Погода: -12°C

  • Всем!!

    Появился новый червяк, который распространяется наподобии бластера! Ломает lsass (дырка описана в буллетине MS04-011).

    Ломает по порту 445, запускает внутренний FTP-сервак на 5554, а удаленный шелл на 9996. Дальше ломится по айпишниками разным.


    Этих червяков уже 3 (мутируют).

    W32.Sasser.Worm (3)
    W32.Sasser.B.Worm (4)
    W32.Sasser.C.Worm (2)

    (В скобочках указан уровень тревоги по-симантеку на момент написания этого поста).

    Судя по информации с сайта Microsoft:

    В ответ на: Software Affected by This Worm
    • Microsoft Windows XP and Windows XP Service Pack 1
    • Windows 2000 Service Pack 2, Windows 2000 Service Pack 3, and Windows 2000 Service Pack 4


    Software Not Affected by This Worm
    • Windows XP 64-Bit Edition Version 2003
    • Windows Server™ 2003
    • Windows XP 64-Bit Edition Service Pack 1
    • Windows Millennium Edition
    • Windows 98 Second Edition
    • Windows 98
    • Windows NT® 4.0 Service Pack 6a
    На странице буллетина есть ссылки на патчики. Так же есть Sasser Removal Tool (вычищает Sasser и Sasser.B), для C симантек пока не выпустил, но написано, как удалять ручками.

    Фуфф :). Слава богу я патчусь вовремя.... А в локалке у нас сейчас эпидемия...

    Завтра будет лучше!!! ©
    Whatever you do - do it at Microsoft!

  • Эпидемия как раз началась 1 мая. Комп у меня жил просто своей жизнью :ха-ха!:. Сейчас вроде патчики поставила, все вернулась на свои места.
    Люди, будьте бдительны! :ха-ха!:
    У нас просто полсетки сидят зараженные :безум:

    и опыт , сын ошибок трудных....

  • А я то уже 3-й день читаю этот форум, пытаюсь выяснить. что с ХРенью случилось:хммм:
    При обращениях к HDD (WinCMD или Explorer) виснет намертво..:хммм:Уже ХР переставил бестолку...

    Спасибо за сообщение! :live:

  • А у меня никаких проблем:улыб:
    Все чинно-благородно, по-старому (с)

    Norton сам ходит обновляться, Outpost дает волю только тому, чему я сам разрешил. Заплатку скачал, поставил... Так что, на этот раз "не в меня":улыб:

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • >>> Этих червяков уже 3 (мутируют).

    W32.Sasser.Worm (3)
    W32.Sasser.B.Worm (4)
    W32.Sasser.C.Worm (2)


    Ндя.... Уже 4....
    Появился Sasser.D

    Кстати, текущая версия FxSasser.exe (ссылка есть выше) уже справляется и с C-, и с D-мутациями.

    Когда проснулся, тогда и "Доброе утро!"

    Исправлено пользователем Поручик Голицын (05.05.04 11:04)

  • Фарволом давить,
    deny tcp from any to me 1-1024

    Зато хотьприличное описание дали, что за червь, и как ползает...
    А то меня тут продвинутые юзвери пугнули, описание попсовое, понял только, что будет ломиться куда-нить RPC-LSASS, посему и не напрягся...

    ---
    Full
    -------
    ... Баба с возу - потехе час.

  • В ответ на: Фарволом давить,
    deny tcp from any to me 1-1024
    Аха и будем жить без почты, днс и т.д и т.п. :улыб:

  • Почта и DNS не должны работать на платформе win32, ибо не для нее они в свое время были рождены:улыб:

  • В ответ на: deny tcp from any to me 1-1024
    Это как раз с фришного файрвола

  • Да с чего бы ради то?
    Мои запросы на днс ходят выше 1024 порта. Почту разрешить? Ну бога ради...
    принципиальные куски файрвола:
    ==== кусь ====
    ############################################
    # Setup loopback
    ${fwcmd} add 100 pass all from any to any via lo0
    ${fwcmd} add 200 deny all from any to 127.0.0.1/8
    ${fwcmd} add 300 deny all from 127.0.0.1/8 to any

    ############################################
    # deny and REJECT rules block
    # Stop spoofing
    ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
    ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

    # Stop RFC1918 nets on the outside interface
    ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
    ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}

    # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
    # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
    # on the outside interface
    ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
    ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
    ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
    ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
    ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

    ##############################################
    # Count ip for outside traffic (full statistic)
    ${fwcmd} add count all from any to any in via ${oif}

    ###############################################
    # Allow POP3, SMTP
    ${fwcmd} add pass tcp from any to ${oip} pop3
    ${fwcmd} add pass tcp from any to ${oip} smtp
    ${fwcmd} add pass tcp from ${oip} pop3 to any
    ${fwcmd} add pass tcp from ${oip} smtp to any
    # deny all low services
    ${fwcmd} add deny tcp from any to ${oip} 1-1024
    ${fwcmd} add deny udp from any to ${oip} 1-1024
    # deny indide services from onet
    ${fwcmd} add deny log tcp from not ${inet}:${imask} to me 20,21,80,119,3128......

    # Allow DNS resolving in local network
    ${fwcmd} add pass tcp from ${inet}:${imask} to ${iip} domain setup in via ${iif}
    ${fwcmd} add pass udp from ${inet}:${imask} to ${iip} domain in via ${iif}
    ${fwcmd} add pass udp from ${iip} domain to ${inet}:${imask} out via ${iif}
    ${fwcmd} add deny udp from ${inet}:${imask} to any 53

    #################################################
    # Allow for router connections
    # Allow DNS queries out in the world
    ${fwcmd} add 50000 pass udp from ${oip} to any 53 keep-state
    === наелся ===

    ---
    Full
    -------
    ... Любишь кататься - люби и катайся.

  • а вот если бы еще и про патчи подвесили подобный топик, зараженных

    было бы, хоть чуть-чуть, да поменьше :-)

  • А разве хождение на виндовсапдейт уже запретили???

  • Тэкс ! Что-то сцылочку Симантек похерил походу...
    Есть эта затея у кого - кинтесь рабочим линком !

  • Да нет, у меня прекрасно работает.

    Отсутствие вариантов – тоже вариант, но самый худший.

  • НП
    Вот еще одна хреновина похожая на сассер.

  • Интересно, а про апдейты виндовозные все забыли?, или отключили галочку чтоб трафик не жрала и спим спокойно?)

  • Это ты мне или просто было желание высказатся вслух? Если мне - то ты ошибся адресом. Причем капитально ошибся.:миг:

  • Пардон, не тебе, так вышло)). Высказал, так сказать свою солидарность.

  • В ответ на: Мои запросы на днс ходят выше 1024 порта. Почту разрешить? Ну бога ради...
    принципиальные куски файрвола:
    ==== кусь ====
    ############################################
    # Setup loopback
    ${fwcmd} add 100 pass all from any to any via lo0
    ${fwcmd} add 200 deny all from any to 127.0.0.1/8
    ${fwcmd} add 300 deny all from 127.0.0.1/8 to any

    ############################################
    # deny and REJECT rules block
    # Stop spoofing
    ${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
    ${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

    # Stop RFC1918 nets on the outside interface
    ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
    ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}

    # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
    # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
    # on the outside interface
    ${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
    ${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
    ${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
    ${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
    ${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

    ##############################################
    А можно ссылочку на инфу по которой я ничего из перечисленного не зная смог бы хоть немного в этом разобраться?
    У меня зон лаб стоит, но там тоже есть возможность использовать правила некоторые, только я не соображаю как это корректно делать.

Записей на странице:

Перейти в форум

Модераторы: