Уязвимость в svchost.exe
Такая значит ситуевина случилась недавно.
Подключаюсь к инет через диалап и сразу вылетает рекламное messenger-овское окошко такого вида (по отчету в EventLog)
Application popup: Messenger Service : Message from SECURITY to ALERT on 10.06.2005 21:32:57
STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION.
Windows has found CRITICAL SYSTEM ERRORS
To fix the errors please do the following:
1. Download Registry Repair from: http://www.windowsregfix.com
2. Install Registry Repair
3. Run Registry Repair
4. Reboot your computer
FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION!
На лицо рекламный характер сообщения.
Фаервол показал принятый входящий пакет со следующими аттрибутами:
процесс svchost.exe
направление IN
протокол UDP
удаленный хост 222.174.34.158
удаленный порт 32842
локальный адрес 195.162.35.253
локальный порт 1026
размер данных 502 байт
Платформа win2003server, svchost.exe версия 5.2.3790.0
У кого есть какая инфа по этой уязвимости (или особенности) svchost.exe ??
Заранее спасибо.
Всем привет!
Такая значит ситуевина случилась недавно.
STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION.
Windows has found CRITICAL SYSTEM ERRORS
To fix the errors please do the following:
1. Download Registry Repair from: http://www.windowsregfix.com
2. Install Registry Repair
3. Run Registry Repair
4. Reboot your computer
FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION!
Гы! Попали на китайский IP-спам. Ни какая это не уязвимость - просто автоматическа спамовая рассылка по фанарным IP-адресам различных рекламных сообщений в стиле "net send xxx.xxx.xxx.xxx сообщение". Использует виндовую службу messenger: порты 1026 и 1027. Об этом где-то на microsoft.com даже было написано, да вот только где - найти сейчас не смог. Но знаком с ситуацией лично - лечил у знакомой. И у самого постоянно выскакивают сообщения от файерволла о том, что пришел UDP-пакет на порт 1026 или 1027.
Борьба: вы используете вышеуказанную службу? Если нет, то просто выключите ее. Болезнь пройдет. Если используете, то установите в файерволле доверенные адреса с которых разрешен прием сообщений.
Но все же очень желательно проверить комп на spy-ware и прочую пакость.
Гы! Попали на китайский IP-спам. Ни какая это не уязвимость - просто автоматическа спамовая рассылка по фанарным IP-адресам различных рекламных сообщений в стиле "net send xxx.xxx.xxx.xxx сообщение". Использует виндовую службу messenger: порты 1026 и 1027. Об этом где-то на microsoft.com даже было написано, да вот только где - найти сейчас не смог. Но знаком с ситуацией лично - лечил у знакомой. И у самого постоянно выскакивают сообщения от файерволла о том, что пришел UDP-пакет на порт 1026 или 1027.
Борьба: вы используете вышеуказанную службу? Если нет, то просто выключите ее. Болезнь пройдет. Если используете, то установите в файерволле доверенные адреса с которых разрешен прием сообщений.
Но все же очень желательно проверить комп на spy-ware и прочую пакость.
Спасибо, pacific_7. Выходит, что разработчики специально оставили открытый порт для спама.
Выходит, что разработчики специально оставили открытый порт для спама.
Не, оставили для свободного общения людей. А нелюди (спамеры) тоже решили этим попользоваться.
Об этом где-то на microsoft.com даже было написано.
Если найдешь вдруг, выложь пожалуйста ссылочку.
Спасибо, pacific_7. Выходит, что разработчики специально оставили открытый порт для спама.
А у меня на серваке этих svchost 4 штуки висит в чем трабл кто знает?
А у меня на серваке этих svchost 4 штуки висит в чем трабл кто знает?
Как говорил великий Карлсон: "Спокойствие и только спокойствие!"
Так и надо - что бы их 4 штуки было.
А у меня на серваке этих svchost 4 штуки висит в чем трабл кто знает?
А это не трабл. Посмотри в свойствах некоторых служб, как они запускаются и всё поймёшь (например служба автообновления).