omdat een schoon systeem, waarbij ik na de update stinger gedraait heb (clean) weer geinfecteert werd met 2 virussen, te weten
w32.qhosts.apd en W32.Gaobot.AFC
update stinger
Missen we een woord?
Die Ago gebruikt natuurlijk nog wat meer vulnerabilities dus duidelijkheid is gewenst.
Was die bak helemaal uptodate?
Andere computers in het netwerk?
Zie ook http://www.symantec.co.uk.../data/w32.gaobot.afc.html
Mocht dit van het discussievlak naar een infectievlak gaan, laat dat dan even weten, dan moeten we dit voortzetten via een ander topic ipv hier.
UWV gebruikt Sophos als AV.
De eerder genoemde scvhost.exe is een(zeer)ITW Agobot, zie nu al wat meer reports.
Dus nogmaals attentie: als je tot nu toe open hebt gestaan voor deze vulnerability, kijk je computers goed na, want niet alle Ago's zijn(zo)goed zichtbaar.
En de ms04-011 patch gaat de geïnstalleerde backdoor/proxy echt niet tegenhouden.
Edit: maken met die patch. Qhost is namelijk verantwoordelijk voor een lek in IE en Agobot is voor de RPC lek
Ago's waren(met van de)eerste die gebruik maken van MS04-011 vuln.
De tijd dat Ago's alleen aan RPC meuk deden hebben we al weer achter ons, helaas.
Zie ook de eerder genoemde write-up, naast de write-up van de .AAY(wederom Symantec benaming)krijg je dan een goed idee wat Ago's tegenwoordig allemaal kunnen.
[ Voor 18% gewijzigd door Verwijderd op 03-05-2004 13:22 ]
/u/48525/EgyptEyes.JPG?f=community)
Voor alle mensen die problemen hebben met de MS04-011 patch
Als je bij "C:\windows\system32\compmgmt.msc /s" oftewel je computer management.
Dan bij services en aps onder services kijkt staat er rechts een service dat "IPSEC Services" heet , je zou dit best wel kunnen stoppen aangezien bijna niemand die functie gebruikt.
Dit service zorgt ervoor dat je onder je "Internet connectie -> TCP/IP properties -> advanced -> options" gebruik kunt maken van IPsecurity profiles en TCP/IP filtering.
Dit staat standaard uit nl.
Als je de service uitzet kan er ook geen misbruik van gemaakt worden.
Als je onverhoopt er toch problemen mee krijgt kan je op dezelfde manier gewoon de service weer aanzetten.
Je loopt wel een kans dat je winxp ingebouwde firewall niet meer werkt als je "IPSEC Services" hebt uitgezet , aangezien die er waarschijnlijk gebruik van maakt.
Na nader bestuderen van de "winxp-firewall service" zegt die dat hij geen dependencies heeft in betrekking tot "IPSEC Services" dus zou die geen problemen MOETEN geven.
Je kan de service bij logon en startuptype ook nog op disabled zetten zodat hij niet meer automatisch opstart met booten , natuurlijk als je geconstateerd hebt dat alles nog naar behoren werkt.
@schouw , zo wel goed ???
Als je bij "C:\windows\system32\compmgmt.msc /s" oftewel je computer management.
Dan bij services en aps onder services kijkt staat er rechts een service dat "IPSEC Services" heet , je zou dit best wel kunnen stoppen aangezien bijna niemand die functie gebruikt.
Dit service zorgt ervoor dat je onder je "Internet connectie -> TCP/IP properties -> advanced -> options" gebruik kunt maken van IPsecurity profiles en TCP/IP filtering.
Dit staat standaard uit nl.
Als je de service uitzet kan er ook geen misbruik van gemaakt worden.
Als je onverhoopt er toch problemen mee krijgt kan je op dezelfde manier gewoon de service weer aanzetten.
Je loopt wel een kans dat je winxp ingebouwde firewall niet meer werkt als je "IPSEC Services" hebt uitgezet , aangezien die er waarschijnlijk gebruik van maakt.
Na nader bestuderen van de "winxp-firewall service" zegt die dat hij geen dependencies heeft in betrekking tot "IPSEC Services" dus zou die geen problemen MOETEN geven.
Je kan de service bij logon en startuptype ook nog op disabled zetten zodat hij niet meer automatisch opstart met booten , natuurlijk als je geconstateerd hebt dat alles nog naar behoren werkt.
@schouw , zo wel goed ???
[ Voor 4% gewijzigd door enchion op 05-05-2004 00:12 ]
How do you save a random generator ?
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community)
:strip_icc():strip_exif()/u/78771/sluuut.jpg?f=community)
Ik word helemaal gestoord hier... Zon mevrouw die snapt echt de ballen van PC's en heeft dus dat virus... Zit er vandaag al zeker 2 uur in totaal mee te bellen .
Ook een hoop andere mensen die het virus hebben gekregen.. Alle programma's onder het start menu staat alleen maar "leeg", iedereen krijgt de meest wazige foutmeldingen... Ben ik ff blij dat ik thuis veilig achter een mooi geconfigureerd routertje zit!
Tot nu toe is dat virus te snel met bestanden overwriten/aanpassen waardoor de boel zo erg corrupt word dat het scannen en verwijderen van bestanden geen nut meer heeft... Windows XP moet echt opnieuw worden geinstalleerd.
.Ook een hoop andere mensen die het virus hebben gekregen.. Alle programma's onder het start menu staat alleen maar "leeg", iedereen krijgt de meest wazige foutmeldingen... Ben ik ff blij dat ik thuis veilig achter een mooi geconfigureerd routertje zit!
Tot nu toe is dat virus te snel met bestanden overwriten/aanpassen waardoor de boel zo erg corrupt word dat het scannen en verwijderen van bestanden geen nut meer heeft... Windows XP moet echt opnieuw worden geinstalleerd
.
57696520646974206c65657374206973206e657264
/u/25784/ResNot.GIF?f=community)
Wat ben ik blij met mijn W98SE bak 
Wel leuk terugkomen van vakantie, zelfs op de radio hoorde ik in de nieuwsberichten over het virus.
Ben ik even blij dat ik voordat ik wegging de computer helemaal up-to-date heb gemaakt, enkel nog de virusscanner updaten (laatste update was van afgelopen woensdag, voordat ik wegging) en ik ben voorlopig weer veilig.
Wel leuk terugkomen van vakantie, zelfs op de radio hoorde ik in de nieuwsberichten over het virus.
Ben ik even blij dat ik voordat ik wegging de computer helemaal up-to-date heb gemaakt, enkel nog de virusscanner updaten (laatste update was van afgelopen woensdag, voordat ik wegging) en ik ben voorlopig weer veilig.
What will end humanity? Artificial intelligence or natural stupidity?
http://www.trendmicro.com...5.asp?VName=WORM_SASSER.D
volgens trend wordt ie al gepakt met de huidige patternfile 883
Doet iets met Cloud (MS/IBM)
@Resistor en Sluuut
Jullie zijn onnodig blij, als je gewoon alle updates zouden hebben geinstalleerd op een XP bak dan had je erook geen last van gehad. Updates staan al meer dan 18 dagen ter beschikking.
Mensen die besmet zijn geraakt geldt eigenschuld dikke bult, ik kan er echt niet wakker van liggen.
Leestip!
Bekijk eens de sticky door die Schouw heeft gemaakt
Jullie zijn onnodig blij, als je gewoon alle updates zouden hebben geinstalleerd op een XP bak dan had je erook geen last van gehad. Updates staan al meer dan 18 dagen ter beschikking.
Mensen die besmet zijn geraakt geldt eigenschuld dikke bult, ik kan er echt niet wakker van liggen.
Leestip!
Bekijk eens de sticky door die Schouw heeft gemaakt
[ Voor 15% gewijzigd door Miki op 03-05-2004 15:24 ]
/u/29622/iconnotes.JPG?f=community)
Weet iemand hoe het zit met XP met sp2 rc1?
Updates die sp2rc1 binnenhaald worden allemaal omschreven als "beta- update 8".
In de lijst met kwetsbare systemen wordt ie niet genoemd, maar ja. Dat worden beta's en rc's nooit Zit verder op een schoon netwerk maar ik vroeg het me af.
Updates die sp2rc1 binnenhaald worden allemaal omschreven als "beta- update 8".
In de lijst met kwetsbare systemen wordt ie niet genoemd, maar ja. Dat worden beta's en rc's nooit
Zit verder op een schoon netwerk maar ik vroeg het me af.
Ben ik helemaal met je eens... Maar als je een probleem hebt met een klant, en je gaat net zoals altijd Systeem Herstel gebruiken, had ik er even niet aan gedacht dat dat virus dan gelijk vrolijk binnenloopt. Wel logisch aangezien elke update dan ongedaan word gemaakt vanaf die tijd, maar toch, je denkt er niet zo 1-2-3 bij na.:
@Resistor en Sluuut
Jullie zijn onnodig blij, als je gewoon alle updates zouden hebben geinstalleerd op een XP bak dan had je erook geen last van gehad. Updates staan al meer dan 18 dagen ter beschikking.
Mensen die besmet zijn geraakt geldt eigenschuld dikke bult, ik kan er echt niet wakker van liggen.
Leestip!
Bekijk eens de sticky door die Schouw heeft gemaakt
57696520646974206c65657374206973206e657264
Lijkt erop alsof die gasten steeds beter worden, de netsky sloeg in als een bom en deze sasser is ook weer een nasty bitch. Ik hoop echt dat ze een fout maken en ontdekt kunnen worden. Dit wordt wordt hoe langer hoe gekker... aan de andere kant, microsoft wordt nu echt gedowngen hun systeem veiliger te maken wat ook weer zijn voordelen heeft.:
Check ook even die bestandsnaam van Sasser.d zeg.
[...]
Verwijderd
's lands grootste die op de kleintjes let is ook in een heftig gevecht gewikkeld met Sasser
Ik ben niet onnodig blij, maar mijn belangrijkste computer heeft W98SE, maar de laptop (waar ik zelden achter zit) heeft wel XP.:
@Resistor en Sluuut
Jullie zijn onnodig blij, als je gewoon alle updates zouden hebben geinstalleerd op een XP bak dan had je erook geen last van gehad. Updates staan al meer dan 18 dagen ter beschikking.
Mensen die besmet zijn geraakt geldt eigenschuld dikke bult, ik kan er echt niet wakker van liggen.
Leestip!
Bekijk eens de sticky door die Schouw heeft gemaakt
Die heb ik woensdag geüpdate, en ik heb een redelijk veilig gevoel achter de SpeedTouch firewall, ik neem aan dat die in staat is de betreffende poorten gesloten te houden (met shieldsUp gaven bijna alle poorten 'stealth', de enige poortmaps zijn voor eMule)
En ja, het is eigen schuld. Maar waar ligt het probleem? onwetendheid, of bewust niet patchen 'omdat de computer er minder van gaat presteren'?
[ Voor 9% gewijzigd door Resistor op 03-05-2004 16:12 ]
What will end humanity? Artificial intelligence or natural stupidity?
Na de installatie van XP krijg je de mogelijkheid om automatisch updates op te halen, lijkt me de vraag op ontwetendheid te beantwoorden. Daarnaast wat is nu belangrijker, performance of security? Die paar rot seconden meer tijdens het booten misschien
Magic, lees eens wat write-ups door van de vendors en als jouw comp nog steeds vaag doet dan wordt het tijd voor een format. Jij volgt maar de helft op van wat er wordt aangeraden.... meer wil ik erover niet kwijt.
Magic, lees eens wat write-ups door van de vendors en als jouw comp nog steeds vaag doet dan wordt het tijd voor een format. Jij volgt maar de helft op van wat er wordt aangeraden.... meer wil ik erover niet kwijt.
:strip_exif()/u/14937/cover.gif?f=community)
Het gaat ook om de ADSL-loze simpele zielen:
Na de installatie van XP krijg je de mogelijkheid om automatisch updates op te halen, lijkt me de vraag op ontwetendheid te beantwoorden. Daarnaast wat is nu belangrijker, performance of security? Die paar rot seconden meer tijdens het booten misschien
zoals mijn zusterlief die achter een dial up accountje zit en geen zin heeft om 15MB aan patches te downen....
Inderdaad, tegen de tijd dat die 15MB binnen is, is ze allang besmet:
[...]
Het gaat ook om de ADSL-loze simpele zielen
Dan is er ook nog de microsoft security cd die gratis te verkrijgen is. De standaard windows firewall die aan kan.. of een 3rd party vendor firewall zoals zonealarm download daarvan is niet zo groot. Goed alleen dan wordt de drempel hoger voor windows xp onvriendelijke gebruikers
Voor de dial-up abbo's windows onvriendelijke gebruikers (DAWOG) wordt het lastig ja, dat moet ik toegegeven.
Voor de dial-up abbo's windows onvriendelijke gebruikers (DAWOG) wordt het lastig ja, dat moet ik toegegeven.
:strip_icc():strip_exif()/u/10916/hj60x60.jpg?f=community)
Het aantal poorten is volgens mij ook uitgebreid. kan het fout hebbe..
maar de scans die ik hier krijg zijn op de poorten:
2176
1025
3127
80
6129
2745
Mischien een idee om deze poorten in iedergeval dicht te gooien
Als je ze niet gebruikt
krijg alleen scans uit richting wanadoo. Zit zelf bij @home.
Het zo ook zo kunnen zijn dat dit iemand is die d'r op uit is om besmette pc's te abusen..
maar de scans die ik hier krijg zijn op de poorten:
2176
1025
3127
80
6129
2745
Mischien een idee om deze poorten in iedergeval dicht te gooien
Als je ze niet gebruikt
krijg alleen scans uit richting wanadoo. Zit zelf bij @home.
Het zo ook zo kunnen zijn dat dit iemand is die d'r op uit is om besmette pc's te abusen..
edit:
6129 blijkt dameware.. dus zal wel een lame scan zijn van een l33t script kiddy
6129 blijkt dameware.. dus zal wel een lame scan zijn van een l33t script kiddy
[ Voor 45% gewijzigd door SjOuKeS op 03-05-2004 17:40 ]
Gooi jij maar lekker poort 80 dicht:
Het aantal poorten is volgens mij ook uitgebreid. kan het fout hebbe..
maar de scans die ik hier krijg zijn op de poorten:
2176
1025
3127
80
6129
2745
Mischien een idee om deze poorten in iedergeval dicht te gooien
Als je ze niet gebruikt
krijg alleen scans uit richting wanadoo. Zit zelf bij @home.
Het zo ook zo kunnen zijn dat dit iemand is die d'r op uit is om besmette pc's te abusen..
De beste strategie is eigenlijk alles dichthouden, behalve wat je nodig hebt.
Maar probeer dat maar eens uit te leggen aan iemand die geen verstand heeft van computer
[ Voor 15% gewijzigd door Resistor op 03-05-2004 17:41 ]
What will end humanity? Artificial intelligence or natural stupidity?
Als jij die op in going traffic blockt is d'r nix aan de hand:
[...]
Gooi jij maar lekker poort 80 dicht
en mijn webserver draait niet op 80
:strip_icc():strip_exif()/u/86282/crop65a7ee1bac6ad_cropped.jpg?f=community)
Lezen aub:
http://www.f-secure.com/v-descs/sasser.shtml
Ps. alle info is te vinden in de sticky van Schouw!!!
[rml][ XP/2K] LSASS.EXE foutmelding? Lees dit![/rml]
Lijkt net of er geen kip naar kijkt!
[ Voor 12% gewijzigd door Miki op 03-05-2004 17:51 ]
Verwijderd
just a FYI; de laatste (huidige) versie , D, skipt om een of andere reden de private ranges 10.x, 127.0.0.1, 172.13-22.x en 192.168.x.x. De meeste bedrijfsnetwerken zullen hier naar verwachting geen hinder van ondervinden (houden we er nog maar 3 over 
)
edit: skipt ze juist wel... lange dag gehad :\
edit2: 't schijnt dat bovenstaande ook voor a b en c geldt... /me is happy , verklaart waarom snort! zo rustig bleef
)edit: skipt ze juist wel... lange dag gehad :\
edit2: 't schijnt dat bovenstaande ook voor a b en c geldt... /me is happy , verklaart waarom snort! zo rustig bleef
[ Voor 41% gewijzigd door Verwijderd op 03-05-2004 22:28 ]
/u/91594/crop670f840bd8665_cropped.png?f=community)
Paz: bedankt. Dit had ik ook al gevonden maar dacht dat ik misschien de geïnfecteerde versie had oid
leoaq.fm // Jeune Loop
Patch? Je bedoelt removal tool.
Het kan ook handmatig hoor, bak offline halen, SKYNETAVE.EXE killen via taskmanager en dan deleten, MS04-011 patches installen, AV installen, AV updaten, full system scan doen.
Een firewall ergens ertussen helpt ook enzo.
Het kan ook handmatig hoor, bak offline halen, SKYNETAVE.EXE killen via taskmanager en dan deleten, MS04-011 patches installen, AV installen, AV updaten, full system scan doen.
Een firewall ergens ertussen helpt ook enzo.
Verwijderd
dus hij skipt alle private ranges?:
just a FYI; de laatste (huidige) versie , D, skipt om een of andere reden de private ranges 10.x, 127.0.0.1, 172.13-22.x en 192.168.x.x. De meeste bedrijfsnetwerken zullen hier naar verwachting geen hinder van ondervinden (houden we er nog maar 3 over
edit: skipt ze juist wel... lange dag gehad :\
edit2: 't schijnt dat bovenstaande ook voor a b en c geldt... /me is happy , verklaart waarom snort! zo rustig bleef
Dus dat uwv en interpolis plat lagen is ook bullshit?
:strip_icc():strip_exif()/u/47471/crop5aa6cb9f97040_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/9208/icon.jpg?f=community){kind=icon}
Inderdaad, hiero hang alles op 10.*.*.* en het meeste was toch besmet met Sasser-B hoor !:
[...]
Dat van die ranges klopt in ieder geval niet (helemaal). Ik noem verder geen namen
[*] Error 45: Please replace user
Volg je bankbiljetten
:strip_exif()/u/107011/Motrax.gif?f=community)
Ben zelf onbekend met virussen, maar goed.
Hier op mijn werk is het ook losgebroken: bij Nedtrain Tilburg. NedTrain Haarlem schijnt op z'n gat te liggen en in Utrecht moeten ze ongeveer 100 laptops fixen wat ieder een kwartier kost met een cd'tje
Ze mogen namelijk voorlopig niet het netwerk op 
De informatiseringspoot van de NS-groep heeft er ook last van. En dat geldt ook voor EDS waar ze dikke maatjes mee zijn.
Wat ik niets snap is dat niet alle systemen hebben gefikst. Het is al een paar dagen bekend dat het sasservirus een risicogehalte heeft. Of zou het iets te maken hebben met het feit dat de helft van de automatiseringafdeling naar de HP-beurs in München is
Gelukkig draait meer dan de helft van hun servers nog met NT... Het zijn alleen de clients die onderuit gaan.
Wat ik niet snap is dat ene pc wel besmet wordt en een willekeurig andere pc niet. Zitten op zelfde router, zelfde config, zelfde AV, zelfde patches en zelfde AVdev's... Kan iemand me dat uitleggen of is dat systeemarchitectuur afhankelijk?
Edit:
Ze weten nog niet welke variant ze nu binnen in de schaapskooi hebben...
De AV is "eTrust Inoculate IT" voor op de clients dan. Denk ook voor op de servers.
Hier op mijn werk is het ook losgebroken: bij Nedtrain Tilburg. NedTrain Haarlem schijnt op z'n gat te liggen en in Utrecht moeten ze ongeveer 100 laptops fixen wat ieder een kwartier kost met een cd'tje
Ze mogen namelijk voorlopig niet het netwerk op De informatiseringspoot van de NS-groep heeft er ook last van. En dat geldt ook voor EDS waar ze dikke maatjes mee zijn.
Wat ik niets snap is dat niet alle systemen hebben gefikst. Het is al een paar dagen bekend dat het sasservirus een risicogehalte heeft. Of zou het iets te maken hebben met het feit dat de helft van de automatiseringafdeling naar de HP-beurs in München is
Gelukkig draait meer dan de helft van hun servers nog met NT... Het zijn alleen de clients die onderuit gaan.
Wat ik niet snap is dat ene pc wel besmet wordt en een willekeurig andere pc niet. Zitten op zelfde router, zelfde config, zelfde AV, zelfde patches en zelfde AVdev's... Kan iemand me dat uitleggen of is dat systeemarchitectuur afhankelijk?
Edit:
Ze weten nog niet welke variant ze nu binnen in de schaapskooi hebben...
De AV is "eTrust Inoculate IT" voor op de clients dan. Denk ook voor op de servers.
[ Voor 56% gewijzigd door Motrax op 04-05-2004 12:58 . Reden: Toevoeging ]
☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |
Die virussen verspreiden zich door ip's te scannen. Het kan dus elk willekeurige range zijn, misschien raakt de ene range wel besmet en de andere niet? Ik weet ook niet precies hoe hij ip's scanned ...:
Ben zelf onbekend met virussen, maar goed.
Hier op mijn werk is het ook losgebroken: bij Nedtrain Tilburg. NedTrain Haarlem schijnt op z'n gat te liggen en in Utrecht moeten ze ongeveer 100 laptops fixen wat ieder een kwartier kost met een cd'tje
De informatiseringspoot van de NS-groep heeft er ook last van. En dat geldt ook voor EDS waar ze dikke maatjes mee zijn.
Wat ik niets snap is dat niet alle systemen hebben gefikst. Het is al een paar dagen bekend dat het sasservirus een risicogehalte heeft. Of zou het iets te maken hebben met het feit dat de helft van de automatiseringafdeling naar de HP-beurs in München is
Gelukkig draait meer dan de helft van hun servers nog met NT... Het zijn alleen de clients die onderuit gaan.
Wat ik niet snap is dat ene pc wel besmet wordt en een willekeurig andere pc niet. Zitten op zelfde router, zelfde config, zelfde AV, zelfde patches en zelfde AVdev's... Kan iemand me dat uitleggen of is dat systeemarchitectuur afhankelijk?
Edit:
Ze weten nog niet welke variant ze nu binnen in de schaapskooi hebben...
De AV is "eTrust Inoculate IT" voor op de clients dan. Denk ook voor op de servers.
57696520646974206c65657374206973206e657264
/u/97359/crop64803232ade4a_cropped.png?f=community)
:strip_icc():strip_exif()/u/76014/blueknightIconsmall.jpg?f=community)
Verwijderd
Heb ik ook gedaan hoor. Heb begrepen dat het via een aantal poorten binnenkomt, die bij mij dus niet open staan. Dit zou betekenen dat ik hem niet zou moeten krijgen. maar voor de zekerheid toch nog maar even bij jullie navragen. 
Het lijkt wel of het vandaag pas echt aan de gang is, tenminste hier op GoT. Vervelende is het allemaal eigenlijk eigenschuld dikke bult gebeuren is.
Ik ben bang dat het wachten is op nog een exploit van een windows lek waarbij een nieuwe worm die net zoals de witty je hele hardeschijf structuur molt
Ik ben bang dat het wachten is op nog een exploit van een windows lek waarbij een nieuwe worm die net zoals de witty je hele hardeschijf structuur molt
Stel reacties afgesplitst naar ander topic..
Ook al zeg ík zoiets, ik heb er iig genoeg malen bijgezegd dat je dan een eigen topic behoort te beginnen.
Discussie only mensen...
Ik wil de mensen die op specifieke infectieproblemen reageren verzoeken dat aub niet meer te doen.
Ook al zeg ík zoiets, ik heb er iig genoeg malen bijgezegd dat je dan een eigen topic behoort te beginnen.
Discussie only mensen...
Ik wil de mensen die op specifieke infectieproblemen reageren verzoeken dat aub niet meer te doen.
Gisteren bekeek ik dit forum op mijn werk, en hop, daar ging mijn pc bruut hard onderuit... Dat was de tweede voor die dag.
Netwerkperformance was zwaar beroerd. Normaal is het mogelijk om internetradio te luisteren, maar gister was dat met een hoop opslaan in het buffer...
Op zich een ramp, want ze weten nog steeds niet welke variant en wat ze er tegen moeten doen. Geloof het of niet, maar iemand anders had dit ook al onder dit onderwerp neergezet: de patch van Microsoft werkte niet.
Wat was er dan aan de hand: in Utrecht kregen ze het na 11.30 onder controle (echt heel erg goed, als een laptop besmet werd, plaatste de AV de laptop in quarantaine en ging er een melding naar automatisering en werd het gefikst). De oplossing van Utrecht werd naar Tilburg doorgeschoven. Daar hadden ze een pc even gepatched, dat ging goed en vervolgens kwam doodleuk het virus langs.
Had te maken met de NL en ENG versie van 2000/XP. Fijn.
Ik kan helaas niet veel meer details geven omdat ik niet er bij betrokken was, alleen zijdelings. Wat natuurlijk kan zijn is dat ze de ENG patch kregen en dat het gewoon niet lukte. Maar zover ik opving lukte het patchen wel...
Netwerkperformance was zwaar beroerd. Normaal is het mogelijk om internetradio te luisteren, maar gister was dat met een hoop opslaan in het buffer...
Idd, in de virusdefinities van gister om 11.15 hadden nog niks tegen Sasser.:
[...]
Ik wist al dat het troep was, maar ik heb 1 klant die het draait
Op zich een ramp, want ze weten nog steeds niet welke variant en wat ze er tegen moeten doen. Geloof het of niet, maar iemand anders had dit ook al onder dit onderwerp neergezet: de patch van Microsoft werkte niet.
Wat was er dan aan de hand: in Utrecht kregen ze het na 11.30 onder controle (echt heel erg goed, als een laptop besmet werd, plaatste de AV de laptop in quarantaine en ging er een melding naar automatisering en werd het gefikst). De oplossing van Utrecht werd naar Tilburg doorgeschoven. Daar hadden ze een pc even gepatched, dat ging goed en vervolgens kwam doodleuk het virus langs.
Had te maken met de NL en ENG versie van 2000/XP. Fijn.
Ik kan helaas niet veel meer details geven omdat ik niet er bij betrokken was, alleen zijdelings. Wat natuurlijk kan zijn is dat ze de ENG patch kregen en dat het gewoon niet lukte. Maar zover ik opving lukte het patchen wel...
☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |
:strip_exif()/u/80483/Avatar--John2.gif?f=community){kind=avatar}
/u/35508/crop61e6aa7b579e2_cropped.png?f=community)
En ik kreeg net de email van mcafee...
VIRUS ADVISORY - W32/Sasser.worm.d
cijfertje d alweer, krijgen we nou net zoals netsky
VIRUS ADVISORY - W32/Sasser.worm.d
cijfertje d alweer, krijgen we nou net zoals netsky
Beetje reclame die ze erbij gooien voor hun, maarja.
:strip_icc():strip_exif()/u/53213/crop57ace20969734.jpeg?f=community)
Voor het bekende Blaster-virus werd gebruik gemaakt van een lek in het RPC-systeem van Windows. Dat kon je uitschakelen/instellen vanuit: Rechtsklik op Mijn Computer, Beheren. Bij de serives kon je dan de RPC instellen enzo.
Maar welke service gebruikt het Sasservirus dan? Dan kan ik die serivice als het niet noodzakelijk is gewoon uitschakelen...
Maar welke service gebruikt het Sasservirus dan? Dan kan ik die serivice als het niet noodzakelijk is gewoon uitschakelen...
☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes
Die houd ik er in! Als RPC stopt stopt je hele PC, zowat alle services zijn dependent aan RPC
Ook dat gaat niet lukken, want hij maakt gebruik van LSASS (Local Security Authority Subsystem). Die word gebruikt om je in te loggen en te authenticeren.Maar welke service gebruikt het Sasservirus dan? Dan kan ik die serivice als het niet noodzakelijk is gewoon uitschakelen...
Geen LSASS = geen Windows.
Virussen? Scan ze hier!
owh ok. Voor het Blastervirus kon je de RPC countdownmelding-tijd verhogen naar een andere waarde.
9999 sec. is ook erg handig
9999 sec. is ook erg handig
☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes
Zou best kunnen.
Maar F-Secure meldde deze week toch dat de schrijvers van Netsky en die van Sasser dezelfden waren?
Met een beetje gelukkig hebben ze dus de schrijver van twee virussen (Netsky én Sasser) te pakken
edit:
Update: de loser heeft bekend:
Bron: www.nieuws.nl
[ Voor 52% gewijzigd door wildhagen op 08-05-2004 15:07 ]
Virussen? Scan ze hier!
Schouw: heb je een korte samenvatting? Mijn Duits is zéér roestig 
Virussen? Scan ze hier!
/me blijft niet vertalen!
In a nutshell - rest is niet zo heel relevant imo - maar als iemand vindt dat ik iets interessants achterwege laat, just say so.
In a nutshell - rest is niet zo heel relevant imo - maar als iemand vindt dat ik iets interessants achterwege laat, just say so.
Dit had ik even snel samengevat voor wat collegae.quote: ikke
Tnx
Goed dat ze hem hebben.
Hopelijk komen er iig geen nieuwe Agobot/Gaobots meer... ruim duizend van nu zijn al wel voldoende...
Goed dat ze hem hebben.
Hopelijk komen er iig geen nieuwe Agobot/Gaobots meer... ruim duizend van nu zijn al wel voldoende...
Virussen? Scan ze hier!
:strip_exif()/u/18996/GoT_avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/108220/crop5c5aeedabe106_cropped.jpeg?f=community)
die updates kan je ook gewoon apart downloaden, hoeft niet perce met windowsupdate, en dan zorg je ervoor dat je met een nieuwe installatie niet op internet kan, kabel eruit ofzo en dan install je die updates en dan kan je weer vrolijk internetten
:strip_icc():strip_exif()/u/99521/Triviumsmall2.jpg?f=community)
Meer MS04-011 wormen...
http://www.f-secure.com/v-descs/bobax.shtml
Gezien het aantal vendors dat 'vliegt' om update hiervoor uit te breken gaat ie nog redelijk hard ook.
Wat minder interessant: http://securityresponse.s.../data/w32.kibuv.worm.html
Gebruikt rpc/dcom exploit + lsass.exe exploit en heeft ook nog een politiek tintje.
Edit: Hmm...
Worm.Win32.Bobax.a --> TrojanProxy.Win32.Bobax.a
http://www.viruslist.com/eng/alert.html?id=1517641
Inmiddels rated als moderated risk dus verwacht een update voor zo ongeveer alle AVs vandaag.
http://www.f-secure.com/v-descs/bobax.shtml
Gezien het aantal vendors dat 'vliegt' om update hiervoor uit te breken gaat ie nog redelijk hard ook.
Wat minder interessant: http://securityresponse.s.../data/w32.kibuv.worm.html
Gebruikt rpc/dcom exploit + lsass.exe exploit en heeft ook nog een politiek tintje.
Edit: Hmm...
Worm.Win32.Bobax.a --> TrojanProxy.Win32.Bobax.a
http://www.viruslist.com/eng/alert.html?id=1517641
Inmiddels rated als moderated risk dus verwacht een update voor zo ongeveer alle AVs vandaag.
[ Voor 24% gewijzigd door Verwijderd op 16-05-2004 19:06 ]
Dat sasser is makkelijk te verwijderen zeg . Een klant van me kwam gister naar me toe met dat probleem, en ik heb um ff vewijderd .
Op school hebben we nu ook Sasser op het netwerk gekregen, vermoedelijk is de router niet gelemaal gedicht nadat hij er gister even uitklapte.
Maar ik heb nog windowsupdate en Sasser heeft op mijn ICT-PCtje geen kans gehad
Sasser, here i come
. Een klant van me kwam gister naar me toe met dat probleem, en ik heb um ff vewijderd .Op school hebben we nu ook Sasser op het netwerk gekregen, vermoedelijk is de router niet gelemaal gedicht nadat hij er gister even uitklapte.
Maar ik heb nog windowsupdate en Sasser heeft op mijn ICT-PCtje geen kans gehad
Sasser, here i come
[ Voor 18% gewijzigd door AW_Bos op 04-06-2004 09:45 ]
☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes
:strip_icc():strip_exif()/u/90617/hitchhiking.jpg?f=community)
heel veel users weten volgens mij ook niet eens dat er zoiets bestaat als updaten.
en dan heb je nog de users die wel vrolijk alle updates binnenhalen (automatisch) maar dan vervolgens dat wereldbolletje vrolijk negeren, terwijl t maar 1 druk op de knop is
Yep.. ik ken het.:
[...]
heel veel users weten volgens mij ook niet eens dat er zoiets bestaat als updaten.
en dan heb je nog de users die wel vrolijk alle updates binnenhalen (automatisch) maar dan vervolgens dat wereldbolletje vrolijk negeren, terwijl t maar 1 druk op de knop is
Met Sasser hadden we een paar besmette PC's, ondanks dat we overal Automatic Updates aan hebben staan (met Notify before install).
Kom je bij een klant, vraag je waarom hij het niet geinstalleerd heeft met die notify. Antwoord: "ja, dat popup was zo lastig ieder keer, ik klik het iedere keer maar weg".
Tsja. I rest my case.
Virussen? Scan ze hier!
Verwijderd
LOL dat is de reden dat we die notify before install hebben uitgezet.
mijn ervaring is dat je gebruikers geen keus moet geven want dan kiezen ze om een of andere reden altijd het verkeerde... (maar goed, wij sturen alleen patches het netwerk in die door ons al zijn getest, misschien dat dat bij jou anders is (direct via windowsupdate waarschijnlijk?)