Αντίστροφη μέτρηση στο PC - Ιός W32.Blaster.Worm

[Lucifer]

Ti restore?

[paravoid]

Gia na teleionoume.

To RPC Vulnerability einai isos mia aptis pio megales tripes stin istoria ton Windows. Oles oi ekdoseis ton NT einai vulnerable kai to exploit dinei root shell (diladi command prompt me SYSTEM privileges, ta anotera sta Windows). An omos ginei to exploit me lathos address tote parousiazetai to parapano minima.

Polloi exoun arxisei na kanoun scan gia auto to vuln, gia na to ekmetalleutoun, giauto kai tixainoun kapoia crasharismata.

Auta den einai kainourgia, to patch exei kikloforisei apo tis 16 iouliou apo ti microsoft (kai mexri kai i US goverment ebgale anakoinosi gia na ginei apply to patch)

To problima ksekinaei me to gegonos oti exei arxisei kai diadidetai ena worm to opoio epixeirei na kanei SYN Flood sto windowsupdate (merikoi lene oti auto ginetai kathe 16 kathe mina alla den einai 100% sigouro)

To worm auto tha to breite sto C:\Windows\System32\msblast.exe (i C:\WinNT\... ) kai sta anoixta processes sas. I lisi einai i eksis:

0) An bgalei minima gia shutdown kante ena 'shutdown -a' se ena command prompt

1) Kill to anoixto process msblast apton task manager

2) Delete tou arxeiou apto system32

3) Afairesi tou apto na trexei sto startup (deite kai sto msconfig)

4) Windowsupdate (kai oxi mono tora alla na kanete TAKTIKA, kathe ebdomada gia na apotrepontai kati tetoio) i apla egkatastasi tou MS03-026

Kai tha eiste katharoi

 

Good luck!

Hal proteino na mpei stin kentriki, ti les?

[vagos789]

Evala ki ego to firewall kai mallon eimai ok,to RPC therizei autes tis meres!

[predalien]

H ΛΥΣΗ:

 

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

 

 

 

8)

[hexdec]

Paidia to idio problima exo kai ego kati ginetai me to arxeio svchost.exe

Egatestisa to zone alarm kai ola ok molis zithse prosbash to ekleisa kai isixasa.Tora mporo aneta na katebaso to patch tis ms

[Jheremias]

http://www.myphone.gr/forum/showthread.php?s=&threadid=1881

 

Στα ελληνικά οδηγίες από τον paravoid

[Cristina]

Ε ρε γλέντια! Κατά τις 7 μου το έκανε και μένα!

Ε θα έκανα ίσα με 20 restarts...

Όχι ότι τα είδα όλα... όοοοοοοοοχι!!!

Μόνο τα νεύρα μου έγιναν τσατάλια...

[Reginald]

Sorry paidia pou anoixa allo thread me ayto to thema,den to eida ayto to topic giati eimoun viastikos min mou kanei pali restart,mou exei spasei kai mena ta nevra,ante na doume....

[Goulileos]

paidia molis ebala to patch. prosekste! kante opwsdhpote backup! apo mia blakeia mou eprepe na ksanakaw format ktl ktl

OPWSDHPOTE BACKUP prin to setup tou patch

[_BASSstarlet_]

Και μενα μου το εκανε απανωτα μερικες φορες!

Βοηθειαααααααααααααααα

Ξετσεκαρα απο το Remote οτι επιλογες ειχε,γιανα δουμε,παιζει ρολο?

[Xvipes]

epeidi blepw oti den kseretai na diabazetai.o paravoid sas edwse mia polu kali lisi kai akoma parapona.prwton dite ti einai auto RPC pou ksafnika egine gnwsto se olous mas!

 

MS03-026: Η υπέρβαση του buffer σε διασύνδεση RPC μπορεί να επιτρέψει την εκτέλεση κώδικα

Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:

Microsoft Windows Server 2003, 64-Bit Enterprise Edition

Microsoft Windows Server 2003, Enterprise Edition

Microsoft Windows Server 2003, Standard Edition

Microsoft Windows XP Professional

Microsoft Windows XP Professional Ελληνική έκδοση

Microsoft Windows XP Home Edition

Microsoft Windows XP Home Edition Ελληνική έκδοση

Microsoft Windows XP Media Center Edition

Microsoft Windows XP Tablet PC Edition

Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Professional

Microsoft Windows 2000 Professional Ελληνική έκδοση

Microsoft Windows 2000 Server

Microsoft Windows NT Server 4.0

Microsoft Windows NT Server 4.0 Terminal Server Edition

 

 

 

ΣΥΜΠΤΩΜΑΤΑ

Η διαδικασία απομακρυσμένης κλήσης (Remote procedure call - RPC) είναι ένα πρωτόκολλο που χρησιμοποιείται από το λειτουργικό σύστημα των Windows. Το RPC παρέχει ένα μηχανισμό επικοινωνίας στο εσωτερικό των διαδικασιών που επιτρέπει στο πρόγραμμα που εκτελείται σε έναν υπολογιστή να εκτελέσει χωρίς δυσκολία κώδικα σε απομακρυσμένο υπολογιστή. Το ίδιο το πρωτόκολλο προκύπτει από το πρωτόκολλο Open Software Foundation (OSF) RPC. Το πρωτόκολλο RPC που χρησιμοποιείται από τα Windows περιλαμβάνει ορισμένες πρόσθετες επεκτάσεις αποκλειστικά της Microsoft.

 

Υπάρχει ένα θέμα ευπάθειας στο τμήμα του RPC που ασχολείται με την ανταλλαγή μηνυμάτων μέσω του TCP/IP. Η αποτυχία προκύπτει εξαιτίας λανθασμένου χειρισμού των ακατάλληλων μηνυμάτων. Αυτό το συγκεκριμένο θέμα ευπάθειας επηρεάζει μια διασύνδεση DCOM (distributed Component Object Model) με το RPC, που αναμένει στη θύρα 135 του TCP/IP. Αυτή η διασύνδεση χειρίζεται τις αιτήσεις ενεργοποίησης μοντέλου DCOM οι οποίες αποστέλλονται από υπολογιστές-πελάτες (όπως διαδρομές Διεθνούς Σύμβασης Ονομάτων [uNC]) στο διακομιστή.

 

Για να εκμεταλλευτεί αυτό το θέμα ευπάθειας, ένας εισβολέας θα πρέπει να στείλει μια ειδικά διαμορφωμένη αίτηση στον απομακρυσμένο υπολογιστή στη θύρα 135.

 

Παράγοντες που αμβλύνουν τις επιπτώσεις

Για να εκμεταλλευτεί αυτό το θέμα ευπάθειας, ένας εισβολέας πρέπει να έχει τη δυνατότητα να στείλει μια αίτηση που έχει δημιουργηθεί ειδικά στη θύρα 135 του απομακρυσμένου υπολογιστή. Για περιβάλλοντα intranet, η θύρα αυτή είναι συνήθως προσβάσιμη, αλλά για υπολογιστές που συνδέονται μέσω του Internet η θύρα 135 είναι συνήθως μπλοκαρισμένη από τείχος προστασίας. Εάν η θύρα αυτή δεν είναι μπλοκαρισμένη ή σε περιβάλλον intranet, ο εισβολέας δεν χρειάζεται να έχει κανένα άλλο πρόσθετο δικαίωμα.

Στις συστάσεις για τις βέλτιστες πρακτικές περιλαμβάνεται το μπλοκάρισμα όλων των θυρών TCP/IP που ουσιαστικά δεν χρησιμοποιούνται. Επομένως, η θύρα 135 θα πρέπει να είναι μπλοκαρισμένη στους περισσότερους υπολογιστές που συνδέονται μέσω του Internet. Η διαδικασία απομακρυσμένης κλήσης (RPC) μέσω του TCP δεν προβλέπεται να χρησιμοποιηθεί σε εχθρικά περιβάλλοντα, όπως το Internet. Πιο αξιόπιστα πρωτόκολλα, όπως το RPC μέσω του HTTP (Hypertext Transfer Protocol) παρέχονται για εχθρικά περιβάλλοντα.

phgh: http://support.microsoft.com/?kbid=823980

 

kai gia tin antimetwpisi mporeite na katebasete to patch tha elega egw apo edw ----> http://microsoft.com/downloads/details.aspx?displaylang=el&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074

to url ayto einai gia ta ellinika windows gia alli glwssa apla tha epileksete tin analogi glwssa pou theletai apo to menou sta dexia.Elpizw na boithisa kai min pige xameno to toso megalo topic.

[TheBoyFromSalina]

xreiazetai na adeiasoume to fakelo C:\WINDOWS\Prefetch

opws diavasa kapou?

[Xvipes]

TheBoyFromSalina den nomizw.pantos oti kai an diabazeis na blepeis apo poia selida einai giati twra tha bgaloun polles moufies!

[steliosdj]

Φαινεται πως σταθηκα τυχερος !

Το Zonealarm μαζι με το Panda Antivirus εκαναν δουλεια !

Οχι τιποτε αλλο αλλα εδω και ενα μηνα ειμαι online 20 ωρες την ημερα...

 

Δειτε εδω ... http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

[Karelia]

mou to ekane k mena apo extes,oxi mia k dio fores alla para polles,otan ekana klisi k oxi mono..

energopoiisa to firewall stin sindesi k den exi ksanagini tipota!