Утилита для лечения червя "Lovesan"

Ответить на тему
 
Автор Сообщение

vipwww ®

Пол: Мужской

Стаж: 10 лет

Сообщений: 266

Создавать темы 18-Авг-2008 23:43

[Цитировать]

Появилась новая версия червя Lovesan/MSBlast
"Лаборатория Касперского" сообщает об обнаружении новой модификации червя, буквально на днях до икоты напугавшего админов и антивирусных вендоров своим стремительным распространением — Lovesan/MSBlast.
Вот и сейчас "Лаборатория Касперского" прогнозирует, что уже в ближайшие часы может начаться повторная глобальная эпидемия этой вредоносной программы, поскольку обе модификации "Lovesan" могут беспрепятственно существовать на одном и том же компьютере.
По сведениям самого Евгения Касперского, в мире сейчас насчитывается около 300 тысяч систем, инфицированных первой версией червя. Следовательно, и для второй модификации ворота, как говорится, открыты.
Кстати, технологически новая модификация "Lovesan" ничем не отличается от оригинала. Изменения коснулись только имени файла-носителя червя (TEEKIDS.EXE вместо MSBLAST.EXE), технологии его упаковки (утилита FSG вместо UPX). Кроме того, внутри программного кода появились матерные высказывания в адрес Microsoft и антивирусных компаний. Больше ничего нового.

Данная программа обнаруживает активную копию червя в памяти компьютера, деактивирует её, удаляет зараженные файлы с жёсткого и сетевых дисков, также восстанавливает системный реестр Windows. По сути дела, данная утилита полностью восстанавливает компьютер и удаляет все следы заражения червем.
В чём он проявляется
Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в службе DCOM RPC операционной системы Windows. Из-за этого червь способен незаметно заражать компьютеры и теоретически производить с ними любые манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все пользователи успели установить необходимое обновление.
В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь посылает на него специальный пакет данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan" MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра Windows и запускается на выполнение.
Опасность червя заключается не только в несанкционированном проникновении на компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного объема избыточного трафика, который переполняет каналы передачи данных интернета. "На этот раз интернет спасла запрограммированная в "Lovesan" 1,8-секундная задержка между попытками заражения других компьютеров.
В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт windowsupdate.com, содержащем обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот день web-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.
В целях противодействия угрозе рекомендуем немедленно установить обновление Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана порты 135, 69 и 4444 если они не используются другими приложениями.
[Профиль] [ЛС]

Создавать темы 21-Сен-2008 17:48 (спустя 1 месяц 2 дня)

Топик был перенесен из форума Программы в форум Антивирусы

Mikekiller
 

Создавать темы 10-Янв-2009 22:02 (спустя 4 месяца 21 день)

Топик был перенесен из форума Антивирусы в форум Архив

Zibak
 
Показать сообщения:    
Ответить на тему

Текущее время: 20-Фев 11:28

Часовой пояс: UTC + 3



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы