порту, потом - в случае успеха атаки - запускает программу TFTP.exe и скачивает себя на атакованный компьютер. Запустившись на свежезараженной машине, червь сканирует сеть в поисках других пригодных к заражению компьютеров и в случае успеха - атакует их.

Таким образом, началась настоящая пьянка - эпидемия очередного червя.

Update: судя по темпам, уже завтра он будет самым распространенным червем в инете. За один вечер я знаю уже минимум троих пострадавших.
Для того, чтобы не попасть под эту струю попавшего в вентилятор дерьма... Во-первых, если у вас стоит файрволл - немедленно закройте порты 135, 139 и 445 для доступа из Инета. Вообще говоря, это надо сделать в любом случае. После этого идете
Если вы уже умудрились подхватить червя, то можно попробовать найти его самостоятельно. Исполняемый файл называется msblast.exe и занимает около 11 кбайт - его необходимо удалить. Также надо удалить из ключа HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun реестра запись "windows auto update"="msblast.exe". Более подробные инструкции можно найти на сайте Symantec.
Кто не спрятался - я не виноват.
Update: если ваша машина хотя бы один раз выдала сообщение об ошибке сервиса RPC - она уже заражена. Если после удаления червя она снова выдала это сообщение - она заражена снова. Заражение незащищенной машины происходит при каждой атаке червя.

[TOTALREN]

По словам специалистов "Лаборатории Касперского", опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров. В черве Slammer, вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было", - отметил Евгений Касперский.
Признаками заражения компьютера являются: наличие файла msblast.exe в каталоге windows\system32; cообщение об ошибке (RPC service failing), приводящее к перезагрузке системы.
При запуске червь просматривает случайный диапазон IP-адресов для поиска уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь пытается установить удаленное соединение и посылает на уязвимый компьютер специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя Blaster MSBLAST.EXE. После успешной загрузки этот файл регистрируется в секции автозагрузки системного реестра Windows (каталог %WinDir%\system32) и запускается на выполнение.
Червь создает в системном реестре ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! Bill
Благодаря фразе I just want to say LOVE YOU SAN! («Просто хочу сказать: любите свои SAN (системные сети)») червь получил одно из своих названий – Lovsan. Кроме того, в коде червя найдено послание, адресованное Биллу Гейтсу: "billy gates why do you make this possible? Stop making money and fix your software!" («Билли Гейтс, почему ты допускаешь такое? Перестань делать деньги и исправь свое ПО!»).
В качестве побочного действия новый червь содержит функцию DDoS-атаки на сайт WindowsUpdate.com, содержащий обновления операционной системы Windows, в том числе, обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.
Для защиты от червя специалисты в области информационной безопасности рекомендуют загрузить последнее обновление своего антивируса, провести сканирование и удалить все обнаруженные подозрительные файлы, а также установить «заплатку» от Microsoft и заблокировать порты 135, 69 и 4444 для предотвращения проникновения червя на компьютер.
Источник: по материалам Proantivirus Lab, Associated Press, Лаборатории Касперского и собственная информация CNews.ru.