|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
13-08-2003, 20.31.49 | #61 |
Guest
Messaggi: n/a
|
Auguri di pronta guarigione a tutti.. |
13-08-2003, 20.42.02 | #62 |
Guest
Messaggi: n/a
|
|
14-08-2003, 00.18.32 | #63 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Sembra che il "Blaster.A" non si attivi solamente con l'eseguibile "msblast.exe" ma anche con un secondo eseguibile per ora identificato come "anti_blaster.exe" in c:\windows\system32
In questo caso i primi tool removibili risultano inefficenti in quanto non rintracciano questo secondo eseguibile... La procedura manuale per rimuovere il Virus è la stessa usata per l'eseguibile "msblast.exe" Nuova versione del tool Symantec per rimuovere il Virus (Variante "A" e "B"): http://securityresponse.symantec.com...r/FixBlast.exe Nuova versione del tool CA per rimuovere il Virus (Varianti "A", "B" e "C") Version: 2.0.0 : http://www3.ca.com/Files/VirusInfor...ion/ClnPoza.zip Ultima modifica di Giorgius : 14-08-2003 alle ore 09.28.29 |
14-08-2003, 00.49.22 | #64 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Dal Sito di Nod32.it
Questo worm si diffonde via Internet sfruttando una vulnerabilità del servizio RPC/DCOM (Remote Procedure Call – Distributed Component Object Model) presente sui sistemi Windows basati su tecnologia NT (NT/2000/XP/2003). Attualmente, il worm sembra essere in grado di infettare con successo soltanto i sistemi 2000 e XP, sebbene su altre versioni di Windows possa comunque creare improvvisi riavvii e malfunzionamenti (crash di sistema). La patch per tale vulnerabilità era già stata rilasciata da Microsoft il 16 luglio 2003 e descritta nel bollettino MS03-026. Per i dettagli: http://www.microsoft.com/technet/tre...n/MS03-026.asp Il worm è costituito da un file eseguibile a 32 bit per Windows con formato PE (Portable Executable), compresso con il programma UPX. La sua lunghezza è di 6176 byte (una volta decompresso, la lunghezza del file è di 11296 byte). Il nome del file è msblast.exe. Per diffondersi, il worm effettua una scansione di indirizzi IP selezionati in modo casuale, tentando di collegarsi sulla porta TCP 135, dove invia dei dati destinati a sfruttare la vulnerabilità del servizio RPC. Il worm effettua 20 scansioni per volta, quindi attende per 1.8 secondi, tenta altre 20 scansioni e così via. Nel caso in cui il sistema sia vulnerabile (cioè ancora privo di patch) l’exploit generato dal worm crea una shell remota alla quale è possibile collegarsi in remoto, ovvero fa in modo che la shell di sistema CMD.EXE sia in ascolto sulla porta TCP 4444. Al fine di copiare se stesso sul computer compromesso, il worm si mette in ascolto sulla porta UDP 69 (Servizio TFTP - Trivial File Transfer Protocol) e inizia una sessione TFTP per trasferire l’intero file che contiene il suo codice. Il file msblast.exe viene creato nella cartella di sistema di Windows. Una volta eseguito sul computer, il worm crea un Mutex (Mutual Exclusion, un oggetto di sistema normalmente usato per le sincronizzazioni dei thread) con nome “BILLY”, il tutto allo scopo di evitare l’esecuzione contemporanea di più copie di se stesso. Per venire eseguito in automatico a ogni avvio del sistema, il worm modifica il Registro inserendo il valore "windows auto update"="msblast.exe" nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run All’interno del codice del worm sono presenti le seguenti stringhe: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! A partire dal 16 agosto e fino alla fine dell’anno, il worm comincia a inviare dei pacchetti di rete verso il sito windowsupdate.com con l’intento di attuare un attacco Denial of Service. Dettagli tecnici Per selezionare gli indirizzi IP verso i quali portare l’attacco, il worm usa un particolare algoritmo al fine di tentare l’infezione di network vicini all’indirizzo IP del computer infettato. Come è noto un indirizzo IPv4 è un numero a 32 bit suddiviso in quattro “octet” da un byte ciascuno. Ponendo di poterlo suddividere nelle variabili A.B.C.D con ogni variabile in grado di ospitare un octet dell’indirizzo IP completo, in primo luogo il worm ne imposta i valori usano l’indirizzo IP del computer infetto. Quindi, basandosi su un numero casuale scelto nell’intervallo tra 1 e 20, il worm usa questo indirizzo come base di partenza per la scansione, o altrimenti ne genera uno completamente casuale. Se il numero casuale è maggiore o uguale a 12 viene usato l’indirizzo IP del computer infetto. In questo caso se C è maggiore di 20 il worm sottrae il valore 20 da C. D è sempre impostato a 0. Se il worm stabilisce di impiegare un indirizzo casuale, i valori delle variabili A, B e C sono generati in modo random e possono assumere i seguenti valori A da 1 a 254 B da 0 a 253 C da 0 a 253 D è sempre impostato a 0 Ultima modifica di Giorgius : 14-08-2003 alle ore 09.29.10 |
14-08-2003, 01.39.03 | #65 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Per le varianti "B" e "C" del Virus seguite quest'altro Thread
http://www.wintricks.it/forum/showth...678#post495678 Non si sa ancora se contengano dei "Time Bombing" (ore e date precise quando il Virus decide di colpire) come la variante "A" del Virus... |
14-08-2003, 03.17.35 | #66 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Steve Gibson sta realizzando una nuova utility per sistemare il problema Blaster/LovSan
-------------------------------------------------------------- Here's a little 5k console app which incorporates the DCOM/RPC vulnerability testing logic I've worked out to be used in the DCOMbobulator. If you run it by double-clicking you'll just see a "flash" of a console window since it doesn't have a "pause" at the end. So you'll need to open an MS-DOS Prompt window and run "dcom.exe" from there. (Last time I did this I *did* have a pause so it could be run from Windows with an implied launch of the console window, but that confused people even more.) For all of you who have already DCOM-patched your systems, and have left DCOM active, it should tell you that DCOM services are available and that your system is NOT vulnerable to the buffer overrun exploit. For those of you who have disabled DCOM, it should tell you that DCOM services are not available on your system -- and since this means you're not vulnerable to the buffer overrun, it'll say that too. (It can not definitively test for your system's vulnerability with DCOM disabled.) If any of you have not yet patched your systems, presumably because you're behind filters of one form or another which prevent unsolicited incoming connections to port 135 (as is the case for me), and if your DCOM is still enabled, this little tool should tell you that those systems ARE currently vulnerable to the DCOM remote buffer overrun exploit. If this little app does anything else strange, I'll love to know! This core technology will be moved into the DCOMbobulator where many more bells and whistles will be provided. ------------------------------------------------------------------ DCom Dos Test: http://grc.com/miscfiles/dcom.exe Dopo averla scaricata su "C:\" aprite una finestra Dos ed avviate l'eseguibile "dcom.exe" Il Test verificherà l'eventuale presenza della falla MS. Ultima modifica di Giorgius : 14-08-2003 alle ore 09.36.01 |
14-08-2003, 10.28.23 | #67 | |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
Quota:
La falla riguarda il Sistema Opertativo, non il browser o il client di posta. Comunque, il consiglio di utilizzare Mozilla o Opera (con le rispettive Suite di applicazioni) per migliorare la propria sicurezza in Internet, è un MUST ! (Y) SALUDOS Y BESOS !!!
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
|
14-08-2003, 10.52.59 | #68 |
Junior Member
Registrato: 31-08-2002
Messaggi: 66
|
L'uso di un router adsl nel collegamento internet offre una maggiore protezione contro l'attacco del virus? Ho letto che tenta di entrare nel sistema attraverso la porta TCP 135. Questa normalmente è chiusa nei router adsl.
|
14-08-2003, 11.22.47 | #69 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Hai fatto il Test Gibson?
|
14-08-2003, 11.53.50 | #70 |
Senior Member
Registrato: 23-03-2002
Loc.: northern italy
Messaggi: 295
|
...sì...DCOM services are avaiable on this machine
DCOM services are NOT vulnerable on this machine... Una mia piccola considerazione semi-OT. Quindi questo verme per colpire ha bisogno di questi requisiti: Che il sistema NON sia stato patchato Che il sistema NON sia protetto da un AV aggiornato Che il sistema NON sia protetto da un FW funzionale ...voglio dire...è un bel insieme di "casualità" no?!?
___________________________________
Ci hanno insegnato la meraviglia verso la gente che ruba il pane...oggi sappiamo che è un delitto il non rubare quando si ha fame...(F.de Andrè) Lupo mannaro |
14-08-2003, 12.26.33 | #71 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Già
|
14-08-2003, 12.29.43 | #72 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Per i più esperti
These scripts which are AD and group policy driven significantly help lager enterprises kill the MSBlast virus. The files currently available are revised slightly from the previous rev. An AD Domain Admin may apply these scripts to computer startup, and user logon scripts respectively. The processes temporarily, but significantly helps reduce the virus's propagation and gives the end user enough time to apply the required patch. Notification of the virus is displayed to the logged on user and a link to the patches is displayed. This file share must be modified in the script to reflect each enterprises deployment directory. 1. The computer side script runs when a domain member machine starts. This script finds the registry entries, any running processes, and the executable and kills them. When the actual executable is deleted, a 'safe' placeholder file is put in its place. It is only a text file with an extension of .exe so: 2. When the user logs in, the second script takes over. The script looks for the same items as the computer script; however will send notification to logged on user that the patches need to be applied and provides an IE window with a link to them. The program then loops indefinitely and checks for the virus every ten seconds. The reason for this is that may times the machines are being infected; and they restart before the patches can be applied The looping app kills the processes fast enough to keep this from happening. This process is fairly low overhead, only consuming 2-3 cpu cycles every ten seconds. Once the machines are patched, they are good to go. Even if they machine is infected before the machine is rebooted, the next boot will clean the machine. An infection notice will be given to the user at that point even though the patch had been applied. There is no need to reapply the patch. - Computer based group policy script: Download: Mirror: http://www.winona.edu/its/downloads/..._compside.vbs_ - User based group policy script: Download: Mirror: http://www.winona.edu/its/downloads/..._userside.vbs_ WSU Admins |
14-08-2003, 13.05.22 | #73 |
Newbie
Registrato: 14-08-2003
Messaggi: 13
|
Ragazzi ho lanciato il fix tool della symantec e poi ho installato la patch della microsoft solo che siccome avevo formattato adesso non riesco più a scaricare le directx oppure la java machine.. ecc... come mai? Ringrazio tutti coloro che mi risponderanno
|
14-08-2003, 14.09.31 | #74 |
Newbie
Registrato: 13-08-2003
Messaggi: 6
|
Come faccio a sapere se ho ancora le versioni B e C di sto c..... di worm?
Mi piacerebbe avere tra le mani il TIZIO che a combinato sto casino |
14-08-2003, 14.16.08 | #75 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Sembra più un "Virus su commissione"
Leggi il Thread delle Varianti "B" e "C" http://www.wintricks.it/forum/showth...678#post495678 |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
AutoPatcher Vista June 2007 | giancarlof | Segnalazioni Web | 4 | 07-08-2007 21.16.05 |
Bios Updates | Billow | Archivio News Web | 0 | 08-11-2004 09.28.25 |
Bios Updates | Billow | Archivio News Web | 0 | 04-10-2004 17.04.22 |
Bios Updates | Billow | Archivio News Web | 0 | 17-09-2004 10.37.53 |
Bios Updates | Billow | Archivio News Web | 1 | 15-09-2004 00.08.01 |