RPC crash/shutdown 'vraag bak'

Daarnet meerdere keren time-outs gehad bij de WindowsUpdate en PatchDownload server, dus waarschijnlijk heeft Microsoft het een beetje druk (hopenlijk wel, dan is iedereen tenminste gepatcht).

Tip: Windows 3.1 en ouder, Windows 95 / 98 / ME en alle on-Windows operating systemen zijn niet gevoelig voor deze vulnerability, dus dat zijn dan uitstekende PC's om te gebruiken om die patches en tools binnen te halen.

Even ten overvloede: eerst eventuele besmettingen verwijderen (MSBLAST.EXE), daarna Patchen, rebooten en Scannen. Zie oa. ook mijn eerste post in deze thread.

meanie: Dan haal jij de updates toch binnen (corporatewindowsupdate) en zet ze voor haar op CDR ? (iig totdat het is verwerkt in een ServicePack, dan kun je gelijk de SP downloaden) Zo doe ik het hier ook. Dialup of geen Internet hebben is geen smoes om niet te patchen/hotfixen.

kwtemp: De Patch is nodig voor ALLE NT Based Windows. De Blaster worm maakt alleen gebruik van exploits in XP/2K, maar aangezien er meerdere versies in omloop zijn (en de sourcecode gemakkelijk te vinden/aan te passen is) is het een kwestie van tijd totdat ook de NT4 bakken geïnfecteerd raken. Aangeraden wordt dan ook om alle NT-based Windows machines te updaten: Verwijderd in "RPC crash/shutdown 'vraag bak'"

[ Voor 255% gewijzigd door Verwijderd op 13-08-2003 18:03 ]

Vandaag op het werk zijn er een paar xp machines besmet, alle nt bakken hebben er alleen geen last van.
Kan dit nog komen, of werkt nt wat dat betreft gewoon anders?

het gaat over nt4.0

Verwijderd schreef op 12 August 2003 @ 21:38:
Dan haal jij de updates toch binnen en zet ze voor haar op CDR ?

Toch jammer dit, 3 jaar lang zonder probs.. dan toch maar een keer die ingebouwde firewall aanzetten..

Vorige week was ik er nog en toen was er nog niks aan de hand.. pas sinds paar dagen, en een weekje daarvoor had ik al een keertje geupdate.

[ Voor 22% gewijzigd door Verwijderd op 12-08-2003 21:47 ]

waarom gaat bij mij kaspersky over de rooie op het moment dat ik de "scanms" utility probeer te downloaden? Krijg de mededeling dat het geinfecteerd is met de blastms worm.
Typisch geval van paranoia of is er iets wat ik moet weten?

YellowCube schreef op 12 August 2003 @ 21:53:
waarom gaat bij mij kaspersky over de rooie op het moment dat ik de "scanms" utility probeer te downloaden? Krijg de mededeling dat het geinfecteerd is met de blastms worm.
Typisch geval van paranoia of is er iets wat ik moet weten?

Vals alarm. Klopt ook wel want die tool doet in wezen hetzelfde als het virus, namelijk testen of een computer kwetsbaar is.

waarom gaat bij mij kaspersky over de rooie op het moment dat ik de "scanms" utility probeer te downloaden? Krijg de mededeling dat het geinfecteerd is met de blastms worm.

Verwijderd in "RPC crash/shutdown 'vraag bak'" / Verwijderd in "RPC crash/shutdown 'vraag bak'"
Kortom, is normaal.

5 systemen met Windows hier draaien welke gebaseerd zijn op NT. Gelukkig geen last van gehad. Lang leve mijn Freesco router...

NT is niet target van Blaster/LoveSAN, maar wel vulnerable voor de RPC-hole. Ongeacht of je een router/firewall hebt wordt aangeraden om te patchen. In jouw geval heb je er goed aan gedaan, maar er zijn ook zat mensen die onterecht menen dat ze dan niet hoeven te patchen. (zie: Verwijderd in "RPC crash/shutdown 'vraag bak'")

[ Voor 58% gewijzigd door Verwijderd op 12-08-2003 22:28 ]

5 systemen met Windows hier draaien welke gebaseerd zijn op NT. Gelukkig geen last van gehad. Lang leve mijn Freesco router...
Voor de zekerheid wel even de laatste patches geinstalleerd. Op me werk alleen al honderden telefoontjes gehad over dit probleem, hoorde dat de helpdesk van Microsoft op een gegeven moment zo'n 1800 mensen in de wacht hadden staan.

Verwijderd schreef op 12 August 2003 @ 20:57:
Even schaamteloos mezelf copy/pasten:
..

Mooie opsomming
..

[/MESSAGE].

Mis alleen nog de NT4 Workstation Workaround aangezien er alleen voor NT 4 server een patch is. (met dcomcnfg.exe dcom uitschakelen)

[ Voor 151% gewijzigd door TAMW op 12-08-2003 22:31 ]

TAMW: Werkt die Server patch (non-Terminal Server) dan niet ook op de NT4.0 Workstation SP6a ?

Zou jij (of iemand anders) dat kunnen testen, want de Microsoft site is daar een beetje dubbelzinnig over: http://www.microsoft.com/...ity/bulletin/MS03-026.asp -> Additional information about this patch

[ Voor 72% gewijzigd door Verwijderd op 12-08-2003 23:43 ]

Mocht je je posts missen in dit topic, dat kan kloppen. Ik heb wat offtopic reply's verwijderd. Dit topic is bedoeld als discussie topic of voor vragen die je nog hebt na het patchen of removen. Dit is geen topic om te melden dat je het ook hebt....

Graag ontopic door... b.v.d

Mooi klote van die poort 135, einde ipv6 nieuwsserver.

pfieuw... gelukkig.. ik heb hem niet, gelukkig is alles hier op tijd geupdate. het bestand stond wel op een aantal pc's maar deed nix. alles voord e zekerheid maar even gepatched. ik heb geluk gehad. maar zal ik dat ook bij de/het volgende worm/virus heben? ik probeer met mijn firewall, windows en Sophos antivirus up to date te blijven om alles op 99.9% veiligheid te houden.

tjonge jonge...wat wordt er nou gesteld dat als je na 16 juli je xp niet geupdated hebt...je vatbaar ben voor die worm..mijn xp was super up-2date...9 augustus...toch genaaid...

[ Voor 3% gewijzigd door Verwijderd op 13-08-2003 01:41 ]

Ik heb geen probleem gehad met deze RPC aanval. Misschien door Planet en/of mijn BlackIce firewall. Maar om extra zekerheid, heb ik toch de patch geïnstalleerd. Nadien krijg ik de foutmelding in de eventlog als volgt:

DCOM got error "The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. " attempting to start the service wuauserv with arguments "" in order to run the server:
{E9376CC6-121A-447E-81CF-D8BCC200007C}

Heeft iemand ook zoiets meegemaakt?
Zo ja, hoe los je hier op?

Dragonballz: Loop dit: [rml][ Win2k] website Windows Update is momenteel niet beschikbaar[/rml] topic eens na. Jouw probleem is nl. erg gelijkend (een Windows Update service die niet wil starten). Kijk gelijk hier: Verwijderd in "RPC crash/shutdown 'vraag bak'" met de LovSAN/Blaster Removal Tools of je besmet bent en check het gelijk met een uptodate virusscanner of je wellicht een andere besmetting te pakken hebt. Tot zover de standaardaanpak.

Er is waarschijnlijk iets fout gegaan tijdens het updaten, of iets mis met je rechtenstructuur als je probleem lijkt op: https://cert.uni-stuttgart.de/.../msg00729.html. Probeer de update eens te deïnstalleren, en kijk dan of het probleem is opgelost. Eventueel zou je dan de update opnieuw kunnen installeren.

reddevil + GbM: Ja
- ptch = Patched / veilig / ok
- VULN = Vulnerable / onveilig / bad
- dsbl = Disabled / firewall/router blokkeert
- [....] = Timeout / firewall/router dropt / geen response ivm patch
NB: Test ook zonder firewall !
Zie: Verwijderd in "RPC crash/shutdown 'vraag bak'"

[ Voor 96% gewijzigd door Verwijderd op 13-08-2003 18:11 ]

Als ik thuis die ms patch heb gedraaid krijg ik bij die scanner onder REMACT [ptch] en onder SYSACT [....] te zien. Is hij dan goed gepatched of niet ?

Als ik het goed begrijp heb je dus nergens last van als je altijd gewoon netjes automatisch de updates laat downloaden door Windows XP? Tevens zit ik achter een NAT router, dus neem aan dat m'n pc sowieso niet gevoelig is voor deze fout. De scanner zegt overigens dat m'n systeem gepatched is.

Euss heeft een paar posts hierboven het al uitgelegd samen met nog heel handige informatie.
- ptch = Patched / veilig / ok
- VULN = Vulnerable / onveilig / bad
- dsbl = Disabled / firewall/router blokkeert (test ook zonder firewall !)

Zoek in het vervolg iets beter

Ik heb gisteren bij een klant van mij ook die RPC gerepareerd met een prog van Microsoft. Ik vond ook die MSBLAST.EXE. Ik heb de eigenschappen opgevraagd maar dat bleek een of ander dos progje te zijn. Ik heb nu een firewall erop gezet en ik hoop dat het werkt.

Ik heb deze patch erover gezet en dat is de Blaster virus:

http://www.microsoft.com/...e40f69c074&displaylang=en

Wat moeten ze nou met de info van anderen? Omdat je dus geen firewall erop heb willen ze laten zien hoe onbeschermt je bent. Volgens mij werkt die firewall ook voor geen meter als ze erin willen komen.

Na patchen en draaien van servicepacks lijken sommige MSI shortcuts wel vernaggeld op W2K Servers. Ik krijg vanuit andere locaties meldingen dat Arcserve alleen nog maar via de executable of een ouderwetse op te starten is.

De shortcut in het Start Menu is een MSI/Windows Installer shortcut, als je die probeert te starten gaan Windows Installer vragen om de source voor installatie.

Is iemand iets dergelijks tegengekomen?

ben gehacked volgens mij, hij had z'n eigen account aangemaakt, en had mickeysoft als naam.

GTA3 schreef op 13 August 2003 @ 09:31:
ben gehacked volgens mij, hij had z'n eigen account aangemaakt, en had mickeysoft als naam.

Whehe, ik vind dit steeds grappiger worden terwijl ik er eerst dikke pest in had omdat ik door 20 kennissen werd gebeld en gemaild over dit lek Die mensen gebruiken duidelijk geen Windows Update, heb hier thuis gelukkig nerges last van
Veel succes ermee iedereen

reddevil schreef op 13 August 2003 @ 08:54:
Als ik thuis die ms patch heb gedraaid krijg ik bij die scanner onder REMACT [ptch] en onder SYSACT [....] te zien. Is hij dan goed gepatched of niet ?

ik heb hier hetzelfde.... (en dezelfde vraag daardoor )

Net een oud vrouwtje wat belde...
Nog nooit gehoord van het woord firewall ;-)
Ze wilde weten of ze de computer moest schoonmaken (letterlijk) omdat ze het virus had ;-)

Werken in een computerwinkel is soms ook zo afwisselend ;-)

pisart schreef op 13 augustus 2003 @ 09:12:
Euss heeft een paar posts hierboven het al uitgelegd samen met nog heel handige informatie.
- ptch = Patched / veilig / ok
- VULN = Vulnerable / onveilig / bad
- dsbl = Disabled / firewall/router blokkeert (test ook zonder firewall !)

Zoek in het vervolg iets beter

Ik probeer niet te flamen, maar netjes te reageren hoor.
Graag even goed lezen!!!!!

Volgende de site ben je veilig als je onder REMACT en SYSACT allebei ptch hebt staan... wat betekent [....] dan ? En wat is het verschil tussen remact en sysact.
Want hier op m'n werk staan de [....] en [ptch] precies omgedraaid onder remact en sysact als thuis.

[ Voor 8% gewijzigd door reddevil op 13-08-2003 10:57 ]

Weet iemand hoe de (D)DoS aanval ingebakken in dit virus/exploit op de windows-update site/server a.s. vrijdag opgezet is? Is dat op basis van een http request in dit virus of ftp of anders? (correct me if im wrong)

Volgens mij zijn het HTTP requests...

ps: buhh ik word gek van die telefoontjes.. heb er vandaag alweer 10 gehad

[ Voor 53% gewijzigd door Sluuut op 13-08-2003 11:41 ]

LMC schreef op 13 August 2003 @ 11:19:
Weet iemand hoe de (D)DoS aanval ingebakken in dit virus/exploit op de windows-update site/server a.s. vrijdag opgezet is? Is dat op basis van een http request in dit virus of ftp of anders? (correct me if im wrong)

De code die naar windowsupdate.com wordt gestuurd, is 40 bytes aan data(een fake SYN packet naar tcp 80), doet dan niets voor 20 miliseconde. Zo kom je uit op 50 packets(8 kbit) per seconde.

De extra info voor degene die dat leuk vindt om te weten .

De PC van mijn ouders is ook besmet (...), en ik heb mijn pa alle info gegeven om de boel te verwijderen. Nu werd ik net gebeld door een ongeruste moeder die op het nieuws gehoord had dat er ook credit card info e.d. gejat zou kunnen worden. In de write-ups van de anti-virus fabrikanten vind ik hier niets over, en in dit topic komt de string 'cred' niet voor. Ik heb haar dan ook verteld dat dit niet waar is.

Weet iemand of dit toch een kern van waarheid kan bevatten? Iemand een stukje text uit betrouwbare bron waarin over het jatten van persoonlijke info wordt gesproken?

Verwijderd schreef op 13 augustus 2003 @ 11:37:
[...]


De code die naar windowsupdate.com wordt gestuurd, is 40 bytes aan data(een fake SYN packet naar tcp 80), doet dan niets voor 20 miliseconde. Zo kom je uit op 50 packets(8 kbit) per seconde.

De extra info voor degene die dat leuk vindt om te weten .

Hmm, zeg dat Microsoft een 1 GB lijn hebben voor die windowsupdate site. Dan zouden er dus meer dan 1 miljoen geinfecteerde computers tegelijk moeten gaan flooden om de site down te krijgen. Zou dat gebeuren?

Zpottr schreef op 13 August 2003 @ 11:42:
het nieuws gehoord had dat er ook credit card info e.d. gejat zou kunnen worden.

Volgens het nieuws verstuurt het virus vrijdag e-mailtjes naar microsoft om de server plat te leggen .

Het enige wat het ding doet is zich verspreiden, en dan die DDoS, het is wel zo dat als iemand een tool gebruikt die de exploit exploiteert, ze volledige controle over de pc hebben, maar met dit virus niet.

/me ergerde zich gister helemaal rot aan al die verkeerde info

Verwijderd schreef op 13 augustus 2003 @ 11:47:
[...]


Volgens het nieuws verstuurt het virus vrijdag e-mailtjes naar microsoft om de server plat te leggen .

Het enige wat het ding doet is zich verspreiden, en dan die DDoS, het is wel zo dat als iemand een tool gebruikt die de exploit exploiteert, ze volledige controle over de pc hebben, maar met dit virus niet.

/me ergerde zich gister helemaal rot aan al die verkeerde info

Het is wachten op iemand die dit gat gaat gebruiken om een exploit te schrijven die wél stoute dingen doet.

Wokschotel schreef op 13 augustus 2003 @ 11:55:
[...]
Het is wachten op iemand die dit gat gaat gebruiken om een exploit te schrijven die wél stoute dingen doet.

Die zijn er al hoor, genoeg tools, zelfs met een GUI, dus je hoeft nog niet eens meer lastig te doen met een command prompt, zodat zelfs je zusje van drie iemand kan 'hacken'.

En het leuke is, elke dag komen er weer een paar nieuwe bij, ik vraag me echt af hoeveel mensen er al niet geïnfecteerd zijn met zulk soort zooi, want er worden ook elke keer iets andere backdoors bij gebruikt enzo..

Het is flink werken voor de AVs op het moment.

Zpottr schreef op 13 August 2003 @ 11:42:
De PC van mijn ouders is ook besmet (...), en ik heb mijn pa alle info gegeven om de boel te verwijderen. Nu werd ik net gebeld door een ongeruste moeder die op het nieuws gehoord had dat er ook credit card info e.d. gejat zou kunnen worden. In de write-ups van de anti-virus fabrikanten vind ik hier niets over, en in dit topic komt de string 'cred' niet voor. Ik heb haar dan ook verteld dat dit niet waar is.

Weet iemand of dit toch een kern van waarheid kan bevatten? Iemand een stukje text uit betrouwbare bron waarin over het jatten van persoonlijke info wordt gesproken?

Het is een LEK in Windows, wat al eerder door hackers werd gebruikt. Nu is er een virus voor. Dat Virus gaat geen credit card gegevens van de pc afhalen, hackers (personen die door dezelfde lek in de computer gaan rondkijken) kunnen dat echter wel (als het erop staat... d0h), maargoed dat konden ze de afgelopen 2 weken dan ook al.

ps: zowiezo, ben je naar mening redelijk idioot bezig als je je eigen crdit card gegevens op je pc gaat bewaren

[ Voor 7% gewijzigd door Sluuut op 13-08-2003 12:28 ]

Hoe zit het met die service packs... Ik draai op me werk hier windows 2000 en die patch die mag ik alleen gebruiken van MS als ik service pack 2 heb dit is niet echt gebruiksvriendelijk denk ik Iemand een idee? om die patch van M$ alsnog te draaien?

OK, bedankt voor de verduidelijking .
Zoals ik al schreef, die PC bij m'n ouders is besmet met de standaard variant van dit onding, staat nu uit en wordt vanavond gepatched. Dus dan zal 't allemaal wel goed komen.

waar kan ik de nl versie van de patch voor win xp 32 vinden want tot nu toe krijg ik bij iedere link dat me taal niet overeenkomt.

Heb hier maar een stuk of 30 laptops geinfecteerd staan, das wel knap want de servers hebbe nergens last van

f.y.i.:

De cleaning tool van NAI / McAfee doet het niet in alle gevallen, degene die tot nu toe de beste resultaten opleverd is die van symantec (fixtool for win32.blaster.worm aka fixblaster.exe)

ja das alleen de cleaning tool... dan kan je nog wel degelijk geinfecteerd worden. Maar de patch is alleen voor windows met bepaalde service packs

en dat komt omdat die patch slechts een stukkie dichtmaakt wat al half door de sp's was gedaan

ok maar is er dan geen Full-Fix?

Dat klopt, da's alleen de cleaning tool, daarnaast natuurlijk nog de patches, ging ook enkel om de mededeling dat van alle beschikbare cleaningtools ik met deze de beste resultaten gezien heb op machines waar andere cleaningtools bestanden lieten liggen. En natuurlijk je virusscannert nog updaten als ie dat al niet standaard (daaglijks) doet.

[ Voor 20% gewijzigd door LMC op 13-08-2003 12:58 ]

Ik heb hier een pc met w2000nl sp3 geupgrade naar sp4. Als ik daarna windowsupdate draai geeft hij de patch niet weer. Als ik echter de scantool gebruik, geeft hij aan dat ik niet beschermd ben. Nadat ik de patch met de hand erop heb gezet ben ik wel beschermd.

Waarom geeft windowsupdate de patch niet weer, terwijl ik hem er nog niet op had staan. Of had ik hem er wel opstaan (zeer waarschijnlijk), maar is hij overschreven door sp4 en ziet windowsupdate dat je hem ooit al gedownload hebt ?

Wel apart, ik heb paar dagen terug nog windowsupdate gedaan en ALLE patches behalve SP4 geinstalleerd, maar volgens de scanner ben ik nog steeds Vulnerable [win2K pro]
Onder XP met de windowsupdate in de taakbalk is het lek wel automatisch gepatched

Is wel grappig maar ik had juist een maand geleden een ongevraagd mailtje gekregen met als attachment msblast.exe. En aangezien ik het dus direct verdacht vond had ik het ook direct verwijderd. Blijkbaar werd die worm eerst nog via email verspreid

En tja zelf heb ik geen last van. Winroute pro dropped alle ongevraagde packets.

StarLite schreef op 13 August 2003 @ 13:06:
Wel apart, ik heb paar dagen terug nog windowsupdate gedaan en ALLE patches behalve SP4 geinstalleerd, maar volgens de scanner ben ik nog steeds Vulnerable [win2K pro]
Onder XP met de windowsupdate in de taakbalk is het lek wel automatisch gepatched

Met xp heb je waarschijnlijk sp1 al geinstalleerd, voor de patch onder win2k heb je sp4 nodig

StarLite schreef op 13 August 2003 @ 13:06:
Wel apart, ik heb paar dagen terug nog windowsupdate gedaan en ALLE patches behalve SP4 geinstalleerd, maar volgens de scanner ben ik nog steeds Vulnerable [win2K pro]
Onder XP met de windowsupdate in de taakbalk is het lek wel automatisch gepatched

De scanner is ook niet helemaal accuraat, lees de ReadMe eens...

jongens...

ik post dit terwijl ik niet zie wat jullie posten
ik heb hier ook m'n werk een variant te pakken van het virus die svchost.exe doet crashen op windows 2000. En op wonderbaarlijke wijze kan ik topics niet meer inzien hier op GoT. Ik krijg op de frontpage(gathering.tweakers.net) alleen maar het tweakers.net nieuws en mijn bookmarks.
Als ik op het knopje active topics druk krijg ik een lijstje met active topics. Als ik echter een topic aanklik zie ik geen inhoud alleen een "quick reply" boxje.

Zodoende kan ik hier dus ook wat typen, alleen zie ik geen antwoorden

Is deze combinatieal bekend? (dus GoT problems en svchost.exe crash?)

edit: Ik kwam tot de ontdekking dat ik hier ook opera heb, onder opera werkt GoT prima..., windowsupdate.com wordt zo te zien geblokkeerd, ik krijg een witte pagina, bij een collega met unix werkt windowsupdate.com gewoon wel

[ Voor 18% gewijzigd door Verwijderd op 13-08-2003 14:05 ]

de RPC service word gestart mbv de svchost...
dus das dan wel logisch...

alles is afhankelijk van je RPC.. kijk maar eens bij de service dependency's
dus inbelverbindingen die raar doen, IE die raar doet..
alles komt door die worm..

er is momenteel ook al een variant erop ontdekt... deze maakt gebruik van de RPC bug om remote access op je systeem te kunnen krijgen.

dus gewoon patchen dat ding...

hey ruudie ik had exact het zelfde nu al weer gefixt. ook werkte dus imap met outlook niet meer. (ik weet het, werkt ook met RPC) gelukig werkt alles weer.

Verwijderd schreef op 13 augustus 2003 @ 14:08:
er is momenteel ook al een variant erop ontdekt... deze maakt gebruik van de RPC bug om remote access op je systeem te kunnen krijgen.

een? Er zijn er meer dan 30...
En er komen elke dag weer nieuwe, als je de mensen op die boards mag geloven zijn er best wel wat mensen de zak..

het probleem is dus dat ik hier op mn werk zit, in een groot netwerk, en dat dus jan en alleman er last van heeft, systeembeheerders zijn druk in de weer.

Ze meenden dat ze patch een tijdje terug al hadden gedistribueerd naar ieder systeem

alles is afhankelijk van je RPC.. kijk maar eens bij de service dependency's

Dat zou ik graag willen, maar ook dat werkt niet , ik wacht even af wat systeembeheer hier gaat doen.

[ Voor 30% gewijzigd door Verwijderd op 13-08-2003 14:23 ]

*knip*

Dergelijke tooltjes zien we liever niet hier. Je kunt ze ook voor minder legale doeleinden gebruiken... daarom verwijderd

[ Voor 91% gewijzigd door Han op 13-08-2003 16:32 ]

Kennissen van mij met XP SP1 NL geinstalleerd kunnen de gewone XP patch niet installeren. Het lukt hen echter ook niet om de 'embedded' versie (te vinden op www.tweakers.net) te installeren. Is er een oplossing voor het lek in Windows XP SP1 NL?

De precieze foutmelding bij de installatie van de patch weet ik trouwens (nog) niet.

Verwijderd schreef op 13 August 2003 @ 16:15:
Kennissen van mij met XP SP1 NL geinstalleerd kunnen de gewone XP patch niet installeren. Het lukt hen echter ook niet om de 'embedded' versie (te vinden op www.tweakers.net) te installeren. Is er een oplossing voor het lek in Windows XP SP1 NL?

De precieze foutmelding bij de installatie van de patch weet ik trouwens (nog) niet.

Ik heb gewoon windows update gedaan @xp sp1..

De Windows Update site is hier vooralsnog onbereikbaar!

Verwijderd schreef op 13 augustus 2003 @ 16:24:
De Windows Update site is hier vooralsnog onbereikbaar!

ja lachuh he? ik kwam er ook net achter toen ik bezig was n pctje opniew te installeren.
na een paar keer f5 dee hij het trouwens wel, maar waarschijnlijk is er dus nu een ddos aan de gang op windowsupdate??

was net al een topic over geopent, maar een grappenmaker heeft m dichtgegooit.

maar goed, kan ik niet ergens een patch downloaden voor XP SP1 NL?

gek he....

@Cardin.. wel ingelogd als beheerder en de nl patch ervan???

sorry, was dat een vraag?

Het vreemde is dat ik hier enkele computers via windowupdate.microsoft.com heb geupdate.
Alle servicepacks en overige update's, maar via de scantool van foundstone zie ik nog steeds dat deze vulnerable zijn.

Als ik vervolgens de patch handmatig download en installeer ben ik veilig!

sharkzor schreef op 13 August 2003 @ 16:27:
[...]


ja lachuh he? ik kwam er ook net achter toen ik bezig was n pctje opniew te installeren.
na een paar keer f5 dee hij het trouwens wel, maar waarschijnlijk is er dus nu een ddos aan de gang op windowsupdate??

was net al een topic over geopent, maar een grappenmaker heeft m dichtgegooit.

Precies... d'r had daar heel wat af kunnen worden ge-slow-chat ...
Vind het persoonlijk ook wel grappig dat door een gedeeltelijke microsoft hun eigen fout, hun eigen update pagina eruit ligt... Tuurlijk moest iedereen elke dag updaten

Ik ben dus ook getroffen door dit virus, maar ik heb het alweer verholpen. Ik draaide hiervoor nooit een firewall of dergelijk virus programma. Maar nu moet ik er toch aan geloven, ik heb dus een goeie firewall geinstalleerd. Diverse opties enzo, maar ik krijg maar niet ingesteld dat halflife(counterstrike) goed draait, met de firewall up. Dus wat doe ik? ik sluit gewoon de firewall af op het moment dat ik ga spelen, en zet hem weer aan als ik gestopt ben met spelen.

Heeft dit nut? Of kan er dan nog steeds een of ander virus binnenslippen?
('k heb Tiny Personal Firewall 5.0)

Wat ik nu niet snap is dat voor het eerst in 1.5 jaar weer een "critical update" beschikbaar is voor Windows NT 4 server.
Als je alleen al dat ziet, is toch reden genoeg om te patchen?

Wat wel "gemeen" is van Microsoft , dat je bij NT4 server bij elke aanpassing de update weer moet installeren, bij NT5.x is dit niet het geval.
Op zich weer een mooi middel op 2003 sneller te implementer.
En nu hebben alle NT4 beheerders weer wat te doen....

_{"elk nadeel heb z'n voordeel"}

[ Voor 6% gewijzigd door weeraanmelden op 13-08-2003 17:43 ]

Verwijderd schreef op 13 augustus 2003 @ 16:15:
Kennissen van mij met XP SP1 NL geinstalleerd kunnen de gewone XP patch niet installeren. Het lukt hen echter ook niet om de 'embedded' versie (te vinden op www.tweakers.net) te installeren. Is er een oplossing voor het lek in Windows XP SP1 NL?

De precieze foutmelding bij de installatie van de patch weet ik trouwens (nog) niet.

ja een legale key gebruiken... een aantal keys werken niet meer, maar als ze windowsupdate draaien krijgen ze dat ook netjes te zien

v.w.b. creditcard gegevens: trojan ?! bekend ? pas op!
Ik had het er met mijn broer over: hier speelde ook msblast een rol.
En als je werkt met electronic banking - wat o.a. cookies op je PC zet - ontkom je er niet aan dat creditcard gegevens op je PC staan.

Als ik niet continu dataverkeer op de router had gezien, was ik hier nooit achter gekomen.

[ Voor 15% gewijzigd door Brothar op 13-08-2003 17:53 ]

Sluuut schreef op 13 August 2003 @ 16:33:
Precies... d'r had daar heel wat af kunnen worden ge-slow-chat ...
Vind het persoonlijk ook wel grappig dat door een gedeeltelijke microsoft hun eigen fout, hun eigen update pagina eruit ligt... Tuurlijk moest iedereen elke dag updaten

jaja eigen fout... we maken een foutje in de rpc service zodat een of andere gek een ddos kan gaan uitvoeren...

Yay, we krijgen weer een nieuw vriendje!

W32.Blaster.B.Worm

Ben benieuwd..

Net de nieuwe exploit geprobeerd op mij test PC . ( Deze sluit windows NIET af als ik de shell quit wat andere exploits/wurms wel doen)

Dus ook als men geen error window krijgt kan je als virus/trojan/wurm op je pc hebben.


[*****@**** rpcexploit]$ ./****-dcom -d 192.168.0.x -t 1
RPC DCOM remote exploit - .:[****.us]:. Security
[+] Resolving host..
[+] Done.
-- Target: [WinXP-Universal]:192.168.0.x:135, Bindshell:666, RET=[0x0100139d]
[+] Connected to bindshell..

-- bling bling --

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

E:\WINDOWS\system32>

Na exit blijft victim PC gewoon draaien zonder rpc af te sluiten of errors te geven.

belangrijke info weggehaald om misbruik te voorkomen.

Mmmm bij mij wil SVCHOST.EXE een HTTP request senden naar windowsupdate.com
Maar ik kan dat virus niet ontdekken.. Ik heb Win2k + SP4 en automatic updating staat uit

Mijn pc is ook geinfecteerd.. en ik weet ook precies hoe het komt

Om generals online te spelen moet ik mijn firewall uitzetten en me pc in DMZ zetten anders werkt het niet,.. meteen na het spelen zet ik alles weer terug. Dus tsja ik denk voor dat uurtje spelen hoef ik verder nix te beveiligen.. WRONG!!

5 min buiten je firewall is al genoeg zaterdag/zondag kreeg ik om de 1 a 2 min verkeer op poort 135.

Net de nieuwe exploit geprobeerd op mij test PC

Over wat heb je het?

Als het wat onbekends is zou ik hem graag willen hebben.
(Ik ben geen hacker, voor als dat nog niet duidelijk was).

Nét Kaspersky e-mail gekregen:

This is because the two versions
of "Lovesan" exploit the same vulnerability in Windows and may co-exist
on the same computer. "In other words all computers infected by the
original "Lovesan" will soon be attacked by its revamped version. -
commented Eugene Kaspersky, Head of Anti-Virus Research for Kaspersky
Labs. - Taking into consideration that the amount of infected systems is
now reaching 300,000 the return of the worm will imply a doubling of
this number and lead to an unpredictable result."

Technologically, the new modification of "Lovesan" is a copycat of the
original. Slight changes were applied only to the appearance of the
worm: a new name of the main worm-carrier file (TEEKIDS.EXE instead of
MSBLAST.EXE), new method of the code compression (FSG instead of UPX),
and a new "copyright" strings in the body of the worm abusing Microsoft
and anti-virus developers.

Users of KasperskyR Anti-Virus can be sure this new worm can make no
harm to thier computers. All Kaspersky Labs products effectively detect
both modifications of "Lovesan" generically, without requiring an
update.

Voor de rest: Zie www.kaspersky.com

Zie voor nieuwe exploit ook http://www.sophos.com/virusinfo/analyses/w32rpcspybota.html

Het is weer lekker raak inderdaad: TEEKIDS.EXE (5,360 bytes) en PENIS32.EXE

En de scanner schijnt soms tegenstrijdige informatie te geven of je nu veilig bent of niet:
http://archives.neohapsis...cidents/2003-08/0022.html
http://lists.jammed.com/incidents/2003/08/0026.html
Iemand daar meer info over?
snapnie: Het gaat om de gevallen als je jouw hieronder geposte workaround gebruikt om DCOM services uit te schakelen. Bij mij onder XP sluit gewoon dat dcomcnfg venster zonder mogelijkheid van instelling (localpolicy die beperkt?)

Ik heb mijn verzamelreply maar eens weer geupdate: Verwijderd in "RPC crash/shutdown 'vraag bak'"

Sluuut: Het correcte adres voor Windows Update is windowsupdate.microsoft.com en geen windowsupdate.com. De worm maakt foutief gebruik van het URL windowsupdate.com - mijn aanraden is om nog eens goed te scannen.

[ Voor 78% gewijzigd door Verwijderd op 13-08-2003 19:45 ]

Voor die lui die dus problemen hebben met het downloaden van de patch, voer de volgende actie uit op je DCOM service uit te zetten:

W2K:
Start->uitvoeren->dcomcnfg
Tabblad Default PRoperties
"Enable Distributed COM on this computer" uitvinken!!

XP:
start->uitvoeren->dcomcnfg
Dubbelklik component services->dubbelklik computers->rechtsklikken op my computer->properties
Tabblad Default Properties
"Enable Distributed COM on this computer" uitvinken!!

Ik weet niet of dit al eerder gepost is, maar gezien de omvang van dit porbleem kan het volgens mij geen kwaad als het er 2 x staat

Ik was vandaag op mijn vakantie werk en wilde net naar huis gaan, =>hupaaa "Blaster blablabla detected, could not remove - file is renamed".

Ik ben me er niet bewust van dat ik gekke dingen heb gedaan. Zover ik heb gelezen komt de worm dus gewoon je pc binnen zonder dat je er als gebruiker iets aan kunt doen(beveiliging ja, maar dat wordt door de systeembeheerder gedaan op t werk).

Ik wil graag een bevestiging of het mijn schuld is dat de worm op de pc op mijn werk terecht is gekomen, want k voel me er toch beetje **** over.

Kayz: Een beetje systeembeheerder heeft allang de exploitscanner gebruikt, de updates gedaan en middels de firewall alle onnodige poorten gedicht. Jij kan er dus niets aan doen als je gewoon medewerker bent in dat bedrijf.

Hmm ik wil wel die patch downloaden van Microsoft maar die website wil mij niet ofzo. En wat snapnie zei heb ik gedaan maar dat stond al uitgevinkt. Kan iemand misschien een mirror ervan plaatsen?

[ Voor 64% gewijzigd door Novah op 13-08-2003 19:35 ]

Verwijderd schreef op 13 augustus 2003 @ 19:21:
Kayz: Een beetje systeembeheerder heeft allang de exploitscanner gebruikt, de updates gedaan en middels de firewall alle onnodige poorten gedicht. Jij kan er dus niets aan doen als je gewoon medewerker bent in dat bedrijf.

Ok gelukkig Maar het kan niet stiekem meekomen als je bijvoorbeeld iets download? Het komt alleen binnen als je bepaalde (135 ofzo)poorten open hebt staan (waar ik niks aan kan doen in geval van mijn werk) als ik het goed begrijp.

[ Voor 8% gewijzigd door Kayz op 13-08-2003 19:39 ]

Klopt Kayz, kijk anders met de GRC.com poortscanner of je 135 poort open staat.
Sowieso moeten alle ongebruikte poorten dicht staan bij een correct geconfigureerde firewall...

Andere online scanners:
- http://scan.sygatetech.com:443/cgi-bin/probe/quickscan.cgi
- http://scan.sygatetech.com/stealthscan.html
- http://scan.sygatetech.com/trojanscan.html
- http://scan.sygatetech.com/tcpscan.html
- http://scan.sygatetech.com/udpscan.html
- https://nanoprobe.grc.com/x/ne.dll?bh0bkyd2
- http://firewallcheck.com/begin.html

Uitleg/verklaring:
Voor meer informatie: In m'n verzamelreply ben ik bezig om een duidelijke/korte uitleg te geven aan de hand van enkele tests die ik doe op een paar testPC's. Zie verder eerst die poortscanner-websites en Google/GoT-search over het sluiten van poorten/configureren van firewalls/OS'en om dit topic een beetje hanteerbaar te houden.

Novah: ik doe mijn best om de informatie een beetje bij elkaar te houden. Op deze manier is het een beetje overzichtelijk te houden voor iedereen. De FAQ bijhouden is een taak voor de WOS-modjes (ik ben CME en een beetje verdwaalt ), het staat ze vrij om naar inzicht informatie over te nemen, op dit moment wordt er iig gelinkt. Ik ben er alleen tijdelijk in gerold omdat op het moment van losbarsten momania ondergesneeuwd raakte door de vele RPC topics.
In m'n verzamelreply staan directe downloadlinks voor de patches.

[ Voor 143% gewijzigd door Verwijderd op 13-08-2003 20:31 ]

Euss, damn dat is goed spul wat je hebt geschreven, die moet je echt even bij de stiky zetten! (hiero)!

Ik heb het dus over deze reply.

Ff iets tussendoor...
Ik zag sinds gisteren in mn firewall logs dat er van de geinfecteerde mensen ook een hoop op poort 4444 gaan scannen. 'n stuk of 40 al.
Ff gaan zoeken...en in de 1e post staat dus dit:

KaHTII is een andere RPC-trojan (met oa als doel om virusscanners/firewalls uit te schakelen) die op dit moment nog niet in het wild is gesignaleerd.

Bij dezen,het virus is wild gegaan

poort 4444 is de default-poort waar de shell op gaat draaien als ik het goed heb.
Begrijp alleen neit echt waarom precies naar die poort gescanned word.
Bedoel je niet gewoon dat er connecties gemaakt of geprobeerd worden naar 4444?
Exploit/wurm gaat namelijk connecten naar poort 4444 om te connecten naar de shell.

En inderdaat exploit is nu zwaar public en we zullen er nog tijden last van gaan hebben.

Iedereen die XP weer opnieuw installeerd en vergeet te patchen zal weer de lul zijn.
Vraag me alleen af wanneer er een wurm gaat komen die ECHT schadelijk is.
BV je pc formateerd en van dat soort grappen.

[ Voor 33% gewijzigd door Verwijderd op 13-08-2003 20:03 ]

I Am Weasel schreef op 13 August 2003 @ 19:54:
Bij dezen,het virus is wild gegaan

Er zijn meer dan 30 varianten die gebruik maken van de exploit, je kan zo echt niet met zekerheid stellen dat het die variant is..

I Am Weasal: Dat bij poort 4444 alleen KahtII stond is een foutje van mijn kant, ook Blaster (BLASTER.EXE / TEEKIDS.EXE / PENIS32.EXE) maakt er gebruik van.

[ Voor 10% gewijzigd door Verwijderd op 13-08-2003 20:04 ]

Time - 13-8-2003 19:35:06
Event - TCP_Probe_Other,
Intruder - kbl-tnz764.zeelandnet.nl,
Count - 3
Destination Port -4444,
Target IP - 62.238.45.XXX,
Intruder IP - 62.238.35.XXX

Maar...okay het zouden dus alle varianten kunnen zijn...
Jammer dat je al die mensen niet ff een seintje kan geven ofzo.
Er worden echt zoooveel mensen gefokt,niet normaal!

[ Voor 28% gewijzigd door I Am Weasel op 13-08-2003 20:11 ]

Verwijderd schreef op 13 August 2003 @ 20:11:
quote:
Over wat heb je het?

Als het wat onbekends is zou ik hem graag willen hebben.
(Ik ben geen hacker, voor als dat nog niet duidelijk was).
"endquote

Ik bedoelde niet zo zeer nieuwe exploit ( blijkt al tijdje online te staan) , bedoelde meer dat deze je pc niet laat crashen.
Je ziet dus niet dat iemand je pc gefucked heeft.
Met MSblast is het toch aardig duidelijk dat er iets fout is met je pc.

Zal dus niet lang duren voordat er een wurm is die totaal ongezien je pc opkomt.

yup, zie hier:
Let op tekst helemaal onderaan
Exploit heb ik ook hierzo, maar dat hou ik maar zo, en ik geef geen URL's weg

Description:
Basically this is a program
to extend the functionality
of the newly discovered RPC
Buffer overflow exploit
affecting all 2k/xp/2003
systems. Features include
a built in FTP server, so
you can easily upload files
to computers you connect to,
and a port scanner to find
affected boxes. Also, more
help and instructions are
provided so you dont need
to be a pro to work this.

You still have to work the
core of the exploit through
command prompt, but it really
isnt that hard.

New in v2:
Uses a differnet exploit which
allows you to define the attack
and shell port (tho i havnt got
any other attack prt then 135 to
work) Also you dont need to select
different SP's to attack for 2k and
xp since they both use a universal
return address wich works on all SP's

Or you can define your own return
addresses if u want to attack a OS
thats in a different language.
A list is included

last thing New exploit no longer
crashes remote computer when u
dissconnect! yey!

[ Voor 5% gewijzigd door Verwijderd op 13-08-2003 20:17 ]

yepz die bedoel ik maar zullen ook al meerdere varianten van zijn.
-p for port selection as exploit works on ports other than 135(139,445,539 etc)
-l to select bindshell port on remote machine (Default: 666)
Zou dus betekenen dat een wurm een random pport neemt om de shell op te draaien.
Word zo erg moeilijk om te zien met een firewall of het echt een wurm is.

Nog een kleine waarschuwing:
Als iemand exploit online vind ga NIET proberen bij anders mensen of ie werkt als je geen toestemming hebt. ALLES naar poort 135 word nu gifiltert , en je krijgt grote problemen met je isp.
Test het liever thuis of op je eigen netwerk

[ Voor 28% gewijzigd door Verwijderd op 13-08-2003 20:24 ]

is er alweer een nieuwe ofzow? me inet werd net loeitraag dus ik keek ff met tcpview wat er openstond en toen zag ik dat explorer.exe ruim 60 verbindingen open had staan ( en er kwamen er steeds meer bij, net zoals msblast zeg maar ).

ja msblast is er af, ja ik draai een vuurmuur en ja ik heb die patch

vond et krom want ik heb nog nooit meegemaakt dat explorer.exe zoveel verbindingen maakt. ( lijkt me niet normaal iig )

virusscanner vindt niks :f

Ja er zijn al nieuwe versies. Zie eerdere berichten.
Block poort 135 met een goeie firewall patch en update je virus scanner elke dag.
Maar virus-scanners kunnen denk ook niet alles aan zullen versies zijn die nog niet gedetecked worden.

[ Voor 73% gewijzigd door Verwijderd op 13-08-2003 20:28 ]

ik ben er gewoon vanaf ff de patch en de fix tool en klaar is ikke

Oké, even een update.

Er zijn nu dus twee *major* varianten.

Je hebt nu de volgende versies:

- W32/Lovsan.worm (het origineel): http://vil.nai.com/vil/content/v_100547.htm
- W32/Lovsan.worm.b (de eerste nieuwe variant): http://vil.nai.com/vil/content/v_100551.htm
- W32/Lovsan.worm.c (tweede nieuwe variant): http://vil.nai.com/vil/content/v_100552.htm

Zojuist (15 minuten geleden) heeft McAfee de DAT-versie 4285 gereleased, die beide nieuwe varianten af kan vangen (4284 kon het origineel al afvangen).

Nieuwste SuperDAT-file vind je op http://a64.g.akamai.net/7...nglish/intel/sdat4285.exe

zo ik werk ook bij een helpdesk (internetbankieren) en khad vandaag ook mensen aan de lijn die deze melding kregen. Gewoon doorgestuurd naar de windows update pagina hoor (tzijn toch noobs dus dingen uitleggen over holes/exploits en dat soort dingen heeft geen zin) maargoed. Ik heb zelf hier windows xp nl zonder viruscanner en firewall (tja...kweetet hij moet binnenkort toch weer ff opnieuw geinstalled worden, maar toch) ik draai regelmatig de windows update en ik had zonet ff dat scanms gedownload en ik kreeg 'patched' als uitvoer dus dat betekend dat je goed zit he. En verder heb ik dat bericht dus nog niet gekregen terwijl dit ding al een tijdje op internet ronddwaalt

wildhagen> als je het niet erg vindt leen ik je uitleg voor het sticky topic in SA

wildhagen schreef op 13 August 2003 @ 20:39:
Zojuist (15 minuten geleden) heeft McAfee de DAT-versie 4285 gereleased, die beide nieuwe varianten af kan vangen (4284 kon het origineel al afvangen).

Raar, had gedacht dat McAfee ze zonder update zou kunnen vinden.(Gebruikt best korte sigs/ andere trucjes).

Dan lijkt het erop dat Kaspersky de enige is die de nieuwe varianten detecteert zonder extra update.

Rafe schreef op 13 augustus 2003 @ 20:46:
wildhagen> als je het niet erg vindt leen ik je uitleg voor het sticky topic in SA

Ik vind het prima

Verwijderd schreef op 13 augustus 2003 @ 20:50:
[...]


Raar, had gedacht dat McAfee ze zonder update zou kunnen vinden.(Gebruikt best korte sigs/ andere trucjes).

Dan lijkt het erop dat Kaspersky de enige is die de nieuwe varianten detecteert zonder extra update.

Mjah, ik lees net dat de .C-variant al met 4283 werd afgevangen, met alleen de verkeerde naam. Vanaf 4285 is het ook de goede naam.

De .B-variant word verpakt met een andere backdoor, dus daarom werd hij misschien niet goed gezien.

Ten behoeve van duidelijkheid is er nu RPC crash/shutdown 'vraag bak' - deel 2 met info van euss