Удомельский форум - Показать сообщение отдельно

06.08.2008, 00:08

Вроде как поэтому серв логает:

LSASS.EXE: 992 UDP local:any 500
LSASS.EXE: 992 UDP local:any 4500
LSASS.EXE: 992 IP local:any n/a
Скорее всего это Sasser (Jobaka). Заплатки на винду все ставил? Тут кароч есть варианты по этой теме. Система уходит в перегрузку проца из-за неудачных атак червя, но одна из атак рано или поздно достигнет своей цели. Машину грузят засылаемые им сетевые пакеты. От этих пакетов антивирус не защищает. Надо настроить фаер и посмотреть что будет. Если стоит что-то типа аутпоста, при его запросах относительно LSASS выбрать вариант "Блокировать однократно" или, что кардинально - "Запретить этому приложению выполнять какие либо действия".
Есть несколько видов проявления червя:
1. Признаками заражения компьютера являются: наличие файла "avserve.exe" в каталоге Windows, или сообщение об ошибке LSASS service failing (но не факт)
Размножение: при запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avserve.exe" = "%WINDIR%\avserve.exe"
Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия. Запускает FTP службу на порту TCP и запускает 128 процедур размножения. В ходе работы пытается вызвать процедуру AbortSystemShutdown для запрета перезагрузки системы. Запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996. После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела: таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например:
23101_up.exe
5409_up.exe
и т.д. Червь может создать в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин.

2. Наличие файла "msblast.exe" в system32, или сообщение об ошибке (RPC service failing). Размножение: регистрирует себя в ключе автозапуска:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования компьютеров. После этого "спит" в течение 1,8 секунды, снова сканирует 20 IP-адресов и повторяет этот процесс в цикле. Выбирает один из двух методов сканирования IP-адресов:
А. В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.
Б. В 2 случаях из 5 червь сканирует подсеть.
Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.

06.08.2008, 00:08	#2933
mudomlet Гость Сообщений: n/a	Вроде как поэтому серв логает: LSASS.EXE: 992 UDP local:any 500 LSASS.EXE: 992 UDP local:any 4500 LSASS.EXE: 992 IP local:any n/a Скорее всего это Sasser (Jobaka). Заплатки на винду все ставил? Тут кароч есть варианты по этой теме. Система уходит в перегрузку проца из-за неудачных атак червя, но одна из атак рано или поздно достигнет своей цели. Машину грузят засылаемые им сетевые пакеты. От этих пакетов антивирус не защищает. Надо настроить фаер и посмотреть что будет. Если стоит что-то типа аутпоста, при его запросах относительно LSASS выбрать вариант "Блокировать однократно" или, что кардинально - "Запретить этому приложению выполнять какие либо действия". Есть несколько видов проявления червя: 1. Признаками заражения компьютера являются: наличие файла "avserve.exe" в каталоге Windows, или сообщение об ошибке LSASS service failing (но не факт) Размножение: при запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "avserve.exe" = "%WINDIR%\avserve.exe" Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия. Запускает FTP службу на порту TCP и запускает 128 процедур размножения. В ходе работы пытается вызвать процедуру AbortSystemShutdown для запрета перезагрузки системы. Запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996. После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела: таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например: 23101_up.exe 5409_up.exe и т.д. Червь может создать в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин. 2. Наличие файла "msblast.exe" в system32, или сообщение об ошибке (RPC service failing). Размножение: регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run windows auto update="msblast.exe" Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования компьютеров. После этого "спит" в течение 1,8 секунды, снова сканирует 20 IP-адресов и повторяет этот процесс в цикле. Выбирает один из двух методов сканирования IP-адресов: А. В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0. Б. В 2 случаях из 5 червь сканирует подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.