Petr Didenko (kippie) wrote,
Petr Didenko
kippie

Нам пишут

--------------------------------------------------------------------------------
Subject: Информация от Лаборатории Касперского (о опасном интернет черве Opasoft) ID#459960



Добрый день!

Информация от Лаборатории Касперского о опасном интернет черве Opasoft
http://www.kaspersky.ru/news.html?id=979364
http://www.viruslist.com/viruslist.html?id=1143777
Механизм распространения связан с портами 137 (NETBIOS Name Service) и 139 (NETBIOS Session Service)

Подробнее в письме ниже.

С Уважением,
Ярных Андрей
Начальник отдела интернет решений
ЗАО "Лаборатория Касперского"

125363, Москва, ул.Героев Панфиловцев, 10
тел/факс: +7 (095) 797-87-00; Ext - 222
Е-mail: andrew_y@kaspersky.com
http://www.kaspersky.ru; http://www.viruslist.com
Сообщение не содержит вирусов. Проверено Kaspersky AV
-----------------------------------------------------
Начните бизнес в Интернет: "Аффилиат-программа"
http://www.kaspersky.ru/affiliate.asp




-----Original Message-----
From: Eugene Kaspersky
Sent: Wednesday, October 02, 2002 4:08 PM
To: Andrew Yarnikh
Cc:
Subject: ports 137,139 should be disabled.



Надо сообщить провайдерам, чтобы они по возможности закрыли эти порты.
А то Opasoft проходит через них и вполне успешно - очень много сообщений.


Распространение
---------------
Червь сканирует IP-адреса случайно выбранных сетей и подсети текущего зараженного компьютера
по порту 137 (NETBIOS Name Service). Если со сканируемого IP-адреса приходит "ответ"
определенного типа, то червь запускает процедуру заражения этого компьютера (удаленного хоста).

При заражении червь посылает по 139-му порту (NETBIOS Session Service) SMB-пакеты специального
вида. В результате приёма этих пакетов на удалённом компьютере появляются два файла:

\WINDOWS\scrsvr.exe - копия червя
\WINDOWS\win.ini - стандартный INI-файл Windows

В данный INI-файл записывается команда авто-запуска EXE-файла червя (команда "run=" в секции
[windows]). В результате при очередном рестарте компьютера червь получает управление.

При отсылке INI-файла на диске зараженного компьютера появляется временный файл червя
C:\TMP.INI.


Regards, Eugene
Kaspersky Lab
http://www.kaspersky.ru
http://www.viruslist.com
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments