Het vorige topic zit alweer over de 500 replies, dus bij deze een nieuwe.
ga naar volgend bericht
QuickFix:
Stap 1 (wormen verwijderen):
Stap 2 (Windows patchen):
Stap 3 (Controle):
Naslag:
Opmerking: Ik heb de informatie hoofdzakelijk verzameld terwijl de worm zichzelf nét openbaarde en daarna steeds aangevuld met nieuwe info. Hierdoor kan bovenstaande een beetje onoverzichtelijk of dubbelop staan -vergeef mij mijn menselijkheid
Mocht je toevoegingen hebben of fouten ontdekken in bovenstaande informatie kun je daarvoor mij altijd
contacteren. Ik heb echter geen tijd om mensen buiten het forum te helpen met het patchen of anderszins hun Windowsproblemen op te lossen. Contacteer daarvoor mij niet! Bovendien kunnen we beter elkaar centraal in het topic helpen, zo heeft iedereen daar wat aan.
ga naar volgend bericht
McAfee/NAI Stinger (HTML) Bitdefender Anti-MSBlaster (HTML) Symantec FixBlaster (HTML) CA CleanProza (HTML) F-Secure LovSAN removal (TXT) TrendMicro SystemCleaner (HTML) Kaspersky ClearAV |
Hoe kan ik zien of ik veilig ben? 1) Kijk eerst of er geen extra gebruikers/administrator acounts zijn aangemaakt bij gebruikersbeheer (start > uitvoeren > lusrmgr.msc) en (Configuratiescherm > Gebruikersaccounts). Mocht je daar toch bezig zijn: controleer of tenminste de Administrator/Backupaccounts (beheerders) wel allemaal gebruik maken van paswoorden en dat de Gastaccount uitgeschakeld is. 2) Zet je firewall uit en draai de RPC.Exploit.scanner om te kijken of je systeem gepatched is (test eerst je internet IP, daarna je lokale IP en localhost/127.0.0.1): - ptch = Patched / veilig / ok - VULN = Vulnerable / onveilig / bad - dsbl = Disabled / firewall/router blokkeert - [....] = Timeout / firewall/router dropt / geen response ivm patch NB: - Test ook zonder firewall ! - De scanner wordt door oa KAV ook gedetecteerd als mogelijk onveilig. Dit is normaal. 3) Scan met een Trojan/Virusscanner om te zien of je geïnfecteerd bent (Zie: Online Scanner van TrendMicro en Virusscanners uit de Microsoft Catalogus). 4) Controleer met een poortscanner of poort 69, 135, 139, 445, 593 en 4444 tenminste op stealth, disabled, blocked of closed staan:
Zie verder éérst die poortscanner-websites, de handleiding van je firewall en Google/GoT-search om dit topic een beetje hanteerbaar te houden. Zie bijvoorbeeld: welke Firewall is beste en FireWall configureren regels |
Exploit-ID: RPC DCOM vulnerability - Microsoft Security Bulletin MS03-026 (16 juli 2003) - en wellicht HTML Converter vulnerabilty - Microsoft Security Bulletin MS03-023 (9 juli 2003) Infection-ID's: W32.Blaster.Worm (symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trend Micro), Win32.Posa.Worm (CA), Lovsan.RPC (F-secure), MSBLASTER,Win32.Poza. KaHT II (haxorcitos), W32.Randex.E, Exploit-DcomRpc trojan, W32/Lovsan.worm (NAI) Backdoor.IRC.Cirebot (symantec), Exploit.Linux.DCom / Worm.Win32.Lovesan, Exploit.Win32.DCom (KAV)
Betreft poorten:
NB: Cirebot (AutoRooter) is de eerste RPC-trojan (zonder geactiveerde replication) welke model heeft gestaan voor oa Blaster/LoveSAN. Blaster/LoveSAN is een afgeleide 2e RPC-worm die wél zichzelf kan verspreiden (op dit moment de grootste boosdoener). KaHTII is een andere RPC-trojan (met oa als doel om virusscanners/firewalls uit te schakelen) die op dit moment nog niet in het wild is gesignaleerd. Er zijn nog meer RPC-worm/trojan versies in omloop (ook voor NT4 etc), maar die hebben (nog) geen significante betekenis of geen replication. De RPC-Exploit kan ook via DCOM over non-IP protocols zoals IPX/SPX en NetBeui misbruikt worden. Een nieuwe Win32.LovSAN/Blaster worm variant (b) is ontdekt met als bestandskenmerken: TEEKIDS.EXE (5,360 bytes) en ROOT32.EXE. Het is functioneel exact gelijk aan de originele Win32.LovSAN/Blaster worm. Zie: NAI. Een nieuwe Win32.LovSAN/Blaster worm variant (c) met als bestandskenmerken: PENIS32.EXE (7,200 bytes) is ontdekt. Het is functioneel exact gelijk aan de originele Win32.LovSAN/Blaster worm - alleen de bestandsnaam en diverse teksten in de EXE verschillen. Zie: Symantec en NAI. Een nieuwe Win32.LovSAN/Blaster worm variant (d) met als bestandskenmerk: MSPATCH.EXE (11,776 bytes) is ontdekt. Het is functioneel exact gelijk aan de originele Win32.LovSAN/Blaster worm - alleen de bestandsnaam en diverse teksten in de EXE verschillen. bron: NAI. Een anti Win32.LovSAN/Blaster worm (W32.Welchia.Worm) met als bestandskenmerk: DLLHOST.EXE (~10,240 bytes) is ontdekt. Net als de andere wormen maakt deze gebruik van de RPC-exploit met als verschil dat deze tot doel schijnt te hebben om de systemen juist te voorzien van de Microsoft RPC-Patch en Blaster/LovSAN te verwijderen. bronnen: Symantec, TrendMicro en NAI Meer over poorten die Windows gebruikt. Handmatig Stappenplan (mochten de removal-tools niet werken):
Workaround preventer (voor de huidige Blaster.worm versies) [not recommended]: Met notepad lege tekstbestanden aanmaken in \System32\ genaamd MSBLAST.EXE, TEEKIDS.EXE, PENIS32.EXE, ROOT32.EXE en MSPATCH.EXE. De attributen/bestandskenmerken readonly, hidden & system maken zodat de aankomende win32.Blaster/LovSAN.worm zichzelf niet kan nestelen in je systeem Tijdelijke RPC-crashworkrounds Mocht je moeite hebben om de RPC patch te downloaden (omdat RPC elke keer crasht): Start > Instellingen > Configuratiescherm > SysteemBeheer > Services (of start > uitvoeren en "services.msc" intoetsen). Daar Remote Procedure Call (RPC) opzoeken en eigenschappen opvragen. Bij het tabblad SysteemHerstel zitten 3 selectievakken voor 1e, 2e en volgende fouten: "Computer opnieuw opstarten". Zet deze alle 3 op "Service opnieuw starten". Op die manier kun je iig de update binnenhalen. Vergeet niet deze instellingen terug te zetten, het is namelijk geen goed idee om door te werken met een RPC-service die op zijn gat ligt. Andere manier: Start > Uitvoeren: "shutdown -a" om tijdelijk het afsluiten tegen te gaan. Problemen bij het patchen
Workaround om DCOM services uit te zetten (als patchen niet werkt): Windows 2000 (alle versies):
Symptomen van infectie zijn oa.:
Moet ik ook patchen als ik niet besmet ben / een router/firewall heb / een inbelverbinding heb / bijna nooit internet / geen last van crashes heb? Ja ! De sourcecode voor dit type worms/trojans is gemakkelijk te vinden (ik heb al meerdere Spaanse, Rusische, Poolse en Engelstalige versies mogen aanschouwen - zowel source als precompiled, compleet met documentatie, plugins, GUI en generators) en aan te passen door een coder. Het wachten is op de volgende versie die jouw PC wél weet te infecteren zonder detectie. Bovendien duurde het bij een proefPC maar 2 minuten totdat hij besmet was... Wat kan een hacker/scriptkiddie nu als ik besmet ben? Toegang krijgen tot de commandprompt en daarmee toegang tot alle bestanden op de computer, inclusief privégegevens, registry, wachtwoorden etc. Het rebooten van de computer komt omdat door SegFaults de RPC-service uitvalt en deze bij een default installatie ingesteld staat op "Windows Rebooten" bij een RPC-service error. Bij een 100% gelukte commandprompt hack zónder SegFaults is het zo dat de hacker/scriptkiddie zonder reboots toegang heeft verkregen. Géén last hebben van reboots is dus géén vrijwaring van hacks/besmetting, maar juist het kenmerk van een succesvolle hack. De SegFaults treden op omdat de hackers/scriptkiddies een verkeerde geheugenadressering hebben gedaan in zgn. "thread data block" (offsets). De correcte adressering hiervan is afhankelijk van Windows versie, taal en servicepack. Op dit moment worden die correcte adresseringen uitgewisseld door hackers en zijn er al een aantal versies die zonder errors met élke Windows versie werkt. De hoogste tijd dus om te patchen, je virusscanner uptodate te houden en een firewall te installeren. Waarom zijn Windows 2000, XP en 2003 nu het meest in gevaar? Dan heb je iets verkeerd begrepen, om precies te zijn is Windows NT namelijk ook in gevaar. Technisch gezien is er wel een verschil: bij Windows NT4 is de RPC Service geregeld door het bestand "RPCSS.EXE" en bij Windows 2000 en nieuwer door de bestanden "SVCHOST.EXE RPCSS.DLL". Omdat Blaster/LovSan is gebasseerd op een sourcecode die alleen Windows 2000 en hoger target is in de media veelal scheef naar voren gekomen dat NT4 géén target is. Er zijn echter veel andere sources beschikbaar die zich wél richten op NT4. Het is dus een kwestie van afwachten totdat iemand een multiplatformversie van de worm maakt én loslaat in de wereld. Het is dan ook niet voor niets dat Microsoft zoveel ruchtbaarheid aan dit probleem (RPC-exploit) geeft dat ze zelfs voor het verouderde, niet meer ondersteunde, Windows NT een hotfix uitbrengen. Soms kan de RPC-Exploit scanner tegenstrijdige uitslag geven "Scanms returns wrong answer when you disabled DCOM on the target box. (run dcomcnfg, uncheck the "Enable Distributed COM on this computer" checkbox)". Zie: - http://archives.neohapsis...cidents/2003-08/0022.html - http://lists.jammed.com/incidents/2003/08/0026.html Lokale Links: Frontpage Tweakers.net: nieuws: Nieuwe worm maakt razendsnel misbruik van lek in RPC WOS Sticky: |||||| ** LEZEN - RPC crash/ windows shutdown ** |||||| Andere Guides: - Hoe verwijder je Blaster? @ Planet.nl |
Opmerking: Ik heb de informatie hoofdzakelijk verzameld terwijl de worm zichzelf nét openbaarde en daarna steeds aangevuld met nieuwe info. Hierdoor kan bovenstaande een beetje onoverzichtelijk of dubbelop staan -vergeef mij mijn menselijkheid
Mocht je toevoegingen hebben of fouten ontdekken in bovenstaande informatie kun je daarvoor mij altijd

[ Voor 255% gewijzigd door Verwijderd op 01-02-2004 21:12 ]