Ну, тока шо прикололся! :-)

← →
Мазут Береговой (2003-08-12 10:41) [0]

В общем так было дело. Сидел за Фотошопом. Вдруг, бац!, выскакивает сообщение что RPC (Remote Procedure Call) что-то там сделал и компьютер через одну минуту будет перезагружен и пошел обратный отсчет. Остановить или прервать процесс никак не получилось. Как я ни пытался. "Какой-то вирус" подумалось.
Ну, перезагрузился он. Запустил Ad-Aware. Ничего интересного. Я опять подключился к инету и обратил внимание, что какой-то обмен по сети идет. Я опять перезагрузил машину, и только я это сделал, как по новостям дикторша говорит "В интернете появился новый вирус, который самораспростряняется, делает перезагрузку компьютера и начинает атаковать Веб сайт компании Майкрософт." И что-то там еще она сказала, мол хакеры передают сообщение Биллу Гейтсу, типа, хватит делать деньги, начинайте заделывать дыры в своем софте.
Я решил повнимательней посмотреть в список процессов, пока не подключен к интернету. Должна же как-то прога вылавливать подсоединение. Ламерская, конечно, логика, но и вирус, видно, писал ламер, потому что я сразу увидел процесс msblast.exe. Закрыл процесс, запустил поиск. Нашел его в папке system32. Перезагрузился. Подключился к нету - все чисто. Никаких обменов.
такие чудеса случаеются! :-)

← →
Ketmar (2003-08-12 10:45) [1]

http://delphimaster.net/view/14-1060661068/

← →
Е-Моё имя (2003-08-12 10:46) [2]

"Какой-то вирус" подумалось.
Ну, перезагрузился он. Запустил Ad-Aware.

;)))))))))))
бугагагага

← →
Ketmar (2003-08-12 10:47) [3]

кстати, это НЕ ВИРУС. это ЧЕРВЯК. безобидный (в смысле, ничего не убивает). и писал не совсем ламер (по первой прикидке кода).

← →
ZZ (2003-08-12 10:51) [4]

и писал не совсем ламер

Собственно исходники эксполита в 5 вариантах доступны широкой публике :) Вроде даже исходник червяка где-то был

← →
Мазут Береговой (2003-08-12 10:54) [5]

> Ketmar © (12.08.03 10:45) [1]

Я ж не читал этого! Вот молодец Я! Сам нашел за пять минут и сам уничтожил! Круто! Значит я уже не ламер... Ха-ха! Вот молодец Я! Ха-ха! Вот мо... Ой чей-то меня понесло... :-)

← →
Мазут Береговой (2003-08-12 10:57) [6]

> Ketmar © (12.08.03 10:47) [3]

Если бы не ламер, то мог бы и спрятать процесс, а так "вот он я смотрите". Я находил вирусы и по-хитрее...

← →
Ketmar (2003-08-12 11:03) [7]

2Мазут Береговой:
а вы попробуйте трое суток не спать. и после этого конструктивно думать %-)
и потом: ну недеструктивныое же. зачем тогда прятать?

2ZZ:
адресок? можно на мыло. любопытно же, а дизассемблировать лень %-)

← →
Anatoly Podgoretsky (2003-08-12 11:53) [8]

Ketmar © (12.08.03 10:47) [3]
Ну как безобидный, если сеть пропала. А как насчет зарезирвированных в нем портах?

← →
ZZ (2003-08-12 11:54) [9]

http://www.compulenta.ru/2003/8/12/41274/
Описание насчет "безобидности"

Вроде оно - там должен быть исходник и ехе :) http://www.securitylab.ru/_exploits/kaht2.zip

← →
Ketmar (2003-08-12 11:58) [10]

tnx.

← →
Мазут Береговой (2003-08-12 12:01) [11]

> Ketmar © (12.08.03 11:03) [7]

Брат, я не ругаюсь и не наезжаю, просто ради поддержания разговора. :-)

← →
Ketmar (2003-08-12 12:03) [12]

да я понял %-) просто лень смайлы расставлять %-) но не всегда лень %-)

← →
Шёл мимо (2003-08-12 22:20) [13]

Ну якобы всем:
Загляните седа:
http://www.livejournal.com/users/olegart/33500.html
Думаю не пожалеете

← →
Вадим (2003-08-12 22:59) [14]

Я им раз пять заражался, пока не допер фаерволл установить :)

← →
Viktor Kushnir (2003-08-13 09:21) [15]

А как он заражает, и почему мой AntiVir его не поймал?

← →
Viktor Kushnir (2003-08-13 09:40) [16]

А вот и письмо к билли
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!

← →
cyborg (2003-08-13 10:01) [17]

Такая же хрень была сегодня ночью

← →
ZZ (2003-08-13 13:03) [18]

Три танкиста, три веселых друга...
Ребятки, вы про эту дыру первый раз услышали, вы живете и работает в танке или злобный сисадмин не разрешает вам устанавливать патчи?

← →
Ketmar (2003-08-13 14:04) [19]

>Viktor Kushnir © (13.08.03 09:21) [15]
а с какого испуга AV должны его ловить? на каждую дыру в винде заплаток не напасёшься.

← →
Viktor Kushnir (2003-08-13 15:14) [20]

Обновил AV, AV его нашел.

← →
Jeer (2003-08-13 15:19) [21]

Червь "Lovesan" снова атакует брешь в службе DCOM RPC операционной
системы Windows
В процессе распространения "Lovesan" сканирует интернет в поисках
уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных
жертв и проверяет возможность проведения атаки. В положительном случае
(если не установлено соответствующее обновление Windows) червь посылает
на него специальный пакет данных, который обеспечивает закачку на
компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется
в секции автозагрузки системного реестра Windows и запускается на
выполнение.

От Касперского для тех кто в танке.

← →
keymaster (2003-08-13 15:20) [22]

А мне ничего не было....
Файрвол отбивается...

← →
k-man (2003-08-13 17:03) [23]

Прочитал ветку ради интереса посмотрел в свой список процессов и обнаружил.. что бы вы думали? MSBLAST.exe

← →
Скорбящий (2003-08-13 17:57) [24]

Мля, эту тему нужно уже в ФАК запихнуть...

Ну, тока шо прикололся! :-) Найти похожие ветки