garak, dan kunnen ze toch gewoon die poorten standaard blocken - en op verzoek opengooien?
idd, probleem is dat ik zo'n ding niet meer heb liggen, m'n laptop heeft er wel een maar daar staat gentoo opDJSmiley schreef op 15 augustus 2003 @ 23:36:
[...]
ff een telefoonmodempje erin, en met een paar min ben je de lul
gewoon ff inbellen bij een andere provider
If it ain't broken it doesn't have enough features
Bah vandaag bijna 50's PC's gedaan met die klote worm
Apache: Dan vul je toch bij Google die bestandsnamen in? Voor de rest:
Wat jij doet in je vrije tijd op je eigen PC is natuurlijk jouw zaak (zelfeducatie is altijd een goed iets), maar dit forum is geen worm/virus/trojan of anderszins bestandenuitwisselbord. Als jij zo graag die worm wilt hebben kun je ook je PC als honingpot ongepatcht 2 minuten aan internet hangen (zolang deed ik er over om een testPC met 2 wormen [Blaster en Cirebot] besmet te krijgen).
[ Voor 80% gewijzigd door Verwijderd op 16-08-2003 00:15 ]
Een vriend van mij heeft dit virus dus opgelopen, maar door de aanwezigheid van het virus krijg je de tijd niet om er iets aan te doen...
computer start op en sluit meteen weer af... safemode idem... hoe moet ik dit nu oplossen? via bootdisk booten en dan handmatig zoeken welk bestand ik moet wissen? moet ik helaas wel NTFS4DOS hebben, maar die kost geld en de trial is readonly 
Zeg niet reïnstall, want die gozer moet nog een backup maken van al zijn bestanden eerst...
Owjah, er is inmiddels weer een andere versie uit aangezien geen van de tot nog toe genoemde bestandsnamen te vinden waren op zijn PC (in de korte tijd die ik kreeg)

Zeg niet reïnstall, want die gozer moet nog een backup maken van al zijn bestanden eerst...
Owjah, er is inmiddels weer een andere versie uit aangezien geen van de tot nog toe genoemde bestandsnamen te vinden waren op zijn PC (in de korte tijd die ik kreeg)
[ Voor 15% gewijzigd door Fludizz op 16-08-2003 03:22 ]
shutdown -a al geprobeerd?
Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P
En zodra je alles binnenhebt wat je nodig hebt, de bak van internet aftrekken en de gehele patch/clean en check cyclus aflopen uit de startpost van dit topic...Tijdelijke RPC-crashworkrounds
Mocht je moeite hebben om de RPC patch te downloaden (omdat RPC elke keer crasht): Start > Instellingen > Configuratiescherm > SysteemBeheer > Services (of start > uitvoeren en "services.msc" intoetsen). Daar Remote Procedure Call (RPC) opzoeken en eigenschappen opvragen. Bij het tabblad SysteemHerstel zitten 3 selectievakken voor 1e, 2e en volgende fouten: "Computer opnieuw opstarten". Zet deze alle 3 op "Service opnieuw starten". Op die manier kun je iig de update binnenhalen. Vergeet niet deze instellingen terug te zetten, het is namelijk geen goed idee om door te werken met een RPC-service die op zijn gat ligt.
Andere manier: Start > Uitvoeren: "shutdown /a" om tijdelijk het afsluiten tegen te gaan.
Overigens kan de PC ook crashen zónder besmetting (RPC-bufferoverflow zonder worm of hardware, driver, software en operatingsysteem fouten -> Windows XP en 2000 BSOD guide)...
[ Voor 30% gewijzigd door Verwijderd op 16-08-2003 05:34 ]
[quote]garak schreef op 15 August 2003 @ 23:53:
Je bent als sys/netwerk admin toch wel een beetje van de pot gerukt als je dergelijk inkomend verkeer via het internet toestaat.
Nooit gehoord van IMAP zeker?
Huh? Als jij Outlook kan gebruiken over de Windows poorten via het Internet dan vraag ik me af wat voor zooitje het op de Exchange server moet zijn waarnaar je connect.Verwijderd schreef op 13 August 2003 @ 23:29:
paella: Niet allemaal onder de 1024 hoop ik voor je. Ik ben al blij als ze 135-139, 445 en 593 zouden blocken op ISP nivo. Die hebben wat mij betreft niks op internet te zoeken. Zie ook: http://www.securityfocus....5/2003-08-11/2003-08-17/0
quote]
Is juist heel irritant al die providers die 135 nu blokkeren enzo, probeer dan maar eens met Outlook Exchange te werken
Je bent als sys/netwerk admin toch wel een beetje van de pot gerukt als je dergelijk inkomend verkeer via het internet toestaat.
Nooit gehoord van IMAP zeker?
Microsoft heeft blijkbaar zijn voorzorgen genomen tegen de DoS-aanval van het Blaster-virus:
Waarschijnlijk zal Windows Update dus niet platgaan.Windowsupdate.com goes AWOL
Microsoft takes precautions against Blaster, we suppose
By INQUIRER staff: vrijdag 15 augustus 2003, 15:53
A CLICK ON www.windowsupdate.com gives an invalid URL message when you click on it today, but that doesn't mean it's gone forever.
Microsoft said that the site had been subjected to a denial of service attack, according to Network World Fusion, but it wasn't anything to do with the Blaster worm or the power down in the US.
We thought initially that Microsoft had removed the page, which was accessible earlier this week, to avoid it being deluged by attacks launched courtesy of the Blaster worm that's made waves all week.
Apparently not.
If you click on the "Windows Update" button on the menu in Windows 2000 or Windows XP, the update page still comes up, but with a slightly different address.
Kan iemand updaten nu via Windows Update ?
Telkens als ik updates aanklik en wil downloaden gebeurd er niks en geeft hij een fout melding aan (vervelend
).
Telkens als ik updates aanklik en wil downloaden gebeurd er niks en geeft hij een fout melding aan (vervelend
[ pctje te zien hier ] - Miauw
Verwijderd
Hij loopt niet vast met een melding het is gewoon zo dat mijn pc ineens blijft hangen, verder geen melding. Ik heb die patch van me pc gehaald, k neem aan dat m'n firewall hem wel tegenhoudt en hoop dat ik nu geen last meer heb van vastlopers.Verwijderd schreef op 15 August 2003 @ 23:40:
Neelis: Met welke foutmelding loopt hij vast? Heb je al in de logfiles gekeken? Ook hier al gekeken: Windows XP en 2000 BSOD guide
Zijn er meer mensen die problemen hebben met de patch?
Er zijn mensen die na het installeren van de patch de volgende problemen hebben:
http://windowsupdate.microsoft.com/ werkt hier gewoon hoor...
(a822.cd.akamai.net -> 62.4.69.1-255)
- niet kunnen deïnstalleren van de patch (schijnt samen te hangen met problemen van logging van geïnstalleerde hotfixes/SP's [%systemroot%\system32\catroot2] door de eerdere infectie / scandisk-errors ivm reboots)
- opstart of afsluitproblemen (schijnt samen te hangen met netwerk-timeouts door de veranderde RPC DLL's)
http://windowsupdate.microsoft.com/ werkt hier gewoon hoor...
(a822.cd.akamai.net -> 62.4.69.1-255)
[ Voor 34% gewijzigd door Verwijderd op 16-08-2003 14:04 ]
Van Sygate UPD scan:
Dus ik ben veilig denk ik dan maar weer, bij alle andere tests stond ook overal blocked.
Maar mijn firewall staat uit.We have determined that you have a firewall blocking UDP ports!
Dus ik ben veilig denk ik dan maar weer, bij alle andere tests stond ook overal blocked.
Wat IK nou raar vind, ik heb al bij 2 mensen op hun pc's de symptomen gehad(RPC), maar geen virus .exe's, geen regkeys, removal tool vind niks. Dus patch (en xp firewall aan)was genoeg. Is dit dan alleen van geinfecteerde pc's die bv mn pa zn pc scanden en onderuit haalden (in hetzelfde subnet)
[ Voor 8% gewijzigd door Max|Burn op 16-08-2003 14:12 ]
Verwijderd
ik heb die msblaster maandag gehad, toen ik mijn firewall voor 5 minuten uit had gezet en via xp remote assistance iets ging doen. Virus heb ik middels handmatig verwijderd, maar wat me nu wel opvalt is dat mijn pc opeens een stuk trager is geworden, en dat sommige processen opeens op 100% cpu zitten. Vooral MDM.exe (debugger ?? ). WEet iemand of dit er mee te maken kan hebben ?
PS, met die scan van sygate staat dat al mijn poorten blocked (stealthed) zijn behavle de UPnP. Deze staat op OPEN ?? Hoe zet ik deze dicht, en werkt mijn plug en play dan nog wel ?
PS, met die scan van sygate staat dat al mijn poorten blocked (stealthed) zijn behavle de UPnP. Deze staat op OPEN ?? Hoe zet ik deze dicht, en werkt mijn plug en play dan nog wel ?
[ Voor 20% gewijzigd door Verwijderd op 16-08-2003 14:28 ]
Verwijderd
ik heb die msblaster maandag gehad, toen ik mijn firewall voor 5 minuten uit had gezet en via xp remote assistance iets ging doen. Virus heb ik middels handmatig verwijderd, maar wat me nu wel opvalt is dat mijn pc opeens een stuk trager is geworden, en dat sommige processen opeens op 100% cpu zitten. Vooral MDM.exe (debugger ?? ). WEet iemand of dit er mee te maken kan hebben ?
PS, met die scan van sygate staat dat al mijn poorten blocked (stealthed) zijn behavle de UPnP. Deze staat op OPEN ?? Hoe zet ik deze dicht, en werkt mijn plug en play dan nog wel ? Het betreft overigens poort 5000.
PS, met die scan van sygate staat dat al mijn poorten blocked (stealthed) zijn behavle de UPnP. Deze staat op OPEN ?? Hoe zet ik deze dicht, en werkt mijn plug en play dan nog wel ? Het betreft overigens poort 5000.
[ Voor 8% gewijzigd door Verwijderd op 16-08-2003 14:34 ]
http://windowsupdate.microsoft.com/ werkt prima hier. Alleen een probleem, net een clean install gedaan van Windows XP en daarbij gelijk SP1 geinstalleerd vanaf cdrom!
Nu wil ik natuurlijk ook nog de nieuwste patches draaien, dus naar http://windowsupdate.microsoft.com/
Ik selecteer maar liefst 27 critical patches druk op OK en dan laadt ie zo genaamd alle onderdelen heel snel na elkaar. Dan zie ik alle onderdelen in het rood met de foutmelding dat alle updates zijn mislukt...
iemand hier ook ervaring mee?
Nu wil ik natuurlijk ook nog de nieuwste patches draaien, dus naar http://windowsupdate.microsoft.com/
Ik selecteer maar liefst 27 critical patches druk op OK en dan laadt ie zo genaamd alle onderdelen heel snel na elkaar. Dan zie ik alle onderdelen in het rood met de foutmelding dat alle updates zijn mislukt...
iemand hier ook ervaring mee?
Jup, daar hebben meerdere mensen last van, zie ook [rml][ XP]Windows update werkt niet meer[/rml]
bones2: start > uitvoeren > services.msc en dan in je lijst van services: "Universele Plug en Play-apparaathost" op uitschakelen zetten. Dit is alleen voor als je een koelkast oid hebt die via internet wil kijken of de melk in de aanbieding is en bestellen etc (uPNP is NIET hetzelfde als PnP voor hardwareaansturing en stuurprogramma's). - Dit zorgt er oa voor dat je poort 1900/5000 niet meer luisterd(en dus gesloten is).
Verwijderd
Tnx man ! Nu kom ik wel 100 % door die scans.Verwijderd schreef op 16 August 2003 @ 16:02:
bones2: start > uitvoeren > services.msc en dan in je lijst van services: "Universele Plug en Play-apparaathost" op uitschakelen zetten. Dit is alleen voor als je een koelkast oid hebt die via internet wil kijken of de melk in de aanbieding is en bestellen etc (uPNP is NIET hetzelfde als PnP voor hardwareaansturing en stuurprogramma's). - Dit zorgt er oa voor dat je poort 1900/5000 niet meer luisterd(en dus gesloten is).
Mijn god, het gaat wel érg hard! Ik ben vandaag bezig geweest mijn linux doos in te stellen als een bridge die kan firewallen. Een soort transperante firewall, ideaal! Toen ik de commando's in aan het tikken was nam ik als einddoos mijn laptopje maar even. Bij het laatste commando kwam de bridge 'up', 1 of 2 seconden erna stond die blaster er al op. Kun je nagaan hoe hard dit over het internet blaast
Verwijderd
http://scan.sygatetech.com/udpscan.html geeft mij open:
DNS 53 OPEN
Hoe kan ik deze dicht krijgen?
Als ik dat doe kan ik dan niet meer het inet op met adressen ipv nummers??
DNS 53 OPEN
Hoe kan ik deze dicht krijgen?
Als ik dat doe kan ik dan niet meer het inet op met adressen ipv nummers??
DNS open, zou betekenen dat jij je eigen DNS server draait. Als dat niet zo is, kun je die dichttrekken met een firewall (en de onnodige service uitschakelen, zoals ik eerder in deze thread voorgedaan heb [maar dan met een andere service])
hmja is wel allemaal leuk en aardig, maar ik had gisteren rond 9uur geen internet verbinding meer (@home),zou dit door t virus komen??maar kheb t toch verwijdert.... of hadden daar nog meer mensen last van, en idd mijn computer start inderdaad langzamer op,nadat ik dat virus heb gehad,hoe kan je dit verhelpen??
Greetz
Greetz
Kurvers: nadat het virus is verwijderd zou je pc niet langzamer mogen zijn dan vóór het virus. Is dat wel het geval, dan ligt het dus aan iets anders. Maar heb je al goed gecheckt of het virus wel écht weg is?
Overigens heb ik gisteren onbedoeld het experiment van euss herhaald. Ik was namelijk Win XP op een Pentium II 350Mhz (overgeklokt naar 400MHz
) aan het installeren. De patch had ik helaas niet op een floppy/cd staan, dus ik moest heel even het net op (<2minuutjes). Nog voordat ik aan het downloaden kon beginnnen was de pc al besmet....
Gelukkig wist ik inmiddels precies wat te doen, dus MSBLAST was er snel weer af. Maar toch.... best irritant
Overigens heb ik gisteren onbedoeld het experiment van euss herhaald. Ik was namelijk Win XP op een Pentium II 350Mhz (overgeklokt naar 400MHz
Gelukkig wist ik inmiddels precies wat te doen, dus MSBLAST was er snel weer af. Maar toch.... best irritant
[ Voor 3% gewijzigd door Tweeke op 17-08-2003 12:19 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Virusscanner wordt auto gekilled en wormscanproggie vind niks?
updaten hij niet?
ohoh!
Gister was ik wormpie vrij en gepatched. Nu start ik op en heb ik dit!!!
edit:
FP zegt shutdown /a maar het is toch shutdown -a
Mmm nu gerestart en krijg ik een PAGE_FAULT_IN_NONPAGE_AREA bluescreen
Weer gerestart serious error gezeur, daarna nog een keer gepatched en is goed gegaan. Stinger en Kaspersky ClearAV geven schoon systeem. Norton runt weer. Housecall ben ik nu aan het runnen/testen.
Security log router/firewall
08/17/2003 14:15:34 **SYN Flood to Host** 192.168.2.102, 1167->> 213.239.154.35, 80
Van mijn lokale naar iemands anders?????
Snap er niks van hoe mijn geupdate/gepatchde systeem in een keer besmet kan zijn en blijkbaar gelijk ook al verzend?
Iemand?
edit2:
WTF 213.239.154.35 = tweakers.net
[ Voor 44% gewijzigd door Verwijderd op 17-08-2003 14:37 ]
Het is natuurlijk niet het enigste virus of gaatje in Windows wat gepatcht moet worden. Ik kan zo niet beoordelen of dit LoveSAN is - imo niet.
Over die update-error: je zou de catalogus kunnen renamen zodat hij opnieuw gestructureerd wordt aangemaakt. -> Verwijderd in "RPC crash/shutdown 'vraag bak' - deel 2"
*SYN Flood to host* - kán ook een te strak afgestelde firewall zijn - bijvoorbeeld >50 Syn pakketjes en je firewall zegt dat het een flood is (en omdat de firewall té dicht staat komen de Ack pakketjes niet aan waardoor er nóg meer Syn's verzonden worden).. [IP is inderdaad: acidalia.tweakers.net en is geen Windowsbak die jouw PC van LoveSAN kan voorzien] Mijn advies is om eens goed naar de firewallregels te kijken of die niet té strak staan (en de onnodige services uit te zetten, zoals FTP, LDAP etc die je niet gebruikt) - én even die bak offline te trekken en te scannen met een fullversion virusscanner.
Over die update-error: je zou de catalogus kunnen renamen zodat hij opnieuw gestructureerd wordt aangemaakt. -> Verwijderd in "RPC crash/shutdown 'vraag bak' - deel 2"
*SYN Flood to host* - kán ook een te strak afgestelde firewall zijn - bijvoorbeeld >50 Syn pakketjes en je firewall zegt dat het een flood is (en omdat de firewall té dicht staat komen de Ack pakketjes niet aan waardoor er nóg meer Syn's verzonden worden).. [IP is inderdaad: acidalia.tweakers.net en is geen Windowsbak die jouw PC van LoveSAN kan voorzien] Mijn advies is om eens goed naar de firewallregels te kijken of die niet té strak staan (en de onnodige services uit te zetten, zoals FTP, LDAP etc die je niet gebruikt) - én even die bak offline te trekken en te scannen met een fullversion virusscanner.
[ Voor 36% gewijzigd door Verwijderd op 17-08-2003 16:43 ]
Ik kwam dit topic net tegen... helaas is het weggemod en gesloten zodat ik niet weet of het programma'tje gaat werken of niet... Ik heb hem dus wel, maar gebruiken doe ik pas als het zeker is dat het safe is...
(als ik nu niet via Knoppix zat zou ik Virtual PC starten en ff windows bakje ervoor openen, maarja HDD naar de RMA)
Ik ga in ieder geval proberen of ik morgenavond de pc van die vriend van me kan desinfecteren op een of andere manier..
(als ik nu niet via Knoppix zat zou ik Virtual PC starten en ff windows bakje ervoor openen, maarja HDD naar de RMA)
Ik ga in ieder geval proberen of ik morgenavond de pc van die vriend van me kan desinfecteren op een of andere manier..
[ Voor 15% gewijzigd door Fludizz op 17-08-2003 22:10 ]
ik heb t virus verwijdert door middel van die fixblast tool, van symantec, dus ik neem aan dat t weg is??Tweeke schreef op 17 August 2003 @ 12:16:
Kurvers: nadat het virus is verwijderd zou je pc niet langzamer mogen zijn dan vóór het virus. Is dat wel het geval, dan ligt het dus aan iets anders. Maar heb je al goed gecheckt of het virus wel écht weg is?
Greetz
Fludizz: je kan het ook doen door een batchfile in je Geplande taken te zetten:
Kurvers: anders test je het met de andere removaltools of met een volledige virusscanner.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
| @echo off rem DCOM RPC service vulnerabilty Worm/Trojan Removal Tool rem made in a hurry by euss @ GoT rem currently removes: rem - W32.LoveSAN/Blaster Worm A/B/C/D rem - W32.Randex.E Trojan rem - Exploit.Win32.DCom rem - Worm.Win32.Autorooter/Backdoor.IRC.Cirebot rem - W32.Welchia.Worm @TASKKILL /S systeem /F /IM MSBLAST.EXE /T > NUL @TASKKILL /S systeem /F /IM TEEKIDS.EXE /T > NUL @TASKKILL /S systeem /F /IM ROOT32.EXE /T > NUL @TASKKILL /S systeem /F /IM PENIS32.EXE /T > NUL @TASKKILL /S systeem /F /IM NSTASK32.EXE /T > NUL @TASKKILL /S systeem /F /IM WINLOGIN.EXE /T > NUL @TASKKILL /S systeem /F /IM RPC.EXE /T > NUL @TASKKILL /S systeem /F /IM TFTPD.EXE /T > NUL @TASKKILL /S systeem /F /IM RPCTEST.EXE /T > NUL @TASKKILL /S systeem /F /IM LOLX.EXE /T > NUL @TASKKILL /S systeem /F /IM DCOMX.EXE /T > NUL @TASKKILL /S systeem /F /IM MSPATCH.EXE /T > NUL @TASKKILL /S systeem /F /IM Dllhost.exe /T > NUL @attrib %WINDIR%\System32\MSBLAST.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\TEEKIDS.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\ROOT32.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\PENIS32.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\RPC.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\TFTPD.EXEE -r -s -h -a > NUL @attrib %WINDIR%\System32\RPCTEST.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\LOLX.EXE -r -s -h -a > NUL @attrib %WINDIR%\System32\DCOMX.EXE -r -s -h -a > NUL @attrib C:\RPC.EXE -r -s -h -a > NUL @attrib C:\TFTPD.EXEE -r -s -h -a > NUL @attrib C:\RPCTEST.EXE -r -s -h -a > NUL @attrib C:\LOLX.EXE -r -s -h -a > NUL @attrib C:\DCOMX.EXE -r -s -h -a > NUL @attrib %System%\nstask32.exe -r -s -h -a > NUL @attrib %System%\winlogin.exe -r -s -h -a > NUL @attrib %System%\win32sockdrv.dll -r -s -h -a > NUL @attrib %System%\yuetyutr.dll -r -s -h -a > NUL @attrib %System%\MSPATCH.EXE -r -s -h -a > NUL @attrib %System%\Wins\Dllhost.exe -r -s -h -a > NUL @attrib %System%\Wins\Svchost.exe -r -s -h -a > NUL @del %WINDIR%\System32\MSBLAST.EXE > NUL @del %WINDIR%\System32\TEEKIDS.EXE > NUL @del %WINDIR%\System32\ROOT32.EXE > NUL @del %WINDIR%\System32\PENIS32.EXE > NUL @del %WINDIR%\System32\RPC.EXE > NUL @del %WINDIR%\System32\TFTPD.EXE > NUL @del %WINDIR%\System32\RPCTEST.EXE > NUL @del %WINDIR%\System32\LOLX.EXE > NUL @del %WINDIR%\System32\DCOMX.EXE > NUL @del C:\RPC.EXE > NUL @del C:\TFTPD.EXE > NUL @del C:\RPCTEST.EXE > NUL @del C:\LOLX.EXE > NUL @del C:\DCOMX.EXE > NUL @del %System%\nstask32.exe > NUL @del %System%\winlogin.exe > NUL @del %System%\win32sockdrv.dll > NUL @del %System%\yuetyutr.dll > NUL @del %System%\MSPATCH.EXE > NUL @del %System%\Wins\Dllhost.exe > NUL @del %System%\Wins\Svchost.exe > NUL |
Kurvers: anders test je het met de andere removaltools of met een volledige virusscanner.
[ Voor 20% gewijzigd door Verwijderd op 18-08-2003 20:53 ]
Ik ben zelf niet geheel blij met het idee om winlogon.exe te wissen... Maargoed, ik geloof je op je woord...Verwijderd schreef op 18 August 2003 @ 00:42:
Fludizz: je kan het ook doen door een batchfile in je Geplande taken te zetten:
code:
1 [..batchfile..]
[..]
zullen we het er maar op houden dat het laat is... winlogin... niet winlogon
[ Voor 14% gewijzigd door Fludizz op 18-08-2003 02:43 . Reden: thnx poster onder mij ]
Verwijderd
winlogin != winlogonFludizz schreef op 18 augustus 2003 @ 02:27:
[...]
Ik ben zelf niet geheel blij met het idee om winlogon.exe te wissen... Maargoed, ik geloof je op je woord...
Heb trouwens vanavond een paar AVs getest op detectie van de exploit tools..
Niet echt iets om heel vrolijk van te worden, maar moet morgen nog eens kijken dat ik ze even alle tools verzamel die betrekking hebben op deze exploit en dan nog eens testen.
RAV/CA/F-Prot/Trend kunnen het theoretisch al niet meer goedmaken zo 'goed' deden ze het.
(verwachte) testresultaten: Kaspersky een kleine voorsprong op McAfee, een gat met niets, nog meer niets, RAV/CA, F-Prot/Trend.
idd, winlogin != winlogon
(De laatste: 519.168 bytes / v5.1.2600.1106 / Toepassing Windows NT-aanmelding)
dezelfde leesfout waar jij voor valt is de truuk die de trojan gebruikt om ongestoord in je systeemmap te "nestelen".
Maar dat is het voordeel van een batchfile boven een door 3e geschreven gecompileerd programma: je kan zelf controleren wat het doet/de bedoeling is.
(De laatste: 519.168 bytes / v5.1.2600.1106 / Toepassing Windows NT-aanmelding)
dezelfde leesfout waar jij voor valt is de truuk die de trojan gebruikt om ongestoord in je systeemmap te "nestelen".
Maar dat is het voordeel van een batchfile boven een door 3e geschreven gecompileerd programma: je kan zelf controleren wat het doet/de bedoeling is.
[ Voor 26% gewijzigd door Verwijderd op 18-08-2003 07:41 ]
hmz,
kheb net nog us gescant met het programmatje van mcafee (stinger)
en dit is wat mijn report filetje zegt:
C:\WINDOWS\System32\win32sockdrv.dll
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\System32\win32sockdrv.dll could not be repaired.
C:\WINDOWS\system32\nstask32.exe\nstask32.exe\00003460.EXE
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\system32\win32sockdrv.dll
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\system32\win32sockdrv.dll could not be repaired.
Number of clean files: 73537
Number of Trojans: 3
Enig id wat deze files doen???
en ik neem aan dat hij die ntask wel heeft kunnen repareren??
Greetz
kheb net nog us gescant met het programmatje van mcafee (stinger)
en dit is wat mijn report filetje zegt:
C:\WINDOWS\System32\win32sockdrv.dll
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\System32\win32sockdrv.dll could not be repaired.
C:\WINDOWS\system32\nstask32.exe\nstask32.exe\00003460.EXE
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\system32\win32sockdrv.dll
Found the Exploit-DcomRpc trojan !!!
C:\WINDOWS\system32\win32sockdrv.dll could not be repaired.
Number of clean files: 73537
Number of Trojans: 3
Enig id wat deze files doen???
en ik neem aan dat hij die ntask wel heeft kunnen repareren??
Greetz
Kurvers: dat lijkt me duidelijk. 3 trojans aanwezig op je systeem....dan is het dus nog niet afdoende beveiligd. Om je pc (praktisch) waterdicht te beveiligen moet je het stappenplan van euss volgen (de topicstart dus) en bovendien je firewall optimaal configureren. Zó, dat er absoluut géén poorten meer open staan, dus closed, maar het liefst nog op stealthed/blocked.
Ook je virusscanner en firewall up to date houden en geen gebruik maken van Windows services als virtual desktop enzo.
Ook je virusscanner en firewall up to date houden en geen gebruik maken van Windows services als virtual desktop enzo.
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Oké, er is dus wéér een nieuwe variant: W32/Lovsan.worn.D. Te herkennen aan de filename: MSPATCH.EXE
Meer info: http://vil.nai.com/vil/content/v_100557.htm
Meer info: http://vil.nai.com/vil/content/v_100557.htm
Virussen? Scan ze hier!
Er is niets verandert, behalve het naampje.....dus echt scriptkiddie werk. Gewoon de worm gereproduceerd met een naam die even voor wat verwarring moet zorgen. Het wachten is eigenlijk op de slimmere wormen die zich veel sneller kunnen verspreiden (MSblast is relatief traag) en bovendien echte schade doen.
De varianten op Blaster die we tot nu toe gezien hebben waren niet gevaarlijker dan het origineel.
De varianten op Blaster die we tot nu toe gezien hebben waren niet gevaarlijker dan het origineel.
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Ok, omdat mijn topic werd gesloten, werd mij aangeraden dit hier neer te zetten.
Moth7, demon, en ik hebben een eigen removal tool gemaakt, wat behoorlijk wat sneller is dan die van bijvoorbeeld symantec.
Het gaat mij hier eigenlijk vooral om de feedback op het programma.
Het is open source, maar we betwijfelen of we een plekje krijgen op sourceforge.
Hier is de sourecode.
En hier is het programma met de readme.
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof
Moth7, demon, en ik hebben een eigen removal tool gemaakt, wat behoorlijk wat sneller is dan die van bijvoorbeeld symantec.
Het gaat mij hier eigenlijk vooral om de feedback op het programma.
Het is open source, maar we betwijfelen of we een plekje krijgen op sourceforge.
Hier is de sourecode.
En hier is het programma met de readme.
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof
Van mijn kant krijg je (opbouwende) kritiek. Mensen gedwongen een patch opdringen, die nota bene hetzelfde lek benut als de worm zelf is ronduit ongepast. Mijns inziens is het niet goed te praten -ook al is het vanuit het oogpunt mensen te helpen- dat je op zo'n manier inbreuk maakt op de privacy. In feite zou het namelijk net zo goed spyware kunnen zijn, die je gebruik laat maken van de RPC-exploit.Verwijderd schreef op 18 August 2003 @ 14:29:
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof
Ik heb ook zo het vermoeden dat zowel de mensen die jij met het progje probeert te helpen als Microsoft, niet blij zijn met een removal tool die van het lek gebruikt maakt. Dus is het misschien maar goed ook dat je het niet op die manier hebt verspreid.
Overigens vind ik het initiatief om een removal-tool te maken zeker bewonderswaardig
Hmm....ik moet wat wat meer tekst in 1 post stoppen, excusez moi.
Ik zou eerder een bekende removal tool aanraden omdat de eventuele bugs daar sneller ontdekt en verholpen worden. Maar belangrijker nog, verplaats je eens in de positie van een n00b die besmet is met Blaster: Het laatste wat je dan nog wil is malafide progjes op je pc, men wordt nu eenmaal heel huiverig na besmetting met een virus. Het gaat mij niet lukken om dan iemand een 'heel goed' progje van een 'mede-tweaker' te laten gebruiken.
Ik gruw er net als jij ook enorm van als het alleen maar gaat om het feit dat Norton en Mcafee groot en bekend zijn: Een n00b weet helaas niet anders en ik heb het opgegeven om eerst een half uur te besteden aan het 'omlullen' van mensen.
Daarentegen, als ik zelf de worm moet verwijderen in de toekomst zal ik zeker aan jouw removal tool denken. Ik ga hem vandaag of morgen ook even testen op een vulnerable systeem :)'
EDIT: just tested. Werkt perfect en snel. Mijn complimenten. Overigens komt een deel van mijn kritiek meteen te vervallen, want het progje en de readme file zien er vertrouwenswekkend uit!
Een tip: rename het zipje ook even naar blastshield.zip i.p.v. blast.zip. Nu lijkt het namelijk net alsof je msblast in zip-verpakking krijgt aangeboden
[ Voor 37% gewijzigd door Tweeke op 18-08-2003 15:23 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Zoals je zelf al zegt, gelukkig hebben we dit niet gedaan. 
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf".
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg?
ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter
edit= kijk, ik hoor andere dingen als je eenmaal het progie hebt uitgeprobeerd
Ik zal het zo renamen, zat er al over na te denken na 10 keer de vraag "is dat een shield of het virus.."
Ik heb eigenlijk qua n00bs meer het gevoel dat ze alles van je aannemen zolang het maar snel en makkelijk verwijderd word, vandaar de simpele en snelle opzet van het programma.
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf".
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg?
ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter
edit= kijk, ik hoor andere dingen als je eenmaal het progie hebt uitgeprobeerd
Ik zal het zo renamen, zat er al over na te denken na 10 keer de vraag "is dat een shield of het virus.."
Ik heb eigenlijk qua n00bs meer het gevoel dat ze alles van je aannemen zolang het maar snel en makkelijk verwijderd word, vandaar de simpele en snelle opzet van het programma.
[ Voor 52% gewijzigd door Verwijderd op 18-08-2003 17:16 ]
Kurvers: Alle files die jij daar noemt zijn trojans/exploits zoals ook in mijn reactie iets boven de jouwe staan in de batchfile. Gewoon deleten (eventueel in veilige modus / Dos) - voor de rest: gebruik de patch + removaltools uit de topicstart.
wildhagen: info toegevoegd aan topicstart en Batchfile aangepast. Bedankt voor het melden
wildhagen: info toegevoegd aan topicstart en Batchfile aangepast. Bedankt voor het melden
[ Voor 54% gewijzigd door Verwijderd op 18-08-2003 19:34 ]
Verwijderd schreef op 18 augustus 2003 @ 14:58:
Zoals je zelf al zegt, gelukkig hebben we dit niet gedaan.
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf".
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg?
ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter
Zeeeeeeeeeeer snel!
Verwijderd
@ Kurvers
Lijkt erop dat je niet door een lovesan variant bent besmet maar met wat anders.
Dat betekent dus hoogstwaarschijnlijk dat iemand op je pc heeft lopen snuffelen, daarom raad ik je aan een full scan te doen met Kaspersky en McAfee.
Bescherming tegen de rpc exploit doet niet echt veel tegen een (injected) backdoor..
Lijkt erop dat je niet door een lovesan variant bent besmet maar met wat anders.
Dat betekent dus hoogstwaarschijnlijk dat iemand op je pc heeft lopen snuffelen, daarom raad ik je aan een full scan te doen met Kaspersky en McAfee.
Bescherming tegen de rpc exploit doet niet echt veel tegen een (injected) backdoor..
Verwijderd
Hmm, Trend en Symantec hebben nu ook een lovsan.d, maar met andere filename, zij hebben het over dllhost.exe...
Hebben r3mc0 en co zich bedacht?
Trend:WORM_MSBLAST.D
Hebben r3mc0 en co zich bedacht?
Symantec:W32.Welchia.WormInitial analysis has determined that the worm looks for the existence of Msblast.exe, dropped by the W32.Blaster.Worm, and deletes it if present.
The worm also attempts to download the DCOM RPC vulnerability patch from Microsoft's update site. If the update has been successful, the worm will reboot the computer so the update takes effect.
Trend:WORM_MSBLAST.D
Ben ik ook wel benieuwd naar ja. Maar goed, zij zullen vast niet de enigen zijn die bedacht hebben om blaster te bestrijden via de RPC-exploit...Verwijderd schreef op 18 August 2003 @ 17:51:
Hmm, Trend en Symantec hebben nu ook een lovsan.d, maar met andere filename, zij hebben het over dllhost.exe...
Hebben r3mc0 en co zich bedacht?
Het zou natuurlijk goed kunnen dat er 'per ongeluk' een kopietje van de worm van r3mc0 over het internet is gevlogen. Of niet helemaal per ongeluk, maar 'for testing purposes'. Maar laten we daarvoor even de reactie van r3mc0 afwachten
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Het probleem bij het verspreiden lag bij ons bij de spreader, die konden wij niet programmeren en daarom hebben we dat dus ook niet gedaan.
Daarnaast zit er in ons programmaatje geen automatische update functie, wel een functie die de update link aan de favorieten toevoegd.
Het zou natuurlijk zeer goed kunnen dat iemand anders het wel is gelukt om de spreader te coden, er een update funtie bij heeft gezet, en heeft verstuurd.
Maar hiervoor wil ik eerst naar de code kijken, om te zien of het overeenkomt (en om te zien wat ons niet is gelukt om te coden
Als ik het zo hoor is het dus zeker niet r3mc0 geweest.
Maar toch nog even een vraagje aan allen: als je de nieuwe variant op je pc hebt (de anti-MSblast worm dus), zou je dan even naar de source code kunnen kijken? Wellicht is de source code van r3mc0 en co wel gebruikt

EDIT: sorry voor het herhalen wat r3mc0 eigenlijk ook al typte
Maar toch nog even een vraagje aan allen: als je de nieuwe variant op je pc hebt (de anti-MSblast worm dus), zou je dan even naar de source code kunnen kijken? Wellicht is de source code van r3mc0 en co wel gebruikt
EDIT: sorry voor het herhalen wat r3mc0 eigenlijk ook al typte

[ Voor 12% gewijzigd door Tweeke op 18-08-2003 20:39 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Aangezien ik weiger om in het andere topic te reageren, wat imo wel dicht zal gaan...
De worm die pc's wil fixen blijft tot 1 januari 2004 op de pc staan, dat houdt dus in dat tot die tijd, er constant wordt gescand naar andere pc's, of dat nou zo handig is..
De worm die pc's wil fixen blijft tot 1 januari 2004 op de pc staan, dat houdt dus in dat tot die tijd, er constant wordt gescand naar andere pc's, of dat nou zo handig is..
Verwijderd
hmm, ik krijg 404's bij die links, is er een goede link ? 
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen
edit= godzijdank is die ander dicht, vond het al oneerlijk worden
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen

edit= godzijdank is die ander dicht, vond het al oneerlijk worden
[ Voor 16% gewijzigd door Verwijderd op 18-08-2003 21:05 ]
Verwijderd
Dus jouw "virus" blijft voor altijd op je pc en blijft maar scannen? Over bandbreedte verspillen gesprokenVerwijderd schreef op 18 August 2003 @ 20:58:
hmm, ik krijg 404's bij die links, is er een goede link ?
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen
edit= godzijdank is die ander dicht, vond het al oneerlijk worden

[ Voor 4% gewijzigd door Verwijderd op 18-08-2003 21:06 ]
Maar wie zegt dat het jouw sourcecode is (maar dan aangepast)? Wie weet is er iemand die hetzelfde idee had?Verwijderd schreef op 18 augustus 2003 @ 20:58:
hmm, ik krijg 404's bij die links, is er een goede link ?
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen
edit= godzijdank is die ander dicht, vond het al oneerlijk worden
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
Verwijderd
Nee, hij scant een keer, and that is it. Maar we hebben em in 1 avond/nacht gemaakt, dus zon detail hebben we over het hoofd gezien, misschien dat het in v0.7 komt.
Ik zeg niet dat het mijn sourcecode MOET zijn, maar het zou kunnen, daarom wil ik ook de source zien, want je weet maar nooit
Ik zeg niet dat het mijn sourcecode MOET zijn, maar het zou kunnen, daarom wil ik ook de source zien, want je weet maar nooit
LOL!
Check deze dan: http://securityresponse.s...ata/w32.welchia.worm.html
Oftewel de blaster-cleaner-worm
Check deze dan: http://securityresponse.s...ata/w32.welchia.worm.html
Oftewel de blaster-cleaner-worm

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.
mogelijk bewerkt door microsoft 'personeel' ?
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Verwijderd
We hebben hier een rare situatie. We draaien Norton Corporate Antivirus op alle PC's. Vorige week begon de ellende. Norton zag in de file TFTP338 (C:\WINT\SYSTEM32) de worm W32.Blaster.Worm. Norton heeft deze file in quarataine gezet. Daarna hebben we FixBlast gebruikt om de Worm te verwijderen. FixBlast geeft verder geen melding dat hij het virus/worm heeft gevonden. Daarna patch erover gedraaid. Nu krijgen we elke ochtend bij het aanloggen toch de melding dat hij de W32.Blaster.Worm heeft gevonden in TFTP338. Nu laat hij het bestand met rust. Als ik handmatig een scan maak, vind tie ook niks. Evenals FixBlast.
Dus hoe krijgen we dit eruit??
Dus hoe krijgen we dit eruit??
je kunt het bestand niet verwijderen?
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Verwijderd
Ik weet niet precies wat het doet. Ik kan niks op Google vinden hierover. Trouwens op andere PC heet de file weer TFTP1096 en bij weer een ander TFTP316. Erg vaag. Iemand?k-oz schreef op 19 augustus 2003 @ 12:24:
je kunt het bestand niet verwijderen?
[ Voor 17% gewijzigd door Verwijderd op 19-08-2003 12:44 ]
lijkt me eerder dat er via tftp geprobeerd is een file te downloaden. Mogelijk zelfs via een andere bug, je zag die meldingen ook bij de IIS Unicode exploit.Verwijderd schreef op 19 August 2003 @ 12:39:
[...]
Ik weet niet precies wat het doet. Ik kan niks op Google vinden hierover. Trouwens op andere PC heet de file weer TFTP1096 en bij weer een ander TFTP316. Erg vaag. Iemand?
Update je bak volledig, gooi de besmette files weg, en kijk dan nog eens.
dat bestand moet je gewoon verwijderen.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Dat is geen sourcecode, maar een disassambly van de EXE (de worm is oorspronkelijk nl. geschreven in C en gecompileerd met LCC 1.x). Bovendien missen de 2 replication routines: spreadworm() en payload(), en kun je van deze code dus geen bruikbaare compilatie maken (gelukkig maar, want wormen [source+compiled] publiceren is illegaal -> ongewenste load/binnendringing, draait zonder toestemming en benodigd opruiming -> Art. 138a Wet Computercriminaliteit).
Overigens is het niet de eerste keer dat er wormen zijn die andere wormen/exploits bestrijden:
- AntiADM (5/1998) [Max Vision]
- Millenium (8/1999) [Mixter]
- Cheese (5/2001) [onbekend]
- Code Green (9/2001) [Der HexXer]
- CRClean (9/2001) [Markus Kem]
- ...etc...
Overigens is het niet de eerste keer dat er wormen zijn die andere wormen/exploits bestrijden:
- AntiADM (5/1998) [Max Vision]
- Millenium (8/1999) [Mixter]
- Cheese (5/2001) [onbekend]
- Code Green (9/2001) [Der HexXer]
- CRClean (9/2001) [Markus Kem]
- ...etc...
[ Voor 54% gewijzigd door Verwijderd op 19-08-2003 19:46 ]
Toen ik gisteren voor het eerst hoorde over w32.welchia.worm vond ik het wel humor, het enige wat ik toen over het hoofd gelezen heb is dat de worm nogal wat dataverkeer genereerd. Daar ben ik vandaag op mijn werk wel achtergekomen toen ons netwerk op bepaalde delen dichtslipte en we af en toe connectie verloren met de buitenwereld! Ik hoop dat de "hype" nu een beetje voorbij is en dat we die virustroep gehad hebben.
Grappig, in de openings post staat dat w32.welchia.worm het voor je oplost, echter op rtlz staat iets verhullends nl. dat het vertrouwlijke informatie zou stelen
http://www.rtlz.nl/(/fina...obig_zeer_zwaar_virus.xml
EDIT de gehele link selecteren ander werkt het niet. www.rtlz.nl kan ook en dan staat er in het beging al iets over het virus
http://www.rtlz.nl/(/fina...obig_zeer_zwaar_virus.xml
EDIT de gehele link selecteren ander werkt het niet. www.rtlz.nl kan ook en dan staat er in het beging al iets over het virus
[ Voor 20% gewijzigd door Robthebest op 19-08-2003 19:10 ]
Verwijderd
Sobig != Welchia
Daarnaast beweert rtlz dat lovesan e-mails verstuurt...
maw: haal je info van security sites, dan weet je bijna zeker dat het klopt.
/me die zelfs de vendors er af en toe op betrapt foutjes te maken in hun write-ups..
Daarnaast beweert rtlz dat lovesan e-mails verstuurt...
maw: haal je info van security sites, dan weet je bijna zeker dat het klopt.
/me die zelfs de vendors er af en toe op betrapt foutjes te maken in hun write-ups..
Hmm...rtlz lult maar raak...
Overigens is het paniek-verhaaltje te verklaren uit het volgende:
Verderop hebben ze het eigenlijk alleen maar over sobig: welchia wordt niet meer genoemd na de gewraakte kwoot.Sinds vandaag razen twee zeer agressieve email-virussen rond de wereld. De virussen, W32.Sobig.F en W32.Welchia.Worm, stelen vertrouwelijke informatie van computers.
Overigens is het paniek-verhaaltje te verklaren uit het volgende:
Tja, als het dicht bij huis komt, dan wordt het wel heel eng....Om een voorbeeld te geven van de impact van het virus: alle 800 medewerkers van HMG/RTL konden dinsdagmiddag enige tijd niet mailen, omdat het gehele mailsysteem uit de lucht moest worden gehaald.
[ Voor 10% gewijzigd door Tweeke op 19-08-2003 19:31 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
De W32.Welchia.Worm steelt imo geen vertrouwelijke informatie en zet geen trojans op het systeem. Het is een zogezegde "white worm" die als nadelen heeft dat hij illegale acces neemt, hogere load en bandwidth gebruikt en zichzelf niet gelijk verwijderd na patching pas in 2004). Bovendien is het een beetje lastig om automatisch gepatcht te worden zonder dat er een backup is gemaakt...De virussen, W32.Sobig.F en W32.Welchia.Worm, stelen vertrouwelijke informatie van computers.
Wat betreft W32.Sobig.F, die heeft zijn eigen topic: [rml][ VIRUS/WORM] Sobig.F[/rml]
Tweeke: een Tweaker is niet noodzakelijkerwijs overal expert in
over je edit: dat is ook weer zo
[ Voor 50% gewijzigd door Verwijderd op 19-08-2003 19:58 ]
Ik kwoot rtlz alleen om te laten zien hóe fout de info is die ze geven....ze lullen maar wat raak. De tweakers hier hoef je daar echt niet van te overtuigen hoorVerwijderd schreef op 19 August 2003 @ 19:31:
[...]
De W32.Welchia.Worm steelt imo geen vertrouwelijke informatie en zet geen trojans op het systeem. Het is een zogezegde "white worm" die als nadelen heeft dat hij illegale acces neemt, hogere load en bandwidth gebruikt en zichzelf niet gelijk verwijderd na patching pas in 2004). Bovendien is het een beetje lastig om automatisch gepatcht te worden zonder dat er een backup is gemaakt...
Wat betreft W32.Sobig.F, die heeft zijn eigen topic: [rml][ VIRUS/WORM] Sobig.F[/rml]
Euss: Ja, maar ze kunnen wel heel makkelijk even naar trendmicro/f-secure/symantec surfen voor betrouwbare informatie om te verifieren of het geblaat van RTLZ enige waarheidszin heeft Een gemiddelde tweaker heeft ook een grotere interesse in het wel en wee van het internet
[ Voor 19% gewijzigd door Tweeke op 19-08-2003 19:56 ]
The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw
naja ik had het zelf niet echt doorgekeken
Volgens mij hadden wij deze laatste, wij zitten in een groot netwerk 4 landen. Om 11 uur kreeg heel frankrijk een svhost error (echt iedereen, 2000 pc) een halfuur later waren wij aan de beurt (600pc) en om 2 uur was engeland aan de beurt. Het vreemde was dat die svhost error echt bij iedereen tegelijk kwam. Wij hebben 8 vestigingen en we hadden ze alle 8 aan de lijn. Big panick. Gelukkig, snel die update gedistrubeerd via loginscript en nu alles veilig. Maar wat ik me nu afvraag was het blast, of was het weilchia. Ik denk die laatste, want ik las op symantec, dat hij een icmp broadcast uitbruld terwijl blast elk ip adres apart aanvalt. Heeft iemand ervaring.
"Is your mother proud of you ?"
Verwijderd
mwah, aan die "sourcecode" heb ik niets omdat daar al staat dat spreadworm() er niet bij staat, en daar ging het mij om 
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets?
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets?
Ja communicatie van parijs was niet een van de sterkste punten, maar is begrijpelijk, als net heel je netwerk uitvalt. Dan zit je nog in de ontdekkende fase. Maar heeft iemand dit al gehad.
"Is your mother proud of you ?"
Hiero alle verschijnselen. Excel etc werkt(e) niet meer.
Printer monitor doet het (nog steeds) niet meer..
Met de removers niet aangetroffen. Alleen die dllhost.exe..
Ik heb ook gezocht met de 'hand' echter, niets gevonden.
Wat kan ik nog meer doen?
Printer monitor doet het (nog steeds) niet meer..
Met de removers niet aangetroffen. Alleen die dllhost.exe..
Ik heb ook gezocht met de 'hand' echter, niets gevonden.
Wat kan ik nog meer doen?
Boom......Boom......Boom......Boom......Boom......booooooooooom
Had ik ook, excel die klapte. kan niet meer copy paste, en svhost. Die patch tegen de blast worm helpt. Zag later op omgepaste pc's dat ze nog steeds werden aangevallen
"Is your mother proud of you ?"
spider: Dat is correct. De Welchia.worm gaat via ICMP pings op zoek naar nieuwe slachtoffers. Blast/LovSAN doet dat middels poort 135 scans per blokken van 20 IP's.
Reut: de Batchfile al geprobeert in veilige modus? Systeem sowieso patchen en kijken welke taken allemaal draaien (en in je registry onder \run staat)
Reut: de Batchfile al geprobeert in veilige modus? Systeem sowieso patchen en kijken welke taken allemaal draaien (en in je registry onder \run staat)
[ Voor 13% gewijzigd door Verwijderd op 19-08-2003 22:35 ]
Verwijderd
Let op
Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.
Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.
Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Cybarite: Klinkt als Welchia, maar Blaster/LovSAN kan ook veroorzaker zijn van Svchost errors (meestal W2K systemen). Gewoon een fullversion scanner geupdate over je systeem halen (bijv. KAV).
Controleer gelijk welke processen er allemaal in de achtergrond draaien: CTRL-Shift-Esc (WinXP) / CTRL-ALT-Delete
TFTP.EXE mag je wat mij betreft deleten (of jij moet een gegronde reden hebben: tftp wordt gebruikt als mini [tiny!] ftp-servertje en is een geldig Windows bestand)...
Sockspy.dll is sowieso geen Windows Systeemfile - en mag je ook deleten.
Controleer gelijk welke processen er allemaal in de achtergrond draaien: CTRL-Shift-Esc (WinXP) / CTRL-ALT-Delete
TFTP.EXE mag je wat mij betreft deleten (of jij moet een gegronde reden hebben: tftp wordt gebruikt als mini [tiny!] ftp-servertje en is een geldig Windows bestand)...
Sockspy.dll is sowieso geen Windows Systeemfile - en mag je ook deleten.
[ Voor 186% gewijzigd door Verwijderd op 20-08-2003 01:15 ]
Verwijderd
Scan je systeem met Kaspersky, of eventueel McAfee.Verwijderd schreef op 19 August 2003 @ 23:40:
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Deze twee zijn veruit superieur aan de rest als het over de dcom exploit tools gaat..(Kaspersky nog ietsje beter dan McAfee)
(Mocht je er voor kiezen om met Kaspersky te scannen, dan is het nog het allerhandigste om de extended bases te gebruiken, mocht je niet weten hoe dat werkt, jusk ask).
Verwijderd
Hmm ik heb heus zelf wel onderzoek gedaan en geen vreemde processen aangetroffen. Heel vreemd TFTP.EXE draait niet, maar probeert volgens m'n logs wel telkens verbinding te maken. Wat dat sockspy is weet ik ook niet, staat geen microsoft achtige info bij de bestandinformatie. Wie weet is het wel een variant vd worm die gebruik maakt vd SetWindowsHookEx, of SetTimer\varianten exploits om een DLL in een ander proces te injecteren...
Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen...
Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...
UPDATE:
clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.
Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen...
Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...
UPDATE:
clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.
[ Voor 22% gewijzigd door Verwijderd op 20-08-2003 12:36 . Reden: Update ]
Verwijderd
Dat is volgens mij niet iets dat door lovesan/welchia wordt veranderd..clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open
Ik wil je toch aanraden om je bak met Kaspersky(of McAfee) te scannen.
Verwijderd
clrav.com is toch van Kapersky ? Btw ik heb ook al met Symantec gescand, die vond een lege dir die van de worm zou zijn.
Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen
.
Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen
[ Voor 58% gewijzigd door Verwijderd op 20-08-2003 14:30 ]
Verwijderd
Ja, maar die scant niet voor alle expliots die er zijn, het KAV zelf wel..clrav.com is toch van Kapersky ?
Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
Omdat je nog steeds last hebt/had van vage verschijnselen raadde ik aan om je systeem eens volledig te scannen met een complete scanner.
Als alles ok blijft gaan zal het wel goed zijn, heb me niet echt heel goed verdiept in de verschijnselen van welchia, maar als je vanavond ineens weer kuren krijgt kan het dus een 'hacker' zijn..
Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.Verwijderd schreef op 20 August 2003 @ 15:06:
[...]
Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
[ Voor 6% gewijzigd door Wildfire op 20-08-2003 16:03 ]
Verwijderd
Er is geen enkele firewall die code injection tegenhoudt..Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
Zoek het maar op, heb het zelf getest, het is veel getest door anderen..
Welchia zet wel een TFTP server op je PC die op afstand bestuurbaar is tot 2004... Dus doe wat Schouw en ik zeggen, en scan met een volledige virusscanner.
Wildfire, er zijn ook zat trojans/exploits die zich speciaal richten op firewalls... Kwestie van de processen van firewall killen, infecteren, en je firewall gaat nooit meer aan... Simpele regel: besmetting binnen, niets vertrouwen...
Wildfire, er zijn ook zat trojans/exploits die zich speciaal richten op firewalls... Kwestie van de processen van firewall killen, infecteren, en je firewall gaat nooit meer aan... Simpele regel: besmetting binnen, niets vertrouwen...
[ Voor 25% gewijzigd door Verwijderd op 20-08-2003 16:46 ]
Verwijderd
Is het toegestaan een linkje van een proof of concept progsel hier neer te gooien?
Het is niet schadelijk..
Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.
Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..
Het is niet schadelijk..
Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.
Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..
Verwijderd
Met code injection bedoel ik het infiltreren van malware in de adress space van een prog wat vertrouwd is en/of veel rechten heeft (denk aan je firewall prog zelf). Schouw heeft gelijk dat in principe geen enkele firewall dat tegen kan houden doordat het mogelijk is dmv een fundamentele zwakheid in windows. Meerdere zelfs, zoek maar eens naar een paper wat "shatter exploits" beschrijft.Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
Echter ik heb Outpost Firewall Pro 2 en die detecteerd het als er een nieuwe module in de adress space van welk proces dan ook verschijnt die nog niet tijdens het laden van die exe was geimporteerd. Het is best slim moet ik zeggen, alleen het kan dan al wel te laat zijn want die dll kan ondertussen allang geinfiltreerd zijn in de code en die dll laten voor wat ie is....
Microsoft zwijgt dit dood en het is maar hopen dat er geen worm komt die ook dit uitbuit, en ook nog eens intelligent is want dan hebben we echt een probleem....
euss: Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat... die mogelijke hacker kon niks uploaden op mn sys aangezien ik alle tftp etc heb geblockt (altijd al).
Verwijderd
Ga eens met bitdefender op zoek naar kazaa virussen...Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat...
Als het 5% vindt, doet het het goed..
Ik zal zo eens even kijken hoeveel dcom exploits het vindt van diegene die ik heb.
Kaspersky kan files detecteren die gemaakt zijn met een generator..
Heb het er met Eugene over gehad en die was blij dat implementatie van dit geintje nogal lastig is en niet al te mainstream.
Ik zal ook eens kijken wat Outpost er van bakt.
Verwijderd
Gelukkig gebruik ik geen kazaa meuk. En volgens onafhankelijke tests van oa C't vond BitDefender alles. Die voordelen van BitDefender waren : zeer goede heuristiek, vind virussen extreem diep in (encrypted) compressed formaten, vind alle ingebedde objecten, ondersteund vrijwel alle exe-packers etc.
Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.
Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.
[ Voor 3% gewijzigd door Verwijderd op 20-08-2003 17:09 ]
Verwijderd
En hoeveel heb je zelf getest?
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..
En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..
En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.
Verwijderd
Bediening: - -
Heuristiek: 0 (matig)
Reddingsmedia: 0 (matig)
De rest was wel goed tot zeer goed
Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail) Bij Oulook Express 6, Netscape 4.7x, Mozilla 1.x werkt het helemaal niet.
Herkenning
Ingebedde OLE-objecten : 28/30
WEbOLE objecten : 3/21
heuristiek:
67,7/55,2 - 3/6 maanden oude signatures
46,7 - knutsel virussen
Geen virusscan/update bij installatie
Maar ik zie idd dat exepackers juist het beste door Kapersky worden gedaan.
BitDefender is gewoon op alles hetzelfde of net iets beter en heel soms iets slechter maar het eindoordeel voor Bitdefender is net iets beter. Maar zoals ik zei is Kapersky best goed.
Voor een duidelijker overzicht verwijs ik naar CT 07/08 (een na laatste) pag. 80-83
Heuristiek: 0 (matig)
Reddingsmedia: 0 (matig)
De rest was wel goed tot zeer goed
Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail) Bij Oulook Express 6, Netscape 4.7x, Mozilla 1.x werkt het helemaal niet.
Herkenning
Ingebedde OLE-objecten : 28/30
WEbOLE objecten : 3/21
heuristiek:
67,7/55,2 - 3/6 maanden oude signatures
46,7 - knutsel virussen
Geen virusscan/update bij installatie
Maar ik zie idd dat exepackers juist het beste door Kapersky worden gedaan.
BitDefender is gewoon op alles hetzelfde of net iets beter en heel soms iets slechter maar het eindoordeel voor Bitdefender is net iets beter. Maar zoals ik zei is Kapersky best goed.
Voor een duidelijker overzicht verwijs ik naar CT 07/08 (een na laatste) pag. 80-83
> Kaperksy negeert gecomprimeerde files
Volgens mij hebben ze KAV in de laagste beveiligingsstand getest. Hij scant nl. wel degelijk op gecomprimeerde bestanden als je dat insteld (tabblad "objects" -> alles aangevinkt + all files geselecteerd en tabblad "options" code analyser + deep search aangevinkt).
Overigens gaan er best nog wel eens virusscanners over hun zeik als je gecompimeerde bestanden in een gecompimeerd archief in een gecompimeerd archief in een gecompimeerd archief hebt (genest dus) - of bij EXE-packed files of archieven die met password versleuteld zijn.
Volgens mij hebben ze KAV in de laagste beveiligingsstand getest. Hij scant nl. wel degelijk op gecomprimeerde bestanden als je dat insteld (tabblad "objects" -> alles aangevinkt + all files geselecteerd en tabblad "options" code analyser + deep search aangevinkt).
Overigens gaan er best nog wel eens virusscanners over hun zeik als je gecompimeerde bestanden in een gecompimeerd archief in een gecompimeerd archief in een gecompimeerd archief hebt (genest dus) - of bij EXE-packed files of archieven die met password versleuteld zijn.
[ Voor 37% gewijzigd door Verwijderd op 20-08-2003 19:14 ]
Verwijderd
afaik is dat onzin, als ik m'n OE folder scan krijg ik 400+ meldingen, of de files nu in archives zitten, runtime packed zijn, of beide.Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail)
Maar het is zo dat Kaspersky zeer regelmatig ondersteuning voor nieuwere soorten archives/packers toevoegd, gewoon via de daily updates.
Mja, over de heuristics, ze wordt door de meeste experts toch als een van de allerbeste beschouwd.. De andere vendors die het misschien beter doen gebruiken trucjes, zoals de naam van de auteur meenemen in de signatures..
Ik heb even de dcom exploits laten scannen door een paar scanners.
We hebben 34 hostile files:
RAV: 8 infected, 10 suspicious
McAfee: 30 infected
CA: IT 16 infected, Vet 15
Bitdefender: 8 infected
Kaspersky: 34 infected
Hiervan zijn 4 files van autooter, die toch wel heel bekend is, die had ik eerst niet toegevoegd, dus als die niet was meegenomen zag het er wel heel erg donker uit voor Bitdefender..
Misschien snap je nu waarom ik me van die tests van die blaadjes niet zoveel aantrek.
Outpost 2 leek het code injecten van copycat gewoon toe te staan..
See for yourself
Verwijderd
Ik krijg een bericht dat iTouch verbinding wil maken met internet, dus als je standaard niets altijd toestaat ben je veilig. Echter ik neem aan dat dit progje bij de browser dient te worden gebruikt, dan heb je gelijk.
Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.
Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).
Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou
)...
Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.
Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).
Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou
Verwijderd
Ik neem aan dat je het over die dcom exploits hebt?Kan je me die 32 infected binaries in compressed formaat sturen
Het is 8,5 mb, ik heb geen mailserver die zulke grote berichten aankan..
Ik kan ze wel splitten, maar ik weet niet hoeveel jouw mailserver aankan, dus wil ik het wel sturen met tussenpozen, zodat niet de helft wordt gebounced.
Edit:
Geen source en ik weet er eigenlijk niet echt meer vanaf dan dat hij z'n code injecteertHeb je de sourcecode of beschrijving van deze exploit
[ Voor 32% gewijzigd door Verwijderd op 20-08-2003 20:09 ]
Verwijderd
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.
Je kan filesplitter gebruiken voor Windows.
Je kan filesplitter gebruiken voor Windows.
Verwijderd
Je mailbox zal wel een max size hebben en ook een max size voor een enkel bericht..Verwijderd schreef op 20 August 2003 @ 20:09:
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.
Je kan filesplitter gebruiken voor Windows.
Mag ik dan aannemen dat u de anonieme mailer was van zojuist?
Verwijderd
Nee ik heb niks gestuurd en ik weet niks van een max size, ik neem aan dat ik al mn mail kan ontvangen op mn pop box.
Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.
Het lijkt me iig genoeg...
Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.
Het lijkt me iig genoeg...
Verwijderd
Ik heb een probleem met het W32.randex.E virus, norton heeft hem er uitgehaald incl. het nstask32 bestandje.
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).