sanmai

Е*ануться об черешню!

kaspersky.com не открывается?.. О_о

Не-не-не… я в танке под Маком. Надо будет проверить дома ноутбук жены.

К вам уже выехали =))

Парень, по ходу дела, сам слабо разбирается в вопросе, путает DCE/RPC и FTP, там дальше - больше.

Факт: не разбирается. С другой стороны, предупрежден, значит вооружен.

Это да. Но к сожалению, постоянное падение квалификации сотрудников антивирусных компаний я наблюдаю с 2003 года, поскольку регулярно общаюсь с представителями этих компаний по вопросам модулей к самбе. И это инженеры, а не саппорт или менеджеры.

Червь использует ошибку в реализации DCE/RPC. Этим стеком протоколов ни реализации FTP-протокола, ни реализации Torrent не пользуются.

Вам уже объяснили, что ошибка в реализации DCE/RPC и поэтому FTP/Torrent/чего там еще отношения к делу не имеют. Вы просто не понимаете, что такое DCE/RPC и как связано оно с другими упоминаемыми Вами протоколами (ответ: никак).

Что касается простого решения этой проблемы для пользователей, то достаточно было бы _до_ обязательной установки обновления порекомендовать сделать два следующих шага:
-Disable the Server and Computer Browser services
-Block TCP ports 139 and 445 at the firewall

После обновления системы для восстановления работоспособности разрешить сервисы Server и Computer Browser. Порты на файрволле разблокировать не обязательно, их вообще наружу (например, за пределы домашней сети) не стоит выпускать.

Собственно, это Вам уже порекомендовали в дискуссии в Вашем журнале в ответ на довольно бессмысленное заявление о том, что RPC - стандартный протокол и его "может быть используют ftp-сервер или торрент-клиент".

То, что у MS называется "Server service" -- это принимающая часть DCE/RPC, работающая по портам TCP/139 и TCP/445. Если Вы писали код, который работает посредством DCE/RPC, то должны это знать.

Если Вас не устраивает такое объяснение, то можете сходить по собственным ссылкам на сайт Microsoft и убедиться, что речь идет о проблемном коде в netapi32.dll и конкретно этот червь использует уязвимость в коде функции разбора пути NetPathCanonicalize, которая является частью службы srvsvc ("Server service").

Код червя использует ошибку в анализе элементов пути, которые ссылаются на каталог верхнего уровня, фактически аналогично тому, как многие "ломалки" сайтов использовали уязвимости в обработке путей к данным в типичных приложения на PHP/Perl/Python и так далее -- в стиле ../../../etc/passwd. Реальные подробности работы червя можно найти на Honeynet.org: http://www.honeynet.org/node/254

Ваша настойчивость заставляет меня не верить тому, что Вы писали код с использованием netapi. Уж извините за это неверие.

У меня этот выбор сложился в 2000 году... ^^

Давно!!

Фотки тоже под линуксом правишь?

Ага...

Под линуксом, честно говоря пока не очень, моё полиграфическое прошлое заставляет меня в этом смысле доверять только макинтошу, а там есть фотошоп, апертура, лайтрум, и ещё много что есть! ^^

Попробуй убедить в этом пользователей!

Все прекрасно помнят как система устанавливала какой-нибудь хитрый антипиратский апдейт и... все переставало работать.