vandaag/gisteren kwam de worm weer in beeld
wat ik niet snap is dat er nog niet gebruikt is gemaakt van het gat zelf om de servers te patchen/onklaar te maken voor de worm
de simpelste manier die ik kon verzinnen was
1) rename default.ida naar default.idiot
2) crash de hele server (of reset)
we hebben zelf een hele rits met besmette ip adressen (uit de logs van gotters) en de worm is gewoon op internet te vinden
wat we dus zouden kunnen doen is de worm laten starten met 3 ip search algoritmes
1) standaard algoritme (voor alle pc's die NA die pc infect zijn)
2) reversed algoritme (voor alle pc's ervoor)
3) random algoritme (voor alle andere takken waar dit niet onze ip's hebben bereikt)
als je bij het opstarten van de 100 clones uit 1 vd 3 algoritmes weet te kiezen ... denkik wel dat wij voor de 20'ste alle pc's gepatched kunnen hebben
nu weet ik natuurlijk niet of der nog een andere manier mogelijk is (door het ECHT patchen van de servers of het programma aan te passen in het geheugen) om Code Red uit te zetten en in hoeverre het 'rechtmatig' zou zijn om geinfecteerde pc's te crashen/rebooten om ze te 'fixen'
maar ik denk dat als we zoiets doen dat we wel in USA et nieuws halen
(helaas kan ik vandaag niet meer reageren (moet weg ) dus maak der wat van dames en heren)
wat ik niet snap is dat er nog niet gebruikt is gemaakt van het gat zelf om de servers te patchen/onklaar te maken voor de worm
de simpelste manier die ik kon verzinnen was
1) rename default.ida naar default.idiot
2) crash de hele server (of reset)
we hebben zelf een hele rits met besmette ip adressen (uit de logs van gotters) en de worm is gewoon op internet te vinden
wat we dus zouden kunnen doen is de worm laten starten met 3 ip search algoritmes
1) standaard algoritme (voor alle pc's die NA die pc infect zijn)
2) reversed algoritme (voor alle pc's ervoor)
3) random algoritme (voor alle andere takken waar dit niet onze ip's hebben bereikt)
als je bij het opstarten van de 100 clones uit 1 vd 3 algoritmes weet te kiezen ... denkik wel dat wij voor de 20'ste alle pc's gepatched kunnen hebben
edit:
dus dat ELKE thread zelf 1 vd 3 algoritmes kiest
dus dat ELKE thread zelf 1 vd 3 algoritmes kiest
nu weet ik natuurlijk niet of der nog een andere manier mogelijk is (door het ECHT patchen van de servers of het programma aan te passen in het geheugen) om Code Red uit te zetten en in hoeverre het 'rechtmatig' zou zijn om geinfecteerde pc's te crashen/rebooten om ze te 'fixen'
maar ik denk dat als we zoiets doen dat we wel in USA et nieuws halen
(helaas kan ik vandaag niet meer reageren (moet weg
) dus maak der wat van dames en heren)edit:
Code Red Beschrijving
http://eeye.com/html/Research/Advisories/AL20010717.html
Code Red commented disassembly, full IDA database, and binary
http://www.eeye.com/html/advisories/codered.zip
Code Red Beschrijving
http://eeye.com/html/Research/Advisories/AL20010717.html
Code Red commented disassembly, full IDA database, and binary
http://www.eeye.com/html/advisories/codered.zip
:strip_icc():strip_exif()/u/7418/the_hat_icon.jpg?f=community){kind=icon}
:strip_exif()/u/7295/blit.gif?f=community)
:strip_exif()/u/25166/new-ico.gif?f=community)
, maar hij had van mij nog wel veel meer moeten doen./u/23727/symbol.png?f=community)
/u/1830/acm.png?f=community)
:strip_exif()/u/18861/MRice-avatar.gif?f=community){kind=avatar}
