World Of Warcraft: The Burning Crusade - Страница 294

Matt · 05.08.2008, 22:15

Цитата:

Сообщение от Graf

граф дракула не любит простых смертных(нубов) у них кровь не вкусная %)))
зы: зацените)

ааафигенный мув

прям про багатенькую голивудскую звизду трала и его огромнейшии владения по соседству со стромвиндом

ArUgAl · 05.08.2008, 23:06

дистам чо ты там нафигалчил нащет таво что мы за одним аликом гонялись?мы дуэлились друг с другом а патом они набежали толопой все по чесному мы в пятером против 7 их как нех завалили а патом уже ты под*бал кароч ты проупустил все веселье

06.08.2008, 00:08

Вроде как поэтому серв логает:

LSASS.EXE: 992 UDP local:any 500
LSASS.EXE: 992 UDP local:any 4500
LSASS.EXE: 992 IP local:any n/a
Скорее всего это Sasser (Jobaka). Заплатки на винду все ставил? Тут кароч есть варианты по этой теме. Система уходит в перегрузку проца из-за неудачных атак червя, но одна из атак рано или поздно достигнет своей цели. Машину грузят засылаемые им сетевые пакеты. От этих пакетов антивирус не защищает. Надо настроить фаер и посмотреть что будет. Если стоит что-то типа аутпоста, при его запросах относительно LSASS выбрать вариант "Блокировать однократно" или, что кардинально - "Запретить этому приложению выполнять какие либо действия".
Есть несколько видов проявления червя:
1. Признаками заражения компьютера являются: наличие файла "avserve.exe" в каталоге Windows, или сообщение об ошибке LSASS service failing (но не факт)
Размножение: при запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avserve.exe" = "%WINDIR%\avserve.exe"
Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия. Запускает FTP службу на порту TCP и запускает 128 процедур размножения. В ходе работы пытается вызвать процедуру AbortSystemShutdown для запрета перезагрузки системы. Запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996. После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела: таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например:
23101_up.exe
5409_up.exe
и т.д. Червь может создать в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин.

2. Наличие файла "msblast.exe" в system32, или сообщение об ошибке (RPC service failing). Размножение: регистрирует себя в ключе автозапуска:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования компьютеров. После этого "спит" в течение 1,8 секунды, снова сканирует 20 IP-адресов и повторяет этот процесс в цикле. Выбирает один из двух методов сканирования IP-адресов:
А. В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0.
Б. В 2 случаях из 5 червь сканирует подсеть.
Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.

Medved · 06.08.2008, 14:29

хотелось узнать пвп будет или нет

06.08.2008, 14:36

серв работает, пока без проблем. тьфу-тьфу

Medved · 06.08.2008, 14:40

Цитата:

Сообщение от mudomlet

серв работает, пока без проблем. тьфу-тьфу

Спасиба, у варлока только не пашет квест на Суккуб, нада найти чувака в баренсе, а его нету нигде.

HeLioS · 06.08.2008, 17:35

захажу я значит в вов вожу логин и пас вхожу на серв и сразу выдает дисконект че за фигня такая? =\

FateMaster · 06.08.2008, 20:22

Цитата:

Сообщение от HeLioS

захажу я значит в вов вожу логин и пас вхожу на серв и сразу выдает дисконект че за фигня такая? =\

а ты клиент до 2.4.2 обновлял???

ArUgAl · 06.08.2008, 22:43

Цитата:

Сообщение от FateMaster

а ты клиент до 2.4.2 обновлял???

когда клиент не пропатчен он ваще не заходит а у него просто дисконект уже в игре

HeLioS · 07.08.2008, 10:19

все терь нормально =)

05.08.2008, 23:06	#2932
ArUgAl Местный Регистрация: 25.04.2008 Сообщений: 163 Вы сказали Спасибо: 77 Поблагодарили 15 раз(а) в 12 сообщениях	дистам чо ты там нафигалчил нащет таво что мы за одним аликом гонялись?мы дуэлились друг с другом а патом они набежали толопой все по чесному мы в пятером против 7 их как нех завалили а патом уже ты под*бал кароч ты проупустил все веселье __________________

06.08.2008, 14:29	#2934
Medved Местный Регистрация: 26.04.2006 Адрес: Удомля, Токио, Палисадес, Нью-Йорк Сообщений: 1,865 Вы сказали Спасибо: 642 Поблагодарили 678 раз(а) в 431 сообщениях	хотелось узнать пвп будет или нет __________________

06.08.2008, 17:35	#2937
HeLioS Местный Регистрация: 17.05.2008 Сообщений: 512 Вы сказали Спасибо: 471 Поблагодарили 188 раз(а) в 102 сообщениях	захажу я значит в вов вожу логин и пас вхожу на серв и сразу выдает дисконект че за фигня такая? =\ __________________ ...И всем давно насрать на эти рамки приличия, главное чтобы на счет, но лучше наличными...

07.08.2008, 10:19	#2940
HeLioS Местный Регистрация: 17.05.2008 Сообщений: 512 Вы сказали Спасибо: 471 Поблагодарили 188 раз(а) в 102 сообщениях	все терь нормально =) __________________ ...И всем давно насрать на эти рамки приличия, главное чтобы на счет, но лучше наличными...

	◊
www.udomlya.ru \| Медиа-Центр \| Удомля КТВ \| Старый форум

06.08.2008, 00:08	#2933
mudomlet Гость Сообщений: n/a	Вроде как поэтому серв логает: LSASS.EXE: 992 UDP local:any 500 LSASS.EXE: 992 UDP local:any 4500 LSASS.EXE: 992 IP local:any n/a Скорее всего это Sasser (Jobaka). Заплатки на винду все ставил? Тут кароч есть варианты по этой теме. Система уходит в перегрузку проца из-за неудачных атак червя, но одна из атак рано или поздно достигнет своей цели. Машину грузят засылаемые им сетевые пакеты. От этих пакетов антивирус не защищает. Надо настроить фаер и посмотреть что будет. Если стоит что-то типа аутпоста, при его запросах относительно LSASS выбрать вариант "Блокировать однократно" или, что кардинально - "Запретить этому приложению выполнять какие либо действия". Есть несколько видов проявления червя: 1. Признаками заражения компьютера являются: наличие файла "avserve.exe" в каталоге Windows, или сообщение об ошибке LSASS service failing (но не факт) Размножение: при запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "avserve.exe" = "%WINDIR%\avserve.exe" Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия. Запускает FTP службу на порту TCP и запускает 128 процедур размножения. В ходе работы пытается вызвать процедуру AbortSystemShutdown для запрета перезагрузки системы. Запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996. После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела: таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например: 23101_up.exe 5409_up.exe и т.д. Червь может создать в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин. 2. Наличие файла "msblast.exe" в system32, или сообщение об ошибке (RPC service failing). Размножение: регистрирует себя в ключе автозапуска: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run windows auto update="msblast.exe" Червь сканирует IP-адреса, начинающиеся с "base address" и пытается соединиться с 20 IP-адресами для инфицирования компьютеров. После этого "спит" в течение 1,8 секунды, снова сканирует 20 IP-адресов и повторяет этот процесс в цикле. Выбирает один из двух методов сканирования IP-адресов: А. В 3 случаях из 5 червь выбирает случайный "base address" (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом "base address" находится в диапазоне [1-255].[1-255].[1-255].0. Б. В 2 случаях из 5 червь сканирует подсеть. Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его. Например, если инфицированная машина имеет IP-адрес "207.46.134.191", то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет сканировать адреса, начиная с 207.46.14.0.

06.08.2008, 14:36	#2935
mudomlet Гость Сообщений: n/a	серв работает, пока без проблем. тьфу-тьфу

Здесь присутствуют: 12 (пользователей: 0 , гостей: 12)