AteshParast Опубликовано: 4 января, 2004 Жалоба Share Опубликовано: 4 января, 2004 Вот уже месяц, как я констатирую на себе вирусные атаки через Интернет. Симптом: парализация функции copy-paste у браузера, исчезает лишь при reboot. Иногда также DoS атаки. У кого инфа на этот счёт ? Порог безопасности у браузера - максимальный. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
ТушкА Опубликовано: 4 января, 2004 Жалоба Share Опубликовано: 4 января, 2004 переустановка виндов, апдейты, антивирус... так на всякий пожарный.... для DoS атак у тебя что статический айпи? и потом всем советую в свойствах безопасности отключите IFRAME никому не нужен но некоторые пакости через него пролазют... даже после устанвки патчей... и Ты типа до сих пор конкретно не определили кто на тебя нападает Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Mexmat Опубликовано: 4 января, 2004 Жалоба Share Опубликовано: 4 января, 2004 А почему вы решили, что у вас вирус? Парализация копи/пэйст - довольно странный симптом. Для защиты в сети лучше всего использовать файрвол. Мои любимые - Agnitum Outpost и ZoneAlarm. Для защиты от вирусов, как это ни банально, - антивирус. Ну и быть бдительным, разумеется. Удачи! Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Filin Опубликовано: 5 января, 2004 Жалоба Share Опубликовано: 5 января, 2004 Совершенно верно, установи брэндмауер (!) Насчёт порога безопасности ишака особо не обольщайся... Широко известный пример: использование тэга img с некорректным параметром src и событием onError, ссылающимся на этот src, вызывает переполнение буфера. И если IE 6.0 выдаст предупреждение, то в случае с более ранней версией броузера + win9x произойдёт переполнение в kernel32.dll, с полным зависанием системы... ______________________________ <IMG src="::" onError="this.src='::';"> ______________________________ Цитата Жизнь заслуживает оправдания лишь как явление эстетическое Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 5 января, 2004 Автор Жалоба Share Опубликовано: 5 января, 2004 Mexmat: Ну я вижу вы совсем новичёк в этом деле (антивирусная защита). С банальными проблемами не приходят сюда. Установил анти-вирус и проблема решена. "А почему вы решили, что у вас вирус?" Я имею в виду неизвестную зловредную атаку. Это не троян, точно. "Парализация копи/пэйст - довольно странный симптом.". Ничего странного, перечитайте постинги на этом форуме за прошлый август, когда появился бласт вирус, который парализовывал эту функцию. Возможно это теперь тот же водоизменённый вирус, усовершенствованный. "Для защиты в сети лучше всего использовать файрвол". Мой "гость" использует,по-видимому, уже открытые легальные порты. Я наблюдаю за этим. "Мои любимые - Agnitum Outpost и ZoneAlarm". Никогда не сообщайте марку ваших файрвол: нападающий не должен знать что там у вас установлено. Urchin-Mike "у тебя что статический айпи ?" Нет, динамический, но его можно узнать когда я захожу на разные чаты и сайты. "Ты типа до сих пор конкретно не определили кто на тебя нападает ?" Полицейская функция розыска преступника не входит в мою задачу: не он, так другой это сделает. Моя задача: выявить лазейку и закрыть её. Я пытаюсь уяснить как он проникает в мой комп. Вот например в прошлом году поймал одного типа из Германии, заходил регулярно на мой комп (4 месяца ! узнал это просматривая лог) через IIS (=Internet Information Service). Ну я захлопнул эту дверь, однако остаётся неясным что он там делал, что это давало ему. Filin: спасибо за инфо, следствие продолжается. Но это не то у меня: он заходит в мой RАМ используя возможно библиотеку браузера и вооизменяет там файлы, в RАМ, не на диске. Эта библиотека специфична не толъко для IE но вообще для всех интернет програм. (mail, ftp, IRC;..) . Функции копи парализуются только у инет програм, у других , как WordPad, - нет. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
oslik_ia Опубликовано: 5 января, 2004 Жалоба Share Опубликовано: 5 января, 2004 Парализация копипаста ,невозможность открыть дочернее окно , говорит о неправильной работе RPC. проверь- "открыть в новом окне " работает? А это, скорее всего связано с какой то хитрой реализацией Blasterworm-а или как его там... У себя лечил банальной заплаткой 039.И ишче кажись чтото из реестра вытряхиал Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
ТушкА Опубликовано: 5 января, 2004 Жалоба Share Опубликовано: 5 января, 2004 2 AteshParast вау, какой ответ по поводу чувака из германии... не по ftp он к вам случаем стучался... просматривая логи раз в 4 месяца ты печешся о секюрити? могу тебя обрадовать ты никому не нужен... все это программы которые живут еще на непропатченых серваках и шлют пакеты в соседские сети.... например до сих пор nimda посещает меня (серваки мои в день по нескольку раз, с таким же успехом чувак из германии пытаеться соедениться с фтп серваком пароли правда у него не подходят а еще всякие китайцы и прочие узкоглазые хакеры проверяют нет ли где пустого пароля админа... вдруг повезет.... все это проги роботы/вирусы... пакеты половины или большей половины файрволит провайдер (смотря какой конечно) остальные добераються до тебя.... согласен с oslik_ia, просто сам не успел испытать серьезных проблем с бластом и ему подобными... т.к. одним из первых засек бяку, пропатчился и забыл... (помню что новые окна не мог открывать..) Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Mexmat Опубликовано: 5 января, 2004 Жалоба Share Опубликовано: 5 января, 2004 Ну я вижу вы совсем новичёк в этом деле (антивирусная защита). Антивирусной защитой профессионально я не занимался. Так же как и вы, похоже, раз рассчитываете на "максимальный порог безопасности браузера". Я сморозил какую-то чушь? Поясните свои слова. С банальными проблемами не приходят сюда. Сюда с куда более банальными проблемами заходят. Я имею в виду неизвестную зловредную атаку. Это не троян, точно. Для ясности сразу пишите то, что имеете ввиду. Вам помогут быстрее. Вы написали, что у вас вирус, я порекомендовал установить антивирус. Оказалось, что это атака. "Парализация копи/пэйст - довольно странный симптом.". Ничего странного, перечитайте постинги на этом форуме за прошлый август, когда появился бласт вирус, который парализовывал эту функцию. Возможно это теперь тот же водоизменённый вирус, усовершенствованный. Насчет парализации копи/пэйст - не знал, что это один симптомов Бласта. Но на такие симптомы все равно лучше не рассчитывать - все не упомнишь, и не факт, опять-таки, что это из-за действий вируса. Мой "гость" использует,по-видимому, уже открытые легальные порты. Я наблюдаю за этим. Указанные мной файрволы позволяют настроить разрешенные потоки данных для каждого приложения отдельно, а все остальное запретить. 100% гарантию они, конечно, не дают, но, если на вашем компе нет ничего особенного, то никто и напрягаться не будет. Никогда не сообщайте марку ваших файрвол: нападающий не должен знать что там у вас установлено. Это паранойя. Я сообщаю не нападающим, а участникам форума. И вовсе не то, что использую, а то, что предпочитаю. Вам уже по 2 человека посоветовали установить файрвол и антивирус. Почему этого не делаете? Просто делитесь своими проблемами? Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Mexmat Опубликовано: 5 января, 2004 Жалоба Share Опубликовано: 5 января, 2004 а еще всякие китайцы и прочие узкоглазые хакеры проверяют нет ли где пустого пароля админа... вдруг повезет.... В моей локальной сети таких не один десяток. Хорошо, что мне от них ничего не надо... Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 6 января, 2004 Автор Жалоба Share Опубликовано: 6 января, 2004 Спасибо за отзывы. Мне лишь хочется знать были ли у вас подобные случаи, и также как они это делают. Что мне самому надо сделать -это уже следующий этап. Пока я знаю: 1- вирус (в смысле вредоносная программа) не на моём диске 2 - она запускается из некоего IP 3 - весь посещаемый мною интернет я разделил на а - безопасную зону, где меню никто никогда не атакует б - зона риска, где всё возможно. На этой зоне ю визуально наблюдаю за всеми подклячениюми и их IP адреса. Вот позавчера на моих глазах один чувак открыл у меня порт 135 (Netbios), хотя служба Netbios у меня на компе отключена. Как он сделал это ? Он сделал это на постоянный режим. Когда этот порт открывается на пол-секунды, это значит кто-то его сканирует или хочет залезть. Пока я сейчас занят другой проблемой. Мой знакомый попросил меня выкорчевать MBR/boot (?) вирус из его компа, где все анти-вирусы оказались бессильны. Он забаррикадировался там в недоступном секторе и пускает дезу всем анти-вирусам. Столько времени теряешь в погоне за ним. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 6 января, 2004 Автор Жалоба Share Опубликовано: 6 января, 2004 Urchin-Mike: "же успехом чувак из германии пытаеться соедениться с фтп серваком пароли правда у него не подходят " Это была не попытка, он реально подключился и сидел там в режиме ftpd. Когда я увидел это, я не стал паниковать и не отключил его сразу, а записал его IP адрес и потом искал его во всех логах, даже если он и динамический. И забанил все доступы в IIS. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Ulu Turk Опубликовано: 6 января, 2004 Жалоба Share Опубликовано: 6 января, 2004 w32.Blaster.Worm - вот так он называеться... или worm.win32.Lovsan- обзаведись патчем... проверь реестр ...: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run там windows auto update = msblast.exe если такое имееться ... применяй меры....)) B) Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Ulu Turk Опубликовано: 6 января, 2004 Жалоба Share Опубликовано: 6 января, 2004 распространяеться через 135 порт.....69 и 4444 порты..... блокируй их если тебе не нужны.... Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Ulu Turk Опубликовано: 6 января, 2004 Жалоба Share Опубликовано: 6 января, 2004 бьёт по Windows 2000,NT,Xp,2003 Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 6 января, 2004 Автор Жалоба Share Опубликовано: 6 января, 2004 Да я уже писал: "хотя служба Netbios у меня на компе отключена", т.е. порт 135. И патч у меня есть. Как заявил Мицрософт в связи с новой вспышкой из Румынии, невозможно изготовить патчи на все модификации этого вируса. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
oslik_ia Опубликовано: 6 января, 2004 Жалоба Share Опубликовано: 6 января, 2004 >> Как заявил Мицрософт в связи с новой вспышкой из Румынии, невозможно изготовить патчи на все модификации этого вируса. че в натуре??? Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Filin Опубликовано: 7 января, 2004 Жалоба Share Опубликовано: 7 января, 2004 Сильное заявление... Цитата Жизнь заслуживает оправдания лишь как явление эстетическое Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 7 января, 2004 Автор Жалоба Share Опубликовано: 7 января, 2004 "Пока я сейчас занят другой проблемой. Мой знакомый попросил меня выкорчевать MBR/boot (?) вирус из его компа, где все анти-вирусы оказались бессильны. Он забаррикадировался там в недоступном секторе и пускает дезу всем анти-вирусам. Столько времени теряешь в погоне за ним. " Поиски принесли успехи, после того как заразил им ещё другой комп. Он через дискеты и диски инфицирует BIOS (flash memory) и оттуда заражает всякий диск и дискету. Ведь это он их загружает, ему и карты в руки. Как его оттуда выгнать - другой вопрос. Я не думаю что он сидит в видеокарте, там нет flash memory. Он атаковал мой анти-вирус и вывел его из строя, прежде чем тот успел пикнуть. Любая дискета анти-вируса находится на его милости, ведь это же он её загружает и проверяет её лояльность. Bios default setting (reset) не имеют никакого эффекта на него. Они изменяют лишы параметры, а не код. On-line scanning тоже бессилен против него. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
LANA Опубликовано: 7 января, 2004 Жалоба Share Опубликовано: 7 января, 2004 бьёт по Windows 2000,NT,Xp,2003 Хм...не далее, как недавно, криком кричала - пришлось срочно реаниматора звать - почила в бозе ОС, сдохла Мозилла, Опера и вообще - был тихий ужас... да.... и симптомы-то похожи. Начиналось вполне невинно. И "мальчик-реанимотр" что-то шептал именно про тот самый 135... Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
ТушкА Опубликовано: 7 января, 2004 Жалоба Share Опубликовано: 7 января, 2004 мальчик-реанимотр )))))))))) Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
морячок Опубликовано: 7 января, 2004 Жалоба Share Опубликовано: 7 января, 2004 а у меня уже три месяца мсбласт. и ничего. мы с ним уживаемся ) ну правда иногда перегружает меня казел, но жить мона у меня еще вопрос. кто нибудь сталкивлся с folder.htt и desktop.ini которые размножаются на компе. как от них избавиться? удалял в безопасном режиме. снова появляются. так бы они ничего но дрвеб орет се время Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
ТушкА Опубликовано: 7 января, 2004 Жалоба Share Опубликовано: 7 января, 2004 поэтому длук я тебе сразу сказал что др.веб фигня ставь АВП! хотя он тоже мало чем поможет это бяка которую легче удалить подключив винт к другому компу... и почистить.... Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Немец Опубликовано: 7 января, 2004 Жалоба Share Опубликовано: 7 января, 2004 2 Mexmat гы ... даже до конца не дочитал! конкретно на Вас наехали ... 2 AteshParast И с банальными приходЯть (ничего плозхо в ентом нетути) и с тупыми вопросами (очень) Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 7 января, 2004 Автор Жалоба Share Опубликовано: 7 января, 2004 "folder.htt и desktop.ini " Нужно их временно переименовать, особенно окончание. Там внутри находится скрипт, можно его изменить на вредоносный. Я сталкивался с этой атакой в инете, очень опасная. ----------------------- Я хотел бы знать чтобы вы делали на моём месте в случае заражения вашего БИОС вирусом. Ведь любой антивирус в начале будет загружаться вирусным биос, и с другого компа нельзя сканироваты чужой БИОС. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Mexmat Опубликовано: 8 января, 2004 Жалоба Share Опубликовано: 8 января, 2004 Биос можно перепрошить с дискетки, защищенной от записи. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
ТушкА Опубликовано: 9 января, 2004 Жалоба Share Опубликовано: 9 января, 2004 ну убили..... в БИОСЕ не может быть вируса!!!! там заражать нечего, бул вируск чернобыль WinCIH он стирал CMOS, файлы на винте, но не биос... в твоем случае MBR это Master Boot Record на твоем винте вирусы которые там живут легче всего удалить на другом компе, АВП чистит, или снеснти это MBR команду не помнь точно, типа fdisk /mbr в инете поищи на эту тему много есть... Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
ТушкА Опубликовано: 9 января, 2004 Жалоба Share Опубликовано: 9 января, 2004 по поводу folder.htt и desktop.ini процентов 20-30% компов в городе заражено эти старым вирусом годами и ничего.... опасного... скрипт есть, переименованием проблему не решить, есть еще файло которое эти файлы в каждой папке создает... Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Filin Опубликовано: 9 января, 2004 Жалоба Share Опубликовано: 9 января, 2004 Да точно, было дело... и имя ему VBS.Redlof Кста, полезно почитать Цитата Жизнь заслуживает оправдания лишь как явление эстетическое Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 9 января, 2004 Автор Жалоба Share Опубликовано: 9 января, 2004 Mexmat: "Биос можно перепрошить с дискетки, защищенной от записи" Спасибо за дельный совет, это была моя роковая ошибка, позволившая вирусу перескочить на другой комп. Этот вирус видоизменяет-деформирует графику экрана и инфицирует загружаемые им файлы во время бута. Деструктивное действие этого вируса зависит от типа BIOS и возможно видеокарты. На оригинальном компе графика видоизменялась лишь после загрузки Windows, на новом заражённом компе - до загрузки OS и даже MBR/boot, т.е. при отсутствии какого-либо диска или дискеты. Значит он сидит там (BIOS). Насколько я понимаю, в видео карту он себя не может записать. Возможно это усовершенствованный WinCIH вирус. В документации говорится что он бессилен против NT, мой же активен и там. Видоизменяя файлы, он записывает себя на их хвосте, в результате чего файлы замерзают на конечной стадии. NT Kernel - во время закрытия Windows, DISKCOPY - при окончании копирования. Но потом они могут сместиться и в начало файла. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 9 января, 2004 Автор Жалоба Share Опубликовано: 9 января, 2004 Urchin Mike: "в твоем случае MBR это Master Boot Record на твоем винте вирусы которые там живут "... Я проверил с заходом из дискеты, что MBR/boot не инфицированы на диске, но 1) ведь BIOS может инфицировать их каждый раз во время загрузки в RAMe , а не на диске, 2) BIOS возможно имеет видоизменённые функции (INT), в том числе и поставка дезы юзеру. Так что мы здесь имеем дело со сложной информационной головоломкой, если даже не войной. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Podlets Опубликовано: 9 января, 2004 Жалоба Share Опубликовано: 9 января, 2004 Так что мы здесь имеем дело со сложной информационной головоломкой, если даже не войной. Мммммдя, тут Х-Файлс помоему вообще какой то происходит Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 9 января, 2004 Автор Жалоба Share Опубликовано: 9 января, 2004 Вот сейчас зафиксировал подключение ко мне на порту 135, его IP рядом с моим провайдером (но это не всегда так). Я думаю, что кто-то использует моего провайдера как proxy, чтобы подключиться ко мне. .----------------- Для тех, кто думает что я выдумал вирусную историю с boot вирусом, могу им выслать по e-mail инфицированную дискету. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
AteshParast Опубликовано: 9 января, 2004 Автор Жалоба Share Опубликовано: 9 января, 2004 Новая констатация: функция copy у браузера парализована, и не могу отключить (disconnect) модем. Paste из wordpad в браузер работает. Придётся вручную вытаскивать модем из телефонной розетки. Цитата ============================= "И зажжём на высотах костры". Константин Бальмонт. Ссылка на комментарий Поделиться на других сайтах More sharing options...
Гость Unregistered Лана Опубликовано: 9 января, 2004 Жалоба Share Опубликовано: 9 января, 2004 О! А у меня вчерась написал - модема не вижу. Типа нет его и делов. Поковырялась. Написал - модем неисправен. Разнервничалась, легла спать. Утром - всё, как в сказке - и модем есть, и пашет. Однако, ягодки... Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Mexmat Опубликовано: 9 января, 2004 Жалоба Share Опубликовано: 9 января, 2004 Mexmat: "Биос можно перепрошить с дискетки, защищенной от записи"Спасибо за дельный совет, это была моя роковая ошибка, позволившая вирусу перескочить на другой комп. Мы все-таки говорим на разных языках. Ну каким образом перепрошивка биоса с дискетки, защищенной от записи, может позволить вирусу перескочить на другой компьютер?!! Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.