msblast - прикрытие более изощрённой атаки?

← →
iZEN © (2003-08-17 00:05) [0]

А не кажется ли вам, господа, что msblast - это прикрытие более изощрённой атаки на Win32-платформу, в частности, на архитектуру Win-RPC?

← →
Anatoly Podgoretsky © (2003-08-17 00:12) [1]

Кто его знает, может быть поэтому преждевременное раскрытие.

← →
Омлет © (2003-08-17 00:15) [2]

Какая антивирусная фирма сделает вакцину - та его и породила.

← →
blackman © (2003-08-17 00:44) [3]

Видимо это прикрытие, т.к. Microsoft сразу заявила о том, что пострадают нелицензионные версии. Кто шляпку украл, тот и бабку зарезал!

← →
iZEN © (2003-08-17 01:15) [4]

Класс!!! :) Я тихонечко так фигею...
Пора на Солярку переползать - Java, наконец, займусь по-настоящему, и не буду тюхаться с JNI на Delphi!
Ура! Конец MS близок. (Шутка) :)))

← →
Ketmar © (2003-08-17 01:18) [5]

паранойя, аднака...

>[3]
а лицензионные валить не надо. они и сами рушатся %-)

← →
Марсианин (2003-08-17 01:51) [6]

мой комп заразился.. я даже не сразу понял в чем дело. ошибра в RPC - комп ч-з минуту перезапускается. заметил наконец файрвол показывает 10-15 соединений открытых некой программой msblast.exe. почесал репу и стер ее нафиг, а потом уже с удивлением читал новости про атаку на Майкрософт 16-го августа

зы Касперский молчал (правда я не обновлял его)

← →
blackman © (2003-08-17 02:12) [7]

>Марсианин
Не горячись. Он может появиться опять.
Я удалял. DRweb ловит, но все повторяется после входа в инет

← →
iZEN © (2003-08-17 02:14) [8]

Нашел файлик в TEMP-директории: CONEXANT_INSTALL.LOG
Хм, с каких это пор мой модем от U.S.Robotics стал использовать технологии от Conexant?!
Код:
CSetupEnv :: DetermineSetupPath entry ReadRegistryValue entry : szValueName = ProgramFilesDir pvValueData = C:\Program Files ReadRegistryValue exit : dwErrorCode = 0 CSetupEnv :: DetermineSetupPath exit : csSetupPath = C:\Program Files\UIU CSystemApi :: CSystemApi entry m_hSetupApiLib = 1986461696 m_hSetupApiLib = 1957560320 CSystemApi :: CSystemApi exit CUninstall :: GetCurrentOS entry CUninstall :: GetCurrentOS exit : bOSWin98 = 0 CSetupEnv :: GetSetupPath entry CSetupEnv :: GetSetupPath exit : csSetupPath = C:\Program Files\UIU CSetupEnv :: DetermineSetupPath entry ReadRegistryValue entry : szValueName = ProgramFilesDir pvValueData = C:\Program Files ReadRegistryValue exit : dwErrorCode = 0 CSetupEnv :: DetermineSetupPath exit : csSetupPath = C:\Program Files\UIU CSetupEnv :: DetermineSetupPath entry ReadRegistryValue entry : szValueName = ProgramFilesDir pvValueData = C:\Program Files ReadRegistryValue exit : dwErrorCode = 0 CSetupEnv :: DetermineSetupPath exit : csSetupPath = C:\Program Files\UIU CSystemApi :: CSystemApi entry m_hSetupApiLib = 1986461696 m_hSetupApiLib = 1957560320 CSystemApi :: CSystemApi exit CSystemApi :: CSystemApi entry m_hSetupApiLib = 1986461696 m_hSetupApiLib = 1957560320 CSystemApi :: CSystemApi exit CSetupEnv :: GetSetupPath entry CSetupEnv :: GetSetupPath exit : csSetupPath = C:\Program Files\UIU CSetupEnv :: DetermineSetupPath entry ReadRegistryValue entry : szValueName = ProgramFilesDir pvValueData = C:\Program Files ReadRegistryValue exit : dwErrorCode = 0 CSetupEnv :: DetermineSetupPath exit : csSetupPath = C:\Program Files\UIU CSystemApi :: CSystemApi entry m_hSetupApiLib = 1986461696 m_hSetupApiLib = 1957560320 CSystemApi :: CSystemApi exit CUninstall :: GetCurrentOS entry CUninstall :: GetCurrentOS exit : bOSWin98 = 0 CSetupEnv :: GetSetupPath entry CSetupEnv :: GetSetupPath exit : csSetupPath = C:\Program Files\UIU CSetupEnv :: DetermineSetupPath entry ReadRegistryValue entry : szValueName = ProgramFilesDir pvValueData = C:\Program Files ReadRegistryValue exit : dwErrorCode = 0 CSetupEnv :: DetermineSetupPath exit : csSetupPath = C:\Program Files\UIU WinMain MODEM_INSTALL entry GetSpecialOSType entry GetSpecialOSType exit : RetVal = 5 CInstall :: Install entry : Setup Configuration = 16 CInstall :: PreInstall entry CInstall :: PreInstallForWin2K entry ReadRegistryValue entry : szValueName = DevicePath pvValueData = %SystemRoot%\inf ReadRegistryValue exit : dwErrorCode = 0 ReadRegistryValue entry : szValueName = ProgramFilesDir pvValueData = C:\Program Files ReadRegistryValue exit : dwErrorCode = 0 ReadRegistryValue entry : szValueName = SourcePath pvValueData = J:\ ReadRegistryValue exit : dwErrorCode = 0 ReadRegistryValue entry : szValueName = ProgramFilesDir pvValueData = C:\Program Files ReadRegistryValue exit : dwErrorCode = 0 ReadRegistryValue entry : szValueName = SourcePath pvValueData = J:\ ReadRegistryValue exit : dwErrorCode = 0 WriteRegistryValue entry : szValueName = SourcePath szValueData = C:\Program Files\UIU\SETUP\ WriteRegistryValue exit : dwErrorCode = 0 CInstall :: PreInstallForWin2K exit CInstall :: PreInstall exit CSetupEnv :: GetInstallPaths entry CSetupEnv :: ValidateInstallPath entry CSetupEnv :: ValidateInstallPath exit : bRetVal = 0 CSetupEnv :: CheckForOSFolder entry : csLocalPath = C:\UIU\USRUSB\ CSetupEnv :: GetInstallPaths exit : csFolder

← →
iZEN © (2003-08-17 02:15) [9]

blackman © (17.08.03 02:12) [7]
ЖЁСТКАЯ ПРАВДА: ВСЁ ПОВТОРЯЕТСЯ...:(

← →
blackman © (2003-08-17 02:22) [10]

С Opera работает, но закидывает в system32 msblast.exe
Чудеса ! И в автозагрузку ставит.
Я подменил его на свою, но ничего не произошло...

← →
Ketmar © (2003-08-17 02:25) [11]

а не проще ли файрвол воткнуть и забыть?

← →
iZEN © (2003-08-17 02:30) [12]

Ketmar © (17.08.03 02:25) [11]
Напрягает безбожно на Dial-up, да и в локалке, блин...такие дела. :(

← →
Марсианин (2003-08-17 02:35) [13]

дык файрвол Боги зачем создали?? он у меня почти каждые полчаса пресекает обращения к порту 4444.

однако в нашей жизни ни в чем нельзя быть уверенным. не эта зараза - так другая...

← →
iZEN © (2003-08-17 02:56) [14]

blackman © (17.08.03 02:22) [10]
Ни Opera, ни IE, ни Mozilla тут никаким боком ни при чём.
Во всём виновата архитектура MS DCOM-RPC. То есть с любого компьютера в Интернете тебе запросто могут прислать msblast - да и никто спрашивать не будет - просто "прилетит" по DCOM...Провайдер поспособствует ещё.
Такие дела.

to all:
А файервол меня напрягает тем, что нельзя с первого раза сконнектится - никаких вопросов даже не задаёт, приложения-то указаны "куда-кому лезть" - так нет, напрягает: перезапуск спасает ситуацию ненадолго.
Такие дела.

← →
Ketmar © (2003-08-17 04:12) [15]

>iZEN © (17.08.03 02:56) [14]
куда это "нельзя"? как "нельзя"? вот стоит у меня TPF, никаких проблем на замечено. в первый раз честно спрашивает, потом запоминает -- и ву а ля. ничего не понял из ваших сетований.

← →
Viktor Kushnir © (2003-08-17 08:29) [16]

Я вообще не понимаю - скачайте заплатку с MS и забудте.

← →
blackman © (2003-08-17 09:56) [17]

>Я вообще не понимаю.
Все впереди у тебя.

Не заметил, чтобы кто-то вспомнил о "вынях", так вот этот бласт лезет только через XP и NT. А Касперский не дремлет и даже дает рекомендации (Тулку для лечения скачаете сами). А его рекомендации выкладываю...

Забыл приклеить ...
Utility for cleaning infection by:
I-Worm.BleBla.b
I-Worm.Navidad
I-Worm.Sircam
I-Worm.Goner
I-Worm.Klez.a,e,f,g,h
Win32.Elkern.c
I-Worm.Tanatos.a,b
Worm.Win32.Opasoft.a,b,c,d,e,f,g,h
I-Worm.Avron.a,b,c,d,e
I-Worm.LovGate.a,b,c,d,e,f,g,h,i,j,k,l
I-Worm.Fizzer
I-Worm.Magold.a,b,c,d,e
Worm.Win32.Lovesan
Version 10.0.5.2 Copyright (C) Kaspersky Lab 2000-2003. All rights reserved.
********************************************************************** ******
Command line:

/s[n] - to force scaning of hard drives. Program will scan hard drive for I-Worm.Klez.a(e,f,g,h) infection in any case.
n - include scaning of mapped network drives.

/y - end program without pressing any key.

/i - show command line info.

/nr - do not reboot system automatically in any cases.

/Rpt[ao][=<Report file path>] - create report file

a - add report file

o - report only (do not cure/delete infected files)

Return codes:

0 - nothing to clean

1 - virus was deleted and system restored

2 - to finilize removal of virus you shold reboot system

3 - to finilize removal of virus you shold reboot system and start

program the second time

4 - programm error.

********************************************************************** ******

I-Worm.BleBla.b

---------------

If program find HKEY_CLASSES_ROOT\rnjfile key in registry it:

delete registry keys

HKEY_CLASSES_ROOT\rnjfile

HKEY_CLASSES_ROOT\.lha

repair registry key to default value

HKEY_CLASSES_ROOT\.jpg to jpegfile

HKEY_CLASSES_ROOT\.jpeg to jpegfile

HKEY_CLASSES_ROOT\.jpe to jpegfile

HKEY_CLASSES_ROOT\.bmp to Paint.Picture

HKEY_CLASSES_ROOT\.gif to giffile

HKEY_CLASSES_ROOT\.avi to avifile

HKEY_CLASSES_ROOT\.mpg to mpegfile

HKEY_CLASSES_ROOT\.mpeg to mpegfile

HKEY_CLASSES_ROOT\.mp2 to mpegfile

HKEY_CLASSES_ROOT\.wmf to empty

HKEY_CLASSES_ROOT\.wma to wmafile

HKEY_CLASSES_ROOT\.wmv to wmvfile

HKEY_CLASSES_ROOT\.mp3 to mp3file

HKEY_CLASSES_ROOT\.vqf to empty

HKEY_CLASSES_ROOT\.doc to word.document.8 or wordpad.document.1

HKEY_CLASSES_ROOT\.xls to excel.sheet.8

HKEY_CLASSES_ROOT\.zip to winzip

HKEY_CLASSES_ROOT\.rar to winrar

HKEY_CLASSES_ROOT\.arj to archivefile or winzip

HKEY_CLASSES_ROOT\.reg to regfile

HKEY_CLASSES_ROOT\.exe to exefile

try to delete file

c:\windows\sysrnj.exe

I-Worm.Navidad

--------------

If program find HKEY_CURRENT_USER\Software\Navidad,

HKEY_CURRENT_USER\Software\xxxxmas or HKEY_CURRENT_USER\Software\Emanuel key

in registry it:

delete registry keys

HKEY_CURRENT_USER\Software\Navidad

HKEY_CURRENT_USER\Software\xxxxmas

HKEY_CURRENT_USER\Software\Emanuel

SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Win32BaseServiceMOD

repair registry key to default value

HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*

try to delete file

winsvrc.vxd

winfile.vxd

wintask.exe

I-Worm.Sircam

-------------

If program find HKEY_LOCAL_MACHINE\Software\SirCam key in registry,

"@win \recycled\sirc32.exe" in autoexec.bat or \windows\run32.exe and

\windows\rundll32.exe was created on Delphi it:

delete registry keys

HKEY_LOCAL_MACHINE\Software\SirCam

Software\Microsoft\Windows\CurrentVersion\RunServices

Driver32

repair registry key to default value

HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*

try to delete file

%Windows drive%:\RECYCLED\SirC32.exe

%Windows directory%\ScMx32.exe

%Windows system directory%\SCam32.exe

%Windows startup directory%\"Microsoft Internet Office.exe"

%Windows drive%:\windows\rundll32.exe

try to rename files

%Windows drive%:\windows\Run32.exe to

%Windows drive%:\windows\RunDll32.exe

try to repair files

autoexec.bat

In case program can not delete or rename any files (it may be used at

that moment) it set these files to queue to delete or rename during bootup

process and offer user to reboot system.

I-Worm.Goner

------------

If gone.scr process exist in memory, program will try to stop it.

if file %Windows system directory%\gone.scr exist on hard drive,

program will try to delete it.

If program find %Windows system directory%\gone.scr key in

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run of system

registry, it will delete this key.

I-Worm.Klez.a,e-h, Win32.Elkern.c, I-Worm.Lentin.a-p, I-Worm.Tanatos.a-b,

---------------------------------------------------------------------- ---

Worm.Win32.Opasoft.a-h, I-Worm.Avron.a-e, I-Worm.LovGate.a-l, I-Worm.Fizzer,

---------------------------------------------------------------------- ------

I-Worm.Magold.a-e, Worm.Win32.Lovesan

-------------------------------------

If program find next processes in memory:

Krn132.exe

WQK.exe

or any processes, infected by these viruses, it will try to

unhook virus hooks and patch needed processes to stop reinfection and then

stop them and delete/cure their files on hard drive and delete links to their

files from system registry and other startup places.

If program find that WQK.DLL library has been loaded by any processes

it will rename file of this library and will remove it after system reboot.

In case program find such library in memory of your PC you should reboot your

PC when program finish and start it the second time after reboot to clean your

system registry.

If program find any infected processes in memory it will start scan of

your hard drive (and all mapped network drives if you specify /netscan in

command line). It will check only infection by these viruses.

If you specify /s key in command line program will scan your hard drive

(and all mapped network drives if you specify /sn) in all cases.

If Win32.Elkern.c virus create memory mapping, program will disinfect

this memory area.

Program can restore next startup links used by viruses:

autoexec.bat

win %virus file path and name%

win.ini section [Windows]

run=<virus file>

registry keys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServic es

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

values

AppInit_DLLs

Run

HKEY_CLASSES_ROOT\txtfile\shell\open\command (txt association)

restoring to link to notepad.exe program

HKEY_CLASSES_ROOT\exefile\shell\open\command (exe association)

restoring to "%1" %*

HKEY_CLASSES_ROOT\comfile\shell\open\command (com association)

restoring to "%1" %*

HKEY_CLASSES_ROOT\batfile\shell\open\command (bat association)

restoring to "%1" %*

HKEY_CLASSES_ROOT\piffile\shell\open\command (pif association)

restoring to "%1" %*

HKEY_CLASSES_ROOT\scrfile\shell\open\command (scr association)

restoring to "%1" %*

installed NT services

mIRC start scripts

<Program Files folder>\Mirc\script.ini

<Program Files folder>\Mirc32\script.ini

Pirch start scripts

<Program Files folder>\Pirch98\events.ini

А что нельзя вместо публикации файла сделать ссылку на сам файл?

← →
Просто случайный (2003-08-17 12:54) [21]

Просто забыл
ftp://ftp.kaspersky.com/utils/clrav.zip

OutPost хорошо помогает

Хех, а у меня МЕ и мне пофих на этот blast.exe :-)))

msblast - прикрытие более изощрённой атаки? Найти похожие ветки