- К вопросу о DOS атаках через Radmin, Связавшийся администратор, 15:33 , 20-Фев-04 (1)
- К вопросу о DOS атаках через Radmin, Swap, 15:44 , 20-Фев-04 (2)
- К вопросу о DOS атаках через Radmin, uncleua, 17:24 , 20-Фев-04 (3)
- К вопросу о DOS атаках через Radmin, stricty, 19:30 , 20-Фев-04 (4)
- К вопросу о DOS атаках через Radmin, schors, 11:32 , 21-Фев-04 (5)
- К вопросу о DOS атаках через Radmin, adsh, 16:40 , 21-Фев-04 (6)
- К вопросу о DOS атаках через Radmin, flicker, 17:10 , 21-Фев-04 (7)
Реальность выглядит несколько иначе. Данной атаке наравне подвержены и W98, и W2000, и WXP Home Edition. Более того, у многих машин были зафильтрованы порты NetBT/SMB, но порт RA открыт. - К вопросу о DOS атаках через Radmin, Ilia Demenkov, 23:41 , 26-Фев-04 (23)
- К вопросу о DOS атаках через Radmin, adsh, 19:11 , 21-Фев-04 (8)
- К вопросу о DOS атаках через Radmin, Ilia Demenkov, 21:20 , 23-Фев-04 (9)
- К вопросу о DOS атаках через Radmin, Аноним, 09:28 , 25-Фев-04 (16)
- К вопросу о DOS атаках через Radmin, Ilia Demenkov, 23:08 , 26-Фев-04 (17)
- К вопросу о DOS атаках через Radmin, flicker, 08:29 , 27-Фев-04 (29)
>>Предоставленные мною данные достаточно чётко указывали на невозможность >>проведения атаки в общем случае через учётные записи с пустым паролем >>или через расшаренные диски. >Если Вы имеете в виду, что провести атаку через учётные записи с >пустым паролем или через расшаренные диски невозможно, то Вам рекомендуется ознакомиться >с основами сетевой безопастности. В конце концов, я тоже могу начать грубить и советовать Вам ознакомиться с букварём, чтобы в дальнейшем внимательно читать мои письма. Компьютеров с пустыми паролями и беспарольными расшаренными дисками среди взломанных в этот раз -- порядка 3%. Очень хорошо, что вы решили, наконец, заняться "связями с общественностью".
- К вопросу о DOS атаках через Radmin, Ilia Demenkov, 23:09 , 26-Фев-04 (18)
- К вопросу о DOS атаках через Radmin, flicker, 08:38 , 27-Фев-04 (30)
Что же, получите цитату вашего письма. Переслали ли вы аналитику Касперского листинги файловых систем со взломанных машин? Или аналитик умудрился не заметить, что эти машины вовсе не заражены упомянутым вирусом?=== цитата From: Famatech Support ============== Предлагаю Вам ознакомиться с ответом Лаборатории Касперского (ниже). Вывод: диск взломанной машины не был защищён, благодаря чему злоумышленник скопировал (не через Радмин) на него исполняемый файл, который сменил настройки Радмина и открыл к нему доступ. А также начал DDoS-атаку - запустив уже другие файлы. Как KAV, так и Dr. Web детектят rich.exe и tzpy.exe как троянцев. ====================================================== * From: <newvirus@kaspersky.com>?= * Date: 19 Feb 2004 02:32:48 +0300 * To: <support@famatech.com> * Subj: RE: Fwd: remote hole in radmin [KLAB-142633] ====================================================== Здравствуйте, rich.exe && tzpy.exe - маленькие эксплоиты, осуществляющие аттаку на www.wasm.ru и www.peterhost.ru, соответственно. С fich.exe ситуация более интересная. Создает в реестре ключ со значениями: [HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters] "NTAuthEnabled"=hex:00,00,00,00 "Parameter"=hex:62,87,9e,a8,94,d9,76,ac,07,c5,44,e2,a1,ad,de,2b "EnableLogFile"=hex:00,00,00,00 "FilterIp"=hex:00,00,00,00 "DisableTrayIcon"=hex:01,00,00,00 "AskUser"=hex:00,00,00,00 "EnableEventLog"=hex:00,00,00,00 Не зная подробностей работы RAdmin, можно предположить, что данная настройка расшаривает имеющийся RA server, превращая его в бэкдор. Но ведь сам по себе файл fich.exe должен был как-то попасть на машину еще до вредной модификации реестра. Каким именно образом это произошло - по присланным файлам сказать невозможно. Возможно, для загрузки троянов использовались зараженные I-Worm.Mydoom.a машины (есть эксплоит, позволяющий загрузить И выполнить на зараженной машине небольшой файл. Ситуация очень похожая). pS/ будут детектиться: DDoS.Win32.Dword, Trojan.Win32.Rashar -- С уважением, Шевченко Алиса Вирусный аналитик ЗАО "Лаборатория Касперского" Тел.:: +7 (095) 797-8700 E-mail: newvirus@kaspersky.com http://www.kaspersky.com http://www.viruslist.com From: Famatech Support >> Attachment: exe.rar Уважаемые господа! В аттаче (exe.rar) запакованы при файла, которые пользователь прислал (см. цитату ниже) с комментариями, что это троянцы, копируемые на взломанные компьютеры посредством выпускаемой нашей компанией программы удалённого администрирования (www.radmin.com). Передаю на ваш анализ файлы, заподозренные в их троянской сущности. Прошу заметить, что в различных онлайновых форумах действительно уже появились жалобы от пользователей на появление файлов "tzpy.exe", "tzpf.exe", "ric1.exe", "rich.exe". ===конец цитаты
- К вопросу о DOS атаках через Radmin, Ilia Demenkov, 23:10 , 26-Фев-04 (19)
- К вопросу о DOS атаках через Radmin, Solo, 10:40 , 27-Фев-04 (31)
- К вопросу о DOS атаках через Radmin, Defender, 11:34 , 27-Фев-04 (32)
- К вопросу о DOS атаках через Radmin, BD, 14:42 , 27-Фев-04 (33)
- К вопросу о DOS атаках через Radmin, Артур Бойко, 19:36 , 27-Фев-04 (36)
- К вопросу о DOS атаках через Radmin, Аноним, 10:53 , 29-Фев-04 (46)
- К вопросу о DOS атаках через Radmin, Аноним, 22:16 , 03-Мрт-04 (63)
- уязвимость ограничения прав на файлы/папки через Radmin, Аноним, 11:37 , 07-Фев-06 (71)
|