Re: Компьютерный вирус атаковал новостные порталы США
а у нас иммунитет?
Источник?
16 августа 2005
W32.Zotob.A
W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе,
описанную в бюллетене безопасности MS05-039. MS05-039.
W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4.
Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров.
При запуске W32.Zotob.A выполняет следующие действия:
1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R
2. Копирует себя как %System%\botzor.exe.
3. Добавляет значение:
"WINDOWS SYSTEM" = "botzor.exe"
в подключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
4. Изменяет значение:
"Start" = "4"
в ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess
чтобы отключить Shared Access сервис в Windows 2000/XP.
5. Соединяется с IRC сервером на домене [http://]diabl0.turkcoders.net/[REMOVED] по 8080 TCP порту. Что дает удаленный неавторизованный доступ.
6. Открывает FTP сервер по 33333 TCP порту .
7. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x.
8. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039.
9. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем:
%System%\2pac.txt
10. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере:
%System%\haha.exe
11. Добавляет следующие записи в хост файл:
.... Made By .... Greetz to good friend [REMOVED] in the next 24hours!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
И сразу вспомнился пост
W32.Zotob.A
W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе,
описанную в бюллетене безопасности MS05-039. MS05-039.
W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4.
Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров.
При запуске W32.Zotob.A выполняет следующие действия:
1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R
2. Копирует себя как %System%\botzor.exe.
3. Добавляет значение:
"WINDOWS SYSTEM" = "botzor.exe"
в подключи реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
4. Изменяет значение:
"Start" = "4"
в ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\SharedAccess
чтобы отключить Shared Access сервис в Windows 2000/XP.
5. Соединяется с IRC сервером на домене [http://]diabl0.turkcoders.net/[REMOVED] по 8080 TCP порту. Что дает удаленный неавторизованный доступ.
6. Открывает FTP сервер по 33333 TCP порту .
7. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x.
8. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039.
9. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем:
%System%\2pac.txt
10. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере:
%System%\haha.exe
11. Добавляет следующие записи в хост файл:
.... Made By .... Greetz to good friend [REMOVED] in the next 24hours!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
И сразу вспомнился пост
Не только новостные, кстати. Например, паспортный контроль в аэропорту JFK из-за этого хреново работал вчера. Не фиг на 2K работать хуле.... В серьезных местах, особенно.
Вирус поражает операционные системы Win2k и XP.А на чём работать - на 98? или на NT4?
XP SP2 он не заражает.
если уж пользовать винду, то 2к3
а чо не висту ?
дык она бета
Оставить комментарий
mvcnl
Компьютерный вирус атаковал новостные порталы США17 Августа 2005 [15:25] - Day.Az
Распечатать
Компьютерный вирус, червь Zotob, проник на сервера CNN, ABC, News York Times.
Вирус поражает операционные системы Win2k и XP. Вирус вывел из рабочего графика компьютеры по всему восточному побережью США. По некоторым данным, вирус попал и на сервер Конгресса США.
Действие вредоносной программы заключается в том, что зараженный компьютер начинает самопроизвольно перезагружаться. Именно факт перезагрузки компьютеров и стал причиной сбоя новостей в эфире телерадиокомпаний.
Имеются сведения о распространении вируса в Германии и странах Азии.