а я из клуба играю=))не своё не жалко!

Защищаемся от ошибки в Remote Procedure Call на базе Windows XP/2000 стандартным
средствами.
И так избавляться от этой напасти будим средствами IP Security Лезем в меню
пуск->Выполнить там пишем mmc.exe и жмем кнопку ок. После чего у вас должна
будит открыться Microsoft Management Console. После чего идем в меню
«консоль»-«добавить/удалить оснастку», на вкладке «изолированная оснастка» жмем
кнопку добавить, потом в появившемся окне находим «Управление политикой
безопасности IP» и жмем кнопку «добавить», там далее выбираем «локальный
компьютер», после чего жмем кнопку ок, закрыть, ок. В окне где у вас теперь
появилось «Управление политикой безопасности IP» жмем правой кнопкой мыши и
выбираем там «Создать политику безопасности IP». После чего выскакивает мастер
«Мастер политики IP-безопасности».
Работаем с мастером «Мастер политики IP-Безопасности».
Жмем кнопку далее, в следующем окне в поле имя пишем Remote Procedure call (так
будит называться наша политика), после чего жмем кнопку далее (галочку не
снимаем!), потом снова кнопку далее(проверьте, что переключатель у вас стоит на
надписи «Стандарт Windows 2000 Kerberos v.5), после чего жмем кнопку далее и
готово( и галочку опять же не убираем).
Если вы все правильно сделали у вас теперь должно открыться новое окно, которое
будит называться «Свойства:Remote Procedure call», на вкладке «Правила» надо
нажать кнопку «Добавить», после чего у вас откроется новый мастер «Мастер правил
безопасности».
Работаем с мастером «Мастер правил безопасности».
Жмем кнопку далее, в следующем окне, проверить, чтобы галочка стояла на «Это
правило не определяет туннель», после чего жмем снова кнопку далее, в следующем
окне, где будит вам предлагаться выбрать тип сети, поставьте галку на «Все
сетевые подключения» и снова жмем кнопку далее, потом снова кнопку
далее(проверьте, что переключатель у вас стоит на надписи «Стандарт Windows 2000
Kerberos v.5), после чего у вас должно открыться окно «Список фильтров».
Тут не обходимо сделать следующие удалить из списка «Весь ICMP-трафик» и «Весь
IP-трафик». После этого жмем кнопку добавить, у вас откроется новое окно,
которое будит называться «Список IP фильтров», в поле «имя» пишем rpc и жмем
кнопку «добавить». После этого выскочит мастер «Мастер фильтров», не обходимо
поставить в поле «исходный адрес» «Любой Ip адрес» и нажать кнопку далее, после
чего у вас будит окно, в котором предлагается выбрать «адрес назначения», в
котором надо выбрать «мой Ip-адрес» и нажать кнопку далее, в следующем окне надо
выбрать протокол TCP и нажать кнопку далее. В следующем окне порт протокола IP
выбрать галку на «пакеты на этот порт» и дать там значение 135, после чего жмем
кнопку далее жмем кнопку «готово».
И так добавляем три правила: 135, протокол udp, 445 и 139.
После того как добавили все порты у вас должно окно выглядеть примерно как на
скриншоте, если у вас все выглядит именно так, то жмем кнопку «Закрыть» и
возвращаемся к работе с мастером «Мастер правил безопасности». Там ставим галку
на фильтр “rpc” и жмем кнопку «далее», далее у вас будит окно «действие
фильтра», жмем там кнопку добавить, у вас выскочит окно «Мастер применения
фильтра». В окне этого мастера жмем кнопку далее, в след ующем окне в поле имя
пишем “deny”, жмем кнопку далее и ставим галку на значение «Блокировать», потом
снова кнопку далее и жмем кнопку готово. После того как окно у вас закрылось, вы
возвращаетесь к окну «Мастер правил безопасности» в нем не обходимо удалить
другие правила и оставить только наше “deny” (не забудьте на него поставить
галку», жмем кнопку далее и потом готово. После этого у вас должны будут
закрыться все мастера и должно быть остаться открыто окно «Свойства: Remote
Procedure call», в нем не обходимо снять галку со строчки «Динамический» и
ставим галку на “rpc” Жмем кнопку ок. После этого у вас должно закрыться окно. В
консоли, где у вас отображается политики надо кликнуть правой кнопкой мышки по
строчке Remote Procedure Call и выбрать там «назначить». Если вы все сделали
правильно, то червь идет в сад отдыхать =)

Страсти какие. :) В XP есть встроенный firewall. Найти иконку My network places,
нажать на ней правой кнопкой, выбрать в меню Properties, появится окно
подключений, выбрать активное подключение, нажать на нем правой кнопкой, выбрать
в меню Properties, выбрать закладку Advanced, поставить галочку на Internet
Connection Firewall и нажать ok. Этого достаточно. Если что-то перестало
работать - нажать Settings там же в самом низу и настроить firewall.

Proantivirus Lab сообщает о появлении нового опасного и быстро
распространяющегося (в том числе и по России) червя, использующего недавно
открытую дырку в RPC во всех ОС семейства NT. Заражение удаленное, через 135-й
порт, исполняет команды из-под Local System.
Признаки заражения:
- Наличие файла msblast.exe в каталоге %WinDir%\system32.
- Сообщение об ошибке (RPC service failing) приводящее к перезагрузке системы.
- Наличие в системном реестре ключа
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"windows
auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Способ лечения - запустить Task Manager через Alt-Ctrl-Del, найти там
msblast.exe и прибить его, затем удалить этот файл в %WinDir%\system32. Затем
запустить regedit и удалить ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"windows
auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Все это нужно делать разумеется ПОСЛЕ того как дырка будет закрыта путем патча
или закрытия 135 порта в файрволе иначе новое заражение не за горами. :)

А мне пофиг, я за фаерволом .. ))

dik 'a shas po sajtam lazil...eto novij virus....
nedavno toka pridumali ..ego nazvanie Blaster ili Lovsan
;)...

рулит WinGate... в нем файрвол вообще фиг пробьешь...
у мя на офисе такой и стоит...

WinXP: dcomcnfg.exe -> Computer -> Properties -> disable DCOM, vse.

Опасность "Lovesan" состоит в использовании недавно обнаруженной бреши в
службе DCOM RPC операционной системы Windows. Из-за этого червь способен
незаметно заражать компьютеры и теоретически производить с ними любые
манипуляции. Брешь была обнаружена всего около месяца назад, и далеко не все
пользователи успели установить необходимое обновление.

В процессе распространения "Lovesan" сканирует интернет в поисках уязвимых
компьютеров. Для этого он "ощупывает" порт 135 потенциальных жертв и проверяет
возможность проведения атаки. В положительном случае (если не установлено
соответствующее обновление Windows) червь посылает на него специальный пакет
данных, который обеспечивает закачку на компьютер файла-носителя "Lovesan"
MSBLAST.EXE. Этот файл регистрируется в секции автозагрузки системного реестра
Windows и запускается на выполнение.

Опасность червя заключается не только в несанкционированном проникновении на
компьютеры пользователей. Гораздо большая угроза состоит в генерации огромного
объема избыточного трафика, который переполняет каналы передачи данных
интернета. "На этот раз интернет спасла запрограммированная в "Lovesan"
1,8-секундная задержка между попытками заражения других компьютеров.

В качестве побочного действия "Lovesan" содержит функцию DDoS-атаки на сайт
windowsupdate.com, содержащем обновления операционной системы Windows, в том
числе обновление для службы DCOM RPC. Функция активизируется 16 августа: в этот
день web-сайт подвергнется массированной бомбардировке пакетами данных с
зараженных компьютеров, в результате чего он может стать недоступным.

В целях противодействия угрозе рекомендуем немедленно установить обновление
Windows, закрывающее брешь, а также заблокировать с помощью межсетевого экрана
порты 135, 69 и 4444 если они не используются другими приложениями.



Для установки обновления для Windows NT 4.0 необходимо наличие Service Pack
6.0a.
Windows NT 4.0 Русская
http://active.mns.ru/updates/microsoft/nt4/ru/rus_Q823980i.exe
Windows NT 4.0 Английская
http://active.mns.ru/updates/microsoft/nt4/en/Q823980i.EXE
Для установки обновления для Windows 2000 необходимо наличие Service Pack 3 или
Service Pack 4.
Windows 2000 Русская
http://active.mns.ru/updates/microsoft/w2k/ru/Windows2000-KB823980-x86-RUS.exe
Windows 2000 Английская
http://active.mns.ru/updates/microsoft/w2k/en/Windows2000-KB823980-x86-ENU.exe
Установку обновления для Windows XP можно выполнить на любую версию XP (c
Service Pack 1 или без него).
Windows XP Русская
http://active.mns.ru/updates/microsoft/xp/ru/WindowsXP-KB823980-x86-RUS.exe
Windows XP Английская
http://active.mns.ru/updates/microsoft/xp/en/WindowsXP-KB823980-x86-ENU.exe
Установку обновления для Windows XP можно выполнить на любую версию XP (c
Service Pack 1 или без него).
Windows XP Русская
http://active.mns.ru/updates/microsoft/xp/ru/WindowsXP-KB823980-x86-RUS.exe
Windows XP Английская
http://active.mns.ru/updates/microsoft/xp/en/WindowsXP-KB823980-x86-ENU.exe
Обновления для Windows 2003 Server:
Windows 2003 Server Русский
http://active.mns.ru/updates/microsoft/w2k3/ru/WindowsServer2003-KB823980-x86-RU
S.exe
Windows 2003 Server Английский
http://active.mns.ru/updates/microsoft/w2k3/en/WindowsServer2003-KB823980-x86-EN
U.exe

Для тех у кого стоит ХП, включайте соединение через файерволл встроенный, если
через модем - помогает...

Слава Джа, переустанавливать винду не стал...

ААААААААА !!!!!!!! format c:! format c:! format c:! :))))

Как люди без огнестен живут? и ваще с чата ганжи некоторое время назад куча
портов сканилась :)

2post19> значит у тебя не ХР а 2000!

Ребят - что мудить?
Просто надо чаще на антивируслабах бывать и багтреках... для самых ленивых много
интересного можно поджчерпнуть на www.securitylab.ru
Первый сигнал в эту дырку был 23го марта... - тогда и надо было закрывать... а
не после того, как все подверглись атаке... - патчик уже более 2х недель
доступен на микрософте... - Следите за новостями... и тогда Вы, и Ваша компания
всегда будете на коне... =)

Спасибо! У меня были 2 перезагрузки. А то я уже подумал, что это дрова от новой
мышки.

А я под Линухой работаю и всё ОК:)))))))

А чем этот 135 порт занимается? А то вот даже с гостевого входа запрашивают
коннект.

Хотит прикол ? :) ГЫ.... %)
Это вы не АРЕ спасибо говорите, а тому кто это написал :)
Причем слово в слово насчет перезагрузки :)
--------------------------------------------
http://forums.ag.ru/?board=soft&action=display&s=0&num=1060707998

W@D, ты бы хоть на дату посмотрел. :) Это просто кто-то скопировал мое сообщение
на том форуме. :)

Скачайте скан этого червя:

securityresponse.symantec.com/avcenter/FixBlast.exe

16.08 4erv' proizved'ot otaku na DOS..
pro4ital na sajte ;((