Текущий архив: 2005.09.11;
Скачать: CL | DM;
Вниз
Компьютерный червь ZOTOB атакует Windows 2000 Найти похожие ветки
← →
Seg (2005-08-17 17:45) [40]чуть ли не взрывом их схлопывають.
ну так хлопни посильнее, потому как после того, как ты подержишь их в руках, ты уже все равно не жилец...
соедини их вместе, брось в печку и наблюдай за развитием цепной реакции.
← →
paul_k © (2005-08-17 17:50) [41]Seg (17.08.05 17:45) [40]
:) ну почему не жилец.. какое-то время поживем ещё, пофоним, так сказать
← →
Seg (2005-08-17 17:53) [42]какое-то время поживем ещё, пофоним
это уже не жизнь.
← →
AlexWlad © (2005-08-17 21:50) [43]Seg (17.08.05 17:45) [40]
А лучше взять 2 куска чугуния и хлопнуть по гениталиям. Глядишь - какая умная мыслишка проскочит...
← →
Anatoly Podgoretsky © (2005-08-17 21:58) [44]Kerk © (17.08.05 10:33) [1]
Известная практика, зачем искать дыры, подождем когда Микрософт выпустит патч и посмотрим что они там исправили. А в сети всегда найдем не пропатченые машины. Патч лежал около недели, прежде чем написали червя.
← →
lookin © (2005-08-17 22:00) [45]Кто-нибудь уже поймал?
← →
Piter © (2005-08-17 22:16) [46]Кто-нибудь толково может сказать, что червь делает? Это типа бласта, который любую машину может поломать? Или что-нибудь все таки запустить надо?
← →
Anatoly Podgoretsky © (2005-08-17 22:20) [47]Method Of Infection
This threat scans for MS05-039 exploitable systems. When a vulnerable system is found, it uses a buffer overflow to write the worm file to that machine via a TFTP upload on port 8594. Blocking this port via McAfee Desktop Firewall or McAfee Personal Firewall will prevent infection even if the buffer overflow is not prevented.
← →
lookin © (2005-08-17 22:23) [48]А с помощью ZoneAlarm не прокатит блокировать этот порт?
← →
Anatoly Podgoretsky © (2005-08-17 22:26) [49]Распространение по сети
Червь открывает на зараженном компьютере FTP сервер на порту TCP 33333.
После чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, открывает на нем TCP порт 8888 и загружает свою копию с именем haha.exe на уязвимый компьютер. После чего запускает на исполнение свою копию на удаленной машине.
← →
Anatoly Podgoretsky © (2005-08-17 22:30) [50]Другой вариант
Распространение по сети
Червь открывает на зараженном компьютере TFTP-сервер на порту UDP 69, после чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение, то червь, используя уязвимость Plug and Play, открывает на нем TCP-порт 8594 и загружает свою копию на уязвимый компьютер. После чего запускает на исполнение свою копию на удаленной машине.
Сообственно их уже около десятка, использующих одну и туже уязвимость, отличаются портами и названием файлов.
← →
Piter © (2005-08-17 22:32) [51]Anatoly Podgoretsky © (17.08.05 22:20) [47]
ясно. А проявляется как инфицирование?
И еше непонятно - что поломали то? Бласт использовал DCOM, а тут какой сервис сломали?
← →
Eraser © (2005-08-17 22:33) [52]Piter © (17.08.05 22:32) [51]
Бласт использовал RPC.
← →
Piter © (2005-08-17 22:33) [53]Anatoly Podgoretsky © (17.08.05 22:30) [50]
после чего запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос
Это вроде NetBios? Соответственно, если у меня служба доступа к файлам и принтерам от инета отвязана - то все ок? Или нет?
← →
Piter © (2005-08-17 22:33) [54]Eraser © (17.08.05 22:33) [52]
ну и я про тоже
← →
Anatoly Podgoretsky © (2005-08-17 22:33) [55]Piter © (17.08.05 22:32) [51]
Постоянная перезагрузка
← →
Eraser © (2005-08-17 22:34) [56]Eraser © (17.08.05 22:33) [52]
Хотя это примерно одно и то же )
← →
Anatoly Podgoretsky © (2005-08-17 22:34) [57]Piter © (17.08.05 22:33) [53]
Это Active Directory Service/Domain Service
← →
Ego © (2005-08-17 22:38) [58]Простите мне, малограмотному, такой вопрос: а на кой ляд, вообще, нужен 445 порт?У меня стоит firewall Black Ice, так он, по-моему, с самого "рождения" блокирует у меня этот порт.Ничего, пока пожаловаться не на что.Зачем он( тем более, что уже не первый "червь" его использует )?
← →
Anatoly Podgoretsky © (2005-08-17 22:45) [59]Ego © (17.08.05 22:38) [58]
Машина в домене, если нет то тебе этот порт не нужен, тогда NetBIOS = порт 139. Если ты ни с кем не соединен, то тебе вообще ни один порт не нужен.
← →
Piter © (2005-08-17 22:46) [60]Anatoly Podgoretsky © (17.08.05 22:34) [57]
ясно
Ego © (17.08.05 22:38) [58]
у тебя компьютер в домене? Нет? Ну поэтому и не замечаешь ничего :)
Страницы: 1 2 вся ветка
Текущий архив: 2005.09.11;
Скачать: CL | DM;
Память: 0.57 MB
Время: 0.029 c
