На главную
Tracktor Bowling - THE BEST, 23-02-2008, Rocco::ФотоСтуденческий форумAnimalJazz, 9-03-2008, Rocco::Фото

**

Рубрики

02.05.2004 21:03
События компьютерного мира  |  Вирус Sasser: новая активность

Вирус Sasser: новая активность

Этот самоисполняющийся червь распространяется, используя новую «брешь» Microsoft Windows [MS04-011 уязвимость (CAN-2003-0533)]

Вирус копирует себя в директорию Windows под именем avserve.exe и создает ключ в реестре для запуска при загрузке Windows:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun "avserve.exe" = C:WINDOWSavserve.exe

Вирус сканирует доступные ip-адреса и, в случае успеха, устанавливается на какой-либо порт, начиная с 1068. Кроме того, он способен выполнять функции FTP сервера на 5554 TCP порту, а также создает remote shell – сервис на 9996-ом TCP порту.

Вирус создает файл win.log в корневом каталоге системного диска, где хранит IP адрес, соответствующий localhost. Копии червя сохраняются в директории Windows System с именами #_up.exe.

Например:
c:WINDOWSsystem3211583_up.exe
c:WINDOWSsystem3216913_up.exe
c:WINDOWSsystem3229739_up.exe

Сторонний эффект от действия вируса проявляется в сбое в системном процессе LSASS.EXE, что ведет к автоматической перезагрузке системы, как и в случае с червем «Blaster».

То есть отображается следующее окно:

Инструкция по удалениюBack to Top

Для устранения уязвимости, которую использует «червь» необходимо установить официальный патч c сайта Microsoft: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en

Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en

Ручное удаление:

1. Загрузитесь в режиме Safe Mode (удерживайте F8 после появления текста «Starting Windows». Выберите «Safe Mode».
2. Удалите AVSERVE.EXE из каталога WINDOWS (обычно c:windows или c:winnt)
3. Отредактируйте реестр Windows: Удалите значение "avserve" из HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
4. Перезагрузитесь в обычном режиме.

Miracle

Вход


HomeКарта сайтаПоиск по сайтуПечатная версияe-mail
© 2000-2011 Студенческий городок