RPC crash/shutdown 'vraag bak' - deel 2

DJSmiley schreef op 15 augustus 2003 @ 23:36:
[...]


ff een telefoonmodempje erin, en met een paar min ben je de lul

gewoon ff inbellen bij een andere provider

idd, probleem is dat ik zo'n ding niet meer heb liggen, m'n laptop heeft er wel een maar daar staat gentoo op

Bah vandaag bijna 50's PC's gedaan met die klote worm

Een vriend van mij heeft dit virus dus opgelopen, maar door de aanwezigheid van het virus krijg je de tijd niet om er iets aan te doen... computer start op en sluit meteen weer af... safemode idem... hoe moet ik dit nu oplossen? via bootdisk booten en dan handmatig zoeken welk bestand ik moet wissen? moet ik helaas wel NTFS4DOS hebben, maar die kost geld en de trial is readonly

Zeg niet reïnstall, want die gozer moet nog een backup maken van al zijn bestanden eerst...

Owjah, er is inmiddels weer een andere versie uit aangezien geen van de tot nog toe genoemde bestandsnamen te vinden waren op zijn PC (in de korte tijd die ik kreeg)

[ Voor 15% gewijzigd door Fludizz op 16-08-2003 03:22 ]

shutdown -a al geprobeerd?

[quote]garak schreef op 15 August 2003 @ 23:53:

Verwijderd schreef op 13 August 2003 @ 23:29:
paella: Niet allemaal onder de 1024 hoop ik voor je. Ik ben al blij als ze 135-139, 445 en 593 zouden blocken op ISP nivo. Die hebben wat mij betreft niks op internet te zoeken. Zie ook: http://www.securityfocus....5/2003-08-11/2003-08-17/0
quote]

Is juist heel irritant al die providers die 135 nu blokkeren enzo, probeer dan maar eens met Outlook Exchange te werken

Huh? Als jij Outlook kan gebruiken over de Windows poorten via het Internet dan vraag ik me af wat voor zooitje het op de Exchange server moet zijn waarnaar je connect.
Je bent als sys/netwerk admin toch wel een beetje van de pot gerukt als je dergelijk inkomend verkeer via het internet toestaat.
Nooit gehoord van IMAP zeker?

Microsoft heeft blijkbaar zijn voorzorgen genomen tegen de DoS-aanval van het Blaster-virus:

Windowsupdate.com goes AWOL

Microsoft takes precautions against Blaster, we suppose


By INQUIRER staff: vrijdag 15 augustus 2003, 15:53

A CLICK ON www.windowsupdate.com gives an invalid URL message when you click on it today, but that doesn't mean it's gone forever.
Microsoft said that the site had been subjected to a denial of service attack, according to Network World Fusion, but it wasn't anything to do with the Blaster worm or the power down in the US.

We thought initially that Microsoft had removed the page, which was accessible earlier this week, to avoid it being deluged by attacks launched courtesy of the Blaster worm that's made waves all week.

Apparently not.

If you click on the "Windows Update" button on the menu in Windows 2000 or Windows XP, the update page still comes up, but with a slightly different address.

Waarschijnlijk zal Windows Update dus niet platgaan.

Kan iemand updaten nu via Windows Update ?

Telkens als ik updates aanklik en wil downloaden gebeurd er niks en geeft hij een fout melding aan (vervelend ).

Verwijderd schreef op 15 August 2003 @ 23:40:

Neelis: Met welke foutmelding loopt hij vast? Heb je al in de logfiles gekeken? Ook hier al gekeken: Windows XP en 2000 BSOD guide

Hij loopt niet vast met een melding het is gewoon zo dat mijn pc ineens blijft hangen, verder geen melding. Ik heb die patch van me pc gehaald, k neem aan dat m'n firewall hem wel tegenhoudt en hoop dat ik nu geen last meer heb van vastlopers.
Zijn er meer mensen die problemen hebben met de patch?

Van Sygate UPD scan:

We have determined that you have a firewall blocking UDP ports!

Maar mijn firewall staat uit.
Dus ik ben veilig denk ik dan maar weer, bij alle andere tests stond ook overal blocked.

Wat IK nou raar vind, ik heb al bij 2 mensen op hun pc's de symptomen gehad(RPC), maar geen virus .exe's, geen regkeys, removal tool vind niks. Dus patch (en xp firewall aan)was genoeg. Is dit dan alleen van geinfecteerde pc's die bv mn pa zn pc scanden en onderuit haalden (in hetzelfde subnet)

[ Voor 8% gewijzigd door Max|Burn op 16-08-2003 14:12 ]

http://windowsupdate.microsoft.com/ werkt prima hier. Alleen een probleem, net een clean install gedaan van Windows XP en daarbij gelijk SP1 geinstalleerd vanaf cdrom!

Nu wil ik natuurlijk ook nog de nieuwste patches draaien, dus naar http://windowsupdate.microsoft.com/

Ik selecteer maar liefst 27 critical patches druk op OK en dan laadt ie zo genaamd alle onderdelen heel snel na elkaar. Dan zie ik alle onderdelen in het rood met de foutmelding dat alle updates zijn mislukt...

iemand hier ook ervaring mee?

Jup, daar hebben meerdere mensen last van, zie ook [rml][ XP]Windows update werkt niet meer[/rml]

Verwijderd schreef op 16 August 2003 @ 16:02:
bones2: start > uitvoeren > services.msc en dan in je lijst van services: "Universele Plug en Play-apparaathost" op uitschakelen zetten. Dit is alleen voor als je een koelkast oid hebt die via internet wil kijken of de melk in de aanbieding is en bestellen etc (uPNP is NIET hetzelfde als PnP voor hardwareaansturing en stuurprogramma's). - Dit zorgt er oa voor dat je poort 1900/5000 niet meer luisterd(en dus gesloten is).

Tnx man ! Nu kom ik wel 100 % door die scans.

Mijn god, het gaat wel érg hard! Ik ben vandaag bezig geweest mijn linux doos in te stellen als een bridge die kan firewallen. Een soort transperante firewall, ideaal! Toen ik de commando's in aan het tikken was nam ik als einddoos mijn laptopje maar even. Bij het laatste commando kwam de bridge 'up', 1 of 2 seconden erna stond die blaster er al op. Kun je nagaan hoe hard dit over het internet blaast

http://scan.sygatetech.com/udpscan.html geeft mij open:
DNS 53 OPEN

Hoe kan ik deze dicht krijgen?
Als ik dat doe kan ik dan niet meer het inet op met adressen ipv nummers??

hmja is wel allemaal leuk en aardig, maar ik had gisteren rond 9uur geen internet verbinding meer (@home),zou dit door t virus komen??maar kheb t toch verwijdert.... of hadden daar nog meer mensen last van, en idd mijn computer start inderdaad langzamer op,nadat ik dat virus heb gehad,hoe kan je dit verhelpen??

Greetz

Kurvers: nadat het virus is verwijderd zou je pc niet langzamer mogen zijn dan vóór het virus. Is dat wel het geval, dan ligt het dus aan iets anders. Maar heb je al goed gecheckt of het virus wel écht weg is?

Overigens heb ik gisteren onbedoeld het experiment van euss herhaald. Ik was namelijk Win XP op een Pentium II 350Mhz (overgeklokt naar 400MHz ) aan het installeren. De patch had ik helaas niet op een floppy/cd staan, dus ik moest heel even het net op (<2minuutjes). Nog voordat ik aan het downloaden kon beginnnen was de pc al besmet....
Gelukkig wist ik inmiddels precies wat te doen, dus MSBLAST was er snel weer af. Maar toch.... best irritant

[ Voor 3% gewijzigd door Tweeke op 17-08-2003 12:19 ]

Virusscanner wordt auto gekilled en wormscanproggie vind niks?


updaten hij niet?

ohoh!

Gister was ik wormpie vrij en gepatched. Nu start ik op en heb ik dit!!!

edit:
FP zegt shutdown /a maar het is toch shutdown -a

Mmm nu gerestart en krijg ik een PAGE_FAULT_IN_NONPAGE_AREA bluescreen
Weer gerestart serious error gezeur, daarna nog een keer gepatched en is goed gegaan. Stinger en Kaspersky ClearAV geven schoon systeem. Norton runt weer. Housecall ben ik nu aan het runnen/testen.

Security log router/firewall
08/17/2003 14:15:34 **SYN Flood to Host** 192.168.2.102, 1167->> 213.239.154.35, 80

Van mijn lokale naar iemands anders?????

Snap er niks van hoe mijn geupdate/gepatchde systeem in een keer besmet kan zijn en blijkbaar gelijk ook al verzend?

Iemand?

edit2:
WTF 213.239.154.35 = tweakers.net

[ Voor 44% gewijzigd door Verwijderd op 17-08-2003 14:37 ]

Ik kwam dit topic net tegen... helaas is het weggemod en gesloten zodat ik niet weet of het programma'tje gaat werken of niet... Ik heb hem dus wel, maar gebruiken doe ik pas als het zeker is dat het safe is...
_{(als ik nu niet via Knoppix zat zou ik Virtual PC starten en ff windows bakje ervoor openen, maarja HDD naar de RMA)}

Ik ga in ieder geval proberen of ik morgenavond de pc van die vriend van me kan desinfecteren op een of andere manier..

[ Voor 15% gewijzigd door Fludizz op 17-08-2003 22:10 ]

Tweeke schreef op 17 August 2003 @ 12:16:
Kurvers: nadat het virus is verwijderd zou je pc niet langzamer mogen zijn dan vóór het virus. Is dat wel het geval, dan ligt het dus aan iets anders. Maar heb je al goed gecheckt of het virus wel écht weg is?

ik heb t virus verwijdert door middel van die fixblast tool, van symantec, dus ik neem aan dat t weg is??

Greetz

Verwijderd schreef op 18 August 2003 @ 00:42:
Fludizz: je kan het ook doen door een batchfile in je Geplande taken te zetten:

code:

1	[..batchfile..]

[..]

Ik ben zelf niet geheel blij met het idee om winlogon.exe te wissen... Maargoed, ik geloof je op je woord...
zullen we het er maar op houden dat het laat is... winlogin... niet winlogon

[ Voor 14% gewijzigd door Fludizz op 18-08-2003 02:43 . Reden: thnx poster onder mij ]

Fludizz schreef op 18 augustus 2003 @ 02:27:
[...]

Ik ben zelf niet geheel blij met het idee om winlogon.exe te wissen... Maargoed, ik geloof je op je woord...

winlogin != winlogon

Heb trouwens vanavond een paar AVs getest op detectie van de exploit tools..
Niet echt iets om heel vrolijk van te worden, maar moet morgen nog eens kijken dat ik ze even alle tools verzamel die betrekking hebben op deze exploit en dan nog eens testen.
RAV/CA/F-Prot/Trend kunnen het theoretisch al niet meer goedmaken zo 'goed' deden ze het.

(verwachte) testresultaten: Kaspersky een kleine voorsprong op McAfee, een gat met niets, nog meer niets, RAV/CA, F-Prot/Trend.

hmz,
kheb net nog us gescant met het programmatje van mcafee (stinger)
en dit is wat mijn report filetje zegt:

C:\WINDOWS\System32\win32sockdrv.dll

Found the Exploit-DcomRpc trojan !!!

C:\WINDOWS\System32\win32sockdrv.dll could not be repaired.

C:\WINDOWS\system32\nstask32.exe\nstask32.exe\00003460.EXE

Found the Exploit-DcomRpc trojan !!!

C:\WINDOWS\system32\win32sockdrv.dll

Found the Exploit-DcomRpc trojan !!!

C:\WINDOWS\system32\win32sockdrv.dll could not be repaired.

Number of clean files: 73537

Number of Trojans: 3

Enig id wat deze files doen???
en ik neem aan dat hij die ntask wel heeft kunnen repareren??

Greetz

Kurvers: dat lijkt me duidelijk. 3 trojans aanwezig op je systeem....dan is het dus nog niet afdoende beveiligd. Om je pc (praktisch) waterdicht te beveiligen moet je het stappenplan van euss volgen (de topicstart dus) en bovendien je firewall optimaal configureren. Zó, dat er absoluut géén poorten meer open staan, dus closed, maar het liefst nog op stealthed/blocked.

Ook je virusscanner en firewall up to date houden en geen gebruik maken van Windows services als virtual desktop enzo.

Oké, er is dus wéér een nieuwe variant: W32/Lovsan.worn.D. Te herkennen aan de filename: MSPATCH.EXE

Meer info: http://vil.nai.com/vil/content/v_100557.htm

Er is niets verandert, behalve het naampje.....dus echt scriptkiddie werk. Gewoon de worm gereproduceerd met een naam die even voor wat verwarring moet zorgen. Het wachten is eigenlijk op de slimmere wormen die zich veel sneller kunnen verspreiden (MSblast is relatief traag) en bovendien echte schade doen.
De varianten op Blaster die we tot nu toe gezien hebben waren niet gevaarlijker dan het origineel.

Ok, omdat mijn topic werd gesloten, werd mij aangeraden dit hier neer te zetten.
Moth7, demon, en ik hebben een eigen removal tool gemaakt, wat behoorlijk wat sneller is dan die van bijvoorbeeld symantec.
Het gaat mij hier eigenlijk vooral om de feedback op het programma.
Het is open source, maar we betwijfelen of we een plekje krijgen op sourceforge.
Hier is de sourecode.
En hier is het programma met de readme.
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof

Verwijderd schreef op 18 August 2003 @ 14:29:
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof

Van mijn kant krijg je (opbouwende) kritiek. Mensen gedwongen een patch opdringen, die nota bene hetzelfde lek benut als de worm zelf is ronduit ongepast. Mijns inziens is het niet goed te praten -ook al is het vanuit het oogpunt mensen te helpen- dat je op zo'n manier inbreuk maakt op de privacy. In feite zou het namelijk net zo goed spyware kunnen zijn, die je gebruik laat maken van de RPC-exploit.
Ik heb ook zo het vermoeden dat zowel de mensen die jij met het progje probeert te helpen als Microsoft, niet blij zijn met een removal tool die van het lek gebruikt maakt. Dus is het misschien maar goed ook dat je het niet op die manier hebt verspreid.

Overigens vind ik het initiatief om een removal-tool te maken zeker bewonderswaardig Al zou ik mensen die last hebben van de worm toch aanraden om de (volgens jou langzamere) removal tool van Norton, Bitdefender of andere bekende virusbestrijders te gebruiken. Dat geeft meer zekerheid op een goede afloop, al hoeft zo'n progje helemaal niet beter te zijn dan die van jou


Hmm....ik moet wat wat meer tekst in 1 post stoppen, excusez moi.

Ik zou eerder een bekende removal tool aanraden omdat de eventuele bugs daar sneller ontdekt en verholpen worden. Maar belangrijker nog, verplaats je eens in de positie van een n00b die besmet is met Blaster: Het laatste wat je dan nog wil is malafide progjes op je pc, men wordt nu eenmaal heel huiverig na besmetting met een virus. Het gaat mij niet lukken om dan iemand een 'heel goed' progje van een 'mede-tweaker' te laten gebruiken.

Ik gruw er net als jij ook enorm van als het alleen maar gaat om het feit dat Norton en Mcafee groot en bekend zijn: Een n00b weet helaas niet anders en ik heb het opgegeven om eerst een half uur te besteden aan het 'omlullen' van mensen.

Daarentegen, als ik zelf de worm moet verwijderen in de toekomst zal ik zeker aan jouw removal tool denken. Ik ga hem vandaag of morgen ook even testen op een vulnerable systeem :)'

EDIT: just tested. Werkt perfect en snel. Mijn complimenten. Overigens komt een deel van mijn kritiek meteen te vervallen, want het progje en de readme file zien er vertrouwenswekkend uit!
Een tip: rename het zipje ook even naar blastshield.zip i.p.v. blast.zip. Nu lijkt het namelijk net alsof je msblast in zip-verpakking krijgt aangeboden

[ Voor 37% gewijzigd door Tweeke op 18-08-2003 15:23 ]

Zoals je zelf al zegt, gelukkig hebben we dit niet gedaan.
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf".
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg?

ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter

edit= kijk, ik hoor andere dingen als je eenmaal het progie hebt uitgeprobeerd
Ik zal het zo renamen, zat er al over na te denken na 10 keer de vraag "is dat een shield of het virus.."
Ik heb eigenlijk qua n00bs meer het gevoel dat ze alles van je aannemen zolang het maar snel en makkelijk verwijderd word, vandaar de simpele en snelle opzet van het programma.

[ Voor 52% gewijzigd door Verwijderd op 18-08-2003 17:16 ]

Verwijderd schreef op 18 augustus 2003 @ 14:58:
Zoals je zelf al zegt, gelukkig hebben we dit niet gedaan.
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf".
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg?

ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter

Zeeeeeeeeeeer snel!

Verwijderd schreef op 18 August 2003 @ 17:51:
Hmm, Trend en Symantec hebben nu ook een lovsan.d, maar met andere filename, zij hebben het over dllhost.exe...
Hebben r3mc0 en co zich bedacht?

Ben ik ook wel benieuwd naar ja. Maar goed, zij zullen vast niet de enigen zijn die bedacht hebben om blaster te bestrijden via de RPC-exploit...

Het zou natuurlijk goed kunnen dat er 'per ongeluk' een kopietje van de worm van r3mc0 over het internet is gevlogen. Of niet helemaal per ongeluk, maar 'for testing purposes'. Maar laten we daarvoor even de reactie van r3mc0 afwachten

wtf
Het probleem bij het verspreiden lag bij ons bij de spreader, die konden wij niet programmeren en daarom hebben we dat dus ook niet gedaan.
Daarnaast zit er in ons programmaatje geen automatische update functie, wel een functie die de update link aan de favorieten toevoegd.
Het zou natuurlijk zeer goed kunnen dat iemand anders het wel is gelukt om de spreader te coden, er een update funtie bij heeft gezet, en heeft verstuurd.
Maar hiervoor wil ik eerst naar de code kijken, om te zien of het overeenkomt (en om te zien wat ons niet is gelukt om te coden )

Als ik het zo hoor is het dus zeker niet r3mc0 geweest.

Maar toch nog even een vraagje aan allen: als je de nieuwe variant op je pc hebt (de anti-MSblast worm dus), zou je dan even naar de source code kunnen kijken? Wellicht is de source code van r3mc0 en co wel gebruikt

EDIT: sorry voor het herhalen wat r3mc0 eigenlijk ook al typte

[ Voor 12% gewijzigd door Tweeke op 18-08-2003 20:39 ]

Aangezien ik weiger om in het andere topic te reageren, wat imo wel dicht zal gaan...

De worm die pc's wil fixen blijft tot 1 januari 2004 op de pc staan, dat houdt dus in dat tot die tijd, er constant wordt gescand naar andere pc's, of dat nou zo handig is..

hmm, ik krijg 404's bij die links, is er een goede link ?
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen

edit= godzijdank is die ander dicht, vond het al oneerlijk worden

[ Voor 16% gewijzigd door Verwijderd op 18-08-2003 21:05 ]

Verwijderd schreef op 18 August 2003 @ 20:58:
hmm, ik krijg 404's bij die links, is er een goede link ?
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen

edit= godzijdank is die ander dicht, vond het al oneerlijk worden

Dus jouw "virus" blijft voor altijd op je pc en blijft maar scannen? Over bandbreedte verspillen gesproken

[ Voor 4% gewijzigd door Verwijderd op 18-08-2003 21:06 ]

Verwijderd schreef op 18 augustus 2003 @ 20:58:
hmm, ik krijg 404's bij die links, is er een goede link ?
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen

edit= godzijdank is die ander dicht, vond het al oneerlijk worden

Maar wie zegt dat het jouw sourcecode is (maar dan aangepast)? Wie weet is er iemand die hetzelfde idee had?

Nee, hij scant een keer, and that is it. Maar we hebben em in 1 avond/nacht gemaakt, dus zon detail hebben we over het hoofd gezien, misschien dat het in v0.7 komt.

Ik zeg niet dat het mijn sourcecode MOET zijn, maar het zou kunnen, daarom wil ik ook de source zien, want je weet maar nooit

LOL!
Check deze dan: http://securityresponse.s...ata/w32.welchia.worm.html

Oftewel de blaster-cleaner-worm

mogelijk bewerkt door microsoft 'personeel' ?

We hebben hier een rare situatie. We draaien Norton Corporate Antivirus op alle PC's. Vorige week begon de ellende. Norton zag in de file TFTP338 (C:\WINT\SYSTEM32) de worm W32.Blaster.Worm. Norton heeft deze file in quarataine gezet. Daarna hebben we FixBlast gebruikt om de Worm te verwijderen. FixBlast geeft verder geen melding dat hij het virus/worm heeft gevonden. Daarna patch erover gedraaid. Nu krijgen we elke ochtend bij het aanloggen toch de melding dat hij de W32.Blaster.Worm heeft gevonden in TFTP338. Nu laat hij het bestand met rust. Als ik handmatig een scan maak, vind tie ook niks. Evenals FixBlast.
Dus hoe krijgen we dit eruit??

je kunt het bestand niet verwijderen?

k-oz schreef op 19 augustus 2003 @ 12:24:
je kunt het bestand niet verwijderen?

Ik weet niet precies wat het doet. Ik kan niks op Google vinden hierover. Trouwens op andere PC heet de file weer TFTP1096 en bij weer een ander TFTP316. Erg vaag. Iemand?

[ Voor 17% gewijzigd door Verwijderd op 19-08-2003 12:44 ]

Verwijderd schreef op 19 August 2003 @ 12:39:
[...]


Ik weet niet precies wat het doet. Ik kan niks op Google vinden hierover. Trouwens op andere PC heet de file weer TFTP1096 en bij weer een ander TFTP316. Erg vaag. Iemand?

lijkt me eerder dat er via tftp geprobeerd is een file te downloaden. Mogelijk zelfs via een andere bug, je zag die meldingen ook bij de IIS Unicode exploit.

Update je bak volledig, gooi de besmette files weg, en kijk dan nog eens.

dat bestand moet je gewoon verwijderen.

voor geinteresseerden de sourcecode van de worm .

klik

het is natuurlijk niet de bedoeling dat jij zelf ff het scriptkiddie gaat spelen

Toen ik gisteren voor het eerst hoorde over w32.welchia.worm vond ik het wel humor, het enige wat ik toen over het hoofd gelezen heb is dat de worm nogal wat dataverkeer genereerd. Daar ben ik vandaag op mijn werk wel achtergekomen toen ons netwerk op bepaalde delen dichtslipte en we af en toe connectie verloren met de buitenwereld! Ik hoop dat de "hype" nu een beetje voorbij is en dat we die virustroep gehad hebben.

Grappig, in de openings post staat dat w32.welchia.worm het voor je oplost, echter op rtlz staat iets verhullends nl. dat het vertrouwlijke informatie zou stelen

http://www.rtlz.nl/(/fina...obig_zeer_zwaar_virus.xml

EDIT de gehele link selecteren ander werkt het niet. www.rtlz.nl kan ook en dan staat er in het beging al iets over het virus

[ Voor 20% gewijzigd door Robthebest op 19-08-2003 19:10 ]

Sobig != Welchia

Daarnaast beweert rtlz dat lovesan e-mails verstuurt...

maw: haal je info van security sites, dan weet je bijna zeker dat het klopt.

/me die zelfs de vendors er af en toe op betrapt foutjes te maken in hun write-ups..

Hmm...rtlz lult maar raak...

Sinds vandaag razen twee zeer agressieve email-virussen rond de wereld. De virussen, W32.Sobig.F en W32.Welchia.Worm, stelen vertrouwelijke informatie van computers.

Verderop hebben ze het eigenlijk alleen maar over sobig: welchia wordt niet meer genoemd na de gewraakte kwoot.

Overigens is het paniek-verhaaltje te verklaren uit het volgende:

Om een voorbeeld te geven van de impact van het virus: alle 800 medewerkers van HMG/RTL konden dinsdagmiddag enige tijd niet mailen, omdat het gehele mailsysteem uit de lucht moest worden gehaald.

Tja, als het dicht bij huis komt, dan wordt het wel heel eng....

[ Voor 10% gewijzigd door Tweeke op 19-08-2003 19:31 ]

Verwijderd schreef op 19 August 2003 @ 19:31:
[...]
De W32.Welchia.Worm steelt imo geen vertrouwelijke informatie en zet geen trojans op het systeem. Het is een zogezegde "white worm" die als nadelen heeft dat hij illegale acces neemt, hogere load en bandwidth gebruikt en zichzelf niet gelijk verwijderd na patching pas in 2004). Bovendien is het een beetje lastig om automatisch gepatcht te worden zonder dat er een backup is gemaakt...

Wat betreft W32.Sobig.F, die heeft zijn eigen topic: [rml][ VIRUS/WORM] Sobig.F[/rml]

Ik kwoot rtlz alleen om te laten zien hóe fout de info is die ze geven....ze lullen maar wat raak. De tweakers hier hoef je daar echt niet van te overtuigen hoor

Euss: Ja, maar ze kunnen wel heel makkelijk even naar trendmicro/f-secure/symantec surfen voor betrouwbare informatie om te verifieren of het geblaat van RTLZ enige waarheidszin heeft Een gemiddelde tweaker heeft ook een grotere interesse in het wel en wee van het internet

[ Voor 19% gewijzigd door Tweeke op 19-08-2003 19:56 ]

Verwijderd schreef op 19 August 2003 @ 18:54:
knip

naja ik had het zelf niet echt doorgekeken . Maar je kan met beetje kennis hem zo weer compilen denk ik zo .

Volgens mij hadden wij deze laatste, wij zitten in een groot netwerk 4 landen. Om 11 uur kreeg heel frankrijk een svhost error (echt iedereen, 2000 pc) een halfuur later waren wij aan de beurt (600pc) en om 2 uur was engeland aan de beurt. Het vreemde was dat die svhost error echt bij iedereen tegelijk kwam. Wij hebben 8 vestigingen en we hadden ze alle 8 aan de lijn. Big panick. Gelukkig, snel die update gedistrubeerd via loginscript en nu alles veilig. Maar wat ik me nu afvraag was het blast, of was het weilchia. Ik denk die laatste, want ik las op symantec, dat hij een icmp broadcast uitbruld terwijl blast elk ip adres apart aanvalt. Heeft iemand ervaring.

mwah, aan die "sourcecode" heb ik niets omdat daar al staat dat spreadworm() er niet bij staat, en daar ging het mij om
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets?

Ja communicatie van parijs was niet een van de sterkste punten, maar is begrijpelijk, als net heel je netwerk uitvalt. Dan zit je nog in de ontdekkende fase. Maar heeft iemand dit al gehad.

Hiero alle verschijnselen. Excel etc werkt(e) niet meer.
Printer monitor doet het (nog steeds) niet meer..

Met de removers niet aangetroffen. Alleen die dllhost.exe..

Ik heb ook gezocht met de 'hand' echter, niets gevonden.

Wat kan ik nog meer doen?

Had ik ook, excel die klapte. kan niet meer copy paste, en svhost. Die patch tegen de blast worm helpt. Zag later op omgepaste pc's dat ze nog steeds werden aangevallen

Let op

Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.

Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.

Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.

Verwijderd schreef op 19 August 2003 @ 23:40:
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.

Scan je systeem met Kaspersky, of eventueel McAfee.

Deze twee zijn veruit superieur aan de rest als het over de dcom exploit tools gaat..(Kaspersky nog ietsje beter dan McAfee)

(Mocht je er voor kiezen om met Kaspersky te scannen, dan is het nog het allerhandigste om de extended bases te gebruiken, mocht je niet weten hoe dat werkt, jusk ask).

Hmm ik heb heus zelf wel onderzoek gedaan en geen vreemde processen aangetroffen. Heel vreemd TFTP.EXE draait niet, maar probeert volgens m'n logs wel telkens verbinding te maken. Wat dat sockspy is weet ik ook niet, staat geen microsoft achtige info bij de bestandinformatie. Wie weet is het wel een variant vd worm die gebruik maakt vd SetWindowsHookEx, of SetTimer\varianten exploits om een DLL in een ander proces te injecteren...

Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen...

Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...

UPDATE:

clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.

[ Voor 22% gewijzigd door Verwijderd op 20-08-2003 12:36 . Reden: Update ]

clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open

Dat is volgens mij niet iets dat door lovesan/welchia wordt veranderd..
Ik wil je toch aanraden om je bak met Kaspersky(of McAfee) te scannen.

clrav.com is toch van Kapersky ? Btw ik heb ook al met Symantec gescand, die vond een lege dir die van de worm zou zijn.

Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen .

[ Voor 58% gewijzigd door Verwijderd op 20-08-2003 14:30 ]

clrav.com is toch van Kapersky ?

Ja, maar die scant niet voor alle expliots die er zijn, het KAV zelf wel..

Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..

Omdat je nog steeds last hebt/had van vage verschijnselen raadde ik aan om je systeem eens volledig te scannen met een complete scanner.

Als alles ok blijft gaan zal het wel goed zijn, heb me niet echt heel goed verdiept in de verschijnselen van welchia, maar als je vanavond ineens weer kuren krijgt kan het dus een 'hacker' zijn..

Verwijderd schreef op 20 August 2003 @ 15:06:

[...]

Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..

Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.

En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.

[ Voor 6% gewijzigd door Wildfire op 20-08-2003 16:03 ]

Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.

Er is geen enkele firewall die code injection tegenhoudt..
Zoek het maar op, heb het zelf getest, het is veel getest door anderen..

Is het toegestaan een linkje van een proof of concept progsel hier neer te gooien?
Het is niet schadelijk..

Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.

Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..

Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat...

Ga eens met bitdefender op zoek naar kazaa virussen...
Als het 5% vindt, doet het het goed..
Ik zal zo eens even kijken hoeveel dcom exploits het vindt van diegene die ik heb.

Kaspersky kan files detecteren die gemaakt zijn met een generator..
Heb het er met Eugene over gehad en die was blij dat implementatie van dit geintje nogal lastig is en niet al te mainstream.

Ik zal ook eens kijken wat Outpost er van bakt.

Gelukkig gebruik ik geen kazaa meuk. En volgens onafhankelijke tests van oa C't vond BitDefender alles. Die voordelen van BitDefender waren : zeer goede heuristiek, vind virussen extreem diep in (encrypted) compressed formaten, vind alle ingebedde objecten, ondersteund vrijwel alle exe-packers etc.

Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.

[ Voor 3% gewijzigd door Verwijderd op 20-08-2003 17:09 ]

En hoeveel heb je zelf getest?
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..

En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.

Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail)

afaik is dat onzin, als ik m'n OE folder scan krijg ik 400+ meldingen, of de files nu in archives zitten, runtime packed zijn, of beide.

Maar het is zo dat Kaspersky zeer regelmatig ondersteuning voor nieuwere soorten archives/packers toevoegd, gewoon via de daily updates.

Mja, over de heuristics, ze wordt door de meeste experts toch als een van de allerbeste beschouwd.. De andere vendors die het misschien beter doen gebruiken trucjes, zoals de naam van de auteur meenemen in de signatures..

Ik heb even de dcom exploits laten scannen door een paar scanners.
We hebben 34 hostile files:

RAV: 8 infected, 10 suspicious
McAfee: 30 infected
CA: IT 16 infected, Vet 15
Bitdefender: 8 infected
Kaspersky: 34 infected

Hiervan zijn 4 files van autooter, die toch wel heel bekend is, die had ik eerst niet toegevoegd, dus als die niet was meegenomen zag het er wel heel erg donker uit voor Bitdefender..

Misschien snap je nu waarom ik me van die tests van die blaadjes niet zoveel aantrek.

Outpost 2 leek het code injecten van copycat gewoon toe te staan..
See for yourself

Ik krijg een bericht dat iTouch verbinding wil maken met internet, dus als je standaard niets altijd toestaat ben je veilig. Echter ik neem aan dat dit progje bij de browser dient te worden gebruikt, dan heb je gelijk.

Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.

Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).

Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou )...

Kan je me die 32 infected binaries in compressed formaat sturen

Ik neem aan dat je het over die dcom exploits hebt?
Het is 8,5 mb, ik heb geen mailserver die zulke grote berichten aankan..
Ik kan ze wel splitten, maar ik weet niet hoeveel jouw mailserver aankan, dus wil ik het wel sturen met tussenpozen, zodat niet de helft wordt gebounced.

Edit:

Heb je de sourcecode of beschrijving van deze exploit

Geen source en ik weet er eigenlijk niet echt meer vanaf dan dat hij z'n code injecteert . Ik weet wel dat dit van de maker van System Safety Monitor is, misschien heb je daar wat aan. Ik zal kijken of ik er zelf ook nog wat over kan vinden.

[ Voor 32% gewijzigd door Verwijderd op 20-08-2003 20:09 ]

Bij mij kan alles binnenkomen en word gelukkig niet gescanned.


Je kan filesplitter gebruiken voor Windows.

Verwijderd schreef op 20 August 2003 @ 20:09:
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.


Je kan filesplitter gebruiken voor Windows.

Je mailbox zal wel een max size hebben en ook een max size voor een enkel bericht..

Mag ik dan aannemen dat u de anonieme mailer was van zojuist?

Nee ik heb niks gestuurd en ik weet niks van een max size, ik neem aan dat ik al mn mail kan ontvangen op mn pop box.

Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.

Het lijkt me iig genoeg...

Ik heb een probleem met het W32.randex.E virus, norton heeft hem er uitgehaald incl. het nstask32 bestandje.
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).