Спам или вирус?
7146
36
Периодически на экране появляется окно (см. файл). Кто-нибудь знает что это и как бороться? Операционка win2k.
buzzer
Интересное сообщение.
А как оно появляется, в процессе чего, чем в этот момент занят комп?
PoisoN
Появляется в случайное время независимо от того, чем комп занят. Приходит через application popup (см. файл).
buzzer
запрети службу сообщений и/или поставь personal firewall.
hidden
1. Служба сообщений нужна.
2. А какой порт закрывать?
3. И вообще, что это все-таки? Спам?
buzzer
Ставь себе ZoneAlarm, OutPost или AtGuard - и будет тебе щасье
buzzer
1. Ну тогда пусть живет
2. Закрой все входящие на порты ниже 1024
Служба сообщений работает... мням-мням... не помню точно, но где то на уровне портов 137-139
3. Спам и дырка в безопасности

---
Full http://full.nm.ru
-------
Семейный патологоанатом
Full
Из 137-139 только 139 (netbios) открыт.
buzzer
загляни сюда...

неплохая тулза под винды, которая вычищает трояны, жучки и прочую шваль, что любит садиться после посещения всяких "интересностей" в инете, типа "ххх" и т.п.

и у тебя определённо такой жучок сидит ... штучка, которую антивирусники обычно не "видят"...

и потом, файервольчик - вещчь тоже нужная:миг:
А какая именно?
buzzer
Эта фигня шлется командой net send
Проходит на все компьютеры домена, на которых запущен сервис Messenger (по-русски Служба сообщений).
Это не вирус, это спам, однозначно.

Как лечить, уже написали... Или стопануть сервис, или настраивать файрволл.

Удивительно, что до такой простой вещи спамеры не додумались намного раньше...
любая из них... "лекарство"(кейгенерялку) поисчи в инете...
Крыска
умничка:улыб:

вопрос попутно - сервис Messenger
понимает разметку и стили? ))))))
Крыска
Спасибо за исчерпывающую информацию!
А все-таки, какой порт закрывать надо? Кто-нибудь знает? Неужели netbios?
Скорее всего... Ведь сообщение-то появляется в его окне.
Крыска
Крыска, если ты глянешь на формочку с сообщением, то увидишь, что там текст:
- форматирован + применены различные стили.

так что имеем отдельно сделанную форму, умеющую выводить текст с разметкой. Кстати подобным образом выводится похожая байда (токо на инглише), если поставить себе DivX Pro 5.x, тот, где показ рекламы не "выкушен"...

и потом, виндовая команда net send, насколько мне известно, такой текст ни передать, ни потом вывести не смогёт...
Эта ерунда приходит на компы без всякого DivX...

Ясно, что шлется оно не самим net send, но чем-то вроде.

А что касается мессенджера, то думаю, что он умеет выводить и форматированный текст. Почему бы и нет...
Крыска
Крыска, про DivX - это всего лишь частный пример был :ха-ха!:

в остальном - как жаль, что ты-то, ты а никто иной, не выявила проблемку...
в остальном - как жаль, что ты-то, ты а никто иной, не выявила проблемку...
перечитал неоднократно. буквы складываются в слова, слова во фразу, смысл ускользает.
чё за ботва? (с)
hidden
Я не вижу проблемы. Закрыть порт, и нет проблем.
неплохая тулза под винды, которая вычищает трояны, жучки и прочую шваль, что любит садиться после посещения всяких "интересностей" в инете, типа "ххх" и т.п.
Спасибо за ссылку. Много эта программка у юзеров чего понаходила. В карантин упрятала. Хотя все это было неактивно, просто лежало, ждало своего часа. Я думаю, все равно не дождалось бы, кто его из-под админа запустит-то? :ха-ха!:
Крыска
Я не вижу проблемы. Закрыть порт, и нет проблем.
Простите великодушно, но не подскажете ли чайнику (то есть мне), какой точно (в граммах :)) порт закрывать? 139-й или какой-то еще?
buzzer
http://cterra.vrn.ru/view_news.asp?id=1021

[29.10 11:05] ТЫ ИХ В ДВЕРЬ,ОНИ В ОКНО.
Среди обитателей Интернета давно уже гуляет популярное присловье, что ОС Windows — это один большой «троянец».

Не так давно компания Direct Advertiser.com в очередной раз продемонстрировала, насколько злая шутка недалека от истины, разработав инструмент для массовой рассылки анонимного спама, замаскированного под системные предупреждения. Заманчивой программой-новинкой за 700 долларов тут же заинтересовались ушлые спамеры, и вот уже пользователи Windows, отгороженные от сети файрволом, начали обнаруживать на своих экранах окна, приглашающие купить вузовский диплом или посетить «веселенький веб-сайтик».
Как показало исследование программы DirectAdvertiser, по сути своей она является инструментом NetBIOS-атак и способна проталкивать спам-пакеты в машину жертвы с помощью функций дистанционного сетевого администрирования RPC (Remote Procedure Call). Обычно это происходит через порты 137 (NetBIOS name service) и 138 (NetBIOS UDP). Если же обнаруживается, что файрволом эти порты заблокированы, то используется порт 135 (DCE/RPC), который часто оставляют открытым, поскольку он требуется для работы сервисов с удаленным вызовом процедур. В частности, уязвимыми для «NetBIOS-спама» оказались практически все компьютеры, на которых работает Windows-сервис Messenger, позволяющий системным администраторам рассылать сообщения пользователям сети (не путать с чат-клиентом MSN Messenger). Поэтому простейший путь защититься от мусорных окон — просто отключить на машине Windows Messenger. Если же сервис необходим, то придется более тщательно настроить фильтрацию порта 135. Ну, а если и этот путь неприемлем, то компания Direct Advertiser обещает выдать собственные рекомендации по блокированию навязчивой рекламы, но лишь при личном обращении «жертвы».
Крыска
вот это уже другое дело:миг:
Крыска
Спасибо за помощь! :роза:
135-й был открыт. Сейчас проверим, будет ли идти спам без доступа по 135-му.
buzzer
Дык ты только сначала определись, нужны ли тебе входящие на порты ниже 1024 вообще.
если нет, то и прибивай их нафиг :))
На моем файрволе так все и закрыто, во избежание, т.с. :))

---
Full http://full.nm.ru
-------
Сисадминов нужно убивать пока они ещё чайники !!!!
Full
Нужны 21, 80 и 139 из тех, что ниже 1024. Я боялся, что эта гадость через 139-й лезет. Но сейчас Крыска все прояснила.
buzzer
Гхм....
Входящие 20, 21, 80 - понятно, их порт-маппингом бросать куда надо. А 139 во внешней сети то зачем?

---
Full http://full.nm.ru
-------
Скажи мне, халявщик, любимец Богов...
Full
А сеть Микрософт разве не через него работает?
buzzer
Через него самого, но это ж у тебя выход во ВНЕШНЮЮ сеть, то бишь в тырнет. Нафига тебе там сеть мелкомягких?

---
Full http://full.nm.ru
-------
Скажи-ка, тетя, ты не даром?
Full
Было дело, когда несколько наших машин были вне нашей сетки (физически). А им тоже хотелось иметь доступ не только по ftp. То есть "по историческим причинам" это осталось. Надо будет закрыть. А вот 135-й зачем был открыт - сам не понимаю. :а\?:
buzzer
epmap 135/tcp loc-srv #DCE endpoint resolution
epmap 135/udp loc-srv #DCE endpoint resolution
netbios-ns 137/tcp nbname #NETBIOS Name Service
netbios-ns 137/udp nbname #NETBIOS Name Service
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
netbios-ssn 139/tcp nbsession #NETBIOS Session Service

Так что для полноценной работы сети тебе потребуется 137-139 порты, как я понимаю

---
Full http://full.nm.ru
-------
Сколько Вашему сорванцу? Шестнадцать? Да, аборт делать уже поздно...
Full
На выходных потестирую, но вроде бы 139-го всегда хватало. :а\?:
buzzer
Ну тогда хоть адресацию той сети прописывай в конфигурации, а то как то всем давать доступ по 139 порту, сие не есть гуд, как мне кажется....

---
Full http://full.nm.ru
-------
Сколько водки не бери, все равно два раза бегать.
Full
Я же говорю, что это оставалось по историческим причинам. Сейчас уже все закрыто. Наглухо. Вот уже несколько дней как. Благодаря добрым советам, полученным здесь.:улыб:
Кстати, протестировал доступ по микрософтовской сети: хватает одного 139-го. :спок:
buzzer
Вот тут наткнулся на материальчик. Вдруг что новое для себя найдешь.

Новый вид спама

В последнее время все большее распространение получает новый вид спама - рассылка сообщений через службу messenger (по умолчанию она запущена на Win2000 и WinXP). Сообщения при этом появляются в выскакивающих окошках, похожих на стандартное сообщение об ошибке.

Для того чтобы защититься от таких сообщений вы можете остановить сервис messenger (на одиноко стоящих машинах это не должно ни на что повлиять, а в корпоративной сети, где эта служба эксплуатируется сисадмины обычно блокируют такие сообщения еще на входе). Альтернативой может служить установленный файрволл, закрывающий порт 135 (а заодно и 139).

Дополнительную информацию можно получить по адресам:
http://support.microsoft.com/default.aspx?scid=kb;[LN];Q330904
http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html
formalist
С тех пор, как закрыл 135-й, ни одна зараза еще не пролезла (вот уже больше, чем полмесяца). Всем спасибо за помощь.