|
TwojePC.pl © 2001 - 2024
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
piepszony plik msblast.exe - co on robi ?? uwazajcie na niego ! , NimnuL-Redakcja 12/08/03 10:43
Witam!
Dzisiaj buszując po necie chyba podlapalem jakis plik, wydaje mi sie, ze ze strony www.madonion.com z dzialu Download gdzie szukalem 3D Marka 2001 dla znajomego ... jak się później okazało plik nazywal sie msblast.exe
Co robił ?? w sumie to nie jestem do konca pewny ... bo bylo to tak ... po wejsciu na strone madonion nie moglem sie rozlaczyc z netem ;> jak klikalem na "rozlacz" (mam modem) to wyskakiwal komunikat, ze "połączenie nie może byc przerwane" ... myslalem ,ze to wina TPsa, ze postanowila nie rozlaczac swoich klientów przez co zbije kokosy ;>
Ale wyjalem wtyczke z modemu, modem od strony TPsa po kilku sekundach sam sie rozlaczyl a u mnie w kompie po kilkudziesieciu sekundach .
Sytuacja powtórzyla sie ponownie przy nastepnym polaczeniu .. ale olalem sprawe ponownie .. nie chcialo mi sie nad tym myslec .
Za trzecim razem zauwazylem, ze modme bez przerwy pracuje gdy to strony internetowe sie nie sciagaja, poczta sie nie wysyla itd... sprawdzilem na dane i okazalo sie, ze komp wysyla cos w swiat .. cholera wie co bo nie mam firewalla i nie wiem jak to sprawdzic . . no ale sie nieco przelaklem ze mi tu ktos filmy usiluje przez mode m wypchnac ;> wiec sie rozlaczylem i wcisnalem ctrl + alt + del ... Menager Zadan -> Procesy ... tak zauwazylem jeden nowy dla mnie program .. wlasnie o nazwie msblast.exe ... mały 8KB programik . odszukalem go na dysku i okazalo sie, ze zostal utworzony dzisiaj ... wiec go wypiepszylem ...
wirus to nie byl na pewno, bo mam NAV2002 z nowymi bibliotekami ... moze trojan ? moze cos innego ? co ??
ktos wie co to byl za program i co ode mnie wysylal ??
jak w przyszlosci sprawdzic jakie programyy cos wysylaja w swiat itd ?? tylko firewall podaje takie info ??
dziekuje i pozdrawiamGdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - re: , capri 12/08/03 10:49
http://www.twojepc.pl/boardPytanie49614.htm
http://www.twojepc.pl/boardPytanie49618.htmQuidquid latine dictum sit,
altum videtur - tutaj też..... , soker 12/08/03 12:08
http://infojama.pl temat "zdalnie zamykane okna"CiviCUser
- mialem go wczoraj , Dhoine 12/08/03 10:51
razem z glosnymi restartami systemu.
MSBLAST.EXE caly czas probuje dogadac sie z kolejnymi IP (numerek po numerku).
Najlepiej wywalic go z rejestru (klucz ...currentversion/run) i z dysku (/system32). - a to nie ten sam problem , yourerck 12/08/03 10:51
co tu http://twojepc.pl/boardPytanie49614.htm , nawet brales udzial w dyskusji- no tak... , NimnuL-Redakcja 12/08/03 10:57
nie wczytalem sie w problem, bo mylalem ,ze mnie to nie tyczy ;> choc system mi sie nie wieszal i nie resetowal.Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - jaki z tego wniosek? ;) , capri 12/08/03 10:58
j.w.Quidquid latine dictum sit,
altum videtur - nie wyciagajmy pochopnych wnioskow , NimnuL-Redakcja 12/08/03 11:00
OK ? :>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - khe, khe... widze NimnuL , capri 12/08/03 11:07
ze masz dzis slabszy dzien chyba - trzy "babole" pod rzad ;)Quidquid latine dictum sit,
altum videtur - niewyspalem sie ;> , NimnuL-Redakcja 12/08/03 11:11
bieta wrocila no i wiesz ... zmeczony jestem ;) niepełnosprawny umysłowo ... ;>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - bieta? , capri 12/08/03 11:16
a co/kto to jest? ^^Quidquid latine dictum sit,
altum videtur - austryiacka kelnereczka ;) , blimek 12/08/03 11:22
he he hetwojepc - forum światopoglądowych ekspertów - ROTFL ;> , NimnuL-Redakcja 12/08/03 11:23
blimek ... potrafisz rrozwalic kazdego ;> dobijcie mnie bo sie mecze ;>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- ko-bieta ;> , NimnuL-Redakcja 12/08/03 11:22
gdzies mi "ko" wci ;>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- nimnull :) , blimek 12/08/03 10:55
jestes debesciak ,brałeś udzaił w dyskusji a teraz sie ropisujesz na calego , ale sie uśmiałemtwojepc - forum światopoglądowych ekspertów - bo ja nie kumaty jestem ;> , NimnuL-Redakcja 12/08/03 10:59
nie czytalem do konca prolemu tylk odoczepilem sie do w1lko ;> myslalem ,ze mnie problem nie tyczy ;>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - to sie nazywa , ViS 12/08/03 11:02
powierzchowne czytanie :)))I will not buy this record - it is
scratched.
- Nimnul , Sherif 12/08/03 11:36
firewall to podstawa, nawet na modemie.- powaznie ? , NimnuL-Redakcja 12/08/03 11:55
nawet jak w sieci jestem tylko chwile ?? sesje powyzej 10 minut w necie zadko sie zdazaja ...Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - Serio, serio , Sherif 12/08/03 12:41
Zainstaluj sobie np. Kerio 2.1.5 i włączaj na czas połączenia z siecią.
Możesz się zdziwić ilością prób połączeń z Twoją maszyną.- nieomieszkam sprawdzic .. , NimnuL-Redakcja 12/08/03 16:03
dzieki . . . pozdrawiamGdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - Czy to Kerio to jest , sebtar 12/08/03 16:18
darmowe czy komercyjne?Demokracja to władztwo intrygantów,
wybieranych przez głupców. - darmowe , Pinokio 12/08/03 19:46
jeśli do domu ..
http://www.kerio.com/kpf_download.html
Polecam
- A powie mi ktos gdzie ja mam MSCONFIG ??!!?? , NimnuL-Redakcja 12/08/03 11:55
Mam Windowsa 2000 i wlasnie ponownie po usunieciu z rejestru i dysku pojawil sie na mojej maszynie msblast.exe ...
chcialem przekopac dokladnie mscongig ... odpalilem "uruchom" i wklepalem nazwe ... wywalil mi komunikat :
"Nie mozna odnalesc pliku msconfig (lub jednego z jego skladnikow)Upewnij sie, ze podana sciezka itd itd " ..
jak odpalam "szukaj" to tez nie znajduje msconfigu ;>
Outsider z tego co wiem ma tak samo ;>
jak go recznie znalesc ??
dzieki i pozdroGdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - od kilku dni na sieci juz huczy , masta killa yoshi 12/08/03 12:15
poszly explolity i sie dzieciaki bawia
najpierw to
http://securityresponse.symantec.com/...xBlast.exe
potem to
http://download.microsoft.com/...23980-x86-PLK.exe
a tu masz msconfig dla w2k
http://www.xbartx.host.sk/msconfig.exeborn to emerge - msconfig , NimnuL-Redakcja 12/08/03 12:22
nie dziala do niego linka ...
wlasnie robie upgrade baz z NAV 2002 .. bo mi ten msblast zablokowal Liveupgrade ... ciekawe . . .
no i zaraz zasse patche itd ... masakra ;>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - no to tutaj moze sprobuj , masta killa yoshi 12/08/03 13:28
http://www.xbartx.host.sk/msconfig.rarborn to emerge - nie dziala ... , NimnuL-Redakcja 13/08/03 14:57
.... :(Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Rozumiem że tą poprawkę wgrywa się nawet , sebtar 12/08/03 16:22
jak się tego wirusa nie ma, tak?Demokracja to władztwo intrygantów,
wybieranych przez głupców.
- chyba skurw...a zwalczylem , NimnuL-Redakcja 12/08/03 12:20
ale dzisiaj odpuszczam sobie net ... chodzi masakrycznie wolno i kolejna walka z piepszonym msblast.exe nie usmiecha mi sie bardzo - mialem problem z jego usunieciem ... w trybie awaryjnym gnoja usuwalem ... no i jeszcze svhost mi bledy wywala z pliku rpcss.dll
masakra ;> ale ciekawie sie zrobilo ;)Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - tez bym sobie odposcił net , blimek 12/08/03 14:53
gdyby do mnie przyjechła austryjacka wesolutka kelnereczka :)
Pozdrów ja odemnietwojepc - forum światopoglądowych ekspertów - ROTFL ;> , NimnuL-Redakcja 12/08/03 16:02
jodłująca w dodatku ;> moja Hajdi ;>>
pozdrowiona bedzie wieczorem ;>>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Oj Nimnul , ZGreG 12/08/03 12:44
gdzie masz oczy. Czytałbbyś uważniej... Wszyscy to przerobiliśmy... (-:podpis?
jaki podpis! - BUHEHEHHEHE :)))))))))))))))))))))))))))) , w1lko 12/08/03 12:55
microszit rzadzi !!
je.... ms !! :D
weeeee :)))))))))))))
PEACE !! :D- tak ... zrzuc na Windowsa ... , NimnuL-Redakcja 12/08/03 16:01
brawo !!
musze jednak przyznac, ze jakiekolwiek Wasze narzekania czyto na trojany czy na wirusy czy wlamania etc mnie nigdy nie dotczyly . to pierwszy raz kiedy to musialem cokolwiek zwalczac u siebie ... jak widze jednak Windows 2000 to twarda sztuka bo innym sie WinXP wieszaly .. u mnie jedynie od czasu do czasu dziennik bledow ... ale wciaz stabilnie i bez problemow wiekszych ;>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - ech , Czarek 12/08/03 21:27
nie wieszaly, tylko awaryjnie restartowaly (co zreszta mozna wylaczyc we wlasciwosciach uslugi) - gdybys zdazyl zrestartowac kompa z juz dodanym wpisem w rejestrze odpalajacym msblast.exe przy starcie kompa - mialbys TO SAMO- no cały pic w tym,ze , NimnuL-Redakcja 13/08/03 09:38
restartowałem kompa z dodanym wpisie do atartu msblast .... mam Windows 2000 i moze inaczej reaguje ??Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - nope , Czarek 13/08/03 12:25
restarty to skutek uboczny - glownym celem robaka jest oczywiscie replikowanie sie na jak najwiecej kompow, inaczej nie bylby robakiem ;-) - gdyby za szybko wieszal/restartowal kompy, nie moglby sie tak szybko przemieszczac :-)
- cóż to się dzieje !!!! , Micky 12/08/03 13:09
sami thebeściaże i specyki tego boarda załapali wiruska - i oczywiście winę zwalają na Microsoft.
Ha ha ha- racja !!!!! , Kozo 12/08/03 14:30
wszyscy jakies super lacza maja, a nawet nie maja zapuszczonego na stale WindowsUpdate - no bo po co przeciez transfer im spadnie ze 100kb/s na 85kb/s. Ja tam jade na modemie,raz za czas Windoza sama sie uaktualnia (ta latka to chyba juz 2 tyg. temu byla) i ja takiego problemu na szczescie nie mialem. Najlepsi sa Ci co tylko umieja narzekac - glownie na Windowsa!! - kto zwala na M$ ? , NimnuL-Redakcja 12/08/03 16:02
moj blad ... bazy antywirusa mialem sprzed 10 dni ...Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- no to ja sie dorzuce z paraoma informacjami ciekawymi , Thadeus 12/08/03 13:13
RPC DCOM WORM (MSBLASTER)
This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.
Increase in port 135 activity: http://isc.sans.org/images/port135percent.png
**********
NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup.
**********
Executive Summary:
A worm has started spreading early afternoon EDT (evening UTC Time) and is expected to continue spreading rapidly. This worms exploits the Microsoft Windows DCOM RPC Vulnerability announced July 16, 2003. The SANS Institute, and Incidents.org recommends the following Action Items:
* Close port 135/tcp (and if possible 135-139, 445 and 593)
* Monitor TCP Port 4444 and UDP Port 69 (tftp) which are used by the worm for activity related to this worm.
* Ensure that all available patches have been applied, especially the patches reported in Microsoft Security Bulletin MS03-026.
* This bulletin is available at http://www.microsoft.com/.../bulletin/MS03-026.asp
* Infected machines are recommended to be pulled from the network pending a complete rebuild of the system.
Technical Details:
Names and Aliases: W32.Blaster.Worm (symantec),W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trend Micro),Win32.Posa.Worm (CA),Lovsan (F-secure), MSBLASTER,Win32.Poza.
The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:
MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)
Infection sequence:
1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET
2. this causes a remote shell on port 4444 at the TARGET
3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444,
4. the target will now connect to the tftp server at the SOURCE.
So far we have found the following properties:
- Scans sequentially for machines with open port 135, starting at a presumably random IP address
- uses multiple TFTP servers to pull the binary
- adds a registry key to start itself after reboot
Name of registry key:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'
Strings of interest:
msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
The worm may launch a syn flood against windowsupdate.com on the 16th. It has the ability to infect Windows 2000, XP and potentially 2003.
The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.
Detection: Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c
Removal and Eradication:
Once you are infected, we highly recommend a complete rebuild of the site. As there have been a number of irc bots using the exploit for a few weeks now, it is possible that your system was already infected with one of the prior exploits. Do not connect an unpatched machine to a network.
If you can not do this and/or the computer resides on a protected or non-Internet connected network, then several Anti-Virus Venders have supplied tools to assist in removing the worm. However, these tools can not clean-up damage from other RPC DCOM malware such as the recent sdbot irc bots. This method of cleaning your system is _not_ recommended, but the URLs are presented below for completeness.
http://www.sarc.com/...ster.worm.removal.tool.html
http://www3.ca.com/...ionAndPrevention/ClnPoza.zip
Other References:
http://www.cert.org/advisories/CA-2003-19.html
http://www.microsoft.com/.../bulletin/MS03-026.asp
https://tms.symantec.com/...811-Alert-DCOMworm.pdf
http://www3.ca.com/virusinfo/virus.aspx?ID=36265
http://www.datafellows.com/v-descs/msblast.shtml
http://us.mcafee.com/...ription&virus_k=100547
http://www.sarc.com/.../data/w32.blaster.worm.html
http://www.trendmicro.com/...?VName=WORM_MSBLAST.A
http://www.sophos.com/...analyses/w32blastera.html
http://xforce.iss.net/xforce/alerts/id/150
http://vil.nai.com/vil/content/v_100547.htm
http://www.pandasoftware.com/...s=40369&sind=0
Podsumowaujac :)
- robal z zainfekowanego kompa skanuje siec w poszukiwaniu kompów kotre sa podatne na rpc port 135 atack
- gdy taki komp sie znajdzie z uzyciem procedur rpc jest zykonywane zadanie sciagniecia zdalnego kodu robala z kilku serwerów TFTP
- robal sie instaluje na nowo zifekowanym kompie i przeszukuje siec w celu znalezeina kolejnej ofiary
- 16 kazdego miesiaca bedzie przeprowadzal atak syn flod przeciw serweroom windows update.com
Jak sie ochronic?
- z powyzszych mozna wywnioskowac ze stosunkowo bezpieczne sa kompy w sieciach lokalnych w korych sa za maskarada ( chyba ze robal sie dostanie inna droga
- poblokowac wymienione porty
- byc czujnym i zwartym :P
- odlaczyc kompa od sieci :P... - acha i ogolnie polecana stronka dla ciekawskich :) - http://isc.sans.org/ , Thadeus 12/08/03 13:16
http://isc.sans.org/...
- Aaaa! , Soulburner 12/08/03 13:54
Kiedy tylko uruchomię WinXP moim oczom ukazuje się piękny komunikat o restarcie systemu za kilkadziesiąt sekund... myślę sobie - okej, z Win98 usunę wirusa (worm W32/Blaster)! Usunąłem, zalogowałem się do XP-ka, patrzę na listę procesów - czysto... nagle pojawia się "tftp.exe" i zaraz po nim 'msblast.exe' i... restart za 50 sekund :P
Tak się wydarzyło trzy razy pod rząd i nie zdążam zamknąć tego tftp! Nie pomaga usuwanie z rejestru, bo zaraz przysyła i instaluje mi się znowu :P
Microsoft już udostępnił łatkę - http://download.microsoft.com/...23980-x86-ENU.exe
Teraz nie mogę ściągnąć firewall'a Kerio... chyba teraz cały świat chce to ściągnąć :PYou must gather your party before
venturing forth. - co ty bredzisz ?? , masta killa yoshi 12/08/03 14:48
ta latka jest juz chyba znana od dwoch tygodni jak nie lepiejborn to emerge - no dobra , Soulburner 12/08/03 17:08
ale ważne jest to, że działa i to, że wielu ludziuff tego nie instalowało, skoro mają ten problem ;)You must gather your party before
venturing forth.
- SOLUCJA!!! , Ament 12/08/03 13:56
Jest na Frazie w newsach - krok po kroku jak sie tego pozbyc... I
-AMENT-
I - a dokladnie tu: , Ament 12/08/03 13:58
http://www.frazpc.pl/komentarz/8043-8 I
-AMENT-
I
- a swoja droga ciekwae kiedy bedze w dzienniku :) , Thadeus 12/08/03 14:06
czy dzis czy jutro :PPPPPPPP... - no juz raz bylo PART I "wykrycie" , masta killa yoshi 12/08/03 14:50
a dzisiaj albo jutro bedzie PART II "jak to dziala w praktyce"born to emerge
- a widzieliscie ten kwach , etranger 12/08/03 14:55
"i to jest dobra odpowiedz na ten problem
bravo dla najlepszego redaktora Vegity
oczywiscie brawo ale nie gazeta "IStal sie switch:) - hehe :) , Miro 12/08/03 15:52
Ja wczoraj do 3 w nocy walczylem a dzis od 12 do teraz. Zwalczylem osobiscie tego robaka, choc nie pytajcie mnie jak, bo buszowalem po odpalonych serwisach i rejestrze i sam nie wiem jak moj komp teraz chodzi, ale smiga jak wczesniej i nie wypisuje mi restarta z svchost'em. A teraz dowiaduje sie, ze moglem sobie sciagnac pacza :D Zaraz do zessam :) - Hm, konkluzją tych wszystkich wątków wydaje się być to, że Windows, , sebtar 12/08/03 16:15
wszystko jedno jaki, to się najlepiej nadaje do gier ale do niczego więcej. U mnie w sieci się dzisaj w serwerze DHCP posypało i oczywiście w żadnym z Windowsów internet nie chodził a w Linuxie jak najbardziej ( jak on to robi, jak ten system wogóle działa, chyba nigdy tego nie skapuję ;D ). Ale jakby Linux był tak popularny jak Windows, to pewnie i na niego byłyby TAAAKIE wirusy ;)Demokracja to władztwo intrygantów,
wybieranych przez głupców. - Heh, LOL, NimnuL, chciałeś ściągać , sebtar 12/08/03 16:24
3Dmarka przez MODEM!?! To masz karę za niemądre pomysły i nabijanie Żabokomunie kasy ;)Demokracja to władztwo intrygantów,
wybieranych przez głupców. - a jest jeszcze inny sposob , piszczyk 12/08/03 18:26
walczylem z tym wiruchem jakies 3 tygodnie temu jak nie bylo jeszcze za bardzo wiadomo ze to wiruch :OD. Po krotkim śledztwie odkrylem, ze w zarządzaniu usługami w usłudze 'Zdalne wywolanie procedur' w zakladce Odzyskiwanie w przypadku bledu tej uslugi jest ustawione "Uruchom ponownie komputer" juz przy pierwszym bledzie. Stad te resety. Zmienilem to na "uruchom usluge ponownie" i czas ponownego uruchomienia na 1 minute i jak reka odjal. A pozniej sie okazalo ze to jest po prostu wirus no i wszystko stalo sie jasne ;)takie tam klamoty . . . - hehe ;> , NimnuL-Redakcja 13/08/03 09:38
pieknie powiedziane ...Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach. - do Umka bylo , NimnuL-Redakcja 13/08/03 09:39
;>>Gdyby nie wymyślono elektryczności,
siedziałbym przed komputerem przy
świeczkach.
- Ja tylko chciałbym zauważyć... , Umek 12/08/03 21:31
że to pospolite ruszenie i nagłe zniknięcie podziałów jest typowe w niektórych regionach geograficznych w obliczu zagrożenia od "wroga" ;-)))))))
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
 |
|
|
|
