blaster virusen 23-09-03 10:39 : briani 23-09-03 10:45 : briani 23-09-03 11:00 : CLAN 23-09-03 11:02 : kenneth24 16-11-03 14:43 : bullemand 16-11-03 14:56 : freddiemercury

blaster virusen Fra : freddiemercury Vist : 785 gange 50 point Dato : 23-09-03 10:29

hvordan er det lige man fjerner blaster virusen helt man skal ind i flere underbiblioteker men hvor og hvor mange steder drejer det sig om tak

Kommentar Fra : briani Dato : 23-09-03 10:39

Hejsa freddiemercury kik her http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html Mvh Brian

Accepteret svar Fra : briani Modtaget 60 point Dato : 23-09-03 10:45

Tillæg Her er der også værktøj til at fjerne blaster http://www.spywarefri.dk/virus.htm#msblast Brian

Kommentar Fra : CLAN Dato : 23-09-03 11:00

Som tillæg til Spywarefri, som Brian er inde på (rigtig god side) Citat Navn: W32.Blast.worm Alias: W32/Lovsan.worm, WORM_MSBLAST.A, Win32.Poza, W32.Blaster.Worm. Dato: 11. August 2003 Størrelse: 6,176 bytes (MD5sum: 5ae700c1dffb00cef492844a4db6cd69) Oprindelse: ? Risiko: Medium/HØJ Kruse Security ønsker hermed, at advare mod en automatiseret Internet orm der udnytter en sårbarhed under Microsoft Windows 2000/NT, XP og 2003 server. Ormen er i stand til at replikere sig automatisk hvis systemet ikke er behørigt opdateret. Det var ventet, at en Internet orm ville udnytte sårbarheden i RPC DCOM under Windows 2000, NT og XP. Det anbefales, at private brugere og erhvervsvirksomheder iværksætter forholdsregler, som beskevet i denne advisory. I de sene aftentimer mandag d. 11. August 2003 har Kruse Security modtager talrige samples og rapporteringer på W32.Blast.worm. Ormen er blevet sendt i spredning ved bl.a., at e-maile koden til et stort antal e-mail adresser med det formål, at opnå en så stor effekt af ormen, som overhovedet muligt. Ormen spreder sig automatisk ved at udnytte RPC DCOM svagheden, som er rettet i Microsoft Security Bulletin MS03-026 (Buffer Overrun In RPC Interface Could Allow Code Execution (823980). Opdateringen har været tilgængelig siden d. 16. Juli 2003 på følgende adresse: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp W32.Blast.worm replikerer sig via TCP port 135. Når ormen finder et ikke opdateret system vil den droppe en kopi af sig selv til windows system mappen. Det sker ved brug af en remote shell, som lytter på TCP port 4444. Ormen afvikler koden ved at udstede en TFTP (Trivial File Transfer Protocol) kommando (tftp -i %s GET %s), som via shell´en, downloader og afvikler koden fra den maskine, som har initieret forbindelsen. Ormekoden droppes til windows system mappen under navnet msblast.exe (pakket med UPX) og modificerer registreringsdatabasen med det formål, at ormen reaktiveres ved genstart af systemet. Den opretter derfor følgende runas værdi i registreringsdatabasen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update"=msblast.exe I just want to say LOVE YOU SAN!! bill Den danner en Mutex under navnet "Bill", som anvendes med det formål at forhindre, at flere samtidige sessioner af ormen oprettes i hukommelsen. Ormen anvender den inficerede maskine til at søge efter andre sårbare systemer. Det sker ved at scanne tilfældige IP adresser startede med det lokale subnet og herefter via tilfældige IP adresser i et klasse B subnet (255.255.0.0). W32.Blast.worm indeholder exploitkode, som er identisk med dcom.c. Den har umiddelbart held med at afvikle sig automatisk ved brug af universel windows 2000 offset værdi. Det kan imidlertid ikke udelukkes at ormen kan replikkere sig til både XP og 2003 server. Det er almindeligt kendt, at ormens exploit kode kan forårsage Denial of Service angreb mod allerede opdaterede systemer og bevirke at disse fejler. Kruse Security analyserer i øjeblikket flere rapporteringer om at Microsoft Windows Home Edition i dansk udgave er sårbar overfor denne orm. vi har modtaget rapporteringer fra brugere som mener at de har installeret alle relevante sikkerhedsopdateringer, men alligevel er blevet inficeret. Exploit koden dekrypterer sig selv ved brug af en 32-bit algoritme operation. Den henter KERNEL32.DLL base adressen fra hukommelsen og ved brug af denne, lokaliseres følgende API adresser (ved anvendelse af CRCs på API navnet): "LoadLibraryA", "WaitForSingleObject", "CreateProcessA", "ExitProcess", "WSAStartup", "WSASocketA", "bind", "listen", "accept", "closesocket". Ormen lytter, som tidligere nævnt, efter forbindelser som etableres til TCP port 4444. Denne port spawner cmd.exe. Enhver kan dermed misbruge en inficeret PC til at foretage et kald af en lokal cmd.exe med mulighed for, at afvikle yderligere ondsindet kode. Ormen indeholder følgende tekst: "billy gates why do you make this possible ? Stop making money and fix your software!!" Endvidere befinder sig en ondsindet payload som initierer et Distribueret Denial of Service angreb (SYN flood) mod windowsupdate.com som indledes fra midnat d. 15 August 2003. Denne hjemmeside anvendes bl.a. til at opdatere sårbare systemer. Ormen afsender 40 bytes pakker med 20 millisekunders intervaler mod port 80, som alle lander på adressen windowsupdate.com. Denne payload kan bevirke, at Microsoft´s automatiske opdateringstjeneste, som ligger på denne adresse, vil være utilgængelig med det til følge, at kunder ikke vil kunne opgradere et sårbart system. DDoS angreb vil blive gennemført mellem den 16. og 31. i følgende måneder: september, oktober, november og december. --- Undgå W32.Blast.worm --- Det anbefales først og fremmest, at opgradere med den opdatering, som er frigivet af Microsoft. Se ovenstående link. Derudover bør man overveje, at blokkere for trafik til følgende porte: UDP/135, TCP/135, UDP/137, TCP/137, TCP/445 og TCP/593. Det kan ske via en central firewall. ISP´ere bør overveje at filtre TCP port 135. Hjemmearbejdspladser bør etableres med en sikkerhedspolitik, som forhindrer denne orm i at replikere sig til interne netværk bl.a. via IPSec, eller bærbare PC´ere som kobles direkte på det interne netværk. Et opdateret antivirus program er i stand til at detekte W32.Blast.worm på et inficeret system. Norman Antivirus detekter denne trussel som W95/Blaster-A. --- Sideeffekter --- Systemer med åben port 135 kan opleve ustabilitet, som potentielt forårsager, at systemer ukritisk genstarter med en fejlmelding fra SVCHOST. Kruse Security har set mange eksempler på at dette forekommer på systemer, som allerede er blevet opdateret. Ormen anvender et Windows 2000 offset i exploitkoden, som er yderst effektivt Denial of Service mod Windows XP systemer. --- Sådan fjernes ormen fra et inficeret system --- 1. Opdater maskinen med ovenstående patch fra Microsoft 2. Fjern værdien i registreringsdatabasen, som peger på "msblast.exe" 3. Genstart maskinen 4. Slet herefter msblast.exe fra windows system mappen (system32) Denne analyse kan findes online på adressen: http://www.krusesecurity.dk/advisories/blastworm.txt Yderligere oplysninger om RPC DCOM sårbarheden kan findes på følgende URL: http://www.krusesecurity.dk/advisories/1807031.txt En oversigt over Virus og Security Alerts udsendt siden den 1. Maj 2003 kan findes på følgende adresse: http://www.krusesecurity.dk/nyheder.html Oversigten vil løbende blive opdateret. Alerts og Advisories sendt til den lukkende liste vil ikke blive publiceret offentligt. Yderligere informationer om adgang til den lukkede liste kan findes på følgende adresse: http://www.krusesecurity.dk/mailinglist.htm --- Andre links med information om W32.Blast.worm --- http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html http://vil.nai.com/vil/content/v_100547.htm http://www.sophos.com/virusinfo/analyses/w32blastera.html http://xforce.iss.net/xforce/alerts/id/150 http://isc.sans.org/diary.html?date=2003-08-11 http://www.f-secure.com/v-descs/msblast.shtml Gratis værktøjer, som kan fjerne W32.Blast.worm, kan hentes på følgende URLs: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip Et øjeblikkeligt statusbillede af forespørgsler til port 135 kan ses på følgende adresse: http://isc.sans.org/images/port135percent.png Med venlig hilsen / Kind regards Peter Kruse Kruse Security & Virusresearch http://www.krusesecurity.dk Phone +45 28 49 05 32 Søren

Kommentar Fra : kenneth24 Dato : 23-09-03 11:02

Du kan hente programmet til at fjerne blaster her: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html Du skal lidt ned på siden og der kan du finde et link til at downloade fixblast.exe Og så skal du køre en sikkerhedsopdatering fra microsoft der hedder ms03-026 og den kan du hente her: http://www.microsoft.com/security/incident/blast.asp Du skal ikke ind i flere biblioteker og fjerne filer, det bliver gjort for dig, hvis du kører de ovenstående programmer og opdateringer... Når du har gjort dette, så gør dig selv en tjeneste og kør alle sikkerhedsopdateringer fra Windows Update, så slipper du for lignende problemer i fremtiden... (www.windowsupdate.com) Kenneth

Kommentar Fra : bullemand Dato : 16-11-03 14:43

Tak for alle svarene... Lige i øjeblikket sidder jeg nemlig og døjer med den omtalte "orm"...

Godkendelse af svar Fra : freddiemercury Dato : 16-11-03 14:56

Tak for svaret briani.

Du har følgende muligheder

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål. Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.