Alert! W32.Sasser.*.Worm!
5837
18
netghost
Бордератор
Всем!!
Появился новый червяк, который распространяется наподобии бластера! Ломает lsass (дырка описана в буллетине MS04-011).
Ломает по порту 445, запускает внутренний FTP-сервак на 5554, а удаленный шелл на 9996. Дальше ломится по айпишниками разным.
Этих червяков уже 3 (мутируют).
W32.Sasser.Worm (3)
W32.Sasser.B.Worm (4)
W32.Sasser.C.Worm (2)
(В скобочках указан уровень тревоги по-симантеку на момент написания этого поста).
Судя по информации с сайта Microsoft:
Software Affected by This WormНа странице буллетина есть ссылки на патчики. Так же есть Sasser Removal Tool (вычищает Sasser и Sasser.B), для C симантек пока не выпустил, но написано, как удалять ручками.
- Microsoft Windows XP and Windows XP Service Pack 1
- Windows 2000 Service Pack 2, Windows 2000 Service Pack 3, and Windows 2000 Service Pack 4
Software Not Affected by This Worm
- Windows XP 64-Bit Edition Version 2003
- Windows Server™ 2003
- Windows XP 64-Bit Edition Service Pack 1
- Windows Millennium Edition
- Windows 98 Second Edition
- Windows 98
- Windows NT® 4.0 Service Pack 6a
Фуфф :). Слава богу я патчусь вовремя.... А в локалке у нас сейчас эпидемия...
Эпидемия как раз началась 1 мая. Комп у меня жил просто своей жизнью . Сейчас вроде патчики поставила, все вернулась на свои места.
Люди, будьте бдительны!
У нас просто полсетки сидят зараженные
Люди, будьте бдительны!
У нас просто полсетки сидят зараженные
А я то уже 3-й день читаю этот форум, пытаюсь выяснить. что с ХРенью случилось
При обращениях к HDD (WinCMD или Explorer) виснет намертво..Уже ХР переставил бестолку...
Спасибо за сообщение!
При обращениях к HDD (WinCMD или Explorer) виснет намертво..Уже ХР переставил бестолку...
Спасибо за сообщение!
А у меня никаких проблем
Все чинно-благородно, по-старому (с)
Norton сам ходит обновляться, Outpost дает волю только тому, чему я сам разрешил. Заплатку скачал, поставил... Так что, на этот раз "не в меня"
Все чинно-благородно, по-старому (с)
Norton сам ходит обновляться, Outpost дает волю только тому, чему я сам разрешил. Заплатку скачал, поставил... Так что, на этот раз "не в меня"
Поручик Голицын
шатун сибирский обыкновенный
>>> Этих червяков уже 3 (мутируют).
W32.Sasser.Worm (3)
W32.Sasser.B.Worm (4)
W32.Sasser.C.Worm (2)
Ндя.... Уже 4....
Появился Sasser.D
Кстати, текущая версия FxSasser.exe (ссылка есть выше) уже справляется и с C-, и с D-мутациями.
W32.Sasser.Worm (3)
W32.Sasser.B.Worm (4)
W32.Sasser.C.Worm (2)
Ндя.... Уже 4....
Появился Sasser.D
Кстати, текущая версия FxSasser.exe (ссылка есть выше) уже справляется и с C-, и с D-мутациями.
Фарволом давить,
deny tcp from any to me 1-1024
Зато хотьприличное описание дали, что за червь, и как ползает...
А то меня тут продвинутые юзвери пугнули, описание попсовое, понял только, что будет ломиться куда-нить RPC-LSASS, посему и не напрягся...
---
Full
-------
... Баба с возу - потехе час.
deny tcp from any to me 1-1024
Зато хотьприличное описание дали, что за червь, и как ползает...
А то меня тут продвинутые юзвери пугнули, описание попсовое, понял только, что будет ломиться куда-нить RPC-LSASS, посему и не напрягся...
---
Full
-------
... Баба с возу - потехе час.
Фарволом давить,Аха и будем жить без почты, днс и т.д и т.п.
deny tcp from any to me 1-1024
Сейчас читают
КОФЕЙНЯ
231041
1000
Дозор октябрьской эволюции
45141
866
Где купить? (Помогите найти.....)
668808
770
Почта и DNS не должны работать на платформе win32, ибо не для нее они в свое время были рождены
deny tcp from any to me 1-1024Это как раз с фришного файрвола
Да с чего бы ради то?
Мои запросы на днс ходят выше 1024 порта. Почту разрешить? Ну бога ради...
принципиальные куски файрвола:
==== кусь ====
############################################
# Setup loopback
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.1/8
${fwcmd} add 300 deny all from 127.0.0.1/8 to any
############################################
# deny and REJECT rules block
# Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
##############################################
# Count ip for outside traffic (full statistic)
${fwcmd} add count all from any to any in via ${oif}
###############################################
# Allow POP3, SMTP
${fwcmd} add pass tcp from any to ${oip} pop3
${fwcmd} add pass tcp from any to ${oip} smtp
${fwcmd} add pass tcp from ${oip} pop3 to any
${fwcmd} add pass tcp from ${oip} smtp to any
# deny all low services
${fwcmd} add deny tcp from any to ${oip} 1-1024
${fwcmd} add deny udp from any to ${oip} 1-1024
# deny indide services from onet
${fwcmd} add deny log tcp from not ${inet}:${imask} to me 20,21,80,119,3128......
# Allow DNS resolving in local network
${fwcmd} add pass tcp from ${inet}:${imask} to ${iip} domain setup in via ${iif}
${fwcmd} add pass udp from ${inet}:${imask} to ${iip} domain in via ${iif}
${fwcmd} add pass udp from ${iip} domain to ${inet}:${imask} out via ${iif}
${fwcmd} add deny udp from ${inet}:${imask} to any 53
#################################################
# Allow for router connections
# Allow DNS queries out in the world
${fwcmd} add 50000 pass udp from ${oip} to any 53 keep-state
=== наелся ===
---
Full
-------
... Любишь кататься - люби и катайся.
Мои запросы на днс ходят выше 1024 порта. Почту разрешить? Ну бога ради...
принципиальные куски файрвола:
==== кусь ====
############################################
# Setup loopback
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.1/8
${fwcmd} add 300 deny all from 127.0.0.1/8 to any
############################################
# deny and REJECT rules block
# Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
##############################################
# Count ip for outside traffic (full statistic)
${fwcmd} add count all from any to any in via ${oif}
###############################################
# Allow POP3, SMTP
${fwcmd} add pass tcp from any to ${oip} pop3
${fwcmd} add pass tcp from any to ${oip} smtp
${fwcmd} add pass tcp from ${oip} pop3 to any
${fwcmd} add pass tcp from ${oip} smtp to any
# deny all low services
${fwcmd} add deny tcp from any to ${oip} 1-1024
${fwcmd} add deny udp from any to ${oip} 1-1024
# deny indide services from onet
${fwcmd} add deny log tcp from not ${inet}:${imask} to me 20,21,80,119,3128......
# Allow DNS resolving in local network
${fwcmd} add pass tcp from ${inet}:${imask} to ${iip} domain setup in via ${iif}
${fwcmd} add pass udp from ${inet}:${imask} to ${iip} domain in via ${iif}
${fwcmd} add pass udp from ${iip} domain to ${inet}:${imask} out via ${iif}
${fwcmd} add deny udp from ${inet}:${imask} to any 53
#################################################
# Allow for router connections
# Allow DNS queries out in the world
${fwcmd} add 50000 pass udp from ${oip} to any 53 keep-state
=== наелся ===
---
Full
-------
... Любишь кататься - люби и катайся.
а вот если бы еще и про патчи подвесили подобный топик, зараженных
было бы, хоть чуть-чуть, да поменьше :-)
было бы, хоть чуть-чуть, да поменьше :-)
А разве хождение на виндовсапдейт уже запретили???
Тэкс ! Что-то сцылочку Симантек похерил походу...
Есть эта затея у кого - кинтесь рабочим линком !
Есть эта затея у кого - кинтесь рабочим линком !
НП
Вот еще одна хреновина похожая на сассер.
Вот еще одна хреновина похожая на сассер.
Интересно, а про апдейты виндовозные все забыли?, или отключили галочку чтоб трафик не жрала и спим спокойно?)
Это ты мне или просто было желание высказатся вслух? Если мне - то ты ошибся адресом. Причем капитально ошибся.
Пардон, не тебе, так вышло)). Высказал, так сказать свою солидарность.
Мои запросы на днс ходят выше 1024 порта. Почту разрешить? Ну бога ради...А можно ссылочку на инфу по которой я ничего из перечисленного не зная смог бы хоть немного в этом разобраться?
принципиальные куски файрвола:
==== кусь ====
############################################
# Setup loopback
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.1/8
${fwcmd} add 300 deny all from 127.0.0.1/8 to any
############################################
# deny and REJECT rules block
# Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}
##############################################
У меня зон лаб стоит, но там тоже есть возможность использовать правила некоторые, только я не соображаю как это корректно делать.
ТОП 5
1
2
4