Всю неделюна меня проводятся сетевые атаки(как сообщает касперский АнтиХакер), все атаки одного типа.
12.09.2004 21:05:40 Ваш компьютер был атакован с адреса secure.worldwideconnect.com. Используемая атака - Helkern. Атака была успешно отражена.

вот пример из журнала атак. А теперь не могли бы вы мне разъяснить пару моментов...
1) Что это за Helkern?
2) Что мне сделать чтобы прекратить эти довольно неприятные инцинденты?

А чем они неприятны?
У тебя ж инфа не пропадает, винт не форматируется, винда не ложится? У меня к примеру по 17-20 вирусов в день, 10 попыткок просканить порты, и ещё всякая лобуда, которой я сам страдаю! http://forum.antichat.ru/iB_html/non-cgi/emoticons/biggrin.gif

Worm.SQL.Slammer (aka Worm.SQL.Helkern, Sapphire)


Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
SQL (см. ниже).

Червь имеет крайне небольшой размер - всего 376 байт.

Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).


При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

GetTickCount    (KERNEL32.DLL)
socket, sendto  (WS2_32.DLL)

Затем червь в бесконечном цикле посылает свой код (командой "sendto") на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount").

Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

В коде червя видны строки:

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend



Реализация атаки

Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:

 Remote Buffer Overrun Vulnerability

Название конкретной применяемой атаки:

 Unauthenticated Remote Compromise in MS SQL Server 2000

Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
MS SQL Server 2000.

Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet....039.asp (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp)
(Microsoft Security Bulletin MS02-039)

и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt


Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.

Флудер
Понял? Тебя в этом деле девушка сделала! http://forum.antichat.ru/iB_html/non-cgi/emoticons/devil.gif
Я не наезжаю - просто прикалываюсь! http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif

The TBAPb
То что косается подопечного мне сервака, спасибо большое.
А вот что мне делать с моим домашним компом, на котором стоит Винда ХР СП1. Пробовал ДДОСить сайты с которых производилась атака, да только фиг результата, сайты видать левые. В связи с этим логичный вопрос.:
А для винды заплатка есть?

Pengo, хе, девушке спасибо... http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif  мне наоборот приятней, когда меня в ЭТОМ деле девушка делает, редкость как никак http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif

Это точно, что редкость!!!!!
Мне тоже приятно, что девушка на этом форуме МНОГИХ делает. http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif

The TBAPb  http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif

Флудер, а ты попробуй порт прикрыть... Аттакером например, я почитала тут и поняла, что заплатки под винды по ходу нет... хотя ща еще полазю..

В принципе везде и предлагают прикрыть порт... просто этот чевряк сильно опасен только для серверов, ане для домашних хрюш и ленолиумов....

kernel32.dll
GetTickCount
ws2_32.dll
socket
sendto

Поищи эти файлы в регедите и проверь антивирем... В конце концов червь не деструктивный, и занимается только рассылкой UPD пакетов, чем просто замедляет работу компа... В общем я бы просто порт закрыла..

"Далее червь в бесконечном цикле рассылает инфицированные пакеты по случайным IP-адресам. Если адрес равен значению X.Y.Z.0 или X.Y.Z.255, то пакет рассылается по всем адресам, находящимся в этой же подсети, благодаря чему червь может размножаться с огромной скоростью."

Ты просто попал под раздачу )))

The TBAPb
УМНИЦА!!!! http://forum.antichat.ru/iB_html/non-cgi/emoticons/biggrin.gif

дело в том, что попасть этому на сервак, значит мне потерять работу. Да с серваком я уж и разобрался, а вот Фаервол ругается, что типа атака была успешно отражена и т.д.  Вобщем порт я уже закрыл, посмотрим что будет дальше.

самое интересное, что я не знаю кому мстить, приходится тупо ДДОСить урлы, с которых отправлялись пакеты.

ДДось пока они не ох*еют! http://forum.antichat.ru/iB_html/non-cgi/emoticons/cool.gif

Флудер, а кому ты мстить собрался если эти пакеты могут быть посланы с зараженного компа в 33 колени, или ты хочешь весь путь проследить? )))) Это сезонная атака червя... он оказывается стока серваков погадил....ууу... его прям концом интернета называют... в общем закрой порт и не мучайся мыслями о мести....)

2the TBAPb... Унмица девушка.... Вот линк:
http://www.viruslist.ru/viruslist.html?id=1701882&printmode=1 (http://www.viruslist.ru/viruslist.html?id=1701882&printmode=1)

Ескать на яндексах мы и сами умеем http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif

Хотя всё равно молодец!! http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif

По-моему легче тут прочитать чем на яндексе поискать хотя мона и так:
http://news.proext.com/sec/10734.html
http://www.kaspersky.ru/news.ht....п+%20.. (http://www.kaspersky.ru/news.html?id=1193624%20--%20я-я-п+%20п+п+п+%20..)

Дане втом суть, я просто нарисовал ссылку, с которой ТВАРЬ содрала описание червя и всё, хотя она всё равно умница http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif

OwrLam
Тю! Так я так и понял.....

Я вопще не говорила, что сама его писала.. и даже глупо было об этом думать )) А если народ не может найти на яндексе, я помогу... тебя чейто очень волнует моя персона, не находишь )

один хорощий человек сказал....
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">Вы думаете, корпите над проблемой, ползаете по форумам, грызёте ногти над мануалом, а эти, с позволения сказать, &quot;эксперты&quot; находят ответ почти ничего не делая!! Обидно? Не то слово.
Откроем первую великую тайну: ВСЕ они, без исключения, в наглую пользуются поисковиками. Особенно нежно любят Гугол (www.google.com ), т.к. он позволяет иногда найти сабж секунды за две-три.
И действительно, стоит забить в строчку поиска нужную хрень, бацнуть на поиск и в 90% случаев можно получить нормальную ссылку(читай инфу на сабж) уже на первой страничке поиска.
Этим-то крутые и пользуются, надувая бедных юзеров и раздувая потом щёки от их наивных похвал[/QUOTE]<span id='postcolor'>
http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif

Флудер
Хе-хе. это точно!

Да ладно, больше искать не буду.. ведь это низко... вот еслиб я перефразировала, это да.. ладно, забыли.

The TBAPb
а кто говорит что низко?тебя разве кто то в чём то винит?

Флудер, не просто винит, а нагло усмехается...)

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">Флудер, не просто винит, а нагло усмехается...) [/QUOTE]<span id='postcolor'>
что то я не замечал...

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (The TBAPb @ сентября 18 2004,22:58)</td></tr><tr><td id="QUOTE">Да ладно, больше искать не буду.. ведь это низко... вот еслиб я перефразировала, это да.. ладно, забыли.[/QUOTE]<span id='postcolor'>
Ну это не низко... %) может некоторые и Яндексом пользоваться не умеют (не обидьтесь)... Просто в данном случае самое главное было проанализировать ситуацию и верно выявить нарушителя закона http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif А именно червя... Извените за столь маразные слова...

В на счёт персоны?? Хм... Ну интересует она меня так как я - злой дядька из ФБР и уже 3-й год охочусь за тобой http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif Только не в роли хакера, а в роли девушки *захлебнулся от слюны*...

да-да:&quot;некоторые и Яндексом пользоваться не умеют&quot;

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (OwrLam @ сентября 19 2004,18:24)</td></tr><tr><td id="QUOTE">В на счёт персоны?? Хм... Ну интересует она меня так как я - злой дядька из ФБР и уже 3-й год охочусь за тобой http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif Только не в роли хакера, а в роли девушки *захлебнулся от слюны*...[/QUOTE]<span id='postcolor'>
Ты меня вычеслил... пойти штоль повеситься...

да,конечно неприятно,когда такое читаеш http://forum.antichat.ru/iB_html/non-cgi/emoticons/sad.gif ,но,любители &quot;серфинга&quot;по инету,возьмусь смелость предположить-МОЖЕТ ХВАТИТ &quot;ШАРУ&quot; С НЕТА НА КОМПЫ ВЕШАТЬ?обзоведитесь реальными весчами!известно ли вам,что непропатчиный комп не выживет и 20 минут в нете.Может я и невтему сдесь встрял,уж не обессудте.Только все это приобретается и накапливается только блогадаря самим НАМ!Нетак часто захожу на этот сайт,но иногда бывает,так почитать разного,но замечу,большенство &quot;болта не рубит&quot; по темам,лиш словесным п@н@с@м балуется,что бы себя нарисовать,не в обиду будет сказано остальным людЯм!Ведь по большому счету,в поисках своей прихоти,нифига сами не создали полезного,а вопят спасите,пАмАгите,лишбы &quot;объемной шары&quot; нахаватся и пантАнутся.Челы,не в обиду без лишних телодвижений

The TBAPb&gt; Вешаться не надо, можешь просто ко мней зайти, чаю попьём, познакомимся http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif

Люди.Поговорим о моем любимом сетевом черве.=)
просто замечательный червь...он у вас появиться после того как вы зашли на страничку..=)))
вот примерно эти ссылки (лучше не трогайте если боитесь..буууу)
http://80pictures.com
http://90pictures.com &nbsp; в общем это тока порно НО..
вы получаете троян сразу же http://forum.antichat.ru/iB_html/non-cgi/emoticons/turn.gif
А самое классное что этот червь поражает екзешечеки .
И убивает сеть в течении 3 дней... А для домашних компов того хуже.ТОрмоза .И еще какие.Поэтому ..хочешь убидь клуб ??? Гы-гы-гы, заходи дорогой..


W32/Pate.b, W32.Pinfi, PE_PARITE.A, W32/Parite-B, W32/Pate-B, W95/Parite.B, Win32.Parite.b, W32/Parite.B, W32/Parite.B, W32/Pate.b.tmp

Тип:
сетевой червь

Уязвимые операционные системы:
Windows 95/98/Me/NT/2000/XP

Признаки инфицирования:

наличие во временной директории Windows исполняемого файла с расширением .tmp и названием, состоящим из набора буквенных и цифровых символов
наличие в реестре следующего ключа
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerPINF

Описание вируса:
Win32.Parite.2 - полиморфный вирус, поражающий компьютеры под управлением операционных систем Windows 95/98/Me/NT/2000/XP. Основной исполняемый компонент вируса написан на языке программирования Borland C++ и упакован упаковщиком UPX. Размер червя 176128 байт.

Вирус обладает способностью распространяться по доступным для совместного пользования дискам локальной сети.
Заражает файлы с расширениями .exe и .scr как на пораженном компьютере, так и в рамках локальной сети, дописывая к ним свой код и увеличивая, таким образом, их размер на 176128 байт.

Инфицирование системы:
Будучи запущенным на пораженном компьютере, вирус помещает во временную директорию Windows файл-библиотеку динамической компоновки со случайным названием, состоящим из набора буквенных символов и шестнадцатеричных цифр и расширением .tmp. Именно этот файл и содержит основные функцие, используемые червем.
Для обозначения своего присутствия в системе с целью избежать повторного инфицирования вирус создает семафор &quot;RESIDENTED&quot;.

В системном реестре Windows червь вносит данные
PINF
в реестровую запись
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorer

Процесс инфицирования файлов начинается с создания дополнительной секции в конце файла с последующей записью в эту секцию вирусного кода, в результате чего размер файл увеличивается на 176128 байт.

Червь инфицирует исполняемые файлы на зараженной машине, а также распространяется по всем доступным для совместного использования сетевым ресурсам, доступным для записи. В результате на таких ресурсах за короткое время могут быть заражены практически все исполняемые файлы.

У меня вообщето есть пару клубов на примете! http://forum.antichat.ru/iB_html/non-cgi/emoticons/wink.gif &nbsp;http://forum.antichat.ru/iB_html/non-cgi/emoticons/smile.gif &nbsp;http://forum.antichat.ru/iB_html/non-cgi/emoticons/biggrin.gif &nbsp;http://forum.antichat.ru/iB_html/non-cgi/emoticons/biggrin.gif