Toon posts:

RPC crash/shutdown 'vraag bak' - deel 2

Pagina: 1 2 3 Laatste
Acties:
  • 4.131 views sinds 30-01-2008
  • Reageer

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Het vorige topic zit alweer over de 500 replies, dus bij deze een nieuwe.

ga naar volgend bericht


QuickFix:

Stap 1 (wormen verwijderen):
LovSAN/Blaster Removal Tools:
McAfee/NAI Stinger (HTML)
Bitdefender Anti-MSBlaster (HTML)
Symantec FixBlaster (HTML)
CA CleanProza (HTML)
F-Secure LovSAN removal (TXT)
TrendMicro SystemCleaner (HTML)
Kaspersky ClearAV

Stap 2 (Windows patchen):
RPC-Patch Directe Download Links:
Windows NT 4.0 Server/Workstation SP6a (Nederlands ) [mirror]
Windows NT 4.0 Server/Workstation SP6a (English ) [mirror]
Windows NT 4.0 Terminal Server SP6 (English ) [mirror]

Windows 2000 SP2 of hoger (Nederlands ) [mirror]
Windows 2000 SP2 or higher (English ) [mirror]

Windows XP 32-Bit Edition SP1 of Gold (Nederlands ) [mirror]
Windows XP 32-Bit Edition SP1 or Gold (English ) [mirror]
Windows XP Embedded SP1 or Gold (English )
Windows XP 64-Bit Edition SP1 or Gold (English ) [mirror]

Windows 2003 Server 32-Bit Edition (Nederlands ) [mirror]
Windows 2003 Server 32-Bit Edition (English ) [mirror]
Windows 2003 Server 64-Bit Edition (English ) [mirror]

Stap 3 (Controle):
RPC-Exploit Scanner + AntiTrojan/Virus
Hoe kan ik zien of ik veilig ben?
1) Kijk eerst of er geen extra gebruikers/administrator acounts zijn aangemaakt bij gebruikersbeheer (start > uitvoeren > lusrmgr.msc) en (Configuratiescherm > Gebruikersaccounts). Mocht je daar toch bezig zijn: controleer of tenminste de Administrator/Backupaccounts (beheerders) wel allemaal gebruik maken van paswoorden en dat de Gastaccount uitgeschakeld is.

2) Zet je firewall uit en draai de RPC.Exploit.scanner om te kijken of je systeem gepatched is (test eerst je internet IP, daarna je lokale IP en localhost/127.0.0.1):
- ptch = Patched / veilig / ok
- VULN = Vulnerable / onveilig / bad
- dsbl = Disabled / firewall/router blokkeert
- [....] = Timeout / firewall/router dropt / geen response ivm patch
NB:
- Test ook zonder firewall !
- De scanner wordt door oa KAV ook gedetecteerd als mogelijk onveilig. Dit is normaal.

3) Scan met een Trojan/Virusscanner om te zien of je geïnfecteerd bent (Zie: Online Scanner van TrendMicro en Virusscanners uit de Microsoft Catalogus).

4) Controleer met een poortscanner of poort 69, 135, 139, 445, 593 en 4444 tenminste op stealth, disabled, blocked of closed staan:Om bepaalde redenen zeggen veel van bovenstaande scanners dat je de test niet succesvol hebt behaalt als je poorten niet op stealth/disabled maar op closed/blocked hebt staan. Of ze nu op stealth of op closed staan maakt in dit geval (RPC-exploit beveiliging) niet uit. Beiden zijn goed zolang de genoemde poorten maar niet open staan.
Zie verder éérst die poortscanner-websites, de handleiding van je firewall en Google/GoT-search om dit topic een beetje hanteerbaar te houden. Zie bijvoorbeeld: welke Firewall is beste en FireWall configureren regels



Naslag:

Informatie verzameld uit meerdere topic's en websites:
Exploit-ID: RPC DCOM vulnerability - Microsoft Security Bulletin MS03-026 (16 juli 2003) - en wellicht HTML Converter vulnerabilty - Microsoft Security Bulletin MS03-023 (9 juli 2003)

Infection-ID's: W32.Blaster.Worm (symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trend Micro), Win32.Posa.Worm (CA), Lovsan.RPC (F-secure), MSBLASTER,Win32.Poza. KaHT II (haxorcitos), W32.Randex.E, Exploit-DcomRpc trojan, W32/Lovsan.worm (NAI) Backdoor.IRC.Cirebot (symantec), Exploit.Linux.DCom / Worm.Win32.Lovesan, Exploit.Win32.DCom (KAV)
Kwestbare OS'en voor de RPC-Exploit:
Microsoft Windows NT 4.0 (alle versies)
Microsoft Windows 2000 (alle versies)
Microsoft Windows XP (alle versies)
Microsoft Windows Server 2003 (alle versies)
. Niet Kwestbare OS'en:
Microsoft Windows 3.x en ouder
Microsoft Windows 95/98 (alle versies)
Microsoft Windows ME
non Windows OS'en (Linux, BSD etc)

Betreft poorten:
PoortOmschrijvingWorm/Trojan
69TCP/UDP: Trivial File TransferCirebot / Randex
80TCP/UDP: HTTP / COM Internet ServicesRPC-exploit
113TCP/UDP: identd/authRandex
135TCP/UDP: DCE Endpoint ResolutionBlaster / KaHTII Welchia
137TCP/UDP: Netbios Name ServiceBlaster / KaHTII
138TCP/UDP: Netbios Datagram ServiceBlaster / KaHTII
139TCP/UDP: Netbios Session ServiceBlaster / KaHTII
445TCP/UDP: Microsoft-DSCirebot / Blaster / KaHTII
593TCP/UDP: RPC-over-HTTP endpoint mapperRPC-exploit
707TCP/UDP: Borland DSJWelchia
4444TCP/UDP: T-FTPBlaster / KaHTII / Randex
5555TCP/UDP: Personal AgentKaHTII
6666TCP/UDP: IRCUKaHTII
57005TCP/UDP: unassignedCirebot

NB: Cirebot (AutoRooter) is de eerste RPC-trojan (zonder geactiveerde replication) welke model heeft gestaan voor oa Blaster/LoveSAN. Blaster/LoveSAN is een afgeleide 2e RPC-worm die wél zichzelf kan verspreiden (op dit moment de grootste boosdoener). KaHTII is een andere RPC-trojan (met oa als doel om virusscanners/firewalls uit te schakelen) die op dit moment nog niet in het wild is gesignaleerd. Er zijn nog meer RPC-worm/trojan versies in omloop (ook voor NT4 etc), maar die hebben (nog) geen significante betekenis of geen replication. De RPC-Exploit kan ook via DCOM over non-IP protocols zoals IPX/SPX en NetBeui misbruikt worden. Een nieuwe Win32.LovSAN/Blaster worm variant (b) is ontdekt met als bestandskenmerken: TEEKIDS.EXE (5,360 bytes) en ROOT32.EXE. Het is functioneel exact gelijk aan de originele Win32.LovSAN/Blaster worm. Zie: NAI. Een nieuwe Win32.LovSAN/Blaster worm variant (c) met als bestandskenmerken: PENIS32.EXE (7,200 bytes) is ontdekt. Het is functioneel exact gelijk aan de originele Win32.LovSAN/Blaster worm - alleen de bestandsnaam en diverse teksten in de EXE verschillen. Zie: Symantec en NAI. Een nieuwe Win32.LovSAN/Blaster worm variant (d) met als bestandskenmerk: MSPATCH.EXE (11,776 bytes) is ontdekt. Het is functioneel exact gelijk aan de originele Win32.LovSAN/Blaster worm - alleen de bestandsnaam en diverse teksten in de EXE verschillen. bron: NAI. Een anti Win32.LovSAN/Blaster worm (W32.Welchia.Worm) met als bestandskenmerk: DLLHOST.EXE (~10,240 bytes) is ontdekt. Net als de andere wormen maakt deze gebruik van de RPC-exploit met als verschil dat deze tot doel schijnt te hebben om de systemen juist te voorzien van de Microsoft RPC-Patch en Blaster/LovSAN te verwijderen. bronnen: Symantec, TrendMicro en NAI
Meer over poorten die Windows gebruikt.

Handmatig Stappenplan (mochten de removal-tools niet werken):
  • 1) Disable System Restore (Google HowTo's)
  • 2) CTRL-SHIFT-ESCAPE -> kill proces MSBLAST.EXE , TEEKIDS.EXE, PENIS32.EXE, ROOT32.EXE en MSPATCH.EXE
  • 3) Start > Zoeken > "MSBLAST.EXE; TEEKIDS.EXE; PENIS32.EXE; ROOT32.EXE; MSPATCH.EXE" op alle drives en ook verborgen bestanden/folders en elk bestand met die naam verwijderen (met name: in de system32 folder, in _restore, in "\System Volume Information\", en in de prefetch folder (*.pf) - als de PC al eerder is gecrasht bevinden zich in de memorydumps "user.dmp",
    "svchost.exe.hdmp" of "svchost.exe.mdmp" ook wormresten die je zonder problemen mag deleten) Tip: maak een nieuw-tekstdocument aan en hernoem die naar de bovengenoemde MSBLAST.EXE zodat er tenminste een bestand gevonden wordt indien je nog niet geïnfecteerd bent en toch zekerheid wilt over je zoekresultaten.
  • 4) Alle verwijzingen naar MSBLAST.EXE, TEEKIDS.EXE, PENIS32.EXE, ROOT32.EXE en MSPATCH.EXE uit register deleten (met name: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
  • 5) Virus/Trojanscanner updaten, daarna alle schijven scannen. (F-Secure en Symantec, CA, TrendMicro, NAI, McAfee en KAV herkenen hem al)
  • 6) Update halen van Microsoft om (her)besmetting te voorkomen (zie voor directe downloadlinks bovenin deze post).
  • 7) Reboot en de gangbare controle doen die elders in deze reply beschreven staat.
  • 8) Firewall installeren. (welke FW?) en FW configureren)
  • 9) be happy and chill - het is te warm om je druk te maken als je dit binnen 2 minuten kan oplossen.

Workaround preventer (voor de huidige Blaster.worm versies) [not recommended]:
Met notepad lege tekstbestanden aanmaken in \System32\ genaamd MSBLAST.EXE, TEEKIDS.EXE, PENIS32.EXE, ROOT32.EXE en MSPATCH.EXE. De attributen/bestandskenmerken readonly, hidden & system maken zodat de aankomende win32.Blaster/LovSAN.worm zichzelf niet kan nestelen in je systeem
Tijdelijke RPC-crashworkrounds
Mocht je moeite hebben om de RPC patch te downloaden (omdat RPC elke keer crasht): Start > Instellingen > Configuratiescherm > SysteemBeheer > Services (of start > uitvoeren en "services.msc" intoetsen). Daar Remote Procedure Call (RPC) opzoeken en eigenschappen opvragen. Bij het tabblad SysteemHerstel zitten 3 selectievakken voor 1e, 2e en volgende fouten: "Computer opnieuw opstarten". Zet deze alle 3 op "Service opnieuw starten". Op die manier kun je iig de update binnenhalen. Vergeet niet deze instellingen terug te zetten, het is namelijk geen goed idee om door te werken met een RPC-service die op zijn gat ligt.

Andere manier: Start > Uitvoeren: "shutdown -a" om tijdelijk het afsluiten tegen te gaan.
Problemen bij het patchen
  • Windows versie moet kloppen (NT4/2K/XP/2003), inclusief het ServicePack wat daarbij benodigd is (SP1, SP2, SP3 etc afhankelijk van versie) en de taal (Nederlands, Engels). Aangeraden wordt om tenminste het hoogste ServicePack geïnstalleerd te hebben alvorens te patchen
  • Cryptographic Services moet op automatisch staan én gestart zijn bij Services (start > uitvoeren > services.msc)
  • Eventueel kan 't ook zijn dat Cryptographic-service juist fouten geeft als deze service actief is. Het uitschakelen van deze service kan dán juist een oplossing zijn.
  • Bestands/diskfouten door het rebooten: Scandisk altijd laten uitvoeren!
  • Geen vrije (tijdelijke) diskruimte: Schoon de tijdelijke mappen, prullenbak en profielen van de overige gebruikers op.
  • Besmetting blokkeert patchen: Scan eens met een volledige virus/trojanscanner ipv een blasterremovaltool - of probeer 1 van de andere blasterremovaltools.

Workaround om DCOM services uit te zetten (als patchen niet werkt):

Windows 2000 (alle versies):
  • Start > Uitvoeren > dcomcnfg
  • Tabblad Default Properties
  • "Enable Distributed COM on this computer" uitvinken.
Windows XP (alle versies):
  • Start > Uitvoeren > dcomcnfg
  • Dubbelklik component services > dubbelklik computers > rechtsklikken op Mijn Computer > Eigenschappen > Tabblad "Default Properties"
  • "Enable Distributed COM on this computer" uitvinken.


Symptomen van infectie zijn oa.:
  • Kopiëren/plakken werkt niet meer onder Windows
  • Onmogelijk om Excel / Word / Messenger / Outlook te starten (of welk programma dan ook wat steunt op RPC-services)
  • DLL errors in Microsoft Office programma's
  • WindowsUpdate werkt niet meer
  • Foutmeldingen van svchost.exe (met evt. spontane reboots van het systeem)
  • Foutmeldingen van RPC service (met evt. spontane reboots van het systeem)
  • Iconen in configuratiescherm verdwenen
  • Iconen verplaatsen werkt niet meer
  • Toevoegen/verwijderen programma's Icoon verdwijnt
  • Firewall start niet meer automatisch
  • FW-regels zijn ongewenst gewijzigd (accept 135-138 always).
  • Ongewoon hogere traffic op bovengenoemde poorten
  • Ongewone traffic op 20 opeenvolgende willekeurige poorten (voorbeeld: 2500-2520, 2501-2521, 2502-2522) Het doel van deze actie is onbekend.
  • Extra traffic naar windowsupdate.com (ook als automatische update uitstaat) NB: de worm maakt gebruik van windowsupdate.com ipv het correcte adres windowsupdate.microsoft.com
  • Aanwezigheid van ongewone TFTP* bestanden op het systeem
  • Aanwezigheid van MSBLAST.EXE, TEEKIDS.EXE, PENIS32.EXE, ROOT32.EXE of MSPATCH.EXE op het systeem (met name in de Windows System32 directory)
  • MSBLAST.EXE, TEEKIDS, PENIS32.EXE of MSPATCH.EXE draait als process/service in taakbeheer: (CTRL-ALT-DEL, Select “Task Manager”, Select “Processes” tab)
  • Ongewoon verhoogd CPU / Geheugengebruik - traagheid en 'lag' in besturing van het OS.

Moet ik ook patchen als ik niet besmet ben / een router/firewall heb / een inbelverbinding heb / bijna nooit internet / geen last van crashes heb?
Ja !
De sourcecode voor dit type worms/trojans is gemakkelijk te vinden (ik heb al meerdere Spaanse, Rusische, Poolse en Engelstalige versies mogen aanschouwen - zowel source als precompiled, compleet met documentatie, plugins, GUI en generators) en aan te passen door een coder. Het wachten is op de volgende versie die jouw PC wél weet te infecteren zonder detectie. Bovendien duurde het bij een proefPC maar 2 minuten totdat hij besmet was...
Wat kan een hacker/scriptkiddie nu als ik besmet ben?
Toegang krijgen tot de commandprompt en daarmee toegang tot alle bestanden op de computer, inclusief privégegevens, registry, wachtwoorden etc. Het rebooten van de computer komt omdat door SegFaults de RPC-service uitvalt en deze bij een default installatie ingesteld staat op "Windows Rebooten" bij een RPC-service error. Bij een 100% gelukte commandprompt hack zónder SegFaults is het zo dat de hacker/scriptkiddie zonder reboots toegang heeft verkregen. Géén last hebben van reboots is dus géén vrijwaring van hacks/besmetting, maar juist het kenmerk van een succesvolle hack. De SegFaults treden op omdat de hackers/scriptkiddies een verkeerde geheugenadressering hebben gedaan in zgn. "thread data block" (offsets). De correcte adressering hiervan is afhankelijk van Windows versie, taal en servicepack. Op dit moment worden die correcte adresseringen uitgewisseld door hackers en zijn er al een aantal versies die zonder errors met élke Windows versie werkt. De hoogste tijd dus om te patchen, je virusscanner uptodate te houden en een firewall te installeren.
Waarom zijn Windows 2000, XP en 2003 nu het meest in gevaar?
Dan heb je iets verkeerd begrepen, om precies te zijn is Windows NT namelijk ook in gevaar. Technisch gezien is er wel een verschil: bij Windows NT4 is de RPC Service geregeld door het bestand "RPCSS.EXE" en bij Windows 2000 en nieuwer door de bestanden "SVCHOST.EXE RPCSS.DLL". Omdat Blaster/LovSan is gebasseerd op een sourcecode die alleen Windows 2000 en hoger target is in de media veelal scheef naar voren gekomen dat NT4 géén target is. Er zijn echter veel andere sources beschikbaar die zich wél richten op NT4. Het is dus een kwestie van afwachten totdat iemand een multiplatformversie van de worm maakt én loslaat in de wereld. Het is dan ook niet voor niets dat Microsoft zoveel ruchtbaarheid aan dit probleem (RPC-exploit) geeft dat ze zelfs voor het verouderde, niet meer ondersteunde, Windows NT een hotfix uitbrengen.
Soms kan de RPC-Exploit scanner tegenstrijdige uitslag geven
"Scanms returns wrong answer when you disabled DCOM on the target box.
(run dcomcnfg, uncheck the "Enable Distributed COM on this computer"
checkbox)". Zie:
- http://archives.neohapsis...cidents/2003-08/0022.html
- http://lists.jammed.com/incidents/2003/08/0026.html
Lokale Links:
Frontpage Tweakers.net: nieuws: Nieuwe worm maakt razendsnel misbruik van lek in RPC
WOS Sticky: |||||| ** LEZEN - RPC crash/ windows shutdown ** ||||||

Andere Guides:
- Hoe verwijder je Blaster? @ Planet.nl


Opmerking: Ik heb de informatie hoofdzakelijk verzameld terwijl de worm zichzelf nét openbaarde en daarna steeds aangevuld met nieuwe info. Hierdoor kan bovenstaande een beetje onoverzichtelijk of dubbelop staan -vergeef mij mijn menselijkheid ;)
Mocht je toevoegingen hebben of fouten ontdekken in bovenstaande informatie kun je daarvoor mij altijd Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/got/images/icons/profile.gifcontacteren. Ik heb echter geen tijd om mensen buiten het forum te helpen met het patchen of anderszins hun Windowsproblemen op te lossen. Contacteer daarvoor mij niet! Bovendien kunnen we beter elkaar centraal in het topic helpen, zo heeft iedereen daar wat aan.

[ Voor 255% gewijzigd door Verwijderd op 01-02-2004 21:12 ]


Acties:
  • 0 Henk 'm!

  • Croccifixio
  • Registratie: Maart 2002
  • Laatst online: 01-04 12:36
Ik neem aan dat je hiermee bedoeld dat deze patches zijn voor W2K met SP3 of SP4. Zelf heb ik nog W2K met SP2 draaien en daar werkt de patch ook voor.

Acties:
  • 0 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
Croccifixio schreef op 13 August 2003 @ 21:05:
[...]


Ik neem aan dat je hiermee bedoeld dat deze patches zijn voor W2K met SP3 of SP4. Zelf heb ik nog W2K met SP2 draaien en daar werkt de patch ook voor.
Mjah, kun je dan niet opgeven dat ie voor alle SP's werkt, of is dat toch misschien niet het geval? SP2 blijkbaar wel dus :?

Acties:
  • 0 Henk 'm!

Verwijderd

Is het de bedoeling dat de eerste link naar de originele variant verwijst en niet naar de variant? (eerste van NAI).

Verder is Backdoor.IRC.Cirebot (symantec) autorooter, niet blaster. Deze maakt wel 'gebruik' van de rpc exploit, maar dat doen er nog wel meer.

euss, heb je beide nieuwe varianten al? (Of iemand anders).
Als iemand zich de moeite wil nemen om ze dan naar kav[at]home[dot]nl te sturen in een password protected archive, dit zou erg op prijs worden gesteld.

Acties:
  • 0 Henk 'm!

  • Croccifixio
  • Registratie: Maart 2002
  • Laatst online: 01-04 12:36
Osiris schreef op 13 August 2003 @ 21:13:
[...]

Mjah, kun je dan niet opgeven dat ie voor alle SP's werkt, of is dat toch misschien niet het geval? SP2 blijkbaar wel dus :?
Krijg net te horen dat de patch niet werkt op W2K zonder SP's. Dus vanaf SP2 werkt de patch.

Acties:
  • 0 Henk 'm!

  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 24-08 19:45
Ik heb ff een vraagje. Ik ben geinteresseerd om dit virus te dissecteren. Zou er iemand mij de 3 varianten eens kunnen doorsturen naar evi [at] smokingcube [dot] be
Geen probleem, ik draai Linux en zit achter een firewall (daarmee krijg ik dat virus ook niet binnen).
Dus je zoekt msblast.exe, penis32.exe of teekids.exe (root32.exe ook?) en stuurt die ff door.

*sorry als dit niet zou mogen modjes, verwijder anders dit maar

Pandora FMS - Open Source Monitoring - pandorafms.org


Acties:
  • 0 Henk 'm!

  • Dinictus208
  • Registratie: November 2000
  • Niet online

Dinictus208

Tele romeo

Mijn complimenten overigens over de manier waarop het hier allemaal gecodumenteerd wordt. Als je gepatched etc bent ben je in pricipe toch ook weer veilig voor die 2 nieuwe varianten?

I could feel at the time There was no way of knowing Fallen leaves in the night Who can say where they're blowing As free as the wind And hopefully learning Why the sea on the tide Has no way of turning


Acties:
  • 0 Henk 'm!

  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Dinictus schreef op 13 August 2003 @ 21:22:
Mijn complimenten overigens over de manier waarop het hier allemaal gecodumenteerd wordt. Als je gepatched etc bent ben je in pricipe toch ook weer veilig voor die 2 nieuwe varianten?
Ja. Ze gebruiken allemaal de RPC-bug uit Security Bulletin MS03-026. Als dat lek bij jou er niet is, kan je dus ook niet besmet worden met deze jongens.

Virussen? Scan ze hier!


Acties:
  • 0 Henk 'm!

  • Attilla
  • Registratie: Februari 2001
  • Laatst online: 23-06-2021
-----Original Message-----
From: Microsoft Nederland [mailto:microsoft04@msbenelux.com]
Sent: Wednesday, August 13, 2003 7:00 PM
To: Attilla de Groot
Subject: Viruswaarschuwing van Microsoft Nederland


Geachte relatie,

Zoals u waarschijnlijk heeft vernomen is een nieuw virus ontdekt,
het ‘Blaster-virus’ dat gebruik maakt van een lek in een aantal
recente versies van Windows. Wij willen u via dit bericht
informeren over het virus, hoe u kunt voorkomen dat uw computer
wordt getroffen en hoe u het virus onschadelijk kunt maken
indien het uw systemen heeft besmet.

Welke computers lopen een risico?

Het Blaster-virus kan onbeschermde pc’s die gebruik maken van
Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0
en Windows NT 4.0 Terminal Services infecteren.

Microsoft heeft op 16 juli 2003 een beveiligingspatch (MS03-026)
beschikbaar gesteld, waarmee gebruikers hun systemen kunnen
beschermen. Indien u deze patch al geïnstalleerd heeft, bent
u beschermd tegen het Blaster-virus en eventuele andere
indringers die gebruik zouden kunnen maken van het lek. Als
u een firewall heeft geïnstalleerd is het waarschijnlijk dat
uw computer beschermd is. Om het zekere voor het onzekere te
nemen adviseren wij u de website van Microsoft te raadplegen.

Heeft u een oudere Windows-versie, zoals Windows 95, Windows 98
of Windows Millennium Editie (ME), dan hoeft u géén maatregelen
te treffen.

Maatregelen

Als uw computer of systeem nog niet beveiligd is met de
beveiligingspatch of firewall en u gebruikt één van de
bovengenoemde versies van Windows, dan adviseren wij u
dringend de beveiligingspatch te downloaden die u vindt via
http://www.microsoft.com/netherlands/blaster/
Daar wordt in eenvoudige stappen uitgelegd hoe u dit kunt doen.

Mocht het virus al op uw computer aanwezig zijn, dan vindt u
op dezelfde webpagina een overzicht van leveranciers van
antivirussoftware die u verder kunnen helpen met het
onschadelijk maken van het Blaster-virus.

Wat merkt u van het virus?

Voor zover nu bekend is het virus vooral hinderlijk en brengt
het geen schade toe aan gegevens op de pc. Het virus gebruikt
veel geheugencapaciteit van de computer waardoor deze trager
kan worden. Daarnaast kan de pc door het virus uit zichzelf
herstarten.

We hopen dat u met behulp van deze informatie eventuele
problemen kunt voorkomen en/of verhelpen. Op
http://www.microsoft.com/netherlands/ kunt u terecht voor de
actuele informatie.


Met vriendelijke groet,

Michel van der Bel
Algemeen Directeur
Microsoft Nederland

Wij vinden een goede relatie met u heel belangrijk. Indien u
informatie van Microsoft Nederland niet langer wenst te
ontvangen, kunt u opzeggen via
http://www.microsoft.com/...ustomercenter/default.asp

Deze e-mail is verzonden door een automatische mailbox,
vragen die u naar deze mailbox stuurt worden niet beantwoord.
Dit bovenstaande mailtje krijg ik zojuist van Microsoft in mijn mailbox.

Ik moet zeggen dat ik dit toch wel respecteer, dat er een dusdanig mailtje wordt verstuurd. Hoewel het fijn was geweest als dit mailtje al maandag verstuurd was, blijkt hier wel uit dat microsoft toch rekening houdt met mensen die hun pc's/servers niet voldoende patchen.

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Croccifixio: Windows 2000 SP2 info toegevoegd

Schouw: Ik heb de tekst over Backdoor.IRC.Cirebot (symantec) autorooter iets verduidelijkt. Er zijn inderdaad genoeg andere versies in omloop die gebruik maken van de RPC-Exploit (zoals bijv. Randex). Des te meer reden om je systemen gewoon te patchen en uptodate te houden.

Guru Evi: Wat jij doet in je vrije tijd op je eigen PC is natuurlijk jouw zaak (zelfeducatie is altijd een goed iets ;)), maar dit forum is geen worm/virus/trojan of anderszins bestandenuitwisselbord. Als jij zo graag die worm wilt hebben kun je ook je PC als honingpot ongepatcht 2 minuten aan internet hangen (zolang deed ik er over om een testPC met 2 wormen [Blaster en Cirebot] besmet te krijgen).

Dinictus: Er zijn nu 2 nieuwe Blaster/LovSAN varianten ontdekt, maar als je inmiddels al gepatcht hebt ben je ook veilig voor de nieuwe versies. Natuurlijk kun je dan nog steeds besmet raken met andere trojans/virussen. Een virus/trojanscanner en firewall installeren is dan ook altijd raadzaam (al vergt dat wel enige inspanning/inzicht en is dit topic niet de juiste plaats om daarover te discusseren).

[Airwolf]: Inderdaad een vriendelijk mailtje van Microsoft. Ik zal de info op http://www.microsoft.com/.../technet/blaster_worm.asp eens bestuderen zodra ik tijd heb en info toevoegen in de TopicStart waar nodig. :)

Ik heb in de topicstart de onderdelen "Wat kan een hacker/scriptkiddie nu als ik besmet ben?" en "Waarom zijn Windows 2000, XP en 2003 nu het meest in gevaar?" toegevoegd voor meer info/duidelijkheid. Ik ben nog op zoek waarom soms de RPC-Exploit scanner (Scanms.exe) tegenstrijdige uitslag kan geven...

[ Voor 43% gewijzigd door Verwijderd op 14-08-2003 15:07 ]


Acties:
  • 0 Henk 'm!

  • job
  • Registratie: Februari 2002
  • Laatst online: 01-10 00:07

job

ooh leuk deze exploit.
m'n e-tech router maakt overuren.

vanmiddag zat m'n hele download lijn vol door connecties met m'n router.
en lag mijn verbinding dus plat.
hopen dat @home die eikels die iedereen zitten te infecteren snel van het netwerk afgooien.

[ Voor 12% gewijzigd door job op 13-08-2003 23:05 ]


Acties:
  • 0 Henk 'm!

  • paella
  • Registratie: Juni 2001
  • Laatst online: 03-10 21:06
En nu dus hulde voor de providers die poorten <1024 blokken!

[ Voor 5% gewijzigd door paella op 13-08-2003 23:24 ]

No production networks were harmed during this posting


Acties:
  • 0 Henk 'm!

  • Krush
  • Registratie: Oktober 2001
  • Niet online
Mijn moeders pc was ook geinfecteerd, en op de een of andere manier waren verschillende administrator functies meteen afgeschermd.
Heb gereboot met netwerkkaart disabled, en tcp/ip filtering ingeschakeld. Daarna patch geinstalleerd.
De PC werkte toen weer normaal, maar het rare is dat FixBlast van Symantec (dat ik daarna uitvoerde) vertelde dat de worm niet was aangetroffen op het systeem.
Ik heb dus ook niks kunnen verwijderen, maar hoe kan het dat het systeem alle kenmerken van een infectie heeft, maar de worm niet gevonden kan worden?

Doors, windows in the house are used for their emptyness; thus, we are helped by what is not.


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
paella: Niet allemaal onder de 1024 hoop ik voor je. Ik ben al blij als ze 135-139, 445 en 593 zouden blocken op ISP nivo. Die hebben wat mij betreft niks op internet te zoeken. Zie ook: http://www.securityfocus....5/2003-08-11/2003-08-17/0
Overigens blockt Wanadoo nu een aantal poorten:
quote: mailtje
Omdat het virus via een bepaalde poort de pc binnenkomt, is
Wanadoo gestart met het filteren van deze poort. Abonnees die
inbellen of via de kabel internetten lopen hierdoor minder
risico geïnfecteerd te worden door het virus. Helaas is Wanadoo
niet in staat alle connecties te beveiligen, waardoor abonnees met
een ADSL-verbinding nog steeds kwetsbaar zijn. Waar mogelijk
installeert Wanadoo filters om dit tot een minimum te beperken.
Krush: Probeer gewoon meerdere Blaster removal tools uit - desnoods met de handmatige manier - en kijk gelijk met een complete virusscanner naar die PC.

[ Voor 87% gewijzigd door Verwijderd op 16-08-2003 06:49 ]


Acties:
  • 0 Henk 'm!

Verwijderd

vraagje ik heb bij processen 4x svchost.exe staan ;( is dat normaal of is er iets niet in orde .
PC is upgegrade met patch nadat de worm op mijn pc was gekomen<en als het goed is verwijderd>.

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 13 August 2003 @ 23:31:
vraagje ik heb bij processen 4x svchost.exe staan ;( is dat normaal of is er iets niet in orde .
PC is upgegrade met patch nadat de worm op mijn pc was gekomen<en als het goed is verwijderd>.
Als je XP gebruikt kan dat aantal wel kloppen.

Acties:
  • 0 Henk 'm!

  • paella
  • Registratie: Juni 2001
  • Laatst online: 03-10 21:06
Verwijderd schreef op 13 August 2003 @ 23:29:
paella: Niet allemaal onder de 1024 hoop ik voor je. Ik ben al blij als ze 135-139, 445 en 593 zouden blocken op ISP nivo. Die hebben wat mij betreft niks op internet te zoeken.
Gelijk heb je. Ik heb zelf een hardware router en een gepatched systeem (als sinds de release van de patch). Ik heb er zelf dus sowieso geen last van. Aangezien ik systeembeheerder ben heb ik gisteren en vandaag wel veel mensen gesproken die thuis een "defecte" machine hebben. Op mijn werk trouwens geen last gehad, deels door de gepatchte systemen en deels doordat de firewall de aanvallen stopt.

No production networks were harmed during this posting


Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 13 August 2003 @ 23:34:
[...]


Als je XP gebruikt kan dat aantal wel kloppen.
ik gebruik inderdaad xp :) maar wat een beetje vaag is hij verbreekt nu ook
vanzelf mijn internet verbindig en opend een nieuwe venster om verbinding te maken.
ik heb trouwens de nodige poorten dicht gegooid bij mijn firewall

Acties:
  • 0 Henk 'm!

  • Joen
  • Registratie: Juli 2003
  • Laatst online: 02-10 12:57
En is t voor W2K Pro NL SP3 ook normaal?
Voordat die bug zo in t nieuws kwam had ik t ook al zo, dus zal wel normaal zijn :P

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
vaak2003 & JeroenM_tbs: Meerdere Svchost.exe processen in je taakbeheer is normaal voor Windows 2000, XP en 2003

Kijk maar eens bij SysteemBeheer welke services jij allemaal draait (start > uitvoeren > services.msc) en hoeveel daarvan erop Svchost.exe steunen

edit: een nog makkelijkere manier is met "tlist -s" (W2K) of "Tasklist /SVC" (WinXP) op de CMD prompt. Zie: MS-KB:250320 (W2K) en MS-KB:314056 (WinXP)

[ Voor 76% gewijzigd door Verwijderd op 14-08-2003 02:26 ]


Verwijderd

Verwijderd schreef op 13 August 2003 @ 23:50:
[...]


ik gebruik inderdaad xp :) maar wat een beetje vaag is hij verbreekt nu ook
vanzelf mijn internet verbindig en opend een nieuwe venster om verbinding te maken.
ik heb trouwens de nodige poorten dicht gegooid bij mijn firewall
8)7 internet wordt verbroken door verkeerd instellen firewall 8)7 foutje :)
EUSS en SCHOUW bedankt voor de antwoorden ;)

Verwijderd

Verwijderd schreef op 14 August 2003 @ 00:09:
[...]


8)7 internet wordt verbroken door verkeerd instellen firewall 8)7 foutje :)
EUSS en SCHOUW bedankt voor de antwoorden ;)
beetje offtopic misschien, misschien ook weer niet.

Maar sinds @home die IP's blokte om 16.00 uur, hebben ze daarna nog wat geblokt ?? Ik krijg nu verdacht weinig rejects namelijk in m;n firewall log.
Nog meer mensen die dit verschijnsel hebben ?
(weet niet of ik dit misschien beter in het @home topic kan zetten, maar het is sinds gister namelijk, dus misschien is er verband met die RPC shit).

Enige zijn een paar multicasts die zo nu en dan verschijnen.
En deze krijg ik regelmatig:

Aug 14 00:28:17 followme kernel: INPUT-REJECT:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:c0:02:79:24:03:08:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=44 TOS=0x00 PREC=0x00 TTL=63 ID=33026 PROTO=TCP SPT=33218 DPT=3626 WINDOW=3072 RES=0x00 ACK SYN URGP=0

MAC address komt niet bij 1 van m;n eigen PC's vandaan.

[ Voor 37% gewijzigd door Verwijderd op 14-08-2003 00:29 ]


  • Joen
  • Registratie: Juli 2003
  • Laatst online: 02-10 12:57
Verwijderd schreef op 13 August 2003 @ 23:56:
vaak2003 & JeroenM_tbs: Meerdere Svchost.exe processen in je taakbeheer is normaal voor Windows 2000, XP en 2003

Kijk maar eens bij SysteemBeheer welke services jij allemaal draait (start > uitvoeren > services.msc) en hoeveel daarvan erop Svchost.exe steunen
Ehm jah, als je de verhalen hoort wat er allemaal draait dat gebruik moet maken van RPC en zo...
Ik geloof t ook best hoor, alleen ff vragen ter controle (je kan nu maar niet voorzichtig genoeg zijn :P ).

  • Pewwy
  • Registratie: Oktober 2000
  • Laatst online: 02-05-2022
Ik vanmiddag nog hard lachen dat onze firewall alles filterde, blijkt er 1 inbelpc te staan op een afdeling die inbelt naar een netwerk waar het virus wel aanwezig was. Kan iemand mij misschien vertellen of er een kans is dat het daar vandaan komt? De logs van de firewall zijn namelijk supergroot op het moment en alle poorten lijken netjes geblokt te worden. Helaas waren de client niet ver genoeg geupdate, waardoor ik nu pas klaar ben met mijn werk :(

Verwijderd

Verwijderd schreef op 13 augustus 2003 @ 23:31:
vraagje ik heb bij processen 4x svchost.exe staan ;( is dat normaal of is er iets niet in orde .
PC is upgegrade met patch nadat de worm op mijn pc was gekomen<en als het goed is verwijderd>.
SVCHOST.EXE word gebruikt voor meerdere services op je systeem. Hieronder een lijstje...

RpcSs
AudioSrv
Browser
CryptSvc
Dhcp
dmserver
EventSystem
FastUserSwitchingCompatibilityServices
helpsvc
HidServ
lanmanserver,
anmanworkstation
Netman,Nla,Schedule
seclogon
SENS
ShellHWDetection
TermService
ThemeService
TrkWks
uploadmgr
W32Time
WmdmPmSp
wuauser
Dnscache
LmHosts
Messenger
RemoteRegistry
SSDPSRV
WebClient
Spooler


...en nog een aantal :P

Verwijderd

Kijk in deze reg key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

Hier staan ze voor jou machine

Verwijderd

hhhmmm krijg de patch niet geinstalleerd op een machine die geinfecteerd was
krijg de melding dat het bestand update.inf niet te controlleren is, en dat ik de cryptograph service moet uitzetten.
ik dus die service uitgezet gezocht naar update.inf maar die kan hij niet vinden ????
hoe aply ik de patch toch op de machine

  • Pewwy
  • Registratie: Oktober 2000
  • Laatst online: 02-05-2022
Verwijderd schreef op 14 augustus 2003 @ 02:16:
hhhmmm krijg de patch niet geinstalleerd op een machine die geinfecteerd was
krijg de melding dat het bestand update.inf niet te controlleren is, en dat ik de cryptograph service moet uitzetten.
ik dus die service uitgezet gezocht naar update.inf maar die kan hij niet vinden ????
hoe aply ik de patch toch op de machine
Normaal gesproken moet het kunnen na het verwijderen. Is mij in ieder geval goed gelukt vandaag.

Verwijderd

Topicstarter
dutchtubby: Probeer de tijdelijke map op te schonen (TempFiles) en de update daarna opnieuw te starten.

[ Voor 17% gewijzigd door Verwijderd op 14-08-2003 03:40 ]


Verwijderd

3) Start>zoeken>"MSBLAST.EXE" (bij volgende rondes: "TEEKIDS.EXE", "PENIS32.EXE" en "ROOT32.EXE")
Dat kan ook in 1 keer :)

Op de zoekprompt in 1 keer typen:
code:
1
MSBLAST.EXE TEEKIDS.EXE PENIS32.EXE ROOT32.EXE

Dus met een spatie er tussen gewoon achter elkaar. Dan vindt ie ze allemaal in 1 keer :)

Verwijderd

Topicstarter
Hey, dank je HlpDsk, dat is inderdaad makkelijker (ik gebruik zelf commandline tools) - alleen deed hij het bij mij (WinXP) niet met spaties, alleen als ik achter de termen een ";" zette. Ik heb de tekst aangepast.

"MSBLAST.EXE; TEEKIDS.EXE; PENIS32.EXE; ROOT32.EXE"

[ Voor 8% gewijzigd door Verwijderd op 14-08-2003 03:36 ]


  • Attilla
  • Registratie: Februari 2001
  • Laatst online: 23-06-2021
Verwijderd schreef op 13 augustus 2003 @ 21:55:
[Airwolf]: Inderdaad een vriendelijk mailtje van Microsoft. Ik zal de info op http://www.microsoft.com/.../technet/blaster_worm.asp eens bestuderen zodra ik tijd heb en info toevoegen in de TopicStart waar nodig. :)

Ik heb in de topicstart de onderdelen "Wat kan een hacker/scriptkiddie nu als ik besmet ben?" en "Waarom zijn Windows 2000, XP en 2003 nu het meest in gevaar?" toegevoegd voor meer info/duidelijkheid. Ik ben nog op zoek waarom soms de RPC-Exploit scanner tegenstrijdige uitslag kan geven...
Ik heb hier de exploit voor de bug (mag je van mij hebben, pre-compiled, incl source. Contact me maar ff op icq). Ik ben het daarom ook niet eens waarom NT4 veiliger is dan de overige NT versies, aangezien de zelfde mogelijkheden bestaan icm. met de exploid.

  • AxiMaxi
  • Registratie: December 2000
  • Laatst online: 06-11-2024
Symantec heeft inmiddels ook een beschrijving online: W32.Blaster.Worm

[Hier had mijn handtekening kunnen staan]


Verwijderd

IK heb die fijne worm dus ook gehad, patch eroverheen, daarna dat programma om die worm weg te halen, toen liep ie vast. Daarna maar een virusscan geintstalleerd en eroverheen gegooid, liep ook af en toe vast. Na een paar keer te hebben rebooted en te hebben gescand was ik virus vrij. Fixblast.exe gaf dat ook aan. Nu ik virusvrij ben loopt m'n pc nog steeds vaak vast als ik op internet zit. Hoe komt dit?
Het was ook zo dat alle mijn gedownloade *.exe bestanden niet meer geldige win32 toepassingen waren en ik kon ze allemaal weggooien???

Verwijderd

eerst virus verwijderen dan patchen (staat ook keurig bij de howto van fixblast)

  • Luppie
  • Registratie: September 2001
  • Laatst online: 14-08 07:27

Luppie

www.msxinfo.net

Kreeg vandaag een mailtje van Microsoft :
Geachte relatie,

Zoals u waarschijnlijk heeft vernomen is een nieuw virus ontdekt,
het ‘Blaster-virus’ dat gebruik maakt van een lek in een aantal
recente versies van Windows. Wij willen u via dit bericht
informeren over het virus, hoe u kunt voorkomen dat uw computer
wordt getroffen en hoe u het virus onschadelijk kunt maken
indien het uw systemen heeft besmet.

Welke computers lopen een risico?

Het Blaster-virus kan onbeschermde pc’s die gebruik maken van
Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0
en Windows NT 4.0 Terminal Services infecteren.

Microsoft heeft op 16 juli 2003 een beveiligingspatch (MS03-026)
beschikbaar gesteld, waarmee gebruikers hun systemen kunnen
beschermen. Indien u deze patch al geïnstalleerd heeft, bent
u beschermd tegen het Blaster-virus en eventuele andere
indringers die gebruik zouden kunnen maken van het lek. Als
u een firewall heeft geïnstalleerd is het waarschijnlijk dat
uw computer beschermd is. Om het zekere voor het onzekere te
nemen adviseren wij u de website van Microsoft te raadplegen.

Heeft u een oudere Windows-versie, zoals Windows 95, Windows 98
of Windows Millennium Editie (ME), dan hoeft u géén maatregelen
te treffen.

Maatregelen

Als uw computer of systeem nog niet beveiligd is met de
beveiligingspatch of firewall en u gebruikt één van de
bovengenoemde versies van Windows, dan adviseren wij u
dringend de beveiligingspatch te downloaden die u vindt via
http://www.microsoft.com/netherlands/blaster/.
Daar wordt in eenvoudige stappen uitgelegd hoe u dit kunt doen.

Mocht het virus al op uw computer aanwezig zijn, dan vindt u
op dezelfde webpagina een overzicht van leveranciers van
antivirussoftware die u verder kunnen helpen met het
onschadelijk maken van het Blaster-virus.

Wat merkt u van het virus?

Voor zover nu bekend is het virus vooral hinderlijk en brengt
het geen schade toe aan gegevens op de pc. Het virus gebruikt
veel geheugencapaciteit van de computer waardoor deze trager
kan worden. Daarnaast kan de pc door het virus uit zichzelf
herstarten.

We hopen dat u met behulp van deze informatie eventuele
problemen kunt voorkomen en/of verhelpen. Op
http://www.microsoft.com/netherlands/ kunt u terecht voor de
actuele informatie.


Met vriendelijke groet,

Michel van der Bel
Algemeen Directeur
Microsoft Nederland
Normaal doen ze dat nooit, ik denk dat ze een beetje bang worden dat overmorgen Windows Update volledig gebombardeerd gaat worden.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.


  • JaWa
  • Registratie: Juni 2001
  • Laatst online: 16-06 19:33

JaWa

zie hier een icon

okee een heel klein beetje leedvermaak. Gelukkig had ik op tijd de frontpage post gelezen.. en onze computers hier gepatched. Maar ja op mn msn lijst zijn er genoeg mensen die niet bewust zijn van de boze computerwereld..
Ik dus removal tools sturen, patches etc...

Todat ik bij de volgende kwam... Ik stuur dus de bitdefender removal tool.... komt ze met een status raport.. 46 virussen!!!
zie hier:

Afbeeldingslocatie: http://members.lycos.nl/riantokoosman/GoT/virusrapport.gif

jep,... OMG

[ Voor 5% gewijzigd door JaWa op 14-08-2003 12:01 ]

Switched to the Dark Side 2005. Occasional dabbling in photography and coding


  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03 13:37
deny udp any any eq 135 (1396 matches)
deny tcp any any eq 135 (203083 matches)
deny tcp any any eq 139 (60704 matches)
deny tcp any any eq 445 (41283 matches)

Loopt lekker op de laatste dagen :)

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)


  • jep
  • Registratie: November 2000
  • Laatst online: 18-09 15:23

jep

Ik krijg op 't moment 90mbit binnen met als (spoofed)-source windowsupdate.com, icmp packets. Gelukkig reply ik ze niet maar ik kan me voorstellen dat het met dat RPC verhaal te maken heeft. Oja, ik draai dus geen windows hé ;)

  • Tweeke
  • Registratie: November 2002
  • Niet online
JaWa: Dat is nog eens een goed gevulde pc! :D

Ik neem aan dat dit dus op de pc van een kennis was, en niet op die van jou :?
Geeft wel aan dat als je geen tegenmaatregelen neemt, je vrijwel zeker besmet wordt.

Doe ook eens die leuke Shields Up test (KLIK!.
Als je een goed geconfigureerde firewall hebt krijg je het volgende verhaaltje. Ik werd er helemaal blij van.... 8)7
Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.

Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.
Joepie! En de scan van de poorten 1 t/m 1056 TCP poorten was ook leuk. Allen zijn stealthed.
BTW met Norton Internet Security 2003, security level = medium (wel het 1 en ander aan geconfigureerd....)

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


  • Sneak[3G]
  • Registratie: September 2001
  • Laatst online: 06-11-2023
als je SP1 hebt geinstalleerd op XP dan ben je ook patched? DAt geeft RPC-Exploit Scanner wel aan bij mij tenminste.

Aldi PC PIII 1 GHZ, GF2 GTS, 396 MB SDRAM/ALDI PC PIV 1,8, GF3 TI200, 396 MB SDRAM


  • IceM
  • Registratie: Juni 2003
  • Laatst online: 09:08
Nee, sp1 van windowsxp dateerd van voor juni.. dus de patches moet je wel installeren.

...


  • Sneak[3G]
  • Registratie: September 2001
  • Laatst online: 06-11-2023
hmmz vreemd ik heb alleen die SP1 patch er op en hij zegt gewoon dat ik patched ben met scanms.exe

Aldi PC PIII 1 GHZ, GF2 GTS, 396 MB SDRAM/ALDI PC PIV 1,8, GF3 TI200, 396 MB SDRAM


Verwijderd

Topicstarter
Sneak[3G]: dat zou kunnen, omdat de patch namelijk ook zit in de updates die je bij http://windowsupdate.microsoft.com/ binnenhaalt (hetzij handmatig, danwel automatisch).

  • Tweeke
  • Registratie: November 2002
  • Niet online
Het progje kán het niet bij het rechte eind hebben. Ik zou dus toch maar patchen en de rest van het prachtige stappenplan van Euss doornemen.
Stap 3 (Controle):
RPC-Exploit Scanner + AntiTrojan/Virus
Ook niet vergeten dus om met een paar online scanners te checken of er poorten open staan of nog niet gestealthed zijn.

EDIT

Ik ben eigenlijk wel benieuwd hoe het zit met de verspreiding van de wormen die gebruik maken van de welbekende bug. Kan je ergens kijken hoeveel meldingen er wereldwijd zijn? Op symantec.com kon ik het niet vinden, maar volgens mij moet het wel ergens staan.

Anyone :?

EDIT 2
Mitt3nz schreef op 14 augustus 2003 @ 14:48:
Kan ik svchost.exe veilig toegang verlenen tot het internet of moet ik z'n toegang limiteren tot bepaalde poorten? (ik draai een thuisnetwerk, als dat wat uitmaakt)

Ben nu een beetje met mn firewall aan het prutsen ivm deze exploit..
Als je maar alle poorten die in Euss mini- FAQje staan blokkeert of stealthed + de MS- patch installeert, dan komt het helemaal goed. SVCHOST.exe de toegang tot i.net verbieden is niet slim en het proces SVCHOST.exe killen al helemaal niet.

Je firewall de juiste poorten laten blokken, en online je veiligheid testen. Thuisnetwerk is niet echt boeiend, maar zorg wel dat op álle pc's de patch staat en niet alleen op de PC die als router fungeert (als je geen stand-alone router hebt, that is). Firewall hoeft natuurlijk alleen maar op de routerende PC :)

[ Voor 75% gewijzigd door Tweeke op 14-08-2003 14:56 . Reden: stukkie tekst erbij ]

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


  • Mitt3nz
  • Registratie: Maart 2002
  • Laatst online: 23-08 16:19
Kan ik svchost.exe veilig toegang verlenen tot het internet of moet ik z'n toegang limiteren tot bepaalde poorten? (ik draai een thuisnetwerk, als dat wat uitmaakt)

Ben nu een beetje met mn firewall aan het prutsen ivm deze exploit..

[ Voor 37% gewijzigd door Mitt3nz op 14-08-2003 14:50 ]


  • Mitt3nz
  • Registratie: Maart 2002
  • Laatst online: 23-08 16:19
Hmm, raar..

Die "Common Ports" test van GRC.Com NanoProbe zegt dat ik de test niet gehaald heb, terwijl het daaronder aangeeft dat alle geteste ports stealth/closed zijn.

Maf :?

Hier de "summary":
GRC Port Authority Report created on UTC: 2003-08-14 at 13:54:33

Results from scan of ports: 0, 21, 23, 25, 79, 80, 110, 113,
119, 135, 139, 143, 389, 443, 445,
1002, 1024-1030, 1720, 5000

0 Ports Open
11 Ports Closed
14 Ports Stealth
---------------------
25 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be CLOSED were: 21, 23, 25, 79, 110, 119, 143,
389, 443, 1002, 1720

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

[ Voor 69% gewijzigd door Mitt3nz op 14-08-2003 15:55 ]


Verwijderd

Mitt3nz schreef op 14 August 2003 @ 15:50:
Hmm, raar..

Die "Common Ports" test van GRC.Com NanoProbe zegt dat ik de test niet gehaald heb, terwijl het daaronder aangeeft dat alle geteste ports stealth/closed zijn.

Maf :?

Hier de "summary":


[...]
Ports found to be CLOSED were: 21, 23, 25, 79, 110, 119, 143,
389, 443, 1002, 1720

Alles behoort stealth te zijn, daarom zegt ie dat je de test niet hebt gehaald.

Verwijderd

Topicstarter
Mitt3ns: in jouw geval ben je veilig wat betreft de firewall icm RPC-exploits. Ik heb de tekst aangepast in de topicstart voor meer duidelijkheid. De discussie of een poort closed of stealth moet zijn is behoorlijk offtopic (stealth voldoet bijv. niet aan RFC specificaties imo), maar ik zal het een beetje uitleggen. Het verschil tussen stealth en closed is dat bij stealth er simpel genegeerd wordt en bij closed een antwoord gestuurd wordt dat de betreffende poort gesloten is. Wil je een PC die "onzichtbaar" (niet reagerend op poortscans) aan internet hangt dan is stealthen een optie, terwijl je bij bijvoorbeeld een server liever de poorten closed (oa voor een betere communicatie met je clients/bezoekers).
Om bepaalde redenen zeggen veel van bovenstaande scanners dat je de test niet succesvol hebt behaalt als je poorten niet op stealth/disabled maar op closed/blocked hebt staan. Of ze nu op stealth of op closed staan maakt in dit geval (RPC-exploit beveiliging) niet uit. Beiden zijn goed zolang de genoemde poorten maar niet open staan.
Om dit topic een beetje schoon te houden raad ik iedereen aan om niet zijn poortscan te dumpen met 'snelle' vraagjes maar om eerst op de betreffende site te kijken wat voor uitleg hun eraan geven en zelf je mogelijkheden/voorkeuren te raadplegen. Zolang de 'RPC-poortjes' maar niet openstaan ben je wat dit topic betreft veilig ;)

Naslag:
- http://www.giac.org/practical/Brenden_Claypool_GSEC.doc (verschillende scanmogelijheden)
- http://grcsucks.com/shieldsup.html (over fouten in de GRC.com ShieldsUp test)
- http://cable-dsl.home.att.net/index.htm#CheckSecurity (alternatieve scanners)

[ Voor 51% gewijzigd door Verwijderd op 14-08-2003 17:27 ]


Verwijderd

Zal wel weer aan mij leggen maar die link die op tweakers stond van die scanner of je systeem nog steeds open staat voor dat virus werkt bij mij niet,, bij jullie ook niet

Verwijderd

Topicstarter
De Scanms.exe scanner die op de ISS pagina staat kan ik gewoon downloaden (directe download link en mirror op m'n site)

Gebruik bovenstaande tool wel vanaf de commandprompt ( Start > Uitvoeren > "CMD" en daarna in dat CMD-venster: "C:\ScanMS.exe" gevolgt door je IP nummer indien je het bestand in C:\ hebt opgeslagen) anders sluit het binnen notime.

Een andere optie om de schakeloptie "/K" mee te geven aan je opdracht: Start > Uitvoeren > "C:\ScanMS.exe /K" gevolgt door je IP nummer indien je het bestand in C:\ hebt opgeslagen - de "/K" optie voorkomt dat het venster sluit.

Als je foutmeldingen krijgt zoals "scanms.exe wordt niet herkend als een interne of externe opdracht, programma of batchbestand" dan staat het scanms.exe bestand niet in C:\ - die zul je dan hetzij daarnaartoe verplaatsen - of het juiste pad meegeven door C:\ te wijzigen in de plaats waar het bestand wél staat in jouw specifieke geval.


Voorbeeld 1: C:\scanms.exe 192.168.0.1
ScanMS gaat alleen IP nummer 192.168.0.1 scannen

Voorbeeld 2: C:\scanms.exe 192.168.0.1-192.168.0.254
ScanMS gaat de IP nummers vanaf 192.168.0.1 t/m 192.168.0.254 scannen


Welke IP nummers moet je allemaal controleren?
Kort: alle die jij hebt ;)
Met Start > Uitvoeren > "CMD" en dan in het CMD-venster: "ipconfig" heb je een overzicht van de toegewezen IP-nummers op de computer waar je dit intikt.
Test in ieder geval je Internet IP-nummer, je lokale Netwerk IP-nummer en je lokalhost (127.0.0.1).

Zoals in de openingspost beschreven staat betekenen de uitslagen:
- ptch = Patched / veilig / ok
- VULN = Vulnerable / onveilig / bad
- dsbl = Disabled / firewall/router blokkeert
- [....] = Timeout / firewall/router dropt / geen response ivm patch


Er is ook een andere scanner, maar daar heb ik weinig ervaring mee, dus ik kan je ook niet vertellen of die goed en betrouwbaar functioneerd (bovendien moet je gegevens geven om die te kunnen downloaden en is een directe downloadlink posten op GoT op zijn minst twijfelachtig): http://www.eeye.com/html/Research/Tools/RPCDCOM.html

[ Voor 124% gewijzigd door Verwijderd op 14-08-2003 18:18 ]


Verwijderd

Wat ee n lul ben ik zeg het werkt niet of ik weet niet hoe het werkt :(
tik het allemaal in en krijg dan de volgende melding:
scanms.exe wordt niet herkend als een interne of externe opdracht, programma of batchbestand

YES IS eindelijk gelukt krijg een verhaaltje in beeld maar hoe weet ik nu of het zeker niet besmet is?????
En hoe weet je welke selectie je moet maken met IP nrs?

JIJ BEnt in 1 WOORD GEWELDIG!!!!!!!!!!!!!!!!!!!!

[ Voor 159% gewijzigd door Verwijderd op 14-08-2003 18:26 ]


Verwijderd

ff cd.. typen -->enter ,totdat je alleen nog maar c:\> hebt.

[ Voor 5% gewijzigd door Verwijderd op 14-08-2003 18:02 ]


  • Novah
  • Registratie: April 2002
  • Laatst online: 26-09 21:25
Link met veel info van Planet.nl:
http://www.planet.nl/plan...ontentid=394710/sc=a93d0e

Hier staan tenminste mirrors voor de patches van Microsoft. Veel mensen kunnen namenlijk niet via hun server downloaden en gelukkig bestaan er nog mensen die wel mirroren als je het vraagt.

Verwijderd

Lol, bij ons zijn er zelfs monteurs van essent in de buurt geweest. Ze zeiden dat ze niks konden vinden. Ik heb thuis alle pc's al ontwormd, maar ik denk er niet aan om bij iedereen hier in de buurt langs te gaan om ze te ontwormen. En ik denk dat het ook geen nut heeft, want ik zie hier op mijn activity monitor dat de binnenkomende verbindingen overal vandaan komen. @home is ook zo dom bezig met die ongemaskte ip-ranges.
Mijn conclusie @home is de grootste virus verspreider van allemaal.

Ik kreeg zojuist nog een inkomend pakketje van een van de buren:

Count:1
Action:Monitored
Application:svchost.exe
Access:Inbound UDP access
Object:1900 (ssdp) <- ***.120.72.*** (cp******-a.mill1.nb.home.nl):4094
Time:14-8-2003 21:06:00

[ Voor 23% gewijzigd door Verwijderd op 14-08-2003 21:08 ]


Verwijderd

Topicstarter
mzo: Ik ben blij dat het uiteindelijk gelukt is.

Novah: ik heb de link en de mirrors toegevoegd :)

Nasa: dat pakketje is geen Blaster/LovSAN, maar een port 1900 uPNP/SSDP pakketje: http://is-it-true.org/nt/xp/registry/rtips18.shtml
code:
1
2
3
4
5
6
7
8
9
10/10-08:24:10.486051 xxx.xxx.xxx.xxx:4612 -> xxx.xxx.xxx.xxx:1900
UDP TTL:1 TOS:0x0 ID:26196 IpLen:20 DgmLen:118
Len: 98
4D 2D 53 45 41 52 43 48 20 2A 20 48 54 54 50 2F  M-SEARCH * HTTP/
31 2E 31 0D 0A 48 6F 73 74 3A 32 33 39 2E 32 35  1.1..Host:239.25
35 2E 32 35 35 2E 32 35 30 0D 0A 53 54 3A 75 70  5.255.250..ST:up
6E 70 3A 72 6F 6F 74 64 65 76 69 63 65 0D 0A 4D  np:rootdevice..M
61 6E 3A 73 73 64 70 3A 64 69 73 63 6F 76 65 72  an:ssdp:discover
0D 0A 4D 58 3A 33 0D 0A 0D 0A                    ..MX:3....
Zolang jij geen koelkast hebt die middels uPNP over internet communiceert kun je die gerust blokkeren in je Firewall.
Het is een beetje onzinnig voor providers om maar elke poort te blokkeren (en zeker boven de 1024) als die gebruikt wordt door een trojan/virus/worm, omdat er dan van de 65535 poorten er géénéén overblijft...

Schouw: Kaspersky removal tool toegevoegd. :)
Echter wat betreft het verkrijgen van de sourcecodes is GoT niet de aangewezen plek. Zet eens een bak 2 minuten ongepatch online en je hebt de compileerde versie. En anders is door elke 1337 coder wel een weg te vinden (desnoods via Google) om aan sources te komen ;)

Het schijnt nu een beetje rustiger te worden qua Blaster/LovSAN ?

[ Voor 144% gewijzigd door Verwijderd op 14-08-2003 21:34 ]


Verwijderd

Voor als er nog interesse is in nóg een removal tool: Kaspersky's versie

Echt niet iemand die de nieuwe varianten heeft, en ook nog bereid is die te versturen?
(Voor de collectie/analyse)

  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 14 augustus 2003 @ 21:15:

Het schijnt nu een beetje rustiger te worden qua Blaster/LovSAN ?
Nou... niet bepaald.... mijn firewall blocked gemiddeld nog altijd zo'n 20-25 connections per minuut.

Dit ding verspreid zich echt gigantisch snel, doet een beetje denken aan een tijdje terug met SQLSlammer, die zich ook enorm snel verspreidde.

Virussen? Scan ze hier!


Verwijderd

http://scan.sygatetech.com/udpscan.html geeft mij open:
DNS 53 OPEN
UPnP 1900 OPEN
POP3 110 OPEN

De rest is wel dicht. Toch lijkt mij dit niet zo goed.

Ik heb een routeren daar gewoon de standaard firewall van aangezet.

Waarom werkt scanms niet op mijn internet ip. Mijn lokale vindt hij wel waar op mijn inetip reageert hij niet.

edit:

mijn router geeft dit in zijn security log:

08/14/2003 22:23:58 **LAND** 62.45.180.144, 55984->> 62.45.180.144, 135 (from WAN)
//Van mijn adres naar mijn inet ip adres???

08/14/2003 21:53:15 **Snork** 204.1.226.228, 135->> 62.45.180.144, 135 (from WAN) //Van onbekend adres naar mijn inet ip adres???

08/14/2003 18:22:17 **smurf** 24.126.178.255, 2084->> 192.168.2.102, 1290 (from WAN)
//Van onbekend adres naar mijn lokale adres???

08/14/2003 17:27:18 **SYN Flood to Host** 192.168.2.102, 4601->> 192.168.0.125, 1214 (from WAN)
//Van mijn lokale adres naar niet bestaand adres ???

08/14/2003 14:45:52 **smurf** 68.88.6.0, 1214->> 192.168.2.102, 2788 (from WAN)
//Van onbekend adres naar mijn lokale adres???

Kunnen dit van die worm aanvallen zijn? of wat betekent het?

[ Voor 56% gewijzigd door Verwijderd op 14-08-2003 22:43 ]


Verwijderd

Verwijderd schreef op 14 August 2003 @ 18:02:
ff cd.. typen -->enter ,totdat je alleen nog maar c:\> hebt.
Dat kan sneller: CD\ -->enter

Verwijderd

Zet eens een bak 2 minuten ongepatch online en je hebt de compileerde versie.
Mja, ik ben ook op zoek naar de gecompileerde versie, maar alleen heeft @home poort 135 dichtgegooid dus een ungepatchte bak neerzetten heeft niet echt veel effect...

Net werd trouwens op CNN iets gezegd dat dit beestje misschien heeft bijgedragen aan de stroomuitval in USA / Canada...

Het lijkt me sterk, of ze moeten daar zo handig zijn om een ungepatchte windows bak met een internet aansluiting, zonder firewall, te gebruiken op een energie centrale..

Of het moet iets anders zijn..

Acties:
  • 0 Henk 'm!

Verwijderd

Kheb meerdere meldingen gehad van mijn firewall m.b.t "Trivial File Transfer", heb em maar geblokt...Ik zit aangesloten op een modem/router.. Is dit geen probleem?!

Acties:
  • 0 Henk 'm!

Verwijderd

win98 is btw ook vulnerable ... heb het zelf gezien dat ene win98 box was gehacked ..

Acties:
  • 0 Henk 'm!

  • mindcre8r
  • Registratie: Maart 2000
  • Laatst online: 02-10 09:56

mindcre8r

Tradepedia

Vrij klote, ga ik net op het moment van dat pokke virus de bak van mn ouders ( die ook internet deelt bij ons thuis) installeren met xp.. *plomp!* bij de install al de melding over COM+ nogwattes error... bij opstarten 2 min....3min RPC is shutting down please save your work :(
Heb win2k maar geinstalled, die geeft de melding over de scvhost.exe maar die blijft wel up dus heb sp4 kunnen downen.... maar nu het rare: heb de scan/removal tool gedraaid van symnatec en die kan dat hele f*cking virus niet vinden :(

Als ik deze bak nu bijvoorbeeld formatteer (al1 de C:\ . D:\staat data en kan ik het virus niet vinden), opnieuw installeer en niet aan het internet hang SP4 draai en die fix kan ik dan wel verder of zit dat virus ook in je MBR?

Bears and Bulls


Acties:
  • 0 Henk 'm!

Verwijderd

ligt microsoft.com plat? Kom er niet meer bij..

Acties:
  • 0 Henk 'm!

  • juanp
  • Registratie: Januari 2001
  • Laatst online: 28-09 00:33
mindcre8r: als je nou xp gaat installeren en je trekt even de inet stekker eruit, dan zou je hem af moeten kunnen maken.

en probeer met win2k eens een paar andere scans als alleen die removal tool.
succes
Verwijderd schreef op 15 augustus 2003 @ 09:06:
ligt microsoft.com plat? Kom er niet meer bij..
hier doet ie het ook niet meer

[ Voor 31% gewijzigd door juanp op 15-08-2003 09:09 ]


Acties:
  • 0 Henk 'm!

  • henkleerssen
  • Registratie: December 2000
  • Niet online

henkleerssen

Your life is as you narrate it

mindcre8r schreef op 15 augustus 2003 @ 08:00:
Vrij klote, ga ik net op het moment van dat pokke virus de bak van mn ouders ( die ook internet deelt bij ons thuis) installeren met xp.. *plomp!* bij de install al de melding over COM+ nogwattes error... bij opstarten 2 min....3min RPC is shutting down please save your work :(
Heb win2k maar geinstalled, die geeft de melding over de scvhost.exe maar die blijft wel up dus heb sp4 kunnen downen.... maar nu het rare: heb de scan/removal tool gedraaid van symnatec en die kan dat hele f*cking virus niet vinden :(

Als ik deze bak nu bijvoorbeeld formatteer (al1 de C:\ . D:\staat data en kan ik het virus niet vinden), opnieuw installeer en niet aan het internet hang SP4 draai en die fix kan ik dan wel verder of zit dat virus ook in je MBR?
Kijk maar eens naar de eerder omschrijving. Volgens mij besmet dit soort virussen vooralsnog alleen running programs binnen windows. Dus geen MBR infectie.
Ik heb de patch ook geinstalleerd.. ... alleen sindsdien wil WinXP niet meer shutdownen... (Blijft hangen in "Windows is shutting down"). Is dit een bekend probleem?
BTW ik had verder geen last gehad .. tenslotte gebruik ik een goeie firewall met proxy server dussum.. toch maar die patch dus geinstalleerd. 3 vrienden van me hadden wel problemen.. wel ff geholpen..

Acties:
  • 0 Henk 'm!

  • henkleerssen
  • Registratie: December 2000
  • Niet online

henkleerssen

Your life is as you narrate it

Verwijderd schreef op 15 August 2003 @ 09:06:
ligt microsoft.com plat? Kom er niet meer bij..
verwijzing naar www.microsoft.akadns.net hiero? DNS Root probleem? DDOS nu al.. toch 16 aug?? Spannend!

Acties:
  • 0 Henk 'm!

  • mindcre8r
  • Registratie: Maart 2000
  • Laatst online: 02-10 09:56

mindcre8r

Tradepedia

Microsoft heeft zn site geblocked, dit vanwege de dreiging van de DDOS.

Nog bedankt voor de tips!

Bears and Bulls


Acties:
  • 0 Henk 'm!

Verwijderd

mindcre8r schreef op 15 August 2003 @ 09:35:
Microsoft heeft zn site geblocked, dit vanwege de dreiging van de DDOS.

Nog bedankt voor de tips!
Hoe weet je dat dan? Bron?

Acties:
  • 0 Henk 'm!

  • Eboman
  • Registratie: Oktober 2001
  • Laatst online: 30-09 03:38

Eboman

Ondertitel

de enige welke ik niet kan bereiken is www.microsoft.com en .nl de support site en dergelijke werken gewoon hoor.

Signature


Acties:
  • 0 Henk 'm!

  • mindcre8r
  • Registratie: Maart 2000
  • Laatst online: 02-10 09:56

mindcre8r

Tradepedia

Verwijderd schreef op 15 augustus 2003 @ 09:40:
[...]


Hoe weet je dat dan? Bron?
ik mag niks zeggen....maar ik weet het eigenlijk ook niet.
Weet wel dat mickey soft gistah avond al down was, en microsoft kennende zouden ze alles in die tijd allang verplaatst kunnen hebben.

Bears and Bulls


Acties:
  • 0 Henk 'm!

  • Sluuut
  • Registratie: Februari 2003
  • Laatst online: 03-10 15:34
Verwijderd schreef op 15 August 2003 @ 05:25:
win98 is btw ook vulnerable ... heb het zelf gezien dat ene win98 box was gehacked ..
Lijkt me sterk, ik weet dat jij er erg veel vanaf... weet maar wellicht is hij op een andere manier gehacked, in een netwerk oid...

57696520646974206c65657374206973206e657264


Acties:
  • 0 Henk 'm!

  • DJTimo
  • Registratie: November 2001
  • Laatst online: 10:15
Weet iemand of er ook een patch is die je kunt downloaden en vervolgens op het netwerk kunt duwen? :)

Acties:
  • 0 Henk 'm!

  • jelmervos
  • Registratie: Oktober 2000
  • Niet online

jelmervos

Simple user

Informatie en patches zijn hier te vinden: http://www.colorado.edu/its/news/blaster.html

"The shell stopped unexpectedly and Explorer.exe was restarted."


Acties:
  • 0 Henk 'm!

Verwijderd

Wat ook leuk is dat er nu een variant is die WindowsXP zonder SP1 besmet....
Wat deze versie van de worm ook doet is het corrupt maken van het crypto gebeuren en zo er voor zorgt dat SP1 niet meer te installeren is. En zodoende de fix ook niet.
De oplossing is: het renamen van catroot2 (KB326815)

code:
1
2
3
net stop cryptsvc
ren %systemroot%\system32\catroot2 oldcatroot2
net start cryptsvc

[ Voor 16% gewijzigd door Verwijderd op 15-08-2003 13:11 ]


Acties:
  • 0 Henk 'm!

  • Sluuut
  • Registratie: Februari 2003
  • Laatst online: 03-10 15:34
http://www.microsoft.nl/blaster/ is nog wel beschikbaar maar http://www.microsoft.com niet, hoe kan dat?

57696520646974206c65657374206973206e657264


Acties:
  • 0 Henk 'm!

Verwijderd

http://www.microsoft.com/ is hier (casema cable) nog gewoon beschikbaar... evenals de blastersite van microsoft:
http://www.microsoft.com/security/incident/blast.asp

Acties:
  • 0 Henk 'm!

  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 03-10 18:03
Verwijderd schreef op 15 augustus 2003 @ 13:06:
Wat ook leuk is dat er nu een variant is die WindowsXP zonder SP1 besmet....
Wat deze versie van de worm ook doet is het corrupt maken van het crypto gebeuren en zo er voor zorgt dat SP1 niet meer te installeren is. En zodoende de fix ook niet.
De oplossing is: het renamen van catroot2 (KB326815)

code:
1
2
3
net stop cryptsvc
ren %systemroot%\system32\catroot2 oldcatroot2
net start cryptsvc
_/-\o_

Dat probleem had ik al op 4 kasten hier (computerwinkel).
Kreeg met geen mogelijkheid die patch erop, nu wel :)

Niet alleen SP1, gewoon elke update weigerde ie daardoor. (incl de RPC patch)

Acties:
  • 0 Henk 'm!

Verwijderd

Hallo hier ben ik weer nadat het gisteren allemaal gelukt is, heb ikweer een probleem:
Mijn zwager heeft te maken met het virus conform de omschrijving die daar voor staat haal ik dit allemaal weg dus via taakbeheer/ vervolgens c:\windows\systeem32 ect ect.
Als ik vervolgens verbinding maak met internet krijg ik steeds weer de foutmelding dat zijn computer binnen 1 minuut gaat afsluiten....................... HELP

Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Definieer
het virus
Ik vrees dat het aantal varianten inmiddels niet meer op 1 hand te tellen is, en 2 wordt ook al moeilijk. Als je misschien wat meer symptonen kan beschrijven?

Print de complete uitleg van Euss uit, en ga daarmee achter die pc zitten. Desnoods op je eigen pc de nodige anti-maatregelen van i.net plukken en op cd/usb-stick zetten, zodat je op de pc in kwestie geen verbinding met het internet hoeft te maken.

In ieder geval: succes ermee! :P


P.S. HELP schreeuwen hoeft niet hoor, ook zonder noodkreten wordt je wel geholpen hier :)

[ Voor 14% gewijzigd door Tweeke op 15-08-2003 14:54 . Reden: tekst erbij ]

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

  • Kayz
  • Registratie: Maart 2001
  • Laatst online: 22-09 21:01
Verwijderd schreef op 15 augustus 2003 @ 14:48:
Hallo hier ben ik weer nadat het gisteren allemaal gelukt is, heb ikweer een probleem:
Mijn zwager heeft te maken met het virus conform de omschrijving die daar voor staat haal ik dit allemaal weg dus via taakbeheer/ vervolgens c:\windows\systeem32 ect ect.
Als ik vervolgens verbinding maak met internet krijg ik steeds weer de foutmelding dat zijn computer binnen 1 minuut gaat afsluiten....................... HELP
Probeer
Start->run->shutdown.exe-a als t goed is stopt dat het proces

Acties:
  • 0 Henk 'm!

Verwijderd

windowsupdate site draait nu op linux zeggen ze.
hier 'het' bewijs: http://webwereld.nl/nieuws/15952.phtml

Acties:
  • 0 Henk 'm!

  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 15 August 2003 @ 16:10:
windowsupdate site draait nu op linux zeggen ze.
hier 'het' bewijs: http://webwereld.nl/nieuws/15952.phtml
Ligt er maar net aan welke je bedoelt. Er zijn er twee: www.windowsupdate.com en windowsupdate.microsoft.com

De eerste staat nu tijdelijk bij Akamai en draait op Linux (althans, ze zijn er mee bezig). De tweede staat gewoon bij MS, omdat de Blaster-worm niks met die URL doet.

En de "Windows Update"-button in het start-menu verwijst naar de site die bij MS zelf staat.

Virussen? Scan ze hier!


Acties:
  • 0 Henk 'm!

Verwijderd

Ik had die TCP scan van Sygate gedaan (port 1-1024) en hij gaf aan dat port 333 open was. Voor de rest waren er geen poorten open :|
Tussen de lijst van suspicious porten staat 333 ook niet, dus is dit niks om me druk over te maken? Ik heb verder in me port forwarding en andere shit van me router de port 333 niet staan, dus ik vind het een beetje wazig maar allemaal :/
Hoe kan ik die port dan closen m.b.v. router instellingen, of moet ik daar een echt een softwarematige firewall voor nemen en is die router firewall niet genoeg?

Ik zit dus thuis op een familienetwerkje, en ik heb dus filesharing aan, dus is port 139 en die twee andere netbios porten open. Kan ik dit nog blokkeren van het internet zodat ik wel filesharing kan doen op het netwerk, maar dat ze niet vanaf het internet er toegang tot hebben? Ik hoop dat dit kan met me router instellingen, want ik vind die software matige firewalls maar kut :D

Acties:
  • 0 Henk 'm!

  • Tutti-frutti
  • Registratie: Oktober 2001
  • Niet online

Tutti-frutti

Graag gedaan!

is dit de nieuwe url van de patch ?http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

volgens mij niet

[ Voor 15% gewijzigd door Tutti-frutti op 15-08-2003 17:28 ]

4015Wp west (Dordrecht)


Acties:
  • 0 Henk 'm!

Verwijderd

Volgens mij wel...

Acties:
  • 0 Henk 'm!

  • Tutti-frutti
  • Registratie: Oktober 2001
  • Niet online

Tutti-frutti

Graag gedaan!

Ok.. alleen andere benaming van de patch, andere code.

4015Wp west (Dordrecht)


Acties:
  • 0 Henk 'm!

  • jep
  • Registratie: November 2000
  • Laatst online: 18-09 15:23

jep

wildhagen schreef op 15 August 2003 @ 16:15:
[...]

Ligt er maar net aan welke je bedoelt. Er zijn er twee: www.windowsupdate.com en windowsupdate.microsoft.com

De eerste staat nu tijdelijk bij Akamai en draait op Linux (althans, ze zijn er mee bezig). De tweede staat gewoon bij MS, omdat de Blaster-worm niks met die URL doet.

En de "Windows Update"-button in het start-menu verwijst naar de site die bij MS zelf staat.
Windows update wordt altijd al door Akamai gedaan. Frontend misschien niet altijd, maar de downloads komen van Akamai. In Nederland is dat onder andere het geval bij Xs4all en Netholding. Vanaf Linux servers.

Simpelweg omdat zoiets niet te centraliseren valt. :)

[ Voor 5% gewijzigd door jep op 15-08-2003 17:35 ]


Acties:
  • 0 Henk 'm!

  • Wildfire
  • Registratie: Augustus 2000
  • Laatst online: 07:13

Wildfire

Joy to the world!

Nou, veel Microsoft-diensten liggen vandaag lekker te kloten. Op zich nog niet echt een superramp, maar wel lastig hier op m'n werk.

Ik werk bij de Openbare Bibliotheek hier en ik zit nu op 't Web (ruimte waar de klanten kunnen internetten en tekstverwerken enzo). Nou wordt er heel veel gebruik gemaakt van Hotmail en MSN, je kent het wel.

Maar nu knallen Homail en MSN er dus regelmatig uit vanwege de problemen bij Microsoft. Komt er dus een klant naar mij toe over die problemen en dat 'ie z'n geld terugwil. Nou is het beleid dat we geen geld teruggeven indien er een storing is bij een website zelf, dat is namelijk niet onze schuld en inherent aan internet - sites kunnen gewoon plat gaan, dat kan wel eens gebeuren. Wordt die gast dus hartstikke kwaad, begint te zeuren dat wij een dienst van Microsoft aanbieden en dat het onze schuld is dat het niet werkt en dat we dus verplicht geld moeten teruggeven. Probeer ik dus uit te leggen wat er aan de hand is, luistert die vent niet en wil 'ie perse dat ik m'n baas erbij haal. Dat doe ik dus, want zij doet precies wat ik al zei: uitleggen dat het niet aan ons ligt maar aan Microsoft en dat wij dus niet verantwoordelijk kunnen worden gehouden voor het probleem.

Resultaat: baas geeft toch maar geld terug om een hoop stampij te vermijden...

Ik heb nu dus maar gauw een paar A4tjes uitgeprint met een waarschuwing over deze problematiek zodat de mensen vantevoren weten dat de Microsoft-diensten er elk moment uit kunnen knallen... scheelt gezeik achteraf...

Systeemspecs | Mijn V&A spulletjes | Mijn RIPE Atlas probe


Acties:
  • 0 Henk 'm!

  • Erik Jan
  • Registratie: Juni 1999
  • Niet online

Erik Jan

Langzaam en zeker

Voor de zekerheid controleerde ik ff de PC van m'n ouders/zusjes op afstand (met VNC) en ja hoor: msblast.exe. Gelijk maar ff de guidelines hier gevolgd en alles is weer schoon en fris, echter: het lukt mij niet om verkeer via poort 80 op gang te krijgen, zowel met Internet Explorer als Telnet niet. Ik heb niks kunnen vinden hierover. Weet iemand meer?

This can no longer be ignored.


Acties:
  • 0 Henk 'm!

  • Illusion
  • Registratie: November 2000
  • Nu online

Illusion

(the art of)

Zou best kunnen dat de provider poort 80 blokkeert, omdat je thuis geen webserver mag draaien ????

Soms ben ik er wel, en soms ook weer niet.


Acties:
  • 0 Henk 'm!

  • Erik Jan
  • Registratie: Juni 1999
  • Niet online

Erik Jan

Langzaam en zeker

Zou goed kunnen inderdaad, maar van xs4all weet ik vrij zeker dat ze dat niet doen. Ik doelde ook op uitgaand verkeer. Als ik met de inmiddels niet meer besmette computer naar google.com, tweakers.net e.d. surf lukt dat niet. Surfen naar poort 8080 van een van m'n internetboxen gaat echter prima, dus het gaat puur om poort 80...

This can no longer be ignored.


Acties:
  • 0 Henk 'm!

  • henkleerssen
  • Registratie: December 2000
  • Niet online

henkleerssen

Your life is as you narrate it

Maar niemand het probleem na de patch install dat hij niet meer wil shutdownen? Ik ben de enige (default vorige pagina gepost)?

Acties:
  • 0 Henk 'm!

Verwijderd

Wildfire schreef op 15 August 2003 @ 17:40:
Nou, veel Microsoft-diensten liggen vandaag lekker te kloten. Op zich nog niet echt een superramp, maar wel lastig hier op m'n werk.

Ik werk bij de Openbare Bibliotheek hier en ik zit nu op 't Web (ruimte waar de klanten kunnen internetten en tekstverwerken enzo). Nou wordt er heel veel gebruik gemaakt van Hotmail en MSN, je kent het wel.

Maar nu knallen Homail en MSN er dus regelmatig uit vanwege de problemen bij Microsoft. Komt er dus een klant naar mij toe over die problemen en dat 'ie z'n geld terugwil. Nou is het beleid dat we geen geld teruggeven indien er een storing is bij een website zelf, dat is namelijk niet onze schuld en inherent aan internet - sites kunnen gewoon plat gaan, dat kan wel eens gebeuren. Wordt die gast dus hartstikke kwaad, begint te zeuren dat wij een dienst van Microsoft aanbieden en dat het onze schuld is dat het niet werkt en dat we dus verplicht geld moeten teruggeven. Probeer ik dus uit te leggen wat er aan de hand is, luistert die vent niet en wil 'ie perse dat ik m'n baas erbij haal. Dat doe ik dus, want zij doet precies wat ik al zei: uitleggen dat het niet aan ons ligt maar aan Microsoft en dat wij dus niet verantwoordelijk kunnen worden gehouden voor het probleem.

Resultaat: baas geeft toch maar geld terug om een hoop stampij te vermijden...

Ik heb nu dus maar gauw een paar A4tjes uitgeprint met een waarschuwing over deze problematiek zodat de mensen vantevoren weten dat de Microsoft-diensten er elk moment uit kunnen knallen... scheelt gezeik achteraf...
heeft verder nergens mee te maken, maar ik vond het toch een leuk berichtje.....

bron webwereld

* Microsoft verhuist updatesite naar Linux
Microsoft lijkt geen enkel risico te willen nemen met
Blaster. Het beoogde doelwit van de worm (Windows-update.com)
draait nu onder Linux.

:Y)

Acties:
  • 0 Henk 'm!

Verwijderd

K had die worm, nu heb ik de boel ontwormd met virusscan en die fixblaster. PC liep steeds vast op internet na een tijdje. Daarna pc maar geformatteerd en alles opnieuw erop. Eerst die patch tegen het virus geinstalleerd en nu loopt m'n pc nog steeds elke keer vast als ik een tijdje op internet zit??? Komt dat door die patch? Kan ik dan beter alleen m'n firewall laten draaien en niet patchen?

K had hier een apart topic voor geopend maar die werd dichtgegooid, ik hoop dat ik antwoord krijg op mijn vraag

Acties:
  • 0 Henk 'm!

  • Apache
  • Registratie: Juli 2000
  • Laatst online: 01-10 21:00

Apache

amateur software devver

Kan iemand zeggen waar ik deze worm kan vinden?

k'heb hier opzettelijk 2 windowsdozen neergezet, maar m'n isp blokt de worm dus is het niet zo makkelijk hier infected te raken.

If it ain't broken it doesn't have enough features


Acties:
  • 0 Henk 'm!

  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 03-10 18:03
Apache schreef op 15 augustus 2003 @ 23:31:
Kan iemand zeggen waar ik deze worm kan vinden?

k'heb hier opzettelijk 2 windowsdozen neergezet, maar m'n isp blokt de worm dus is het niet zo makkelijk hier infected te raken.
ff een telefoonmodempje erin, en met een paar min ben je de lul ;)

gewoon ff inbellen bij een andere provider

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
bjanssen: Dat komt omdat je router als firewall functioneerd en het scannen tegenhoud. Zet tijdelijk de firewall functie uit en scan dan je Internet IP.
Over je poortjes: 1900 kan je gewoon dichtpletten, de 53/110 is afhankelijk of jij er services op draait die het nodig hebben (DNS + Mail)
Over je LOG: 135 kan de worm zijn, zie mijn openingspost.

Schouw: Een besturingscomputer voor energiebeheer zal imo echt nimmer aan Internet hangen. Hoogstens aan een eigen dedicated firewalled netwerk.

LoxodoN: "Trivial File Transfer (TFTP)" wordt oa gebruikt door de worm. Imo is het totaal onnodig om die tftp.exe in je system32 folder te hebben en zou je die dus gewoo kunnen deleten. Ook kun je dan beter port 69 (TFTP) blocken met je firewall.

Deathstar: Windows 98 is niet vatbaar voor RPC-exploit wormen (zoals Blaster/LoveSAN). Wel voor miljoenen andere exploits, wormen, trojans etc.

mindcre8r: svchost.exe problemen met Win2K zijn aanwijzing van infectie (maar het hoeft niet). Probeer 1 van de andere removaltools om extra duidelijkheid te hebben of je nu wel/niet besmet bent. De worm staat niet in je MBR, zoals in de startpost ook beschreven is. Haal die patch binnen, trek je bak offline en begin met patchen/cleanen/beveiligen.

henkleerssen: Probeer bij start/shutdown problemen het eens te debuggen waardoor het komt door in je logfiles te kijken en met BootVis.exe na te lopen - eventueel zou je ook de patch kunnen deïnstalleren om te kijken of het wel aan de patch ligt of iets anders (trek je bak dan wel offline!).

DJTimo: Bij Microsoft hebben ze een hele handleiding over hoe je remote installations over het netwerk heen moet doen - dit is voor hotfixes afaik gelijk.

compukid: Alle XP versies zijn vulnerable voor RPC-exploits én target van Blaster/LoveSAN. Je crypto-tip is inderdaad reuze handig ;)

mzo: Je moet natuurlijk wel die bak eerst patchen voordat je hem weer op Internet loslaat - anders is hij binnen 2 minuten weer besmet. Zie daarvoor oa. mijn startpost.

p00pz0r_p4wn3r: Die 333 is geen standaard poort voor Windows services, imo zou je die gewoon mogen blocken. Poort 333 is "Texar Security Port" in het lijstje van registered poorts bij IANA. Het is in ieder geval geen poort die de huidge Blaster/LoveSAN's gebruiken. Die 333, 135-139 zou je op de router eventueel kunnen blocken, zie daarvoor je manual etc.

Erik Jan: Heb je wel poort 80 openstaan (voor je browsers) in je firewall ?regels

Neelis: Met welke foutmelding loopt hij vast? Heb je al in de logfiles gekeken? Ook hier al gekeken: Windows XP en 2000 BSOD guide

[ Voor 149% gewijzigd door Verwijderd op 16-08-2003 00:44 ]


Acties:
  • 0 Henk 'm!

  • garak
  • Registratie: Februari 2000
  • Laatst online: 05-05 02:05
[quote]Verwijderd schreef op 13 August 2003 @ 23:29:
paella: Niet allemaal onder de 1024 hoop ik voor je. Ik ben al blij als ze 135-139, 445 en 593 zouden blocken op ISP nivo. Die hebben wat mij betreft niks op internet te zoeken. Zie ook: http://www.securityfocus....5/2003-08-11/2003-08-17/0
quote]

Is juist heel irritant al die providers die 135 nu blokkeren enzo, probeer dan maar eens met Outlook Exchange te werken :|
Pagina: 1 2 3 Laatste