Дата:   18.11.2017 г.
Время:
 
 
Профессионалам и любителям
ПРОСТО * ДОСТУПНО * ИНТЕРЕСНО
01796
Подписной
индекс
Опрос
Вы пользовались услугами интернет-магазина?
Погода
 
  • Автошкола Воронеж цены
    Форма для он-лайн записи в автошколу. Условия обучения в автошколе
    prava36.grupla.ru
  • Тут
    аренда плазмы киев
    turbopr.com.ua
Архив - Антирыбалка или полные сети «червей» - Журнал «Компьютер»
Антирыбалка или полные сети «червей»
№ 1'2004     Сергей Хомяк     Тема: Безопасность     ( Прочитано 5699 раз )
 
Что такое компьютерный вирус, сейчас уже не нужно ни кому объяснять. Сразу на ум приходит название нашумевшего в свое время вируса "I Love You". О нем месяцами "трубили" по телевидению и радио. После его появления большинство пользователей, наконец-то, поняли, что не стоит запускать каждую программу, неизвестно откуда свалившуюся на их электронный почтовый ящик. Я думал что мне, знатоку троянов (статья "Убить гадину", "Компьютер" №3/4’03), ничего не грозит...
 
Рассказ о том, как Сергей Хомяк, презрев антивирусы, давил сетевых «членистоногих» голыми руками!
 
Отказавшись от антивирусов, я запускал различные программы, бродил по всем уголкам Интернета. И вот, в начале декабря 2003 года мой компьютер был атакован через Сеть известным вирусом-червем Blaster. О том, что происходило с моим компьютером, я и хочу рассказать в этой поучительной статье.
 
Признаки заражения
 
Как обычно, в вечернее время я подключился к Интернету, чтобы проверить свой почтовый ящик и почитать новости на любимых сайтах. Через пол часа, на экране моего монитора появилось интересное сообщение (рис.1).
 
Антирыбалка или полные сети «червей» 
Рис. 1
 
О существовании вируса Blaster я слышал. Но как он проявляется, точно не знал. Первые догадки по поводу возникновения этого окна: глючный новый драйвер модема, который я незадолго до этого установил (у меня модем внутренний). А что еще можно подумать, если это окно появлялось только при подключении к Интернету?!
 
Антирыбалка или полные сети «червей» 
Рис.2
 
После замены драйвера модема на прежний, загадочное окно продолжало появляться. Самое интересное, что оно «всплывало» через разные промежутки времени: то через пару минут после подключения к Интернету, то через 30-40 минут. Также, я заметил, что количество отправленной в сеть информации (байт) примерно равнялось количеству принятой. Но ведь я ничего не оправлял! При нормальном соединении, соотношение должно быть 1:10 (почти как на рис.2). Вот тут я и понял, что имею дело с чем-то, до сих пор, мне неизвестным.
 
Чужой
 
Первым делом, я вызвал диспетчер задач Windows (рис.4), нажав известную комбинацию клавиш Ctrl + Alt + Del. Диспетчер нужен, чтобы увидеть список всех активных программ. Просматривая этот список, я увидел программу с названием
"msblast.exe".
«Вот и приехали!» - пронзила сознание запоздалая догадка. Мой компьютер был заражен популярным червем w32.blaster.worm!
Шаг второй - я удалил вирус из списка активных программ. После того как вирус был дезактивирован, я удалил и сам файл msblast.exe, который находился в папке C:WINDOWSSYSTEM32.
 
Антирыбалка или полные сети «червей» 
Рис. 3
 
«Собаке собачья смерть», - подумал я. Но радоваться было рано. Через несколько дней, знакомое окошко (рис.1) появилось вновь. Но теперь название вируса было не msblast.exe, а teekids.exe! На рисунке 3 видно, как с помощью программы настройки системы (msconfig.exe), можно увидеть все программы, которые запускаются вместе с Windows. Среди них и вирус! После повторного удаления вируса, я зашел на сайт Microsoft и скачал нужную мне заплатку (патч). Установив её, я закрыл для вируса лазейку на мой компьютер.
 
Антирыбалка или полные сети «червей» 
Рис. 4
 
Blaster: история появления
 
После того, как Blaster «осчастливил» меня своим визитом, я прочитал о нем много статей. И теперь могу поделиться историей его появления. А дело было так.
В июле 2003 года в ОС Windows 2000/XP/2003 была обнаружена ошибка в одном из сетевых сервисов (DCOM RPC). А точнее, была найдена возможность переполнения его буфера. Нужно было просто послать соответствующим образом составленный TCP/IP пакет на порт 135, 139 или 445 атакуемого компьютера. Это позволяет, как минимум, перезагружать компьютер. А как максимум, - выполнять на нем произвольную программу.
Самое интересное, что в Интернете уже в это время можно было найти исходный код программы, которая использовала эту ошибку. И вот, 12 августа джин вырвался на свободу. Это был вирус-червь w32.Blaster.worm (он же Lovesan, он же Teekids).
 
Антирыбалка или полные сети «червей»
Лучшая защита – одеть скафандр и никаких погружений!
Рис.Олега Локтева
Blaster в действии
 
Первые действия: специальный пакет данных (голова червя) проникает в атакованную систему через незащищенный порт 135, и без всякого согласия пользователя закачивает на его компьютер все тело вируса. Файл MSBLAST.EXE (TEEKIDS.EXE) регистрируется в разделе автозапуска системного реестра Windows. После перезагрузки компьютера вирус запускается, и при подключении к Интернету сканирует сеть в поисках других жертв, а на компьютере пострадавшего теперь могут выполняться любые действия: перезагрузка, удаление файлов, выполнение программ.
Кроме этого, Blaster содержит код для организации атаки на сервер службы Microsoft Windows Update. При отключенном Интернете вирус проявляется в нестабильности работы программ пакета Microsoft Office. Также, могут появляться сообщения об ошибках, связанных с файлом svchost.exe.
 
Antiblaster Welchia
 
Сейчас насчитывается около шести модификаций этого червя. Кроме них, существует вирус Welchia, который создан для уничтожения Blaster'a. Проникает этот вирус в компьютер аналогично. Но после запуска, Welchia начинает процедуру нейтрализации Blaster'a: проверяет наличие в памяти процесса с именем msblast.exe, принудительно прекращает его работу и удаляет одноименный файл с диска. Далее, червь сканирует реестр Windows на предмет установленных обновлений. Если обновление, закрывающее уязвимость в сервисе DCOM RPC не обнаружено, то Welchia самостоятельно его загружает с сайта Microsoft, запускает на выполнение и после успешной инсталляции перегружает компьютер. Кроме этого, червь содержит механизм самоуничтожения. Программа проверяет системную дату компьютера и, если текущий год равен 2004, деинсталлируется. Вот такие «добрые» бывают вирусы! Просто «Матрица» какая-то...
 
Антирыбалка или полные сети «червей»
Слава Богу, в Сети живут не только вирусы, но и красивые девушки. Знакомьтесь: Дженнифер Лопез!
Спасайся, кто может!
 
Если после прочитанного, вы узнали свою собственную проблему с перезапусками компьютера, вам можно только посочувствовать! Но опускать руки пока еще рано! Далее я привожу последовательность действий для уничтожения вируса Blaster:
1. Отключитесь от Интернета.
2. Используя диспетчер задач Windows (клавиши Ctrl+Alt+Del), выгрузите из памяти программу MSBLAST.EXE или TEEKIDS.EXE.
3. Удалите с диска файл вируса (он находится в папке C:WINDOWSSYSTEM32).
4. Удалите в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun команду на запуск файла MSBLAST.EXE или TEEKIDS.EXE.
5. Перегрузите компьютер.
6. Чтобы удалить все следы прибывания вируса в вашей системе, необходима программа "Symantec W32.Blaster.Worm Removal Tool". Её можно скачать по адресу http://securityresponse.symantec.com/avcenter/FixBlast.exe.
7. Установите заплатку (патч) от Microsoft. Приводим адреса заплаток для Windows XP.
Для английской версии:
8. При наличии какой-либо программы FireWall (ZoneAlarm, Outpost или другой) заблокируйте TCP/UDP-порты 135, 139, 445, 69 и 4444.
Для тех, у кого компьютер еще не заразился вирусом Blaster, достаточно установить заплатку, и при наличии программы FireWall заблокировать вышеназванные порты.
 
Заключение
 
Для меня это было хорошим уроком! Теперь, вооружившись всем необходимым, я, надеюсь, смогу защитить свой компьютер от вирусных атак в будущем.
А вас попрошу не забывать регулярно обновлять базу антивируса, который установлен на вашем компьютере. Только свежий антивирус и вовремя установленные заплатки от Microsoft смогут спасти ваш компьютер от беды. Удачи!
 
 

 
 
На главную страницу На предыдущую страницу На начало страницы
 
 
 
 
 
2009 - 2017 © СПД Зайцев А.Б.
Сайт является средством массовой информации.
При перепечатке и цитировании в печатных СМИ ссылка на журнал "Компьютер" обязательна.
При перепечатке и цитировании в Интернете обязательна активная гиперссылка на сайт Comput.com.ua, не закрытая для индексирования.
Украина онлайн Рейтинг@Mail.ru Рейтинг Сайтов YandeG