Спам или вирус?
7116
36
buzzer
veteran
Периодически на экране появляется окно (см. файл). Кто-нибудь знает что это и как бороться? Операционка win2k.
Интересное сообщение.
А как оно появляется, в процессе чего, чем в этот момент занят комп?
А как оно появляется, в процессе чего, чем в этот момент занят комп?
Появляется в случайное время независимо от того, чем комп занят. Приходит через application popup (см. файл).
запрети службу сообщений и/или поставь personal firewall.
1. Служба сообщений нужна.
2. А какой порт закрывать?
3. И вообще, что это все-таки? Спам?
2. А какой порт закрывать?
3. И вообще, что это все-таки? Спам?
Ставь себе ZoneAlarm, OutPost или AtGuard - и будет тебе щасье
1. Ну тогда пусть живет
2. Закрой все входящие на порты ниже 1024
Служба сообщений работает... мням-мням... не помню точно, но где то на уровне портов 137-139
3. Спам и дырка в безопасности
---
Full http://full.nm.ru
-------
Семейный патологоанатом
2. Закрой все входящие на порты ниже 1024
Служба сообщений работает... мням-мням... не помню точно, но где то на уровне портов 137-139
3. Спам и дырка в безопасности
---
Full http://full.nm.ru
-------
Семейный патологоанатом
Сейчас читают
Перерегистрация авто
88607
21
Куда идти учиться после школы? Оставаться в 9 или идти до 11?
273984
227
Доска объявлений
714487
880
загляни сюда...
неплохая тулза под винды, которая вычищает трояны, жучки и прочую шваль, что любит садиться после посещения всяких "интересностей" в инете, типа "ххх" и т.п.
и у тебя определённо такой жучок сидит ... штучка, которую антивирусники обычно не "видят"...
и потом, файервольчик - вещчь тоже нужная
неплохая тулза под винды, которая вычищает трояны, жучки и прочую шваль, что любит садиться после посещения всяких "интересностей" в инете, типа "ххх" и т.п.
и у тебя определённо такой жучок сидит ... штучка, которую антивирусники обычно не "видят"...
и потом, файервольчик - вещчь тоже нужная
Эта фигня шлется командой net send
Проходит на все компьютеры домена, на которых запущен сервис Messenger (по-русски Служба сообщений).
Это не вирус, это спам, однозначно.
Как лечить, уже написали... Или стопануть сервис, или настраивать файрволл.
Удивительно, что до такой простой вещи спамеры не додумались намного раньше...
Проходит на все компьютеры домена, на которых запущен сервис Messenger (по-русски Служба сообщений).
Это не вирус, это спам, однозначно.
Как лечить, уже написали... Или стопануть сервис, или настраивать файрволл.
Удивительно, что до такой простой вещи спамеры не додумались намного раньше...
Спасибо за исчерпывающую информацию!
А все-таки, какой порт закрывать надо? Кто-нибудь знает? Неужели netbios?
А все-таки, какой порт закрывать надо? Кто-нибудь знает? Неужели netbios?
Крыска
unreal
Скорее всего... Ведь сообщение-то появляется в его окне.
Крыска, если ты глянешь на формочку с сообщением, то увидишь, что там текст:
- форматирован + применены различные стили.
так что имеем отдельно сделанную форму, умеющую выводить текст с разметкой. Кстати подобным образом выводится похожая байда (токо на инглише), если поставить себе DivX Pro 5.x, тот, где показ рекламы не "выкушен"...
и потом, виндовая команда net send, насколько мне известно, такой текст ни передать, ни потом вывести не смогёт...
- форматирован + применены различные стили.
так что имеем отдельно сделанную форму, умеющую выводить текст с разметкой. Кстати подобным образом выводится похожая байда (токо на инглише), если поставить себе DivX Pro 5.x, тот, где показ рекламы не "выкушен"...
и потом, виндовая команда net send, насколько мне известно, такой текст ни передать, ни потом вывести не смогёт...
Крыска
unreal
Эта ерунда приходит на компы без всякого DivX...
Ясно, что шлется оно не самим net send, но чем-то вроде.
А что касается мессенджера, то думаю, что он умеет выводить и форматированный текст. Почему бы и нет...
Ясно, что шлется оно не самим net send, но чем-то вроде.
А что касается мессенджера, то думаю, что он умеет выводить и форматированный текст. Почему бы и нет...
Крыска, про DivX - это всего лишь частный пример был 
в остальном - как жаль, что ты-то, ты а никто иной, не выявила проблемку...
в остальном - как жаль, что ты-то, ты а никто иной, не выявила проблемку...
hidden
experienced
в остальном - как жаль, что ты-то, ты а никто иной, не выявила проблемку...перечитал неоднократно. буквы складываются в слова, слова во фразу, смысл ускользает.
чё за ботва? (с)
Я не вижу проблемы. Закрыть порт, и нет проблем.
buzzer
veteran
неплохая тулза под винды, которая вычищает трояны, жучки и прочую шваль, что любит садиться после посещения всяких "интересностей" в инете, типа "ххх" и т.п.Спасибо за ссылку. Много эта программка у юзеров чего понаходила. В карантин упрятала. Хотя все это было неактивно, просто лежало, ждало своего часа. Я думаю, все равно не дождалось бы, кто его из-под админа запустит-то?
Я не вижу проблемы. Закрыть порт, и нет проблем.Простите великодушно, но не подскажете ли чайнику (то есть мне), какой точно (в граммах :)) порт закрывать? 139-й или какой-то еще?
http://cterra.vrn.ru/view_news.asp?id=1021
[29.10 11:05] ТЫ ИХ В ДВЕРЬ,ОНИ В ОКНО.
Среди обитателей Интернета давно уже гуляет популярное присловье, что ОС Windows — это один большой «троянец».
Не так давно компания Direct Advertiser.com в очередной раз продемонстрировала, насколько злая шутка недалека от истины, разработав инструмент для массовой рассылки анонимного спама, замаскированного под системные предупреждения. Заманчивой программой-новинкой за 700 долларов тут же заинтересовались ушлые спамеры, и вот уже пользователи Windows, отгороженные от сети файрволом, начали обнаруживать на своих экранах окна, приглашающие купить вузовский диплом или посетить «веселенький веб-сайтик».
Как показало исследование программы DirectAdvertiser, по сути своей она является инструментом NetBIOS-атак и способна проталкивать спам-пакеты в машину жертвы с помощью функций дистанционного сетевого администрирования RPC (Remote Procedure Call). Обычно это происходит через порты 137 (NetBIOS name service) и 138 (NetBIOS UDP). Если же обнаруживается, что файрволом эти порты заблокированы, то используется порт 135 (DCE/RPC), который часто оставляют открытым, поскольку он требуется для работы сервисов с удаленным вызовом процедур. В частности, уязвимыми для «NetBIOS-спама» оказались практически все компьютеры, на которых работает Windows-сервис Messenger, позволяющий системным администраторам рассылать сообщения пользователям сети (не путать с чат-клиентом MSN Messenger). Поэтому простейший путь защититься от мусорных окон — просто отключить на машине Windows Messenger. Если же сервис необходим, то придется более тщательно настроить фильтрацию порта 135. Ну, а если и этот путь неприемлем, то компания Direct Advertiser обещает выдать собственные рекомендации по блокированию навязчивой рекламы, но лишь при личном обращении «жертвы».
[29.10 11:05] ТЫ ИХ В ДВЕРЬ,ОНИ В ОКНО.
Среди обитателей Интернета давно уже гуляет популярное присловье, что ОС Windows — это один большой «троянец».
Не так давно компания Direct Advertiser.com в очередной раз продемонстрировала, насколько злая шутка недалека от истины, разработав инструмент для массовой рассылки анонимного спама, замаскированного под системные предупреждения. Заманчивой программой-новинкой за 700 долларов тут же заинтересовались ушлые спамеры, и вот уже пользователи Windows, отгороженные от сети файрволом, начали обнаруживать на своих экранах окна, приглашающие купить вузовский диплом или посетить «веселенький веб-сайтик».
Как показало исследование программы DirectAdvertiser, по сути своей она является инструментом NetBIOS-атак и способна проталкивать спам-пакеты в машину жертвы с помощью функций дистанционного сетевого администрирования RPC (Remote Procedure Call). Обычно это происходит через порты 137 (NetBIOS name service) и 138 (NetBIOS UDP). Если же обнаруживается, что файрволом эти порты заблокированы, то используется порт 135 (DCE/RPC), который часто оставляют открытым, поскольку он требуется для работы сервисов с удаленным вызовом процедур. В частности, уязвимыми для «NetBIOS-спама» оказались практически все компьютеры, на которых работает Windows-сервис Messenger, позволяющий системным администраторам рассылать сообщения пользователям сети (не путать с чат-клиентом MSN Messenger). Поэтому простейший путь защититься от мусорных окон — просто отключить на машине Windows Messenger. Если же сервис необходим, то придется более тщательно настроить фильтрацию порта 135. Ну, а если и этот путь неприемлем, то компания Direct Advertiser обещает выдать собственные рекомендации по блокированию навязчивой рекламы, но лишь при личном обращении «жертвы».
Спасибо за помощь! 
135-й был открыт. Сейчас проверим, будет ли идти спам без доступа по 135-му.
135-й был открыт. Сейчас проверим, будет ли идти спам без доступа по 135-му.
Дык ты только сначала определись, нужны ли тебе входящие на порты ниже 1024 вообще.
если нет, то и прибивай их нафиг :))
На моем файрволе так все и закрыто, во избежание, т.с. :))
---
Full http://full.nm.ru
-------
Сисадминов нужно убивать пока они ещё чайники !!!!
если нет, то и прибивай их нафиг :))
На моем файрволе так все и закрыто, во избежание, т.с. :))
---
Full http://full.nm.ru
-------
Сисадминов нужно убивать пока они ещё чайники !!!!
Нужны 21, 80 и 139 из тех, что ниже 1024. Я боялся, что эта гадость через 139-й лезет. Но сейчас Крыска все прояснила.
Гхм....
Входящие 20, 21, 80 - понятно, их порт-маппингом бросать куда надо. А 139 во внешней сети то зачем?
---
Full http://full.nm.ru
-------
Скажи мне, халявщик, любимец Богов...
Входящие 20, 21, 80 - понятно, их порт-маппингом бросать куда надо. А 139 во внешней сети то зачем?
---
Full http://full.nm.ru
-------
Скажи мне, халявщик, любимец Богов...
А сеть Микрософт разве не через него работает?
Через него самого, но это ж у тебя выход во ВНЕШНЮЮ сеть, то бишь в тырнет. Нафига тебе там сеть мелкомягких?
---
Full http://full.nm.ru
-------
Скажи-ка, тетя, ты не даром?
---
Full http://full.nm.ru
-------
Скажи-ка, тетя, ты не даром?
Было дело, когда несколько наших машин были вне нашей сетки (физически). А им тоже хотелось иметь доступ не только по ftp. То есть "по историческим причинам" это осталось. Надо будет закрыть. А вот 135-й зачем был открыт - сам не понимаю. 
epmap 135/tcp loc-srv #DCE endpoint resolution
epmap 135/udp loc-srv #DCE endpoint resolution
netbios-ns 137/tcp nbname #NETBIOS Name Service
netbios-ns 137/udp nbname #NETBIOS Name Service
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
netbios-ssn 139/tcp nbsession #NETBIOS Session Service
Так что для полноценной работы сети тебе потребуется 137-139 порты, как я понимаю
---
Full http://full.nm.ru
-------
Сколько Вашему сорванцу? Шестнадцать? Да, аборт делать уже поздно...
epmap 135/udp loc-srv #DCE endpoint resolution
netbios-ns 137/tcp nbname #NETBIOS Name Service
netbios-ns 137/udp nbname #NETBIOS Name Service
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
netbios-ssn 139/tcp nbsession #NETBIOS Session Service
Так что для полноценной работы сети тебе потребуется 137-139 порты, как я понимаю
---
Full http://full.nm.ru
-------
Сколько Вашему сорванцу? Шестнадцать? Да, аборт делать уже поздно...
На выходных потестирую, но вроде бы 139-го всегда хватало.
Ну тогда хоть адресацию той сети прописывай в конфигурации, а то как то всем давать доступ по 139 порту, сие не есть гуд, как мне кажется....
---
Full http://full.nm.ru
-------
Сколько водки не бери, все равно два раза бегать.
---
Full http://full.nm.ru
-------
Сколько водки не бери, все равно два раза бегать.
Я же говорю, что это оставалось по историческим причинам. Сейчас уже все закрыто. Наглухо. Вот уже несколько дней как. Благодаря добрым советам, полученным здесь.
Кстати, протестировал доступ по микрософтовской сети: хватает одного 139-го.
Кстати, протестировал доступ по микрософтовской сети: хватает одного 139-го.
Вот тут наткнулся на материальчик. Вдруг что новое для себя найдешь.
Новый вид спама
В последнее время все большее распространение получает новый вид спама - рассылка сообщений через службу messenger (по умолчанию она запущена на Win2000 и WinXP). Сообщения при этом появляются в выскакивающих окошках, похожих на стандартное сообщение об ошибке.
Для того чтобы защититься от таких сообщений вы можете остановить сервис messenger (на одиноко стоящих машинах это не должно ни на что повлиять, а в корпоративной сети, где эта служба эксплуатируется сисадмины обычно блокируют такие сообщения еще на входе). Альтернативой может служить установленный файрволл, закрывающий порт 135 (а заодно и 139).
Дополнительную информацию можно получить по адресам:
http://support.microsoft.com/default.aspx?scid=kb;[LN];Q330904
http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html
Новый вид спама
В последнее время все большее распространение получает новый вид спама - рассылка сообщений через службу messenger (по умолчанию она запущена на Win2000 и WinXP). Сообщения при этом появляются в выскакивающих окошках, похожих на стандартное сообщение об ошибке.
Для того чтобы защититься от таких сообщений вы можете остановить сервис messenger (на одиноко стоящих машинах это не должно ни на что повлиять, а в корпоративной сети, где эта служба эксплуатируется сисадмины обычно блокируют такие сообщения еще на входе). Альтернативой может служить установленный файрволл, закрывающий порт 135 (а заодно и 139).
Дополнительную информацию можно получить по адресам:
http://support.microsoft.com/default.aspx?scid=kb;[LN];Q330904
http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html
С тех пор, как закрыл 135-й, ни одна зараза еще не пролезла (вот уже больше, чем полмесяца). Всем спасибо за помощь.
ТОП 5
1
3
4