Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 13-08-2003, 21.31.49   #61
jan_81
Guest
 
Messaggi: n/a
Avete ragione, son finito off topic ma mi son sentito obbligato a rispondere..

Auguri di pronta guarigione a tutti..
  Rispondi citando
Vecchio 14-08-2003, 01.18.32   #63
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Sembra che il "Blaster.A" non si attivi solamente con l'eseguibile "msblast.exe" ma anche con un secondo eseguibile per ora identificato come "anti_blaster.exe" in c:\windows\system32

In questo caso i primi tool removibili risultano inefficenti in quanto non rintracciano questo secondo eseguibile...

La procedura manuale per rimuovere il Virus è la stessa usata per l'eseguibile "msblast.exe"


Nuova versione del tool Symantec per rimuovere il Virus (Variante "A" e "B"):
http://securityresponse.symantec.com...r/FixBlast.exe

Nuova versione del tool CA per rimuovere il Virus
(Varianti "A", "B" e "C") Version: 2.0.0 :

http://www3.ca.com/Files/VirusInfor...ion/ClnPoza.zip

Ultima modifica di Giorgius : 14-08-2003 alle ore 10.28.29
Giorgius non è collegato   Rispondi citando
Vecchio 14-08-2003, 01.49.22   #64
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Dal Sito di Nod32.it

Questo worm si diffonde via Internet sfruttando una vulnerabilità del servizio RPC/DCOM (Remote Procedure Call – Distributed Component Object Model) presente sui sistemi Windows basati su tecnologia NT (NT/2000/XP/2003). Attualmente, il worm sembra essere in grado di infettare con successo soltanto i sistemi 2000 e XP, sebbene su altre versioni di Windows possa comunque creare improvvisi riavvii e malfunzionamenti (crash di sistema).
La patch per tale vulnerabilità era già stata rilasciata da Microsoft il 16 luglio 2003 e descritta nel bollettino MS03-026. Per i dettagli:
http://www.microsoft.com/technet/tre...n/MS03-026.asp

Il worm è costituito da un file eseguibile a 32 bit per Windows con formato PE (Portable Executable), compresso con il programma UPX. La sua lunghezza è di 6176 byte (una volta decompresso, la lunghezza del file è di 11296 byte). Il nome del file è msblast.exe.

Per diffondersi, il worm effettua una scansione di indirizzi IP selezionati in modo casuale, tentando di collegarsi sulla porta TCP 135, dove invia dei dati destinati a sfruttare la vulnerabilità del servizio RPC.
Il worm effettua 20 scansioni per volta, quindi attende per 1.8 secondi, tenta altre 20 scansioni e così via.
Nel caso in cui il sistema sia vulnerabile (cioè ancora privo di patch) l’exploit generato dal worm crea una shell remota alla quale è possibile collegarsi in remoto, ovvero fa in modo che la shell di sistema CMD.EXE sia in ascolto sulla porta TCP 4444. Al fine di copiare se stesso sul computer compromesso, il worm si mette in ascolto sulla porta UDP 69 (Servizio TFTP - Trivial File Transfer Protocol) e inizia una sessione TFTP per trasferire l’intero file che contiene il suo codice. Il file msblast.exe viene creato nella cartella di sistema di Windows.

Una volta eseguito sul computer, il worm crea un Mutex (Mutual Exclusion, un oggetto di sistema normalmente usato per le sincronizzazioni dei thread) con nome “BILLY”, il tutto allo scopo di evitare l’esecuzione contemporanea di più copie di se stesso.

Per venire eseguito in automatico a ogni avvio del sistema, il worm modifica il Registro inserendo il valore

"windows auto update"="msblast.exe"

nella chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

All’interno del codice del worm sono presenti le seguenti stringhe:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

A partire dal 16 agosto e fino alla fine dell’anno, il worm comincia a inviare dei pacchetti di rete verso il sito windowsupdate.com con l’intento di attuare un attacco Denial of Service.

Dettagli tecnici

Per selezionare gli indirizzi IP verso i quali portare l’attacco, il worm usa un particolare algoritmo al fine di tentare l’infezione di network vicini all’indirizzo IP del computer infettato.
Come è noto un indirizzo IPv4 è un numero a 32 bit suddiviso in quattro “octet” da un byte ciascuno. Ponendo di poterlo suddividere nelle variabili

A.B.C.D

con ogni variabile in grado di ospitare un octet dell’indirizzo IP completo, in primo luogo il worm ne imposta i valori usano l’indirizzo IP del computer infetto. Quindi, basandosi su un numero casuale scelto nell’intervallo tra 1 e 20, il worm usa questo indirizzo come base di partenza per la scansione, o altrimenti ne genera uno completamente casuale.
Se il numero casuale è maggiore o uguale a 12 viene usato l’indirizzo IP del computer infetto. In questo caso se C è maggiore di 20 il worm sottrae il valore 20 da C. D è sempre impostato a 0.
Se il worm stabilisce di impiegare un indirizzo casuale, i valori delle variabili A, B e C sono generati in modo random e possono assumere i seguenti valori
A da 1 a 254
B da 0 a 253
C da 0 a 253
D è sempre impostato a 0

Ultima modifica di Giorgius : 14-08-2003 alle ore 10.29.10
Giorgius non è collegato   Rispondi citando
Vecchio 14-08-2003, 02.39.03   #65
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Per le varianti "B" e "C" del Virus seguite quest'altro Thread
http://www.wintricks.it/forum/showth...678#post495678

Non si sa ancora se contengano dei "Time Bombing" (ore e date precise quando il Virus decide di colpire) come la variante "A" del Virus...
Giorgius non è collegato   Rispondi citando
Vecchio 14-08-2003, 04.17.35   #66
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Steve Gibson sta realizzando una nuova utility per sistemare il problema Blaster/LovSan

--------------------------------------------------------------
Here's a little 5k console app which incorporates the DCOM/RPC vulnerability testing logic I've worked out to be used in the DCOMbobulator.
If you run it by double-clicking you'll just see a "flash" of a console window since it doesn't have a "pause" at the end. So you'll need to open an MS-DOS Prompt window and run "dcom.exe" from there. (Last time I did this I *did* have a pause so it could be run from Windows with an implied launch of the console window, but that confused people even more.)
For all of you who have already DCOM-patched your systems, and have left DCOM active, it should tell you that DCOM services are available and that your system is NOT vulnerable to the buffer overrun exploit.
For those of you who have disabled DCOM, it should tell you that DCOM services are not available on your system -- and since this means you're not vulnerable to the buffer overrun, it'll say that too. (It can not definitively test for your system's vulnerability with DCOM disabled.)
If any of you have not yet patched your systems, presumably because you're behind filters of one form or another which prevent unsolicited incoming connections to port 135 (as is the case for me), and if your DCOM is still enabled, this little tool should tell you that those systems ARE currently vulnerable to the DCOM remote buffer overrun exploit.
If this little app does anything else strange, I'll love to know!
This core technology will be moved into the DCOMbobulator where many more bells and whistles will be provided.
------------------------------------------------------------------

DCom Dos Test:
http://grc.com/miscfiles/dcom.exe

Dopo averla scaricata su "C:\"

aprite una finestra Dos ed avviate l'eseguibile "dcom.exe"
Il Test verificherà l'eventuale presenza della falla MS.

Ultima modifica di Giorgius : 14-08-2003 alle ore 10.36.01
Giorgius non è collegato   Rispondi citando
Vecchio 14-08-2003, 11.28.23   #67
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
Quota:
Originariamente inviato da Giorgius
Per ovviare a certi Virus, in Windows basta usare un Browser ed un gestore di E-Mail come Opera o Mozilla
Si, ma con questo Blaster purtroppo non servono a niente .

La falla riguarda il Sistema Opertativo, non il browser o il client di posta.

Comunque, il consiglio di utilizzare Mozilla o Opera (con le rispettive Suite di applicazioni) per migliorare la propria sicurezza in Internet, è un MUST ! (Y)


SALUDOS Y BESOS !!!
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato   Rispondi citando
Vecchio 14-08-2003, 11.52.59   #68
young
Junior Member
 
Registrato: 31-08-2002
Messaggi: 66
young promette bene
L'uso di un router adsl nel collegamento internet offre una maggiore protezione contro l'attacco del virus? Ho letto che tenta di entrare nel sistema attraverso la porta TCP 135. Questa normalmente è chiusa nei router adsl.
young non è collegato   Rispondi citando
Vecchio 14-08-2003, 12.22.47   #69
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Hai fatto il Test Gibson?
Giorgius non è collegato   Rispondi citando
Vecchio 14-08-2003, 12.53.50   #70
invernomuto
Senior Member
 
L'avatar di invernomuto
 
Registrato: 23-03-2002
Loc.: northern italy
Messaggi: 295
invernomuto promette bene
...sì...DCOM services are avaiable on this machine
DCOM services are NOT vulnerable on this machine...
Una mia piccola considerazione semi-OT.
Quindi questo verme per colpire ha bisogno di questi requisiti:
Che il sistema NON sia stato patchato
Che il sistema NON sia protetto da un AV aggiornato
Che il sistema NON sia protetto da un FW funzionale
...voglio dire...è un bel insieme di "casualità" no?!?
___________________________________

Ci hanno insegnato la meraviglia verso la gente che ruba il pane...oggi sappiamo che è un delitto il non rubare quando si ha fame...(F.de Andrè)
Lupo mannaro
invernomuto non è collegato   Rispondi citando
Vecchio 14-08-2003, 13.26.33   #71
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Già
Giorgius non è collegato   Rispondi citando
Vecchio 14-08-2003, 13.29.43   #72
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Per i più esperti



These scripts which are AD and group policy driven significantly help lager enterprises kill the MSBlast virus. The files currently available are revised slightly from the previous rev.

An AD Domain Admin may apply these scripts to computer startup, and user logon scripts respectively. The processes temporarily, but significantly helps reduce the virus's propagation and gives the end user enough time to apply the required patch. Notification of the virus is displayed to the logged on user and a link to the patches is displayed. This file share must be modified in the script to reflect each enterprises deployment directory.

1. The computer side script runs when a domain member machine starts. This script finds the registry entries, any running processes, and the executable and kills them. When the actual executable is deleted, a 'safe' placeholder file is put in its place. It is only a text file with an extension of .exe so:

2. When the user logs in, the second script takes over. The script looks for the same items as the computer script; however will send notification to logged on user that the patches need to be applied and provides an IE window with a link to them. The program then loops indefinitely and checks for the virus every ten seconds. The reason for this is that may times the machines are being infected; and they restart before the patches can be applied The looping app kills the processes fast enough to keep this from happening. This process is fairly low overhead, only consuming 2-3 cpu cycles every ten seconds.

Once the machines are patched, they are good to go. Even if they machine is infected before the machine is rebooted, the next boot will clean the machine. An infection notice will be given to the user at that point even though the patch had been applied. There is no need to reapply the patch.


- Computer based group policy script:
Download:
Mirror: http://www.winona.edu/its/downloads/..._compside.vbs_

- User based group policy script:
Download:
Mirror: http://www.winona.edu/its/downloads/..._userside.vbs_


WSU Admins
Giorgius non è collegato   Rispondi citando
Vecchio 14-08-2003, 14.05.22   #73
foxmolder74
Newbie
 
Registrato: 14-08-2003
Messaggi: 13
foxmolder74 promette bene
Ragazzi ho lanciato il fix tool della symantec e poi ho installato la patch della microsoft solo che siccome avevo formattato adesso non riesco più a scaricare le directx oppure la java machine.. ecc... come mai? Ringrazio tutti coloro che mi risponderanno
foxmolder74 non è collegato   Rispondi citando
Vecchio 14-08-2003, 15.09.31   #74
Madan
Newbie
 
Registrato: 13-08-2003
Messaggi: 6
Madan promette bene
Come faccio a sapere se ho ancora le versioni B e C di sto c..... di worm?
Mi piacerebbe avere tra le mani il TIZIO che a combinato sto casino
Madan non è collegato   Rispondi citando
Vecchio 14-08-2003, 15.16.08   #75
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Sembra più un "Virus su commissione"

Leggi il Thread delle Varianti "B" e "C"
http://www.wintricks.it/forum/showth...678#post495678
Giorgius non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
AutoPatcher Vista June 2007 giancarlof Segnalazioni Web 4 07-08-2007 22.16.05
Bios Updates Billow Archivio News Web 0 08-11-2004 10.28.25
Bios Updates Billow Archivio News Web 0 04-10-2004 18.04.22
Bios Updates Billow Archivio News Web 0 17-09-2004 11.37.53
Bios Updates Billow Archivio News Web 1 15-09-2004 01.08.01

Orario GMT +2. Ora sono le: 14.04.04.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.