Вы не авторизованы.

Добро пожаловать в Мегабит Клуб — Рубежное, Северодонецк, Лисичанск! Если это твой первый первый визит сюда, то прочитай, пожалуйста, Правила и Справку. Ты можешь зарегистрироваться и получить полный доступ к возможностям Форумов. Используй регистрационную форму чтобы зарегистрироваться или узнай больше о процессе регистрации. Зарегистрированные пользователи могут войти в Форумы тут.

lkr

Гость

11

16.01.2009, 00:32

Есть Shell-коды, которые ловятся в инете.
Шелл-код - это всего лишь исполняемый код! Нигде его не ловят! Он содержится в метафайле :wall:

Quoted

которые атакуют всю подсеть пользователя, шел-кодом заносят каждому Tojan-Downloader, ну и дальше всё снова. фух)))
А вот это уже зависит от шелл-кода. Это может быть вообще банальный Ddos. Что запихнёшь - то и будет. Хоть вывод окошка с приветствием.

Quoted

Так вот, WMF дыра позволяет лишь занести вредонос, но сама по себе ничё не стоит!
Какая дыра? Это не дыра! Какое вредонос??? На основании чего это утверждение???

Quoted

Почему имено Эксплорер? Мета-файл -это простыми словами - бесформатная
картинка, а IE отображает её именно таким способом, как и надо хацкеру.
И как же именно он её отображает? Тут по барабану чем ты это воспроизводишь! GDI-команды поддерживают функции обратного вызова! При чём тут IE?? GDI что, только в IE используется?

Quoted

хотя и это не поможет, потому что вирус исполнится даже при просмотре Экскизов :jokingly: .
Какой вирус? Вируса-то нет. Исполнится только шелл-код.
Все это неоднократно проверено и мной опробовано. Создаёшь такой wmf-файл, дальше его запускаешь и он исполняется. Суть в том, что можно выложить такой wmf-файл на сервере и потом просто бросить кому-то ссылку. Пользователь, думающий, что ему дали ссылку на картинку, обращается к этому файлу и он исполняется. То бишь происходит выполнение того шелл-кода. Либо это управление злоумышленником юзерской машиной, либо ддос, либо что-то другое. Ну вот. Вкратце. Даже видео с примером использования wmf-уязвимости когда-то записывал.

ТимУУУр

Гость

12

16.01.2009, 00:40

такое ощущение, что мы друг-другу одно и тоже рассказываем, а не спорим)) Просто ты немного к словам и формулировкам придираешься =Р, я всё же от себя писал и старался, что б остальным было более-менее понятно.
ну а умные люди от GDI и GDI+ отворачиваются! Всё, не будем флудить, ибо всё уже понятно)))

Бьянка

Гость

13

16.01.2009, 22:09

В интернете гуляет новый "троян"

Компания "Доктор Веб" сообщает о появлении нового троянца - Trojan.Locker.8, который препятствует доступу к различным папкам на жестком диске, требуя обратиться к ее авторам за получением инструкций по разблокировке.

Размер файла данного "троянца" довольно большой для вредоносных программ такого типа - около 2 мегабайт. Файл упакован с помощью ASPack. Сразу после его запуска появляется изображение генератора серийных номеров, который не имеет к функционалу данной вредоносной программы никакого отношения. Это свидетельствует о том, что Trojan.Locker.8 может распространяться под видом генератора серийных номеров для продуктов Adobe Systems.

После запуска Trojan.Locker.8 переименовывает файлы и папки, находящиеся во всех разделах, кроме системного, таким образом, что их новые названия не соответствуют стандартным правилам именования папок в системе Windows. Содержимое файлов и папок при этом не изменяется. Далее вредоносная программа создает на рабочем столе и заблокированных разделах жесткого диска свою копию (файл answer.exe). При ее запуске появляется предупреждение о том, что файлы заблокированы, а также предложение обратиться к авторам троянца по указанным в сообщении данным.

Вопреки заверениям вирусописателей, папки и файлы блокируются и на системном диске - внутри папки "Мои документы" и на Рабочем столе.

Источник: ЛигаБизнесИнформ

zangpo

Гость

14

20.01.2009, 09:49

Kido редкая гадость
17 января, 2009 Теги: ms08-067, уязвимость, червь
Компания F-Secure вчера в своем блоге опубликовала новые данные по количеству зараженных хостов и методы подсчета уязвимых систем. По данным F-Secure в данный момент насчитывается 8 976 038 систем, зараженных червем Conflicker.B/Downadup.B./Kido
Conflicker.B/Downadup.B/Kido является одним из самых популярных червей, которые эксплуатируют уязвимость в службе Server в ОС Microsoft Windows. Microsoft выпустила исправление (MS08-067) к этой уязвимости в октябре 2008 года. Тем не менее, уязвимость продолжает активно эксплуатироваться злоумышленниками. Пик активности (по крайней мере мы на это надеемся) пришелся на январь 2009.
По данным F-Secure, во вторник количество заражений составляло 2,4 миллиона хостов, в среду – 3,5 млн., в пятницу – 8,9 млн. Многие эксперты по безопасности начали сомневаться в корректности алгоритма подсчета количества зараженных систем, т.к. подобные цифры не могут не впечатлять.

Вирус распользается по сети как таракан. Вы его лечите а он опять там. Перед лечением рекомендуется отключить сеть, отключить авторан с флешек (он копируется на флешки в папочку Recycler). Каспер и Nod не всегда убивают загрузочный файл с вирусом так как он используется системой и к нему нет доступа. Имя файла может быть похоже на абракадабру - assdfge.jk. На каждом компе разное. Его можно увидеть в логе как недоступный для сканирования, если просканировать \system32. Я ставил Unlocker и убивал в ручную. Сейчас качайте Cure-IT DrWeb он все находит и лечит. Кстати если у Вас зараженная машина, то всегда лучше запустить Cure-IT он единственный кто лечит другие в основном тупо убивают файлы с серьезными вирусами. Свежий пример - после лечения Sality, Sector.12, Sector.2 Каспером пришлось переустанавливать Windows (удалилось и попортилось куча файлов) Пробовал NOD, Avira - тоже только удаляют.
Уже на чистую машину ставьте любой понравившийся антивирус.

sum_loli

Oh Lawd Is Dat Some Loli?

(18,005)

Сообщения: 4,065

Модификатор репутации: 20

  • Отправить личное сообщение

15

21.01.2009, 17:06

Какой патриотичный вирус...

Новый интернет-червь Downadup, использующий уязвимость MS08-067 в ОС Windows, заразил уже около 9 млн ПК, причем более 5 млн было инфицировано за последние 4 дня.

Компьютерный вирус Downadup стремительно распространяется среди корпоративных систем в США, Европе и Азии. Россия занимает третье место по числу "зараженных" IP после Китая и Бразилии. За каждым IP может скрываться множество компьютеров.

Компания F-Secure, занимающаяся компьютерной безопасностью заявила, что вирус Downadup, уже несколько недель, распространяется на домашних ПК и в корпоративных сетях быстрее любого другого вредоносного ПО за последние годы и уже заразил почти 9 млн. компьютеров. Для сравнения, число компьютеров, зараженных знаменитым Storm Worm было почти в 9 раз меньше.

Как отмечает советники по вопросам безопасности F-Secure, сейчас червь, известный под кодовыми названиями Downadup и Conficker, заражает компьютеры пользователей с помощью уязвимости MS08-067 в операционной системе Windows, но не наносит большого вреда системам. Создатели этого вируса еще не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят.

Для проникновения на компьютер пользователя червю нужно быть загруженным с сайта злоумышленника. Обычно в качестве площадки используется определенный сайт, который борцам с вредоносными программами удается закрыть.

Отличие Downadup в том, что он ежедневно создает множество вариантов новых доменов. На следующий день регистрируется только один из вариантов.

Недавно компания Microsoft выпустила обновление для Windows, которое должно защитить пользователей от вируса. Большинство систем автоматически скачает новое обновление, однако, вирус способен отключать функцию автоматического обновления на зараженных системах.

В течение последних нескольких недель, новый вариант червя, использующего уязвимость MS08-067, распространяется среди пользователей», — говорится в сообщении в официальном блоге Microsoft. По словам представителей компании Microsoft, вирус распространяется, получая доступ к одному компьютеру, после чего подбирает пароли к другим ПК в той же сети. «Если пароль простой, вирус может успешно заразить ПК».

На сегодняшний день, происхождение вируса остается неизвестным, однако специалисты F-Secure предполагают, что Downadup был создан злоумышленниками из Украины. Вирус запрограммирован таким образом, чтобы не затрагивать компьютеры из этой страны. По мнению F-Secure, говорит о том, что создатели червя не хотели привлекать к себе внимание со стороны местных властей.

Проверить, заражен ли компьютер, можно, попытавшись зайти на сайт "Лаборатории Касперского". Червь его блокирует, и на зараженных компьютерах он не открывается. Сейчас червь добавлен в последние обновления Антивируса Касперского.

TRIGGER

Вождь

(118,189)

  • "TRIGGER" создал эту тему

Сообщения: 7,098

Модификатор репутации: 23

  • Отправить личное сообщение

16

21.01.2009, 17:06

Я снова вернусь к червю Net-Worm.Win32.Kido.ih, это тот же червь что и в постах zangro и flood только называется по другому.
Эта зараза набирает обороты, на днях знакомый прислал скриншот со своего КИСа где видно что у нас на Южной как минимум полтора десятка машин заражено и активно штурмуют локалку на предмет уязвимых 445 портов. Эта зараза размножается также путем копирования себя на флешки, на этой неделе мне 2 друга принесли эту разновидность червя на флешках.
Этот червь сравнительно новый и в базах антивирусов появился примерно месяц назад, так что обновите свои базы. Также, даже если у вас установлен антивирус и Вы даже удалили вирус, Вы можете снова им заразится.
Частая ситуация когда геймеры отключают антивирусы когда играют в игры. И в этот момент Ваша машина становится уязвимой.
Многие читают такие длинные посты по диагонали не улавливая главное.
Специально для таких людей я напишу большими красными буквами - Установите патч от Майкрософта, KB914882 закрывающий эту дыру. Он весом всего полмегабайта, я даже выложу его здесь.
Главное остановить размножение и распространение этой заразы, а чем лечить это уже личное дело каждого. Я думаю не сильно ошибусь если скажу что у нас на мегабите уже началась эпидемия и заражено процентов 40% пользователей.
TRIGGER прикрепил(а) это изображение:
  • attack.jpg
TRIGGER прикрепил(а) этот файл:
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

Сообщение редактировалось 1 раз(а), последний раз пользователем "TRIGGER" (21.01.2009, 17:15)


der[o]sa

Гость

17

21.01.2009, 17:30

TRIGGER, а проблем с активацией Виндовс не будет?!
А то я уже натерпелся от подобных штук :'(

TRIGGER

Вождь

(118,189)

  • "TRIGGER" создал эту тему

Сообщения: 7,098

Модификатор репутации: 23

  • Отправить личное сообщение

18

21.01.2009, 17:47

TRIGGER, а проблем с активацией Виндовс не будет?!
А то я уже натерпелся от подобных штук :'(
У меня винда сборка SamLam с лицензией CORPORATE (корпоративка), с этой проблем нету, уже 7 дней как поставил. За другие лицензии не скажу, но вряд ли. Это же целенаправленная латка для конкретной дыры, а не какой нибудь пакет общих обновлений.
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

UuuuuuuuuuuH

cs administrator

(41)

Сообщения: 301

Модификатор репутации: 7

  • Отправить личное сообщение

19

21.01.2009, 18:45

активно штурмуют локалку на предмет уязвимых 445 портов


для4его этот порт обы4но используется виндой?? и если его откл какими могут быть последствия?
З.Ы. за 2 часа работы KIS2009 было 10 атак на этот порт, дальше хуже!! в списке уже 16 IP адресов

Сообщение редактировалось 1 раз(а), последний раз пользователем "007 <3 usp" (21.01.2009, 18:49)


TRIGGER

Вождь

(118,189)

  • "TRIGGER" создал эту тему

Сообщения: 7,098

Модификатор репутации: 23

  • Отправить личное сообщение

20

21.01.2009, 19:04

Открытыми порты держат приложения, сервисы(системные службы). Соответственно чтобы закрыть порт, надо остановить приложение, сервис.
Ну или как вариант если нельзя остановить, тогда закрыть порт фаерволлом. Под закрыть фаерволлом понимается запретить входящие и исходящие пакеты на этот порт, сам же порт остается открытым.
Применительно к нашему вопросу чтобы закрыть порт 445 придется остановить службу "Сервер" и "драйвер netbios".
Это очень радикальный и 100% метод позволяющий полностью избежать каких либо опасностей заражения через этот порт.
Но он имеет огромный минус, это влечет за собой отключение протокола "NetBios" и соответственно не будут работать программы для общения по локалке, VypressChat, Dmess и тому подобные. Также можете забыть про расшаренные по локалке ресурсы, Вы не сможете ничего ни дать ни взять на прямой доступ. Вы даже перестанете видеть расшаренные папки.
Кто готов к такому, и не пугают такие минусы, приведу рецепт отключения 445 порта:
Закрываем порт 445 TCP/UDP (NetBT).
Способ 1.
Открываем панель упровления -> Система -> Оборудование -> Диспетчер устройств. В меню "Вид" выбираем "Показывать скрытые устройства".
В списке устройств появятся "Драйверы устройств не Plug and Play".
Открвыаем этот пункт, и в появившемся списке открываем "NetBios через TCP/IP" -> Драйвер -> и в Автозагрузка -> Тип ставим "Отключено".
Перезагружаемся.

Способ 2.
В ключе регистра
у параметра HKEY_LOCAL_MACHINE\SYSTEM\Services\NetBT\Parameters
TransportBindName, имеющего значение \Device\ ,
удаляем это значение.
Перезагружаемся.
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.