О глюках, багах..., ...и прочих наглостях скрипта конференции Опции

[DDfans]

    Прошу у всех извинения, кто заходил 25 декабря на форумы и не смог написать то, что хотел. Не работал должным образом только один скрипт - скрипт постинга. Соотвественно невозможно было создать тему или ответить в теме.
    Виноват, ясное дело, оказался я :) Так получилось, что кое-где немного похимичив я не успел вчера проверить, а в дальнейшем - протестировать, совсем вышло из головы.
На данный момент глюк устранен.
Буду стараться в будущем такого вообще избегать.
Еще раз извиняюсь, т.к. самому также неприятны были такие последсвия.

ЗЫ: Спасибо Lily за экстренное сообщение на емайл!

[DDfans]

john morgan
Странные же вы всетаки люди, однако - (тут скрыто нехорошее слово)! Вот так вот погибают лучшие авторитеты... :(

Старые песни О главном...
'Мне мама в детстве выколола глазки,
чтоб я в шкафу варенье не нашОл...'

[hr]

Новые вирусы!... 12.08.2003

1,8 секунды, которые спасли интернет

'Лаборатория Касперского' сообщает о начале крупномасштабной эпидемии нового сетевого червя Lovesan. За несколько часов он сумел достичь вершины списка самых опасных вредоносных программ и вызвать многочисленные заражения компьютеров.

Lovesan проникает на компьютеры через недавно обнаруженную брешь в сервисе DCOM RPC операционной системы Microsoft Windows и потенциально способен производить на подконтрольном компьютере любые манипуляции. Ошибке, которая была обнаружена лишь недавно, подвержены все серверные версии Windows NT, начиная с 4.0 и заканчивая Server 2003, что и обусловило взрывной характер эпидемии.

Lovesan - не первая вредоносная программа, атакующая компьютеры через эту брешь: лишь неделю назад в интернете был обнаружен червь Autorooter не имевший, в отличие от своего последователя, полнофункциональной системы автоматического распространения. 'Лаборатория Касперского' прогнозировала подобное развитие событий и рекомендовала пользователям принять необходимые меры предосторожности.

'Слабость вирусописателей к уязвимости в DCOM RPC объясняется большой информационной шумихой, поднятой вокруг нее две недели назад, и наличием готовых примеров проведения атаки, которые доступны на многих маргинальных web-сайтах',
- комментирует Евгений Касперский, руководитель антивирусных исследований 'Лаборатории Касперского'.
В процессе распространения Lovesan сканирует порт 135 TCP/IP в поисках уязвимых компьютеров и проверяет возможность проведения атаки. Если соответствующее обновление Windows не установлено, червь осуществляет закачку на компьютер своего файла-носителя MSBLAST.EXE. Этот файл затем регистрируется в секции автозагрузки системного реестра Windows и запускается.

Опасность червя заключается даже не столько в несанкционированном проникновении на компьютеры пользователей, сколько в генерации огромного объема 'мусорного' трафика, переполняющего каналы передачи данных интернета.

'На этот раз интернет спасла запрограммированная в Lovesan 1,8-секундная задержка между попытками заражения других компьютеров. В черве Slammer, вызвавшем в январе этого года десегментацию и замедление сети, такой задержки не было',
- продолжает Евгений Касперский.
Основной вредоносной функцией Lovesan является активизирующийся 16 августа механизм DDoS-атаки на сайт windowsupdate.com, на котором находятся те самые обновления для операционных систем семейства Windows. В этот день веб-сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего может стать недоступным.

В целях противодействия угрозе необходимо немедленно установить обновление для Windows, закрывающее брешь, и по возможности заблокировать с помощью межсетевого экрана TCP/IP-порты 135, 69 и 4444, если они не используются другими приложениями.

Данил Гридасов, Ресурс: Вирусы, антивирусы, события, факты и комментарии

[hr]

Worm.Win32.Lovesan

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Червь написан на языке C, с использованием компилятора LCC. Имеет размер 6КB, упакован UPX. Размножается в виде файла с именем 'mblast.exe'.

Содержит текстовые строки:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Признаками заражения компьютера являются:

Наличие файла 'msblast.exe' в системном (system32) каталоге Windows.
Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.

Размножение

При запуске червь регистрирует себя в ключе автозапуска:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
windows auto update='msblast.exe'

Червь сканирует IP-адреса, начинающиеся с 'base address' и пытается соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.
После этого червь 'спит' в течение 1,8 секунды, а затем снова сканирует 20 IP-адресов и повторяет этот процесс в бесконечном цикле. Например, если 'base address' является 20.40.50.0, червь будет сканировать следующие адреса:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.

Червь выбирает один из двух методов сканирования IP-адресов:

В 3 случаях из 5 червь выбирает случайный 'base address' (A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона 1-255. Таким образом 'base address' находится в диапазоне [1-255].[1-255].[1-255].0.

В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает D в ноль и выбирает значение C. Если C - больше чем 20, то червь выбирает случайное число от 1 до 20. Если C меньше или равно 20, червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес '207.46.134.191', то червь будет сканировать адреса с 207.46.[115-134].0. Если IP-адрес - '207.46.14.1', то червь будет сканировать адреса, начиная с 207.46.14.0.

Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку 'cmd.exe' на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение.

Прочее

После заражения инфицированная машина выводит сообщение об ошибке RPC service failing, после чего может попытаться перезагрузиться.

C 16 августа 2003 года червь запускает процедуры DDoS атаки на сервер windowsupdate.com, пытаясь таким образом затруднить или прервать его работу.

Ресурс: Вирусная энциклопедия

[hr]

Смалл-Выводы:
...Если соответствующее обновление Windows не установлено, червь осуществляет закачку на компьютер своего файла-носителя MSBLAST.EXE. Этот файл затем регистрируется в секции автозагрузки системного реестра Windows и запускается...
...сколько в генерации огромного объема 'мусорного' трафика, переполняющего каналы передачи данных интернета...
...Размножается в виде файла с именем 'mblast.exe'...
...Наличие файла 'msblast.exe' в системном (system32) каталоге Windows...
...Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы...
...Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135 порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на удаленной машине командную оболочку 'cmd.exe'...
...при помощи команды tftp get, через 69 порт загружает себя на удаленную машину в системный каталог Windows и запускает на исполнение...
Из данной информации, даже дураку понятно - к моему сайту/форуму это никоем образом не относится. Это относится только к интернету! А точнее к TCP/IP портам... И причем тут мой сайт? Не надо меня держать 'за дурака'. Я многое чего ломал... многое чего знаю :
И еще раз кратко от себя:
1. Все получилось из за дырки в XP.
2. Ты запускаешь инет.
3. Червь (уже в памяти компа) начинает сканить трафик для выбора следующей жертвы (а если его нет в каталоге - создает свою копию для выполнения этой 'лумумбы без вазелина')
4. Сканируя трафик, находит 'соседний' уязвимый IP, шлет туда команду запуска на удаленке через эксплойт DCOM RPC файла cmd.exe.
5. Файл cmd.exe запускается, открывает для закачки порт, грузит с нета трояна и его запускает на исполнение.
6. Ты(он/она/они) заражены!
Следовательно изначально, либо [А] тебя кто-то заведомо хакнул напрямую выследив твой IP, либо [Бэ] твой комп в момент присутствия в сети оказался с уязимой дырой этого самого XP, и чужой уже зараженный комп 'соседнего' IP (не зная об этом также), просканив тебя на наличие данной дыры запустил у тебя ... ну читай ранее, а то опять повторяюсь, блин!
Думаю что случился план Бэ.

Касперским вчера пролечил, ночью было все нормально. А сегодня захожу на форум, а Нортон начинает сообщать, что отловил вирус W32.msblaster.worm и успешно удалил его (ТРИЖДЫ!!!).

И после лечения я не лазил вообще нигде, а как зашел сразу посыпались VIRUS ALERT

Но после лечения я не лазил НИГДЕ!!!

Значит и не вылечил! Биос вирусалерт выдает? Если 'да' - однозначно сноси/переставляй ось :( Троян сел в ядре операционки. Пришли мне файл (экзешник тот) по мылу...

Что бы это значило?

Это значит, что ты где-то (скачаная с нета прога, софт на дискете/cd, е-майл, хакерская атака + дыра в осе) хапанул этого троянца-червя, а обвиняешь в этом меня, т.к. обвинить больше некого!

4 часа копал ХРху, вычистил этого червя отовсюду, а комп перегружается.

Я не виноват в том, что сейчас пошла мода на самую дырявейшую и всех семейств виндов - Вин ИксПи! Упрашивать ставить Вин 2000 я никого не собираюсь, но уверяю, что это самая наилучшая операционная система на сей момент. Хотя что я тут буду распинаться и говорить, если я не могу убедить человека в своей невиновности прямыми фактами и док-вами!

Щас поставил заплатку на винду и вроде тихо.

Дырки есть везде. Мой сайт и тем более форум не виноваты в огромной дырявости любимых вами програм.

Нортон этого червя не убивает!!! Юзайте Касперского.

w32.blaster.worm Касперскому не известен!
И Нортон Антивирус, и Панда, и АВП (AVP) - гамно! Юзайте - Паутиныча (Dr.Web) и все бедет в порядке. Даже неполноценная демо-версия защищает комп намного рулезнее, чем остальное фуфло. Нужно (желательно) лишь раз в неделю апдейт антивирусных баз делать...

Причем время создания этого файла на винте ВСЕГДА во время открытия страниц форума.

А пришел червь с этого сайта- сужу по времени создания файла msblast.exe.

КЛЕВЕТА! Извольте с...
На сайте червя небыло, нет и не будет! Побойся... провокацией заниматься!
Экзешник не может быть привязан к perl скрипту, HTML или JavaScript... хотя Ява-скрипты могут спровоцировать автозагрузку файла на хард без ведома пользователя 'откудато'. ЭТО ВАШИ ДЫРЫ! А вот скрипты такие я не вшивал в код борды!

Если ж никто кроме меня червя не словил, тогда оччень странно: в 11:30 я был именно в форуме и нигде более.

В том то и дело, что - 'никто кроме тебя'. Зато ты был в инете!!!

На данный момент (я вижу у нас ничего не получается) только одно решение:
Давай я сотру форум и сайт и живи себе спокойно!
...только вот будет уже поздно, тогда, когда ты обнаружишь, что этот червь 'привязался к другому сайту'!
Гм...тем более что я собрался вскоре уходить. К сожалению, наверное, как это ни странно, ты ускоряешь мое решение!

Клин вышибают клином...
[1] Если до 20 августа проблема не решится - я буду вынужден закрыть форум на передел и перезалив нового скрипта борды.
[2] Если до 31 августа проблема не решится снова - конференция уйдет в архив моего компа, а из сети будет вытерта 1 сентября.

P.S.

~ ¤¤¤ ~     Прошу понять меня правильно и совершенно адекватно: [1] Это делается в целях защиты пользователей сети от распространения вирусов. Надо прикрыть эту байдарку! [2] Я не вижу тут своей вины. [3] Сегодня не 1 апреля и я НЕ собираюсь заниматься шутками! [4] И тут нет другого выхода... ~ ¤¤¤ ~

2All: Публично приношу свои извинения, за то, что я такой подлец и гад, панить, под прикрытием форума, зас**л вам ваши любимые компьютеры!
Ах, да... и за то, что я чмо такое три часа тут пытался доказать свою невиновность, теряя время запланированное для других целей. (получается что так)