Toon posts:

RPC crash/shutdown 'vraag bak' - deel 2

Pagina: 1 2 3 Laatste
Acties:
  • 4.131 views sinds 30-01-2008
  • Reageer

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
garak, dan kunnen ze toch gewoon die poorten standaard blocken - en op verzoek opengooien?

Acties:
  • 0 Henk 'm!

  • Apache
  • Registratie: Juli 2000
  • Laatst online: 01-10 21:00

Apache

amateur software devver

DJSmiley schreef op 15 augustus 2003 @ 23:36:
[...]


ff een telefoonmodempje erin, en met een paar min ben je de lul ;)

gewoon ff inbellen bij een andere provider
idd, probleem is dat ik zo'n ding niet meer heb liggen, m'n laptop heeft er wel een maar daar staat gentoo op :(

If it ain't broken it doesn't have enough features


Acties:
  • 0 Henk 'm!

  • Bierkameel
  • Registratie: December 2000
  • Niet online

Bierkameel

Alle proemn in n drek

Bah vandaag bijna 50's PC's gedaan met die klote worm :(

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Apache: Dan vul je toch bij Google die bestandsnamen in? Voor de rest:
Wat jij doet in je vrije tijd op je eigen PC is natuurlijk jouw zaak (zelfeducatie is altijd een goed iets ;)), maar dit forum is geen worm/virus/trojan of anderszins bestandenuitwisselbord. Als jij zo graag die worm wilt hebben kun je ook je PC als honingpot ongepatcht 2 minuten aan internet hangen (zolang deed ik er over om een testPC met 2 wormen [Blaster en Cirebot] besmet te krijgen).

[ Voor 80% gewijzigd door Verwijderd op 16-08-2003 00:15 ]


Acties:
  • 0 Henk 'm!

  • Fludizz
  • Registratie: Mei 2002
  • Niet online
Een vriend van mij heeft dit virus dus opgelopen, maar door de aanwezigheid van het virus krijg je de tijd niet om er iets aan te doen... :X computer start op en sluit meteen weer af... safemode idem... hoe moet ik dit nu oplossen? via bootdisk booten en dan handmatig zoeken welk bestand ik moet wissen? moet ik helaas wel NTFS4DOS hebben, maar die kost geld en de trial is readonly :(

Zeg niet reïnstall, want die gozer moet nog een backup maken van al zijn bestanden eerst...

Owjah, er is inmiddels weer een andere versie uit aangezien geen van de tot nog toe genoemde bestandsnamen te vinden waren op zijn PC (in de korte tijd die ik kreeg)

[ Voor 15% gewijzigd door Fludizz op 16-08-2003 03:22 ]


Acties:
  • 0 Henk 'm!

  • hufkes
  • Registratie: Maart 2000
  • Laatst online: 22-09 01:13

hufkes

nee, daar staat niet hufter!

shutdown -a al geprobeerd?

Onderstaande signature is al >20jr oud ***hoe dan***
---
Het internet is een veelbelovend medium
....dat maar heel weinig van zijn beloftes nakomt.
Wat weg is... raak je nooit meer kwijt :P


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Tijdelijke RPC-crashworkrounds
Mocht je moeite hebben om de RPC patch te downloaden (omdat RPC elke keer crasht): Start > Instellingen > Configuratiescherm > SysteemBeheer > Services (of start > uitvoeren en "services.msc" intoetsen). Daar Remote Procedure Call (RPC) opzoeken en eigenschappen opvragen. Bij het tabblad SysteemHerstel zitten 3 selectievakken voor 1e, 2e en volgende fouten: "Computer opnieuw opstarten". Zet deze alle 3 op "Service opnieuw starten". Op die manier kun je iig de update binnenhalen. Vergeet niet deze instellingen terug te zetten, het is namelijk geen goed idee om door te werken met een RPC-service die op zijn gat ligt.

Andere manier: Start > Uitvoeren: "shutdown /a" om tijdelijk het afsluiten tegen te gaan.
En zodra je alles binnenhebt wat je nodig hebt, de bak van internet aftrekken en de gehele patch/clean en check cyclus aflopen uit de startpost van dit topic...

Overigens kan de PC ook crashen zónder besmetting (RPC-bufferoverflow zonder worm of hardware, driver, software en operatingsysteem fouten -> Windows XP en 2000 BSOD guide)...

[ Voor 30% gewijzigd door Verwijderd op 16-08-2003 05:34 ]


Acties:
  • 0 Henk 'm!

  • regmaster
  • Registratie: Juli 2002
  • Niet online
[quote]garak schreef op 15 August 2003 @ 23:53:
Verwijderd schreef op 13 August 2003 @ 23:29:
paella: Niet allemaal onder de 1024 hoop ik voor je. Ik ben al blij als ze 135-139, 445 en 593 zouden blocken op ISP nivo. Die hebben wat mij betreft niks op internet te zoeken. Zie ook: http://www.securityfocus....5/2003-08-11/2003-08-17/0
quote]

Is juist heel irritant al die providers die 135 nu blokkeren enzo, probeer dan maar eens met Outlook Exchange te werken :|
Huh? Als jij Outlook kan gebruiken over de Windows poorten via het Internet dan vraag ik me af wat voor zooitje het op de Exchange server moet zijn waarnaar je connect.
Je bent als sys/netwerk admin toch wel een beetje van de pot gerukt als je dergelijk inkomend verkeer via het internet toestaat.
Nooit gehoord van IMAP zeker?

Acties:
  • 0 Henk 'm!

  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024
Microsoft heeft blijkbaar zijn voorzorgen genomen tegen de DoS-aanval van het Blaster-virus:
Windowsupdate.com goes AWOL

Microsoft takes precautions against Blaster, we suppose


By INQUIRER staff: vrijdag 15 augustus 2003, 15:53

A CLICK ON www.windowsupdate.com gives an invalid URL message when you click on it today, but that doesn't mean it's gone forever.
Microsoft said that the site had been subjected to a denial of service attack, according to Network World Fusion, but it wasn't anything to do with the Blaster worm or the power down in the US.

We thought initially that Microsoft had removed the page, which was accessible earlier this week, to avoid it being deluged by attacks launched courtesy of the Blaster worm that's made waves all week.

Apparently not.

If you click on the "Windows Update" button on the menu in Windows 2000 or Windows XP, the update page still comes up, but with a slightly different address.
Waarschijnlijk zal Windows Update dus niet platgaan.

Acties:
  • 0 Henk 'm!

  • GekkeR
  • Registratie: April 2000
  • Laatst online: 26-09 14:02

GekkeR

key = key

Kan iemand updaten nu via Windows Update ?

Telkens als ik updates aanklik en wil downloaden gebeurd er niks en geeft hij een fout melding aan (vervelend :( ).

[ pctje te zien hier ] - Miauw


Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 15 August 2003 @ 23:40:

Neelis: Met welke foutmelding loopt hij vast? Heb je al in de logfiles gekeken? Ook hier al gekeken: Windows XP en 2000 BSOD guide
Hij loopt niet vast met een melding het is gewoon zo dat mijn pc ineens blijft hangen, verder geen melding. Ik heb die patch van me pc gehaald, k neem aan dat m'n firewall hem wel tegenhoudt en hoop dat ik nu geen last meer heb van vastlopers.
Zijn er meer mensen die problemen hebben met de patch?

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Er zijn mensen die na het installeren van de patch de volgende problemen hebben:
  • niet kunnen deïnstalleren van de patch (schijnt samen te hangen met problemen van logging van geïnstalleerde hotfixes/SP's [%systemroot%\system32\catroot2] door de eerdere infectie / scandisk-errors ivm reboots)
  • opstart of afsluitproblemen (schijnt samen te hangen met netwerk-timeouts door de veranderde RPC DLL's)
En dan natuurlijk nog veel mensen die waarschijnlijk ook problemen hebben, maar nooit de logboeken (start > uitvoeren > eventvwr.msc) inzien of het aan de hogere temperaturen wijten.


http://windowsupdate.microsoft.com/ werkt hier gewoon hoor...
(a822.cd.akamai.net -> 62.4.69.1-255)

[ Voor 34% gewijzigd door Verwijderd op 16-08-2003 14:04 ]


Acties:
  • 0 Henk 'm!

  • Suepahfly
  • Registratie: Juni 2001
  • Laatst online: 17-09 17:05
Van Sygate UPD scan:
We have determined that you have a firewall blocking UDP ports!
Maar mijn firewall staat uit.
Dus ik ben veilig denk ik dan maar weer, bij alle andere tests stond ook overal blocked.

Acties:
  • 0 Henk 'm!

  • Max|Burn
  • Registratie: Augustus 2001
  • Laatst online: 03-10 06:47

Max|Burn

-- .. ... .--- .- .-.-.-

Wat IK nou raar vind, ik heb al bij 2 mensen op hun pc's de symptomen gehad(RPC), maar geen virus .exe's, geen regkeys, removal tool vind niks. Dus patch (en xp firewall aan)was genoeg. Is dit dan alleen van geinfecteerde pc's die bv mn pa zn pc scanden en onderuit haalden (in hetzelfde subnet)

[ Voor 8% gewijzigd door Max|Burn op 16-08-2003 14:12 ]

ma ma ma ma ma macron one


Acties:
  • 0 Henk 'm!

Verwijderd

ik heb die msblaster maandag gehad, toen ik mijn firewall voor 5 minuten uit had gezet en via xp remote assistance iets ging doen. Virus heb ik middels handmatig verwijderd, maar wat me nu wel opvalt is dat mijn pc opeens een stuk trager is geworden, en dat sommige processen opeens op 100% cpu zitten. Vooral MDM.exe (debugger ?? ). WEet iemand of dit er mee te maken kan hebben ?

PS, met die scan van sygate staat dat al mijn poorten blocked (stealthed) zijn behavle de UPnP. Deze staat op OPEN ?? Hoe zet ik deze dicht, en werkt mijn plug en play dan nog wel ?

[ Voor 20% gewijzigd door Verwijderd op 16-08-2003 14:28 ]


Acties:
  • 0 Henk 'm!

Verwijderd

ik heb die msblaster maandag gehad, toen ik mijn firewall voor 5 minuten uit had gezet en via xp remote assistance iets ging doen. Virus heb ik middels handmatig verwijderd, maar wat me nu wel opvalt is dat mijn pc opeens een stuk trager is geworden, en dat sommige processen opeens op 100% cpu zitten. Vooral MDM.exe (debugger ?? ). WEet iemand of dit er mee te maken kan hebben ?

PS, met die scan van sygate staat dat al mijn poorten blocked (stealthed) zijn behavle de UPnP. Deze staat op OPEN ?? Hoe zet ik deze dicht, en werkt mijn plug en play dan nog wel ? Het betreft overigens poort 5000.

[ Voor 8% gewijzigd door Verwijderd op 16-08-2003 14:34 ]


Acties:
  • 0 Henk 'm!

  • mmedia
  • Registratie: Januari 2002
  • Laatst online: 17-12-2021
http://windowsupdate.microsoft.com/ werkt prima hier. Alleen een probleem, net een clean install gedaan van Windows XP en daarbij gelijk SP1 geinstalleerd vanaf cdrom!

Nu wil ik natuurlijk ook nog de nieuwste patches draaien, dus naar http://windowsupdate.microsoft.com/

Ik selecteer maar liefst 27 critical patches druk op OK en dan laadt ie zo genaamd alle onderdelen heel snel na elkaar. Dan zie ik alle onderdelen in het rood met de foutmelding dat alle updates zijn mislukt...

iemand hier ook ervaring mee?

Acties:
  • 0 Henk 'm!

  • Rafe
  • Registratie: Mei 2002
  • Laatst online: 27-06 13:12
Jup, daar hebben meerdere mensen last van, zie ook [rml][ XP]Windows update werkt niet meer[/rml]

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
bones2: start > uitvoeren > services.msc en dan in je lijst van services: "Universele Plug en Play-apparaathost" op uitschakelen zetten. Dit is alleen voor als je een koelkast oid hebt die via internet wil kijken of de melk in de aanbieding is en bestellen etc (uPNP is NIET hetzelfde als PnP voor hardwareaansturing en stuurprogramma's). - Dit zorgt er oa voor dat je poort 1900/5000 niet meer luisterd(en dus gesloten is).

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 16 August 2003 @ 16:02:
bones2: start > uitvoeren > services.msc en dan in je lijst van services: "Universele Plug en Play-apparaathost" op uitschakelen zetten. Dit is alleen voor als je een koelkast oid hebt die via internet wil kijken of de melk in de aanbieding is en bestellen etc (uPNP is NIET hetzelfde als PnP voor hardwareaansturing en stuurprogramma's). - Dit zorgt er oa voor dat je poort 1900/5000 niet meer luisterd(en dus gesloten is).
Tnx man ! Nu kom ik wel 100 % door die scans. :)

Acties:
  • 0 Henk 'm!

  • jep
  • Registratie: November 2000
  • Laatst online: 18-09 15:23

jep

Mijn god, het gaat wel érg hard! Ik ben vandaag bezig geweest mijn linux doos in te stellen als een bridge die kan firewallen. Een soort transperante firewall, ideaal! Toen ik de commando's in aan het tikken was nam ik als einddoos mijn laptopje maar even. Bij het laatste commando kwam de bridge 'up', 1 of 2 seconden erna stond die blaster er al op. Kun je nagaan hoe hard dit over het internet blaast :o

Acties:
  • 0 Henk 'm!

Verwijderd

http://scan.sygatetech.com/udpscan.html geeft mij open:
DNS 53 OPEN

Hoe kan ik deze dicht krijgen?
Als ik dat doe kan ik dan niet meer het inet op met adressen ipv nummers??

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
DNS open, zou betekenen dat jij je eigen DNS server draait. Als dat niet zo is, kun je die dichttrekken met een firewall (en de onnodige service uitschakelen, zoals ik eerder in deze thread voorgedaan heb [maar dan met een andere service])

Acties:
  • 0 Henk 'm!

  • Exterminator
  • Registratie: Augustus 2003
  • Laatst online: 29-09 20:05
hmja is wel allemaal leuk en aardig, maar ik had gisteren rond 9uur geen internet verbinding meer (@home),zou dit door t virus komen??maar kheb t toch verwijdert.... of hadden daar nog meer mensen last van, en idd mijn computer start inderdaad langzamer op,nadat ik dat virus heb gehad,hoe kan je dit verhelpen??

Greetz

Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Kurvers: nadat het virus is verwijderd zou je pc niet langzamer mogen zijn dan vóór het virus. Is dat wel het geval, dan ligt het dus aan iets anders. Maar heb je al goed gecheckt of het virus wel écht weg is?

Overigens heb ik gisteren onbedoeld het experiment van euss herhaald. Ik was namelijk Win XP op een Pentium II 350Mhz (overgeklokt naar 400MHz :) ) aan het installeren. De patch had ik helaas niet op een floppy/cd staan, dus ik moest heel even het net op (<2minuutjes). Nog voordat ik aan het downloaden kon beginnnen was de pc al besmet....
Gelukkig wist ik inmiddels precies wat te doen, dus MSBLAST was er snel weer af. Maar toch.... best irritant :|

[ Voor 3% gewijzigd door Tweeke op 17-08-2003 12:19 ]

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

Verwijderd

Afbeeldingslocatie: http://picserver.student.utwente.nl/getpicture.php?id=267327&size=384
Virusscanner wordt auto gekilled en wormscanproggie vind niks?

Afbeeldingslocatie: http://picserver.student.utwente.nl/getpicture.php?id=267328&size=384
updaten hij niet?

ohoh!

Gister was ik wormpie vrij en gepatched. Nu start ik op en heb ik dit!!!

edit:
FP zegt shutdown /a maar het is toch shutdown -a

Mmm nu gerestart en krijg ik een PAGE_FAULT_IN_NONPAGE_AREA bluescreen
Weer gerestart serious error gezeur, daarna nog een keer gepatched en is goed gegaan. Stinger en Kaspersky ClearAV geven schoon systeem. Norton runt weer. Housecall ben ik nu aan het runnen/testen.

Security log router/firewall
08/17/2003 14:15:34 **SYN Flood to Host** 192.168.2.102, 1167->> 213.239.154.35, 80

Van mijn lokale naar iemands anders?????

Snap er niks van hoe mijn geupdate/gepatchde systeem in een keer besmet kan zijn en blijkbaar gelijk ook al verzend?

Iemand?

edit2:
WTF 213.239.154.35 = tweakers.net

[ Voor 44% gewijzigd door Verwijderd op 17-08-2003 14:37 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Het is natuurlijk niet het enigste virus of gaatje in Windows wat gepatcht moet worden. Ik kan zo niet beoordelen of dit LoveSAN is - imo niet.

Over die update-error: je zou de catalogus kunnen renamen zodat hij opnieuw gestructureerd wordt aangemaakt. -> Verwijderd in "RPC crash/shutdown 'vraag bak' - deel 2"

*SYN Flood to host* - kán ook een te strak afgestelde firewall zijn - bijvoorbeeld >50 Syn pakketjes en je firewall zegt dat het een flood is (en omdat de firewall té dicht staat komen de Ack pakketjes niet aan waardoor er nóg meer Syn's verzonden worden).. [IP is inderdaad: acidalia.tweakers.net en is geen Windowsbak die jouw PC van LoveSAN kan voorzien] Mijn advies is om eens goed naar de firewallregels te kijken of die niet té strak staan (en de onnodige services uit te zetten, zoals FTP, LDAP etc die je niet gebruikt) - én even die bak offline te trekken en te scannen met een fullversion virusscanner.

[ Voor 36% gewijzigd door Verwijderd op 17-08-2003 16:43 ]


Acties:
  • 0 Henk 'm!

  • Fludizz
  • Registratie: Mei 2002
  • Niet online
Ik kwam dit topic net tegen... helaas is het weggemod en gesloten zodat ik niet weet of het programma'tje gaat werken of niet... Ik heb hem dus wel, maar gebruiken doe ik pas als het zeker is dat het safe is...
(als ik nu niet via Knoppix zat zou ik Virtual PC starten en ff windows bakje ervoor openen, maarja HDD naar de RMA)

Ik ga in ieder geval proberen of ik morgenavond de pc van die vriend van me kan desinfecteren op een of andere manier..

[ Voor 15% gewijzigd door Fludizz op 17-08-2003 22:10 ]


Acties:
  • 0 Henk 'm!

  • Exterminator
  • Registratie: Augustus 2003
  • Laatst online: 29-09 20:05
Tweeke schreef op 17 August 2003 @ 12:16:
Kurvers: nadat het virus is verwijderd zou je pc niet langzamer mogen zijn dan vóór het virus. Is dat wel het geval, dan ligt het dus aan iets anders. Maar heb je al goed gecheckt of het virus wel écht weg is?
ik heb t virus verwijdert door middel van die fixblast tool, van symantec, dus ik neem aan dat t weg is??

Greetz

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Fludizz: je kan het ook doen door een batchfile in je Geplande taken te zetten:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
@echo off
rem DCOM RPC service vulnerabilty Worm/Trojan Removal Tool
rem made in a hurry by euss @ GoT
rem currently removes:
rem - W32.LoveSAN/Blaster Worm A/B/C/D
rem - W32.Randex.E Trojan
rem - Exploit.Win32.DCom
rem - Worm.Win32.Autorooter/Backdoor.IRC.Cirebot
rem - W32.Welchia.Worm

@TASKKILL /S systeem /F /IM MSBLAST.EXE /T > NUL
@TASKKILL /S systeem /F /IM TEEKIDS.EXE /T > NUL
@TASKKILL /S systeem /F /IM ROOT32.EXE /T > NUL
@TASKKILL /S systeem /F /IM PENIS32.EXE /T > NUL
@TASKKILL /S systeem /F /IM NSTASK32.EXE /T > NUL
@TASKKILL /S systeem /F /IM WINLOGIN.EXE /T > NUL
@TASKKILL /S systeem /F /IM RPC.EXE /T > NUL
@TASKKILL /S systeem /F /IM TFTPD.EXE /T > NUL
@TASKKILL /S systeem /F /IM RPCTEST.EXE /T > NUL
@TASKKILL /S systeem /F /IM LOLX.EXE /T > NUL
@TASKKILL /S systeem /F /IM DCOMX.EXE /T > NUL
@TASKKILL /S systeem /F /IM MSPATCH.EXE /T > NUL
@TASKKILL /S systeem /F /IM Dllhost.exe /T > NUL

@attrib %WINDIR%\System32\MSBLAST.EXE -r -s -h -a > NUL
@attrib %WINDIR%\System32\TEEKIDS.EXE -r -s -h -a > NUL
@attrib %WINDIR%\System32\ROOT32.EXE -r -s -h -a > NUL
@attrib %WINDIR%\System32\PENIS32.EXE -r -s -h -a > NUL
@attrib %WINDIR%\System32\RPC.EXE -r -s -h -a > NUL
@attrib %WINDIR%\System32\TFTPD.EXEE -r -s -h -a > NUL
@attrib %WINDIR%\System32\RPCTEST.EXE -r -s -h -a > NUL
@attrib %WINDIR%\System32\LOLX.EXE -r -s -h -a > NUL
@attrib %WINDIR%\System32\DCOMX.EXE -r -s -h -a > NUL
@attrib C:\RPC.EXE -r -s -h -a > NUL
@attrib C:\TFTPD.EXEE -r -s -h -a > NUL
@attrib C:\RPCTEST.EXE -r -s -h -a > NUL
@attrib C:\LOLX.EXE -r -s -h -a > NUL
@attrib C:\DCOMX.EXE -r -s -h -a > NUL
@attrib %System%\nstask32.exe -r -s -h -a > NUL
@attrib %System%\winlogin.exe -r -s -h -a > NUL
@attrib %System%\win32sockdrv.dll -r -s -h -a > NUL
@attrib %System%\yuetyutr.dll -r -s -h -a > NUL
@attrib %System%\MSPATCH.EXE -r -s -h -a > NUL
@attrib %System%\Wins\Dllhost.exe -r -s -h -a > NUL
@attrib %System%\Wins\Svchost.exe -r -s -h -a > NUL

@del %WINDIR%\System32\MSBLAST.EXE > NUL
@del %WINDIR%\System32\TEEKIDS.EXE > NUL
@del %WINDIR%\System32\ROOT32.EXE > NUL
@del %WINDIR%\System32\PENIS32.EXE > NUL
@del %WINDIR%\System32\RPC.EXE > NUL
@del %WINDIR%\System32\TFTPD.EXE > NUL
@del %WINDIR%\System32\RPCTEST.EXE > NUL
@del %WINDIR%\System32\LOLX.EXE > NUL
@del %WINDIR%\System32\DCOMX.EXE > NUL
@del C:\RPC.EXE > NUL
@del C:\TFTPD.EXE > NUL
@del C:\RPCTEST.EXE > NUL
@del C:\LOLX.EXE > NUL
@del C:\DCOMX.EXE > NUL
@del %System%\nstask32.exe > NUL
@del %System%\winlogin.exe > NUL
@del %System%\win32sockdrv.dll > NUL
@del %System%\yuetyutr.dll > NUL
@del %System%\MSPATCH.EXE > NUL
@del %System%\Wins\Dllhost.exe > NUL
@del %System%\Wins\Svchost.exe > NUL


Kurvers: anders test je het met de andere removaltools of met een volledige virusscanner.

[ Voor 20% gewijzigd door Verwijderd op 18-08-2003 20:53 ]


Acties:
  • 0 Henk 'm!

  • Fludizz
  • Registratie: Mei 2002
  • Niet online
Verwijderd schreef op 18 August 2003 @ 00:42:
Fludizz: je kan het ook doen door een batchfile in je Geplande taken te zetten:
code:
1
[..batchfile..]

[..]
Ik ben zelf niet geheel blij met het idee om winlogon.exe te wissen... Maargoed, ik geloof je op je woord...
zullen we het er maar op houden dat het laat is... winlogin... niet winlogon

[ Voor 14% gewijzigd door Fludizz op 18-08-2003 02:43 . Reden: thnx poster onder mij ]


Acties:
  • 0 Henk 'm!

Verwijderd

Fludizz schreef op 18 augustus 2003 @ 02:27:
[...]

Ik ben zelf niet geheel blij met het idee om winlogon.exe te wissen... Maargoed, ik geloof je op je woord...
winlogin != winlogon

Heb trouwens vanavond een paar AVs getest op detectie van de exploit tools..
Niet echt iets om heel vrolijk van te worden, maar moet morgen nog eens kijken dat ik ze even alle tools verzamel die betrekking hebben op deze exploit en dan nog eens testen.
RAV/CA/F-Prot/Trend kunnen het theoretisch al niet meer goedmaken zo 'goed' deden ze het.

(verwachte) testresultaten: Kaspersky een kleine voorsprong op McAfee, een gat met niets, nog meer niets, RAV/CA, F-Prot/Trend.

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
idd, winlogin != winlogon
(De laatste: 519.168 bytes / v5.1.2600.1106 / Toepassing Windows NT-aanmelding)

dezelfde leesfout waar jij voor valt is de truuk die de trojan gebruikt om ongestoord in je systeemmap te "nestelen".

Maar dat is het voordeel van een batchfile boven een door 3e geschreven gecompileerd programma: je kan zelf controleren wat het doet/de bedoeling is. ;)

[ Voor 26% gewijzigd door Verwijderd op 18-08-2003 07:41 ]


Acties:
  • 0 Henk 'm!

  • Exterminator
  • Registratie: Augustus 2003
  • Laatst online: 29-09 20:05
hmz,
kheb net nog us gescant met het programmatje van mcafee (stinger)
en dit is wat mijn report filetje zegt:

C:\WINDOWS\System32\win32sockdrv.dll

Found the Exploit-DcomRpc trojan !!!

C:\WINDOWS\System32\win32sockdrv.dll could not be repaired.

C:\WINDOWS\system32\nstask32.exe\nstask32.exe\00003460.EXE

Found the Exploit-DcomRpc trojan !!!

C:\WINDOWS\system32\win32sockdrv.dll

Found the Exploit-DcomRpc trojan !!!

C:\WINDOWS\system32\win32sockdrv.dll could not be repaired.

Number of clean files: 73537

Number of Trojans: 3


Enig id wat deze files doen???
en ik neem aan dat hij die ntask wel heeft kunnen repareren??

Greetz

Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Kurvers: dat lijkt me duidelijk. 3 trojans aanwezig op je systeem....dan is het dus nog niet afdoende beveiligd. Om je pc (praktisch) waterdicht te beveiligen moet je het stappenplan van euss volgen (de topicstart dus) en bovendien je firewall optimaal configureren. Zó, dat er absoluut géén poorten meer open staan, dus closed, maar het liefst nog op stealthed/blocked.

Ook je virusscanner en firewall up to date houden en geen gebruik maken van Windows services als virtual desktop enzo.

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Oké, er is dus wéér een nieuwe variant: W32/Lovsan.worn.D. Te herkennen aan de filename: MSPATCH.EXE

Meer info: http://vil.nai.com/vil/content/v_100557.htm

Virussen? Scan ze hier!


Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Er is niets verandert, behalve het naampje.....dus echt scriptkiddie werk. Gewoon de worm gereproduceerd met een naam die even voor wat verwarring moet zorgen. Het wachten is eigenlijk op de slimmere wormen die zich veel sneller kunnen verspreiden (MSblast is relatief traag) en bovendien echte schade doen.
De varianten op Blaster die we tot nu toe gezien hebben waren niet gevaarlijker dan het origineel.

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

Verwijderd

Ok, omdat mijn topic werd gesloten, werd mij aangeraden dit hier neer te zetten.
Moth7, demon, en ik hebben een eigen removal tool gemaakt, wat behoorlijk wat sneller is dan die van bijvoorbeeld symantec.
Het gaat mij hier eigenlijk vooral om de feedback op het programma.
Het is open source, maar we betwijfelen of we een plekje krijgen op sourceforge.
Hier is de sourecode.
En hier is het programma met de readme.
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof :D

Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Verwijderd schreef op 18 August 2003 @ 14:29:
Ons eerste doel was om het programma te verspreiden zoals het virus verspreid was (en dus bij iedereen gedwongen het virus verwijderen) maar dit is niet voor de 16e gelukt.
Ik hoop op opbouwende kritiek en of lof :D
Van mijn kant krijg je (opbouwende) kritiek. Mensen gedwongen een patch opdringen, die nota bene hetzelfde lek benut als de worm zelf is ronduit ongepast. Mijns inziens is het niet goed te praten -ook al is het vanuit het oogpunt mensen te helpen- dat je op zo'n manier inbreuk maakt op de privacy. In feite zou het namelijk net zo goed spyware kunnen zijn, die je gebruik laat maken van de RPC-exploit.
Ik heb ook zo het vermoeden dat zowel de mensen die jij met het progje probeert te helpen als Microsoft, niet blij zijn met een removal tool die van het lek gebruikt maakt. Dus is het misschien maar goed ook dat je het niet op die manier hebt verspreid.

Overigens vind ik het initiatief om een removal-tool te maken zeker bewonderswaardig :) Al zou ik mensen die last hebben van de worm toch aanraden om de (volgens jou langzamere) removal tool van Norton, Bitdefender of andere bekende virusbestrijders te gebruiken. Dat geeft meer zekerheid op een goede afloop, al hoeft zo'n progje helemaal niet beter te zijn dan die van jou :)


Hmm....ik moet wat wat meer tekst in 1 post stoppen, excusez moi.

Ik zou eerder een bekende removal tool aanraden omdat de eventuele bugs daar sneller ontdekt en verholpen worden. Maar belangrijker nog, verplaats je eens in de positie van een n00b die besmet is met Blaster: Het laatste wat je dan nog wil is malafide progjes op je pc, men wordt nu eenmaal heel huiverig na besmetting met een virus. Het gaat mij niet lukken om dan iemand een 'heel goed' progje van een 'mede-tweaker' te laten gebruiken.

Ik gruw er net als jij ook enorm van als het alleen maar gaat om het feit dat Norton en Mcafee groot en bekend zijn: Een n00b weet helaas niet anders en ik heb het opgegeven om eerst een half uur te besteden aan het 'omlullen' van mensen.

Daarentegen, als ik zelf de worm moet verwijderen in de toekomst zal ik zeker aan jouw removal tool denken. Ik ga hem vandaag of morgen ook even testen op een vulnerable systeem :)'

EDIT: just tested. Werkt perfect en snel. Mijn complimenten. Overigens komt een deel van mijn kritiek meteen te vervallen, want het progje en de readme file zien er vertrouwenswekkend uit! :)
Een tip: rename het zipje ook even naar blastshield.zip i.p.v. blast.zip. Nu lijkt het namelijk net alsof je msblast in zip-verpakking krijgt aangeboden :P

[ Voor 37% gewijzigd door Tweeke op 18-08-2003 15:23 ]

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

Verwijderd

Zoals je zelf al zegt, gelukkig hebben we dit niet gedaan. :)
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf". :(
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg? :p

ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter ;)

edit= kijk, ik hoor andere dingen als je eenmaal het progie hebt uitgeprobeerd ;)
Ik zal het zo renamen, zat er al over na te denken na 10 keer de vraag "is dat een shield of het virus.." :P
Ik heb eigenlijk qua n00bs meer het gevoel dat ze alles van je aannemen zolang het maar snel en makkelijk verwijderd word, vandaar de simpele en snelle opzet van het programma.

[ Voor 52% gewijzigd door Verwijderd op 18-08-2003 17:16 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Kurvers: Alle files die jij daar noemt zijn trojans/exploits zoals ook in mijn reactie iets boven de jouwe staan in de batchfile. Gewoon deleten (eventueel in veilige modus / Dos) - voor de rest: gebruik de patch + removaltools uit de topicstart.

wildhagen: info toegevoegd aan topicstart en Batchfile aangepast. Bedankt voor het melden ;)

[ Voor 54% gewijzigd door Verwijderd op 18-08-2003 19:34 ]


Acties:
  • 0 Henk 'm!

  • tatata
  • Registratie: September 2002
  • Laatst online: 25-09 08:27
Verwijderd schreef op 18 augustus 2003 @ 14:58:
Zoals je zelf al zegt, gelukkig hebben we dit niet gedaan. :)
En hoezo zou het meer zekerheid geven als je die van norton of symantec gebruikt?
Ik hoop hierbij toch niet op het argument "het is een groot bedrijf". :(
Dus je zegt dat het programma niet beter hoeft te zijn, maar toch kun je beter voor die van norton of symantec kiezen? DAt is IMHO nogal vaag...
Meer uitleg? :p

ow, en met feedback bedoelde ik in de eerste plaats op het progie, niet op het idee erachter ;)
_/-\o_

Zeeeeeeeeeeer snel!

Acties:
  • 0 Henk 'm!

Verwijderd

@ Kurvers

Lijkt erop dat je niet door een lovesan variant bent besmet maar met wat anders.
Dat betekent dus hoogstwaarschijnlijk dat iemand op je pc heeft lopen snuffelen, daarom raad ik je aan een full scan te doen met Kaspersky en McAfee.

Bescherming tegen de rpc exploit doet niet echt veel tegen een (injected) backdoor..

Acties:
  • 0 Henk 'm!

Verwijderd

Hmm, Trend en Symantec hebben nu ook een lovsan.d, maar met andere filename, zij hebben het over dllhost.exe...

Hebben r3mc0 en co zich bedacht?
Initial analysis has determined that the worm looks for the existence of Msblast.exe, dropped by the W32.Blaster.Worm, and deletes it if present.

The worm also attempts to download the DCOM RPC vulnerability patch from Microsoft's update site. If the update has been successful, the worm will reboot the computer so the update takes effect.
Symantec:W32.Welchia.Worm
Trend:WORM_MSBLAST.D

Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Verwijderd schreef op 18 August 2003 @ 17:51:
Hmm, Trend en Symantec hebben nu ook een lovsan.d, maar met andere filename, zij hebben het over dllhost.exe...
Hebben r3mc0 en co zich bedacht?
Ben ik ook wel benieuwd naar ja. Maar goed, zij zullen vast niet de enigen zijn die bedacht hebben om blaster te bestrijden via de RPC-exploit...

Het zou natuurlijk goed kunnen dat er 'per ongeluk' een kopietje van de worm van r3mc0 over het internet is gevlogen. Of niet helemaal per ongeluk, maar 'for testing purposes'. Maar laten we daarvoor even de reactie van r3mc0 afwachten :)

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

Verwijderd

:o wtf
Het probleem bij het verspreiden lag bij ons bij de spreader, die konden wij niet programmeren en daarom hebben we dat dus ook niet gedaan.
Daarnaast zit er in ons programmaatje geen automatische update functie, wel een functie die de update link aan de favorieten toevoegd.
Het zou natuurlijk zeer goed kunnen dat iemand anders het wel is gelukt om de spreader te coden, er een update funtie bij heeft gezet, en heeft verstuurd.
Maar hiervoor wil ik eerst naar de code kijken, om te zien of het overeenkomt (en om te zien wat ons niet is gelukt om te coden :? )

Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Als ik het zo hoor is het dus zeker niet r3mc0 geweest.

Maar toch nog even een vraagje aan allen: als je de nieuwe variant op je pc hebt (de anti-MSblast worm dus), zou je dan even naar de source code kunnen kijken? Wellicht is de source code van r3mc0 en co wel gebruikt :? :|

EDIT: sorry voor het herhalen wat r3mc0 eigenlijk ook al typte 8)7

[ Voor 12% gewijzigd door Tweeke op 18-08-2003 20:39 ]

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

Verwijderd

Aangezien ik weiger om in het andere topic te reageren, wat imo wel dicht zal gaan...

De worm die pc's wil fixen blijft tot 1 januari 2004 op de pc staan, dat houdt dus in dat tot die tijd, er constant wordt gescand naar andere pc's, of dat nou zo handig is..

Acties:
  • 0 Henk 'm!

Verwijderd

hmm, ik krijg 404's bij die links, is er een goede link ? ;)
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen 8)7

edit= godzijdank is die ander dicht, vond het al oneerlijk worden ;)

[ Voor 16% gewijzigd door Verwijderd op 18-08-2003 21:05 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 18 August 2003 @ 20:58:
hmm, ik krijg 404's bij die links, is er een goede link ? ;)
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen 8)7

edit= godzijdank is die ander dicht, vond het al oneerlijk worden ;)
Dus jouw "virus" blijft voor altijd op je pc en blijft maar scannen? Over bandbreedte verspillen gesproken 8)7

[ Voor 4% gewijzigd door Verwijderd op 18-08-2003 21:06 ]


Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Verwijderd schreef op 18 augustus 2003 @ 20:58:
hmm, ik krijg 404's bij die links, is er een goede link ? ;)
wij hebben er wel ingezet dat ie scant naar andere pc's, maar niet met een explicite datum.
Maar wij hebben ook niet er ingezet dat ie zichzelf moet verwijderen 8)7

edit= godzijdank is die ander dicht, vond het al oneerlijk worden ;)
Maar wie zegt dat het jouw sourcecode is (maar dan aangepast)? Wie weet is er iemand die hetzelfde idee had?

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

Verwijderd

Nee, hij scant een keer, and that is it. Maar we hebben em in 1 avond/nacht gemaakt, dus zon detail hebben we over het hoofd gezien, misschien dat het in v0.7 komt.

Ik zeg niet dat het mijn sourcecode MOET zijn, maar het zou kunnen, daarom wil ik ook de source zien, want je weet maar nooit ;)

Acties:
  • 0 Henk 'm!

  • [Jules]
  • Registratie: Maart 2000
  • Laatst online: 12:57

[Jules]

Confusion in confusion

LOL!
Check deze dan: http://securityresponse.s...ata/w32.welchia.worm.html

Oftewel de blaster-cleaner-worm 8)7

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.


Acties:
  • 0 Henk 'm!

  • k-oz
  • Registratie: Oktober 1999
  • Laatst online: 29-12-2021

k-oz

do not feed the trolls

mogelijk bewerkt door microsoft 'personeel' ?

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""


Acties:
  • 0 Henk 'm!

Verwijderd

We hebben hier een rare situatie. We draaien Norton Corporate Antivirus op alle PC's. Vorige week begon de ellende. Norton zag in de file TFTP338 (C:\WINT\SYSTEM32) de worm W32.Blaster.Worm. Norton heeft deze file in quarataine gezet. Daarna hebben we FixBlast gebruikt om de Worm te verwijderen. FixBlast geeft verder geen melding dat hij het virus/worm heeft gevonden. Daarna patch erover gedraaid. Nu krijgen we elke ochtend bij het aanloggen toch de melding dat hij de W32.Blaster.Worm heeft gevonden in TFTP338. Nu laat hij het bestand met rust. Als ik handmatig een scan maak, vind tie ook niks. Evenals FixBlast.
Dus hoe krijgen we dit eruit??

Acties:
  • 0 Henk 'm!

  • k-oz
  • Registratie: Oktober 1999
  • Laatst online: 29-12-2021

k-oz

do not feed the trolls

je kunt het bestand niet verwijderen?

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""


Acties:
  • 0 Henk 'm!

Verwijderd

k-oz schreef op 19 augustus 2003 @ 12:24:
je kunt het bestand niet verwijderen?
Ik weet niet precies wat het doet. Ik kan niks op Google vinden hierover. Trouwens op andere PC heet de file weer TFTP1096 en bij weer een ander TFTP316. Erg vaag. Iemand?

[ Voor 17% gewijzigd door Verwijderd op 19-08-2003 12:44 ]


Acties:
  • 0 Henk 'm!

  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 03-10 18:03
Verwijderd schreef op 19 August 2003 @ 12:39:
[...]


Ik weet niet precies wat het doet. Ik kan niks op Google vinden hierover. Trouwens op andere PC heet de file weer TFTP1096 en bij weer een ander TFTP316. Erg vaag. Iemand?
lijkt me eerder dat er via tftp geprobeerd is een file te downloaden. Mogelijk zelfs via een andere bug, je zag die meldingen ook bij de IIS Unicode exploit.

Update je bak volledig, gooi de besmette files weg, en kijk dan nog eens.

Acties:
  • 0 Henk 'm!

  • k-oz
  • Registratie: Oktober 1999
  • Laatst online: 29-12-2021

k-oz

do not feed the trolls

dat bestand moet je gewoon verwijderen.

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""


Acties:
  • 0 Henk 'm!

  • Tripp
  • Registratie: Januari 2000
  • Laatst online: 16-03-2024

Tripp

Wreah

voor geinteresseerden de sourcecode van de worm :).

klik

het is natuurlijk niet de bedoeling dat jij zelf ff het scriptkiddie gaat spelen 8)7

specs


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Dat is geen sourcecode, maar een disassambly van de EXE (de worm is oorspronkelijk nl. geschreven in C en gecompileerd met LCC 1.x). Bovendien missen de 2 replication routines: spreadworm() en payload(), en kun je van deze code dus geen bruikbaare compilatie maken (gelukkig maar, want wormen [source+compiled] publiceren is illegaal -> ongewenste load/binnendringing, draait zonder toestemming en benodigd opruiming -> Art. 138a Wet Computercriminaliteit).

Overigens is het niet de eerste keer dat er wormen zijn die andere wormen/exploits bestrijden:
- AntiADM (5/1998) [Max Vision]
- Millenium (8/1999) [Mixter]
- Cheese (5/2001) [onbekend]
- Code Green (9/2001) [Der HexXer]
- CRClean (9/2001) [Markus Kem]
- ...etc...

[ Voor 54% gewijzigd door Verwijderd op 19-08-2003 19:46 ]


Acties:
  • 0 Henk 'm!

  • InSPiRE
  • Registratie: Oktober 2000
  • Laatst online: 14-09 20:04
Toen ik gisteren voor het eerst hoorde over w32.welchia.worm vond ik het wel humor, het enige wat ik toen over het hoofd gelezen heb is dat de worm nogal wat dataverkeer genereerd. Daar ben ik vandaag op mijn werk wel achtergekomen toen ons netwerk op bepaalde delen dichtslipte en we af en toe connectie verloren met de buitenwereld! Ik hoop dat de "hype" nu een beetje voorbij is en dat we die virustroep gehad hebben. :(

Acties:
  • 0 Henk 'm!

  • Robthebest
  • Registratie: Januari 2002
  • Laatst online: 01-10 17:36
Grappig, in de openings post staat dat w32.welchia.worm het voor je oplost, echter op rtlz staat iets verhullends nl. dat het vertrouwlijke informatie zou stelen

http://www.rtlz.nl/(/fina...obig_zeer_zwaar_virus.xml

EDIT de gehele link selecteren ander werkt het niet. www.rtlz.nl kan ook en dan staat er in het beging al iets over het virus

[ Voor 20% gewijzigd door Robthebest op 19-08-2003 19:10 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Sobig != Welchia

Daarnaast beweert rtlz dat lovesan e-mails verstuurt...

maw: haal je info van security sites, dan weet je bijna zeker dat het klopt.

/me die zelfs de vendors er af en toe op betrapt foutjes te maken in hun write-ups..

Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Hmm...rtlz lult maar raak...
Sinds vandaag razen twee zeer agressieve email-virussen rond de wereld. De virussen, W32.Sobig.F en W32.Welchia.Worm, stelen vertrouwelijke informatie van computers.
Verderop hebben ze het eigenlijk alleen maar over sobig: welchia wordt niet meer genoemd na de gewraakte kwoot.

Overigens is het paniek-verhaaltje te verklaren uit het volgende:
Om een voorbeeld te geven van de impact van het virus: alle 800 medewerkers van HMG/RTL konden dinsdagmiddag enige tijd niet mailen, omdat het gehele mailsysteem uit de lucht moest worden gehaald.
Tja, als het dicht bij huis komt, dan wordt het wel heel eng.... :)

[ Voor 10% gewijzigd door Tweeke op 19-08-2003 19:31 ]

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
De virussen, W32.Sobig.F en W32.Welchia.Worm, stelen vertrouwelijke informatie van computers.
De W32.Welchia.Worm steelt imo geen vertrouwelijke informatie en zet geen trojans op het systeem. Het is een zogezegde "white worm" die als nadelen heeft dat hij illegale acces neemt, hogere load en bandwidth gebruikt en zichzelf niet gelijk verwijderd na patching pas in 2004). Bovendien is het een beetje lastig om automatisch gepatcht te worden zonder dat er een backup is gemaakt...

Wat betreft W32.Sobig.F, die heeft zijn eigen topic: [rml][ VIRUS/WORM] Sobig.F[/rml]

Tweeke: een Tweaker is niet noodzakelijkerwijs overal expert in ;)
over je edit: dat is ook weer zo :)

[ Voor 50% gewijzigd door Verwijderd op 19-08-2003 19:58 ]


Acties:
  • 0 Henk 'm!

  • Tweeke
  • Registratie: November 2002
  • Niet online
Verwijderd schreef op 19 August 2003 @ 19:31:
[...]
De W32.Welchia.Worm steelt imo geen vertrouwelijke informatie en zet geen trojans op het systeem. Het is een zogezegde "white worm" die als nadelen heeft dat hij illegale acces neemt, hogere load en bandwidth gebruikt en zichzelf niet gelijk verwijderd na patching pas in 2004). Bovendien is het een beetje lastig om automatisch gepatcht te worden zonder dat er een backup is gemaakt...

Wat betreft W32.Sobig.F, die heeft zijn eigen topic: [rml][ VIRUS/WORM] Sobig.F[/rml]
Ik kwoot rtlz alleen om te laten zien hóe fout de info is die ze geven....ze lullen maar wat raak. De tweakers hier hoef je daar echt niet van te overtuigen hoor :P

Euss: Ja, maar ze kunnen wel heel makkelijk even naar trendmicro/f-secure/symantec surfen voor betrouwbare informatie om te verifieren of het geblaat van RTLZ enige waarheidszin heeft Een gemiddelde tweaker heeft ook een grotere interesse in het wel en wee van het internet :)

[ Voor 19% gewijzigd door Tweeke op 19-08-2003 19:56 ]

The fact that a believer is happier than a skeptic is no more to the point than the fact that a drunken man is happier than a sober one. George B. Shaw


Acties:
  • 0 Henk 'm!

  • Tripp
  • Registratie: Januari 2000
  • Laatst online: 16-03-2024

Tripp

Wreah

naja ik had het zelf niet echt doorgekeken :P. Maar je kan met beetje kennis hem zo weer compilen denk ik zo :P.

specs


Acties:
  • 0 Henk 'm!

  • spider
  • Registratie: Juli 2001
  • Laatst online: 31-12-2023
Volgens mij hadden wij deze laatste, wij zitten in een groot netwerk 4 landen. Om 11 uur kreeg heel frankrijk een svhost error (echt iedereen, 2000 pc) een halfuur later waren wij aan de beurt (600pc) en om 2 uur was engeland aan de beurt. Het vreemde was dat die svhost error echt bij iedereen tegelijk kwam. Wij hebben 8 vestigingen en we hadden ze alle 8 aan de lijn. Big panick. Gelukkig, snel die update gedistrubeerd via loginscript en nu alles veilig. Maar wat ik me nu afvraag was het blast, of was het weilchia. Ik denk die laatste, want ik las op symantec, dat hij een icmp broadcast uitbruld terwijl blast elk ip adres apart aanvalt. Heeft iemand ervaring.

"Is your mother proud of you ?"


Acties:
  • 0 Henk 'm!

Verwijderd

mwah, aan die "sourcecode" heb ik niets omdat daar al staat dat spreadworm() er niet bij staat, en daar ging het mij om :)
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C :)
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets? ;)

Acties:
  • 0 Henk 'm!

  • spider
  • Registratie: Juli 2001
  • Laatst online: 31-12-2023
Ja communicatie van parijs was niet een van de sterkste punten, maar is begrijpelijk, als net heel je netwerk uitvalt. Dan zit je nog in de ontdekkende fase. Maar heeft iemand dit al gehad.

"Is your mother proud of you ?"


Acties:
  • 0 Henk 'm!

  • Reut
  • Registratie: September 2001
  • Laatst online: 24-09 15:10

Reut

Tjoepie, nu met schroefdoppie

Hiero alle verschijnselen. Excel etc werkt(e) niet meer.
Printer monitor doet het (nog steeds) niet meer..

Met de removers niet aangetroffen. Alleen die dllhost.exe..

Ik heb ook gezocht met de 'hand' echter, niets gevonden.

Wat kan ik nog meer doen?

Boom......Boom......Boom......Boom......Boom......booooooooooom


Acties:
  • 0 Henk 'm!

  • spider
  • Registratie: Juli 2001
  • Laatst online: 31-12-2023
Had ik ook, excel die klapte. kan niet meer copy paste, en svhost. Die patch tegen de blast worm helpt. Zag later op omgepaste pc's dat ze nog steeds werden aangevallen

"Is your mother proud of you ?"


Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
spider: Dat is correct. De Welchia.worm gaat via ICMP pings op zoek naar nieuwe slachtoffers. Blast/LovSAN doet dat middels poort 135 scans per blokken van 20 IP's.

Reut: de Batchfile al geprobeert in veilige modus? Systeem sowieso patchen en kijken welke taken allemaal draaien (en in je registry onder \run staat)

[ Voor 13% gewijzigd door Verwijderd op 19-08-2003 22:35 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Let op

Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.

Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.

Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Cybarite: Klinkt als Welchia, maar Blaster/LovSAN kan ook veroorzaker zijn van Svchost errors (meestal W2K systemen). Gewoon een fullversion scanner geupdate over je systeem halen (bijv. KAV).

Controleer gelijk welke processen er allemaal in de achtergrond draaien: CTRL-Shift-Esc (WinXP) / CTRL-ALT-Delete

TFTP.EXE mag je wat mij betreft deleten (of jij moet een gegronde reden hebben: tftp wordt gebruikt als mini [tiny!] ftp-servertje en is een geldig Windows bestand)...

Sockspy.dll is sowieso geen Windows Systeemfile - en mag je ook deleten.

[ Voor 186% gewijzigd door Verwijderd op 20-08-2003 01:15 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 19 August 2003 @ 23:40:
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.
Scan je systeem met Kaspersky, of eventueel McAfee.

Deze twee zijn veruit superieur aan de rest als het over de dcom exploit tools gaat..(Kaspersky nog ietsje beter dan McAfee)

(Mocht je er voor kiezen om met Kaspersky te scannen, dan is het nog het allerhandigste om de extended bases te gebruiken, mocht je niet weten hoe dat werkt, jusk ask).

Acties:
  • 0 Henk 'm!

Verwijderd

Hmm ik heb heus zelf wel onderzoek gedaan en geen vreemde processen aangetroffen. Heel vreemd TFTP.EXE draait niet, maar probeert volgens m'n logs wel telkens verbinding te maken. Wat dat sockspy is weet ik ook niet, staat geen microsoft achtige info bij de bestandinformatie. Wie weet is het wel een variant vd worm die gebruik maakt vd SetWindowsHookEx, of SetTimer\varianten exploits om een DLL in een ander proces te injecteren...

Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen... :(

Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...

UPDATE:

clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.

[ Voor 22% gewijzigd door Verwijderd op 20-08-2003 12:36 . Reden: Update ]


Acties:
  • 0 Henk 'm!

Verwijderd

clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open
Dat is volgens mij niet iets dat door lovesan/welchia wordt veranderd..
Ik wil je toch aanraden om je bak met Kaspersky(of McAfee) te scannen.

Acties:
  • 0 Henk 'm!

Verwijderd

clrav.com is toch van Kapersky ? Btw ik heb ook al met Symantec gescand, die vond een lege dir die van de worm zou zijn.

Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen :).

[ Voor 58% gewijzigd door Verwijderd op 20-08-2003 14:30 ]


Acties:
  • 0 Henk 'm!

Verwijderd

clrav.com is toch van Kapersky ?
Ja, maar die scant niet voor alle expliots die er zijn, het KAV zelf wel..

Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..

Omdat je nog steeds last hebt/had van vage verschijnselen raadde ik aan om je systeem eens volledig te scannen met een complete scanner.

Als alles ok blijft gaan zal het wel goed zijn, heb me niet echt heel goed verdiept in de verschijnselen van welchia, maar als je vanavond ineens weer kuren krijgt kan het dus een 'hacker' zijn..

Acties:
  • 0 Henk 'm!

  • Wildfire
  • Registratie: Augustus 2000
  • Laatst online: 07:13

Wildfire

Joy to the world!

Verwijderd schreef op 20 August 2003 @ 15:06:

[...]

Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..
Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.

En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.

[ Voor 6% gewijzigd door Wildfire op 20-08-2003 16:03 ]

Systeemspecs | Mijn V&A spulletjes | Mijn RIPE Atlas probe


Acties:
  • 0 Henk 'm!

Verwijderd

Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.
Er is geen enkele firewall die code injection tegenhoudt..
Zoek het maar op, heb het zelf getest, het is veel getest door anderen..

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Welchia zet wel een TFTP server op je PC die op afstand bestuurbaar is tot 2004... Dus doe wat Schouw en ik zeggen, en scan met een volledige virusscanner.

Wildfire, er zijn ook zat trojans/exploits die zich speciaal richten op firewalls... Kwestie van de processen van firewall killen, infecteren, en je firewall gaat nooit meer aan... Simpele regel: besmetting binnen, niets vertrouwen...

[ Voor 25% gewijzigd door Verwijderd op 20-08-2003 16:46 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Is het toegestaan een linkje van een proof of concept progsel hier neer te gooien?
Het is niet schadelijk..

Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.

Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..

Acties:
  • 0 Henk 'm!

Verwijderd

Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.

En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.
Met code injection bedoel ik het infiltreren van malware in de adress space van een prog wat vertrouwd is en/of veel rechten heeft (denk aan je firewall prog zelf). Schouw heeft gelijk dat in principe geen enkele firewall dat tegen kan houden doordat het mogelijk is dmv een fundamentele zwakheid in windows. Meerdere zelfs, zoek maar eens naar een paper wat "shatter exploits" beschrijft.

Echter ik heb Outpost Firewall Pro 2 en die detecteerd het als er een nieuwe module in de adress space van welk proces dan ook verschijnt die nog niet tijdens het laden van die exe was geimporteerd. Het is best slim moet ik zeggen, alleen het kan dan al wel te laat zijn want die dll kan ondertussen allang geinfiltreerd zijn in de code en die dll laten voor wat ie is....

Microsoft zwijgt dit dood en het is maar hopen dat er geen worm komt die ook dit uitbuit, en ook nog eens intelligent is want dan hebben we echt een probleem....

euss: Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat... die mogelijke hacker kon niks uploaden op mn sys aangezien ik alle tftp etc heb geblockt (altijd al).

Acties:
  • 0 Henk 'm!

Verwijderd

Schouw:


En Kapersky zeker wel ;) ?

Acties:
  • 0 Henk 'm!

Verwijderd

Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat...
Ga eens met bitdefender op zoek naar kazaa virussen...
Als het 5% vindt, doet het het goed..
Ik zal zo eens even kijken hoeveel dcom exploits het vindt van diegene die ik heb.

Kaspersky kan files detecteren die gemaakt zijn met een generator..
Heb het er met Eugene over gehad en die was blij dat implementatie van dit geintje nogal lastig is en niet al te mainstream.

Ik zal ook eens kijken wat Outpost er van bakt.

Acties:
  • 0 Henk 'm!

Verwijderd

Gelukkig gebruik ik geen kazaa meuk. En volgens onafhankelijke tests van oa C't vond BitDefender alles. Die voordelen van BitDefender waren : zeer goede heuristiek, vind virussen extreem diep in (encrypted) compressed formaten, vind alle ingebedde objecten, ondersteund vrijwel alle exe-packers etc.

Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.

[ Voor 3% gewijzigd door Verwijderd op 20-08-2003 17:09 ]


Acties:
  • 0 Henk 'm!

Verwijderd

En hoeveel heb je zelf getest?
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..

En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.

Acties:
  • 0 Henk 'm!

Verwijderd

Ik zal dat blad ff opzoeken want het staat er toch erg beargumenteerd in...

Acties:
  • 0 Henk 'm!

Verwijderd

Bediening: - -
Heuristiek: 0 (matig)
Reddingsmedia: 0 (matig)

De rest was wel goed tot zeer goed

Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail) Bij Oulook Express 6, Netscape 4.7x, Mozilla 1.x werkt het helemaal niet.

Herkenning
Ingebedde OLE-objecten : 28/30
WEbOLE objecten : 3/21


heuristiek:
67,7/55,2 - 3/6 maanden oude signatures
46,7 - knutsel virussen

Geen virusscan/update bij installatie


Maar ik zie idd dat exepackers juist het beste door Kapersky worden gedaan.

BitDefender is gewoon op alles hetzelfde of net iets beter en heel soms iets slechter maar het eindoordeel voor Bitdefender is net iets beter. Maar zoals ik zei is Kapersky best goed.

Voor een duidelijker overzicht verwijs ik naar CT 07/08 (een na laatste) pag. 80-83

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
> Kaperksy negeert gecomprimeerde files

Volgens mij hebben ze KAV in de laagste beveiligingsstand getest. Hij scant nl. wel degelijk op gecomprimeerde bestanden als je dat insteld (tabblad "objects" -> alles aangevinkt + all files geselecteerd en tabblad "options" code analyser + deep search aangevinkt).

Overigens gaan er best nog wel eens virusscanners over hun zeik als je gecompimeerde bestanden in een gecompimeerd archief in een gecompimeerd archief in een gecompimeerd archief hebt (genest dus) - of bij EXE-packed files of archieven die met password versleuteld zijn.

[ Voor 37% gewijzigd door Verwijderd op 20-08-2003 19:14 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail)
afaik is dat onzin, als ik m'n OE folder scan krijg ik 400+ meldingen, of de files nu in archives zitten, runtime packed zijn, of beide.

Maar het is zo dat Kaspersky zeer regelmatig ondersteuning voor nieuwere soorten archives/packers toevoegd, gewoon via de daily updates.

Mja, over de heuristics, ze wordt door de meeste experts toch als een van de allerbeste beschouwd.. De andere vendors die het misschien beter doen gebruiken trucjes, zoals de naam van de auteur meenemen in de signatures..

Ik heb even de dcom exploits laten scannen door een paar scanners.
We hebben 34 hostile files:

RAV: 8 infected, 10 suspicious
McAfee: 30 infected
CA: IT 16 infected, Vet 15
Bitdefender: 8 infected
Kaspersky: 34 infected

Hiervan zijn 4 files van autooter, die toch wel heel bekend is, die had ik eerst niet toegevoegd, dus als die niet was meegenomen zag het er wel heel erg donker uit voor Bitdefender..

Misschien snap je nu waarom ik me van die tests van die blaadjes niet zoveel aantrek.

Outpost 2 leek het code injecten van copycat gewoon toe te staan..
See for yourself

Acties:
  • 0 Henk 'm!

Verwijderd

Ik krijg een bericht dat iTouch verbinding wil maken met internet, dus als je standaard niets altijd toestaat ben je veilig. Echter ik neem aan dat dit progje bij de browser dient te worden gebruikt, dan heb je gelijk.

Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.

Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).

Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou ;))...

Acties:
  • 0 Henk 'm!

Verwijderd

Kan je me die 32 infected binaries in compressed formaat sturen
Ik neem aan dat je het over die dcom exploits hebt?
Het is 8,5 mb, ik heb geen mailserver die zulke grote berichten aankan..
Ik kan ze wel splitten, maar ik weet niet hoeveel jouw mailserver aankan, dus wil ik het wel sturen met tussenpozen, zodat niet de helft wordt gebounced.

Edit:
Heb je de sourcecode of beschrijving van deze exploit
Geen source en ik weet er eigenlijk niet echt meer vanaf dan dat hij z'n code injecteert :). Ik weet wel dat dit van de maker van System Safety Monitor is, misschien heb je daar wat aan. Ik zal kijken of ik er zelf ook nog wat over kan vinden.

[ Voor 32% gewijzigd door Verwijderd op 20-08-2003 20:09 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Bij mij kan alles binnenkomen en word gelukkig niet gescanned.


Je kan filesplitter gebruiken voor Windows.

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 20 August 2003 @ 20:09:
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.


Je kan filesplitter gebruiken voor Windows.
Je mailbox zal wel een max size hebben en ook een max size voor een enkel bericht..

Mag ik dan aannemen dat u de anonieme mailer was van zojuist?

Acties:
  • 0 Henk 'm!

Verwijderd

Nee ik heb niks gestuurd en ik weet niks van een max size, ik neem aan dat ik al mn mail kan ontvangen op mn pop box.

Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.

Het lijkt me iig genoeg...

Verwijderd

Ik heb een probleem met het W32.randex.E virus, norton heeft hem er uitgehaald incl. het nstask32 bestandje.
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).
Pagina: 1 2 3 Laatste