/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
blaster virusen
Fra : freddiemercury
Vist : 777 gange
50 point
Dato : 23-09-03 10:29

hvordan er det lige man fjerner blaster virusen helt
man skal ind i flere underbiblioteker men hvor og hvor mange steder
drejer det sig om
tak




 
 
Kommentar
Fra : briani


Dato : 23-09-03 10:39
Accepteret svar
Fra : briani

Modtaget 60 point
Dato : 23-09-03 10:45

Tillæg

Her er der også værktøj til at fjerne blaster

http://www.spywarefri.dk/virus.htm#msblast

Brian

Kommentar
Fra : CLAN


Dato : 23-09-03 11:00

Som tillæg til Spywarefri, som Brian er inde på (rigtig god side)

Citat
Navn: W32.Blast.worm
Alias: W32/Lovsan.worm, WORM_MSBLAST.A, Win32.Poza, W32.Blaster.Worm.
Dato: 11. August 2003
Størrelse: 6,176 bytes (MD5sum: 5ae700c1dffb00cef492844a4db6cd69)
Oprindelse: ?
Risiko: Medium/HØJ

Kruse Security ønsker hermed, at advare mod en automatiseret Internet orm der udnytter en sårbarhed under
Microsoft Windows 2000/NT, XP og 2003 server. Ormen er i stand til at replikere sig automatisk hvis
systemet ikke er behørigt opdateret.

Det var ventet, at en Internet orm ville udnytte sårbarheden i RPC DCOM under Windows 2000, NT og XP.
Det anbefales, at private brugere og erhvervsvirksomheder iværksætter forholdsregler, som beskevet i denne
advisory.

I de sene aftentimer mandag d. 11. August 2003 har Kruse Security modtager talrige samples og rapporteringer
på W32.Blast.worm. Ormen er blevet sendt i spredning ved bl.a., at e-maile koden til et stort antal e-mail
adresser med det formål, at opnå en så stor effekt af ormen, som overhovedet muligt.

Ormen spreder sig automatisk ved at udnytte RPC DCOM svagheden, som er rettet i Microsoft Security Bulletin
MS03-026 (Buffer Overrun In RPC Interface Could Allow Code Execution (823980). Opdateringen har været
tilgængelig siden d. 16. Juli 2003 på følgende adresse:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

W32.Blast.worm replikerer sig via TCP port 135. Når ormen finder et ikke opdateret system vil den
droppe en kopi af sig selv til windows system mappen. Det sker ved brug af en remote shell, som lytter på
TCP port 4444. Ormen afvikler koden ved at udstede en TFTP (Trivial File Transfer Protocol) kommando
(tftp -i %s GET %s), som via shell´en, downloader og afvikler koden fra den maskine, som har initieret
forbindelsen. Ormekoden droppes til windows system mappen under navnet msblast.exe (pakket med UPX) og
modificerer registreringsdatabasen med det formål, at ormen reaktiveres ved genstart af systemet.
Den opretter derfor følgende runas værdi i registreringsdatabasen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update"=msblast.exe I just want to say LOVE YOU SAN!! bill

Den danner en Mutex under navnet "Bill", som anvendes med det formål at forhindre, at flere samtidige
sessioner af ormen oprettes i hukommelsen.

Ormen anvender den inficerede maskine til at søge efter andre sårbare systemer. Det sker ved at scanne
tilfældige IP adresser startede med det lokale subnet og herefter via tilfældige IP adresser i et klasse B
subnet (255.255.0.0).

W32.Blast.worm indeholder exploitkode, som er identisk med dcom.c. Den har umiddelbart held med at afvikle
sig automatisk ved brug af universel windows 2000 offset værdi. Det kan imidlertid ikke udelukkes at ormen
kan replikkere sig til både XP og 2003 server. Det er almindeligt kendt, at ormens exploit kode kan forårsage
Denial of Service angreb mod allerede opdaterede systemer og bevirke at disse fejler. Kruse Security
analyserer i øjeblikket flere rapporteringer om at Microsoft Windows Home Edition i dansk udgave er
sårbar overfor denne orm. vi har modtaget rapporteringer fra brugere som mener at de har installeret alle
relevante sikkerhedsopdateringer, men alligevel er blevet inficeret.

Exploit koden dekrypterer sig selv ved brug af en 32-bit algoritme operation. Den henter KERNEL32.DLL
base adressen fra hukommelsen og ved brug af denne, lokaliseres følgende API adresser (ved anvendelse af CRCs
på API navnet): "LoadLibraryA", "WaitForSingleObject", "CreateProcessA", "ExitProcess", "WSAStartup",
"WSASocketA", "bind", "listen", "accept", "closesocket".

Ormen lytter, som tidligere nævnt, efter forbindelser som etableres til TCP port 4444. Denne port spawner
cmd.exe. Enhver kan dermed misbruge en inficeret PC til at foretage et kald af en lokal cmd.exe med mulighed for,
at afvikle yderligere ondsindet kode.

Ormen indeholder følgende tekst:

"billy gates why do you make this possible ? Stop making money and fix your software!!"

Endvidere befinder sig en ondsindet payload som initierer et Distribueret Denial of Service angreb (SYN
flood) mod windowsupdate.com som indledes fra midnat d. 15 August 2003. Denne hjemmeside anvendes bl.a.
til at opdatere sårbare systemer. Ormen afsender 40 bytes pakker med 20 millisekunders intervaler mod port
80, som alle lander på adressen windowsupdate.com. Denne payload kan bevirke, at Microsoft´s automatiske
opdateringstjeneste, som ligger på denne adresse, vil være utilgængelig med det til følge, at kunder
ikke vil kunne opgradere et sårbart system. DDoS angreb vil blive gennemført mellem den 16. og 31. i
følgende måneder: september, oktober, november og december.


--- Undgå W32.Blast.worm ---

Det anbefales først og fremmest, at opgradere med den opdatering, som er frigivet af Microsoft.
Se ovenstående link. Derudover bør man overveje, at blokkere for trafik til følgende porte:
UDP/135, TCP/135, UDP/137, TCP/137, TCP/445 og TCP/593. Det kan ske via en central firewall.

ISP´ere bør overveje at filtre TCP port 135.

Hjemmearbejdspladser bør etableres med en sikkerhedspolitik, som forhindrer denne orm i at replikere sig til
interne netværk bl.a. via IPSec, eller bærbare PC´ere som kobles direkte på det interne netværk. Et opdateret
antivirus program er i stand til at detekte W32.Blast.worm på et inficeret system. Norman Antivirus detekter
denne trussel som W95/Blaster-A.

--- Sideeffekter ---

Systemer med åben port 135 kan opleve ustabilitet, som potentielt forårsager, at systemer ukritisk genstarter
med en fejlmelding fra SVCHOST. Kruse Security har set mange eksempler på at dette forekommer på systemer, som
allerede er blevet opdateret. Ormen anvender et Windows 2000 offset i exploitkoden, som er yderst effektivt
Denial of Service mod Windows XP systemer.

--- Sådan fjernes ormen fra et inficeret system ---

1. Opdater maskinen med ovenstående patch fra Microsoft
2. Fjern værdien i registreringsdatabasen, som peger på "msblast.exe"
3. Genstart maskinen
4. Slet herefter msblast.exe fra windows system mappen (system32)

Denne analyse kan findes online på adressen:
http://www.krusesecurity.dk/advisories/blastworm.txt

Yderligere oplysninger om RPC DCOM sårbarheden kan findes på følgende URL:
http://www.krusesecurity.dk/advisories/1807031.txt

En oversigt over Virus og Security Alerts udsendt siden den 1. Maj 2003 kan findes på følgende
adresse: http://www.krusesecurity.dk/nyheder.html

Oversigten vil løbende blive opdateret. Alerts og Advisories sendt til den
lukkende liste vil ikke blive publiceret offentligt.

Yderligere informationer om adgang til den lukkede liste kan findes på følgende adresse:
http://www.krusesecurity.dk/mailinglist.htm

--- Andre links med information om W32.Blast.worm ---

http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://vil.nai.com/vil/content/v_100547.htm
http://www.sophos.com/virusinfo/analyses/w32blastera.html
http://xforce.iss.net/xforce/alerts/id/150
http://isc.sans.org/diary.html?date=2003-08-11
http://www.f-secure.com/v-descs/msblast.shtml

Gratis værktøjer, som kan fjerne W32.Blast.worm, kan hentes på følgende URLs:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip

Et øjeblikkeligt statusbillede af forespørgsler til port 135 kan ses på følgende adresse:
http://isc.sans.org/images/port135percent.png

Med venlig hilsen / Kind regards

Peter Kruse
Kruse Security & Virusresearch
http://www.krusesecurity.dk
Phone +45 28 49 05 32


Søren

Kommentar
Fra : kenneth24


Dato : 23-09-03 11:02

Du kan hente programmet til at fjerne blaster her: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Du skal lidt ned på siden og der kan du finde et link til at downloade fixblast.exe

Og så skal du køre en sikkerhedsopdatering fra microsoft der hedder ms03-026 og den kan du hente her:

http://www.microsoft.com/security/incident/blast.asp

Du skal ikke ind i flere biblioteker og fjerne filer, det bliver gjort for dig, hvis du kører de ovenstående programmer og opdateringer...

Når du har gjort dette, så gør dig selv en tjeneste og kør alle sikkerhedsopdateringer fra Windows Update, så slipper du for lignende problemer i fremtiden... (www.windowsupdate.com)

Kenneth

Kommentar
Fra : bullemand


Dato : 16-11-03 14:43

Tak for alle svarene...

Lige i øjeblikket sidder jeg nemlig og døjer med den omtalte "orm"...

Godkendelse af svar
Fra : freddiemercury


Dato : 16-11-03 14:56

Tak for svaret briani.
                        

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177551
Tips : 31968
Nyheder : 719565
Indlæg : 6408825
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste