Текущий архив: 2005.09.11;
Скачать: CL | DM;

Вниз

Компьютерный червь ZOTOB атакует Windows 2000   Найти похожие ветки 

← →
Seg   (2005-08-17 17:45) [40]

чуть ли не взрывом их схлопывають.

ну так хлопни посильнее, потому как после того, как ты подержишь их в руках, ты уже все равно не жилец...
соедини их вместе, брось в печку и наблюдай за развитием цепной реакции.

---

← →
paul_k ©   (2005-08-17 17:50) [41]

Seg   (17.08.05 17:45) [40]
:) ну почему не жилец.. какое-то время поживем ещё, пофоним, так сказать

---

← →
Seg   (2005-08-17 17:53) [42]

какое-то время поживем ещё, пофоним

это уже не жизнь.

---

← →
AlexWlad ©   (2005-08-17 21:50) [43]

Seg   (17.08.05 17:45) [40]

А лучше взять 2 куска чугуния и хлопнуть по гениталиям. Глядишь - какая умная мыслишка проскочит...

---

← →
Anatoly Podgoretsky ©   (2005-08-17 21:58) [44]

Kerk ©   (17.08.05 10:33) [1]
Известная практика, зачем искать дыры, подождем когда Микрософт выпустит патч и посмотрим что они там исправили. А в сети всегда найдем не пропатченые машины. Патч лежал около недели, прежде чем написали червя.

---

← →
lookin ©   (2005-08-17 22:00) [45]

Кто-нибудь уже поймал?

---

← →
Piter ©   (2005-08-17 22:16) [46]

Кто-нибудь толково может сказать, что червь делает? Это типа бласта, который любую машину может поломать? Или что-нибудь все таки запустить надо?

---

← →
Anatoly Podgoretsky ©   (2005-08-17 22:20) [47]

Method Of Infection  
This threat scans for MS05-039 exploitable systems.  When a vulnerable system is found, it uses a buffer overflow to write the worm file to that machine via a TFTP upload on port 8594.  Blocking this port via McAfee Desktop Firewall or McAfee Personal Firewall will prevent infection even if the buffer overflow is not prevented.

---

← →
lookin ©   (2005-08-17 22:23) [48]

А с помощью ZoneAlarm не прокатит блокировать этот порт?

---

← →
Anatoly Podgoretsky ©   (2005-08-17 22:26) [49]

Распространение по сети
Червь открывает на зараженном компьютере FTP сервер на порту TCP 33333.

После чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, открывает на нем TCP порт 8888 и загружает свою копию с именем haha.exe на уязвимый компьютер. После чего запускает на исполнение свою копию на удаленной машине.

---

← →
Anatoly Podgoretsky ©   (2005-08-17 22:30) [50]

Другой вариант
Распространение по сети
Червь открывает на зараженном компьютере TFTP-сервер на порту UDP 69, после чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, открывает на нем TCP-порт 8594 и загружает свою копию на уязвимый компьютер. После чего запускает на исполнение свою копию на удаленной машине.

Сообственно их уже около десятка, использующих одну и туже уязвимость, отличаются портами и названием файлов.

---

← →
Piter ©   (2005-08-17 22:32) [51]

Anatoly Podgoretsky ©   (17.08.05 22:20) [47]

ясно. А проявляется как инфицирование?

И еше непонятно - что поломали то? Бласт использовал DCOM, а тут какой сервис сломали?

---

← →
Eraser ©   (2005-08-17 22:33) [52]

Piter ©   (17.08.05 22:32) [51]

Бласт использовал RPC.

---

← →
Piter ©   (2005-08-17 22:33) [53]

Anatoly Podgoretsky ©   (17.08.05 22:30) [50]
после чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос

Это вроде NetBios? Соответственно, если у меня служба доступа к файлам и принтерам от инета отвязана - то все ок? Или нет?

---

← →
Piter ©   (2005-08-17 22:33) [54]

Eraser ©   (17.08.05 22:33) [52]

ну и я про тоже

---

← →
Anatoly Podgoretsky ©   (2005-08-17 22:33) [55]

Piter ©   (17.08.05 22:32) [51]
Постоянная перезагрузка

---

← →
Eraser ©   (2005-08-17 22:34) [56]

Eraser ©   (17.08.05 22:33) [52]

Хотя это примерно одно и то же )

---

← →
Anatoly Podgoretsky ©   (2005-08-17 22:34) [57]

Piter ©   (17.08.05 22:33) [53]
Это Active Directory Service/Domain Service

---

← →
Ego ©   (2005-08-17 22:38) [58]

Простите мне, малограмотному, такой вопрос: а на кой ляд, вообще, нужен 445 порт?У меня стоит firewall Black Ice, так он, по-моему, с самого "рождения" блокирует у меня этот порт.Ничего, пока пожаловаться не на что.Зачем он( тем более, что уже не первый "червь" его использует )?

---

← →
Anatoly Podgoretsky ©   (2005-08-17 22:45) [59]

Ego ©   (17.08.05 22:38) [58]
Машина в домене, если нет то тебе этот порт не нужен, тогда NetBIOS = порт 139. Если ты ни с кем не соединен, то тебе вообще ни один порт не нужен.

---

← →
Piter ©   (2005-08-17 22:46) [60]

Anatoly Podgoretsky ©   (17.08.05 22:34) [57]

ясно

Ego ©   (17.08.05 22:38) [58]

у тебя компьютер в домене? Нет? Ну поэтому и не замечаешь ничего :)

---

Страницы: 1 2 вся ветка

Текущий архив: 2005.09.11;
Скачать: CL | DM;

Наверх

Память: 0.55 MB
Время: 0.017 c