Close Topic Options

Что то я не понял, после патча в процесах бежит msblast, это так и должно быть?

Worm.Win32.Blaster.a


Приполз новый червяк
dl // 12.08.03 04:29
Proantivirus Lab сообщает о появлении нового опасного и быстро
распространяющегося (в том числе и по России) червя, использующего недавно
открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через
135-й порт, исполняет команды из-под Local System.

Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке
системы.
- Наличие в системном реестре ключа
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"windows
auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill




http://www.proantivirus.com/info/1/180_1.html

ЗЫ: http://www.kaspersky.ru/news.html?id=1317864

This post has been edited by micha on 12-08-2003, 13:01

Нет, не должно. Зайди на сайт Симантека, там есть описание как вычистить это пользуясь ихним ремувером, только обрати внимание на раздел об временной отмене System Restore для Хрю.

Что то я не понял, после патча в процесах бежит msblast, это так и должно быть?

Вот именно. А у меня БЕз патча мсбласта в процессах нет и поиском он не находится. А винда трижды ребутнулась. 3агадка

Что то я не понял, после патча в процесах бежит msblast, это так и должно быть?

Вот именно. А у меня БЕз патча мсбласта в процессах нет и поиском он не находится. А винда трижды ребутнулась. 3агадка

покопайся как следует...
у Silenser -а тоже не сразу находился ни файл, ни приложение ...

у кого стоит оутпост - волноваться нечего - стенка хорошо держит эту бяку, про другие знаю

Этот червяк закачивается с и-нета и запускается, да ещё и в автозагрузне прописывается. Мало того, если он запущен, то ни последнии вирус-дифинишены Norton Antivirus через Live Update (поэтому качайте вручную) ни патч через Windows Update загрузить не удаётся (его тоже вручную надо качать).
Когда вчера эта напасть пришла ко мне на комп (а затем и на второй перебросилась), я был так зол, так зол!!!...

У меня этой проблемы не было т.к. Windows Update раз в неделю запускаю и патч это ещё недели 2 назад при обновлении установился. К тому же фаервол установлен.
А вот у моего брата была подобная проблема сегодня, у него Windows XP без SP и вобще какх либо обновлений. Как только подключиться к интернету то сразу выскакивает ошибка и виндовс перезагружаеться. Пришлось мне ему через HiperTerminal это патч передавать.

Осторожно с sp1 патчем, если вы его пытаетесь поставить поверх этого патча-заплатки, то этот sp1 у меня возвращал комп в обратное положение, и червь снова оказывался на компе. Рекомендую устанавливать только оффлайн sp1, а потом поверх него новый патч.
А вообще я рад, что это ещё был такой безобидный вирус. Представляете, если бы он данные ещё стирал. Я бы чокнулся. Вообще по моему самая наиогромнейшая дыра за всю историю microsoft, для заражения достаточно быть просто подключённым к инету.
Я где где то пару дней назад два раз получал это сообщение, но не придал этому значения. Вчера меня это просто всбесило, раз 10 перестартовался, никакой инфы не было. Нашёл этот сранный "msblast", закрыл порты на стене и всё врнулось на свои места. Вот хорошо сегодня патч узрел, ух полегчало.
Спасибо народ за полезную инфу.

This post has been edited by Keygeneral on 12-08-2003, 13:54

И у меня эта чуш вчера вылетала........раз 5 перезагружал комп, потом не выдержал и выставил фаервол в экспишке, а затем настроил ICF, чтоб мулятина работала с хайт-айди..........а вот патч скачал, но решил не ставить почему-то...

Странно, у меня комп вырубался вчера раза три. Апдейт помог. После установки апдейта искал этот мсбласт и в реестре и на дисках, как написано в статье, приведенной heineken man. Не нашел... почему???

Комп ребутится судя по всему когда ему пытаются "подсадить" червя и RPC сервис валится. Это пока еще не факт что червяк влез, только индикация попытки remote buffer overflow. Если червяк подцеплен, то в принципе ожидаются всякие приятные сюрпризы типа рассылки червя другим или участие в DDOS атаке на майкрософтовский апдейтный сервер 16-го числа этого месяца и прочие прелести.
Проверить можно симантековской тулзой или любым антивирусом, сейчас они все громко кричат что знают как бороться (ха-ха-ха). А еще лучше ручками поискать тот ключь в регистре заодно с файлом msblast.exe

Интересно, как можно провести DDOS атаку, если комп толком не работает или вообще постоянно ребутится?

Прикол..
Сижу я это все читаю и думаю, почему это мой комп, который в сети 24 часа, работает и даже намека на вирус нету
Тут значит подруга звонит - блин комп сломался. Когда в инет выхожу 2 минуты и комп выбивает постоянно...
Я чуть со стула не упал. Почему у всех есть а у меня нет ?
Может с виндой чтото...
Я ей беги в магазин за журналом ( с CD ) и посмотри что бы там фаервалл был..
Сам пока потихоньку скачал все 3 патча (рус анг нем) и полез на форум пост писать.. написал две строчки звонит друган - Он успел сказать только - привет у меня ком сломался...Я не выдержал.
Вот сижу жду его (у него нотбук так ) и жду пока подруга позвонит..

Мне в техподдержке посоветовали в опции "Выполнить" поставить shutdown -a
Когда я ее вставил и выполнял во время появления бага, то он исчезал и я мог спокойно заходить на Майкрософт и скачивать патч.Буду рад если это кому то поможет