Помогни ни да направим Uroci.net по - богат! Добави урок

Повече за червея MSBlast

fix3d   трудност:    видян: 10671


Какво представлява червеят MSBlast и как работи той?
Червеят MSBlaster заразява компютрите през мрежовите връзки. Той може да нападне не само един компютър, а цели компютърни мрежи. Поразява компютри с Windows NT/2000/XP(SP1). Вирусът MSBlast преглежда произволни IP-та като търси системи с уязвимостта RPC DCOM buffer overrun. Този вирус, наричан още Lovsan създава ключ в системните регистри на уязвимите компютри:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

”windows auto update" = MSBLAST.EXE (variant A)
”windows auto update" = PENIS32.EXE (variant B)
”Microsoft Inet xp.." = TEEKIDS.EXE (variant C)
"Nonton Antivirus=mspatch.exe" (variant E)
"Windows Automation" = "mslaugh.exe" (variant F)
"www.hidro.4t.com"="enbiei.exe" (variant G)

Ако системата има връзка с интернет, вирусът започва да сканира произволни IP адреси като търси компютри с уязвимостта RPC DCOM buffer overrun, за която споменах малко по-нагоре. Попадне ли вирусът в дадена компютърна система той се опитва да изпълни тази уязвимост, в следствие на което системата става крайно нестабилна. Характерна е появата на прозорец, отброяващ обратно една минута, след която следва рестартиране.

Съобщението гласи: Windows must now restart because the Remote Procedure Call (RPC) service terminated unexpectedly.

Вие можете да деактивирате това спиране като следвате стъпките по-долу по време на обратното броене:

1. Отидете на Start > Run
2. Отваря ви се малък прозорец, в който трябва да напишете CMD
3. Стартира ви се Command Prompt, в който пишете командата: SHUTDOWN –A

По този начин вие прекратявате това спиране на системата, което може да ви попречи по време на почистването на вируса.

Червеят създава Mutex с името ‘BILLY’. След като намери Winsock червея проверява за наличните мрежови връзки в системата и в случай, че намери започва операция по сканиране. Ако няма налични връзки временно прекратява дайствието си, но периодично проверява за такива връзки.

MSBlast съдържа DOS програма, насочена към windowsupdate.com. Изпълнението на тази програма зависи от системната дата на локалната система. Ако тази дата е след 15 число програмата се изпълнява.

В червея се съдържат два низа, които не могат да се видят:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!


Как да го премахнем?

1. Трябва да свалите „кръпка” за тази дупка в сигурността:

Инсталирайте сваления patch.

2. Изключете достъпа до интернет. Бъдете сигурни, че не сте свързани към никаква мрежа.

3. Влезте в Start >>> Run >>> напишете команда regedit. В левия панел на прозореца изберете HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current Version>Run и изтрийте следните регистри:

”windows auto update" = MSBLAST.EXE (variant A)
”windows auto update" = PENIS32.EXE (variant B)
”Microsoft Inet xp.." = TEEKIDS.EXE (variant C)
"Nonton Antivirus"=MSPATCH.EXE (variant E)
"Windows Automation" = "mslaugh.exe" (variant F)
"www.hidro.4t.com"="enbiei.exe" (variant G)

4. Деактивирайте System Restore, отидете на Start > Search и задайте да търси в папка WINDOWS папки и файлове с име msblast*.* Изтрийте намерените папки и файлове. В случай, че Windows не позволи файл с име msblast*.* да бъде изтрит, влезте в Task Manager (ctrl+alt+del), намерете този процес и го прекъснете.

5. Желателно е да рестартирате компютъра и да сканирате с обновена антивирусна програма. Можете да използвате за всеки случай и Removal Tools, изтеглени от сайта на Symantec - Symantec removal tool.


Автор: Светослав Миронов
Урока е предоставен от Computer's Help
Забранява се копирането на материала в други страници без разрешението на автора!

 



Коментари (4)

Nickolas на 07.07 2007 в 00:04ч.
навсякъде пишете как да се справяме с подобни проблеми но не и как да ги създаваме :(
lubaka17 на 30.12 2007 в 02:53ч.
Да ,но за това си има хакерски саитове !!! Пьк и за какво ти е да знаеш как се прават вируси ? С NOTEPAD има много по лесни начини да форматираш С: на избрана от теб жертва !
f0xy на 02.05 2008 в 01:22ч.
Nickolas да ти кажа ако се научиш как да се защтитаваш от вирусни и хакерски атаки ще се научиш и как да хакваш и да пишеш вируси, но не е много желателно да употребяваш тея неща хубаво е да си ги знаеш за себеси ама не и да ги използваш щото почнеш ли да ги използваш и станеш ли много добър ще си враг номер 1 :))
f0xy на 02.05 2008 в 01:23ч.
fix3d искам да ти благодария на теб извинявам се за флоод-а от кометари но просто в предишния си коментар забравих да ти благодария за чудесния урок :)) много интересен урок трябва да почнат да се пишат повече уроци на тема сигорност и защита благодария ти още 1 път за урока :))

Регистрирайте се, за да добавите коментар


Калдейта ЕООД - © 2003-2010. Всички права запазени.
Препоръчваме: Национален Бизнес | Bomba.bg | IT Новини | Диплома.бг | TRAVEL туризъм | Реферати | AmAm.bg | Иде.ли | Курсови работи | Фото Форум | Spodeli.net | Фото-Култ | Atol.bg | Elmaz.com | MobileBulgaria.com | Казанлък.Com