RPC Interface Buffer Overrun Vulnerability - MSBLASTER WORM

[delimir]

:S :twisted: Krece nova varijanta, kao sto se i moglo ocekivati !!!

Najnovija vest sa Kasperskog:

Kaspersky Labs, a leading expert in information security, reports the detection of a new modification of the notorious "Lovesan" worm (also know as "Blaster").

Kaspersky Labs' experts anticipate that in the short run a repeated outbreak of the global scale may occur. This is because the two versions of "Lovesan" exploit the same vulnerability in Windows and may co-exist on the same computer. "In other words, all computers infected by the original "Lovesan" will soon be attacked by its revamped versio," commented Eugene Kaspersky, Head of Anti-Virus Research for Kaspersky Labs, "Taking into consideration that the amount of infected systems is now reaching 300,000 the return of the worm will imply a doubling of this number and lead to unpredictable results." In the worst case scenario the world community might face a global Internet slow-down and regional disruption of access to the World Wide Web: just as it happened in January 2003 due to the "Slammer" worm.

Technologically, the new modification of "Lovesan" is a copycat of the original. Slight changes were made only to the appearance of the worm: a new name of the main worm-carrier file (TEEKIDS.EXE instead of MSBLAST.EXE), a different method of code compression (FSG instead of UPX), and new "copyright" strings in the body of the worm abusing Microsoft and anti-virus developers.

Users of Kaspersky® Anti-Virus can be sure that this new worm will not harm to their computers. All Kaspersky Labs products effectively detect both modifications of "Lovesan", without requiring an update.

Da, AVP mi ga je danas bas prepoznao kao Lovesan.Worm.w32. Mislim, to je ova stara verzija. Inace, zanimljivo je da juce kada mi je komp bio inficiran ni Windows Update mi nije radio (rano sam se setio da updateujem Win ) tj. javljao je da za mene nema nikavih updateova, iako je zadnji update koji sam instalirao bio SP1. Znaci virus radi

 

[delimir]

ljudi, problem sa ljudima je sto niko ne gleda apdejte na MS sajtu... jeste li za to da recimo ja krenem da izvestavam o nekim vaznim apdejtima vezanima za MS sisteme obzirom na njihovu veliku rasprostranjenost? meni nije problem posto se dnevno informisem o svim zakrpama za MS proizvode

Da, nesto tako stvarno fali. Recimo, kada odem na WinUpdate vidim tamo 50 updateova od kojih vise od pola krpi neke propuste sa uredjajima koje ja nazalost uopste ne koristim. Mislio da bi bilo dobro da se, na neki nacin informisemo o vaznim updateovima. Bilo bi takodje dobro da vestopisac povremeno spomene kada se pojave neke bas vazne zakrpe za sistem.

 

[][V][ATRIX™]

Da se posalje mass mail svim clanovima....... :mrgreen:

 

[drapin]

Ma problem je sto ljudi ne koriste redovno Windows Update, a trebalo bi...cak se secam da je bilo ovde i nekih koji su pisali da ga ne koriste iz straha da ce MS da "otkrije" da imaju piratski Windows :idea: :!: :?:

Kao sto rekoh vec na pocetku ovaj patch je izasao jos 16-og jula...ja sam ga recimo instalirao 21-og i naravno sad me cela ova frka uopste ne tangira... ,)

Trebalo bi da ljudima predje u naviku da isto kao sto apdejtuju anti-virus definicije apdejtuju i Windows, barem jednom nedeljno da provere sta ima.

A sto se tice velikog broja mozda nepotrebnih stvari, MS vrlo lepo pravi razliku izmedju Critical i Recommended Update-ova. Ja licno uopste ne razmisljam ni ne citam sta je u Critical - nego odmah skidam i instaliram, ma uopste me ne interesuje sta je, ako je Billy priznao da je critical to ne da je kriticno nego...joj !!!

Npr. trenutno meni na Windows Update za XP prijavljuje samo 7 stvari u Recomended sekciji koje mi nisu instalirane i koje naravno ni ne nemeravam da skidam jer su za neke stvari koje, kao sto rece delimir, uopste nemam ili ne koristim.

I nema sta tu da se kopa i trazi po MS sajtu, pa direktan link je i u IE/Tools i na vrhu All Programs liste, a dalje sve manje vise ide automatski.

So, what's the problem ???

 

[Zoltan]

Da dodam, da u ovom konkretnom slucaju problem je resen vec i sa firewall-om. Pre nego sto sam na forumu uopste procitao za ovaj problem, razne IP adrese su pokusavali da se konektuju preko port 135 na generic host process. Ne treba biti inteligentan da se ne pusta tako nesto!

Dakle, koristite firewall!

 

[Graphic]

Ovo mi se nikada nije desilo, ali ima dana

 

[DaeDaLuS]

Djecki, sta da vam kazem... problema ne-ma!

 

[netizen_k]

A firewall?

Nesto mi nije jasno... kako je moguce da svi vi koji ste zakacili taj worm niste koristili neki firewall?

Koliko sam ja skapirao iz vesti taj worm mora prvo da upadne preko 135 i onda preko nekog drugog porta odradi upload code-a. To znaci da ste imali firewall ne bi bilo problema bez obzira sto niste zakrpili XP...

 

[Zoltan]

Mozda XP firewall omogucava komunikaciju preko port 135.
I Kerio pokazuje da svchost.exe (Generic Host Process) "slusa" port 135 tj. ceka na komunikaciju.

 

[netizen_k]

Mozda XP firewall omogucava komunikaciju preko port 135.
I Kerio pokazuje da svchost.exe (Generic Host Process) "slusa" port 135 tj. ceka na komunikaciju.

Pa onaj ko se oslanja iskljucivo na built in MS firewall nije doneo bas neku pametnu odluku...

 

[Gedza]

Za sve koji su imali problema vazi sledeca procedura:
Startujte masinu, ubijte u task manageru msblast, pa onda u win/system32 obrisite fajl msblast.exe.
Otvorite registry i u searchu ukucajte msblast i sto god nadje brisite. Nakon svega ovoga instalirejte pach http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

 

[delimir]

August 13, 2003

By Dennis Fisher

Security experts are now tracking a new variant of the Blaster worm that was first spotted Wednesday morning.

The new version is nearly identical to the original, except for a new name on the executable file and a different registry key. The variant's file name is "teekids.exe," and the key it adds to the registry is: "Microsoft Inet Xp.." The key is located in the same place as Blaster's key is, according to Neel Mehta, research engineer at Internet Security Systems Inc. in Atlanta.

"Some of our customers say that they're seeing more copies of the new one than the old one, but I think that's just bad luck," Mehta says. "It scans exactly the same way and acts exactly the same as Blaster."

Mehta said that some copies of the new variant are coming packed with various known Windows Trojan programs, as well.

www.iexbeta.com

 

[EagleOne]

Uh ja sam taman instalirao novi sys win2000 sp4 i taman sam zavrsio sa installom uobicajenog seta programa i konfigurisanjem... odem na net koji put i posle koji minut mi svchost.exe (jedan od 3 ?! koja se podignu na startupu)pukne ali se komp ne restartuje, samo vise nemam copy/paste u ie, new window i jos neke opcije itd... (vrlo,vrlo frustrirajuce)...

Dobroi da sam video ovaj trid za worma sam citao ali sada nisam siguran da li je kod mene taj slucaj jer mi ne pada komp, opet nemem nikakav av sw ni firewall, ajd sada cu da vidim nesto da skinem samo kako da otvorim new window

 

[EagleOne]

ne radi ni windows installer, nema veze dohakacu mu ja...
Ja u regu nemam ni jedan string koji ima veze sa keyword-ima ovog worma, ali ipak mora da je to...
Eto napokon i mene nesto da nokautira posle yankee dodle-a , da jo neko ima slicna iskustva kao ja na 2k ?

 

[delimir]

Pokrenut removal tool (koji je javio da je uklonio virus) na nekom laptopu, i taman sto se komp nakacio na net (u potrazi za patchom) odmah je poceo da odbrojava. Znaci virus se jako brzo siri.

 

[drapin]

Pokrenut removal tool (koji je javio da je uklonio virus) na nekom laptopu, i taman sto se komp nakacio na net (u potrazi za patchom) odmah je poceo da odbrojava. Znaci virus se jako brzo siri.

U takvim slucajevima je prakticno odmah, sto brze, kliknuti na sat u taskbaru i promeniti sistemsko vreme na neki prosli datum. Tako se dobija dosta vremena do shutdown-a, pa je moguce lepo skinuti patch, removal tool i sta vec treba.

Na primer ovaj tip je namestio vreme na dve godine unazad, tako da mu je do gasenja racunara ostalo... :mrgreen:

 

[baltazar]

Koja fora...

Na primer ovaj tip je namestio vreme na dve godine unazad, tako da mu je do gasenja racunara ostalo... icon_mrgreen.gif

Kakva shipt*ska fora , ali radi.... Inace i ja sam ga zapatio, ali sam posle patcovanja protrcao sa symanetckovim alatom za ciscenje i on rece da NEMAM VIRUS??!! Probao sam da tucem po find file-u i nadjem msblast.exe u compu, ali ga opet nema? Mislim o cemu se radi? Inace radi mi ZA i NAV2003 non stop i opet sam uspeo da ga navucem?
Sto je jos gore sad nisam nacist dal ga jos uvek imam ili jok? :?:
Ima li neko nekakav pametan predlog?

 

[Artz]

Re: Koja fora...

Kakva shipt*ska fora , ali radi.... Inace i ja sam ga zapatio, ali sam posle patcovanja protrcao sa symanetckovim alatom za ciscenje i on rece da NEMAM VIRUS??!! Probao sam da tucem po find file-u i nadjem msblast.exe u compu, ali ga opet nema? Mislim o cemu se radi? Inace radi mi ZA i NAV2003 non stop i opet sam uspeo da ga navucem?
Sto je jos gore sad nisam nacist dal ga jos uvek imam ili jok? :?:
Ima li neko nekakav pametan predlog?

Nisi dobio virus. To sto ti se restartuje komp ne znaci da ti licno na tvom komp -u imas virus. Msblast koji se nalazi na drugim masinama napada tvoju i resetuje je.

 

[mikle]

Zanimljivo je da ovaj worm pravi razlicite probleme. Za sada sam ga pronasao na cetiri racunara kod mojih prijatelja.

Kod prvog je bila standardna greska restarta kad je na netu.

Kod drugog se posle skidanja sa neta izgube sve internet konekcije i vracaju se nakon restarta ali dok je na netu sve je ok.

Kod treceg Outlook Express nije hteo da izbrise poruke iz Outbox-a posle slanja istih.

A kod cetvrtog nije uopste hteo da se konektuje na mrezu.
Samo je ovaj drugi bio na Win2K preostala trojica na WinXP.

Ako neko ima neke druge simptome neka ih baci na thread.

I ljudima koji su samo skinuli i instalirali onaj Microsoft-ov patch savetujem da skinu sa neta i neki removal tool i ociste racunar od ove napasti jer mi se cini da patch samo onemogucava dalje dobijanje ovog worm-a sto ne znaci da je racunar "izlecen".

 

[EagleOne]

Final:
Nisam imao worm-a. Pored toga sam pogubio silno vreme na netu skidajuci pccillin update da ga na kraju PC-cillin ne bi prihvatio... Ali s obzirom da se u regu i na hdd ne pojavljuje ni jedan od pomenutih naziva za ovog worma - nema ga...

Ono sto se desava (kod mene na 2k padanje svchost-a ili nekima na xp-u restrart), je posledica buffer overflow-a (ptretpostavljam) jer svchost primi ogroman broj zahteva za konektovanje na port 135.

Interesantno istalirao sam posle ko zna koliko godina firewall (nasao sam na nekom starom disku ZA proffesional 2.6 ili sl.) i on apsolutno ne detektuje pokusaje uploada ni scan, dok PC-cillin-ov firewall sve to lepo odbija. Verovatno je to posledica njihovog simultanog rada ...

Izgleda da je virus programiran tako da prvo pocne sa upload-om na IP adrese iz intervala IP adrese sa koje napada, tako da ja dobijam gotovo neprestane request-e za Veratovih IP-ova ...

 

[delimir]

MS03-026 Scanning Tool

Microsoft has released a tool, KB 823980scan.exe, that can be used to scan networks to identify host computers that do not have the 823980 Security Patch (MS03-026) installed. For additional information about the Security Patch (MS03-026), Please review Knowledge Base Article 823980 in the Microsoft Knowledge Base.

Microsoft prepares to be Blasted

Microsoft hopes to be ready when hundreds of thousands of computers infected with the MSBlast worm start pelting its Windows Update service with data requests on midnight Friday.

The company has taken steps to try and dodge the denial-of-service attack, but it's also begun educating Windows users about other ways to get updates and patches in the event that the update service is made unavailable.

"We are preparing," said Stephen Toulouse, security program manager for Microsoft's security research center. "We are working diligently to make sure that our customers can get the patch."

The primary payload of the MSBlast worm, which began infecting systems Monday, is a DoS attack against the service from which most Windows users get their updates. If successful, the maneuver would help frustrate efforts to patch the Windows vulnerability the worm exploits. The strategy could also be a way of simply harassing the Redmond, Wash.-based software giant; the worm's code contains a message for the company's founder: "billy gates why do you make this possible? Stop making money and fix your software!!"

Named after the msblast.exe file that contains the program, MSBlast continued to spread across the Net on Wednesday, infecting nearly 228,000 computers by midmorning, according to data gathered by security company Symantec.

Computers infected with the worm will start sending connection requests to the Windows Update service at midnight Friday, according to the clock on a given user's computer.

Although Toulouse was mum on the specific steps the software giant is taking to prepare for the attack, Microsoft is advertising alternative ways to get downloads and information from its site. The company has put more than 10 links on its main Web site to send people to more information and alternative channels for downloading updates.

 

[Artz]

Manifestacija je definitvno ovakva: WinXP masine dobijaju odbrojavanje dok kod Win2000 masina ili puca RPC servis, negde sa upozorenjem negde ne (onda ne znas ni sta te je snaslo). Posto od RPC servisa zavisi mali milion drugih servisa pocinju da odkazuju recimo copy/paste kao i drugi vitalni servisi sistema.

 

[ZoNi]

Interesantno istalirao sam posle ko zna koliko godina firewall (nasao sam na nekom starom disku ZA proffesional 2.6 ili sl.) i on apsolutno ne detektuje pokusaje uploada ni scan, dok PC-cillin-ov firewall sve to lepo odbija. Verovatno je to posledica njihovog simultanog rada ...

Izgleda da je virus programiran tako da prvo pocne sa upload-om na IP adrese iz intervala IP adrese sa koje napada, tako da ja dobijam gotovo neprestane request-e za Veratovih IP-ova ...

ja sam "rekao" mom Keriu da ne "prica" sa nepoznatim wormovima :beat: tako da, osim sto me je 10ak puta prvog dana pitao da li sme da se druzi za tim zlocestim stvorenjima, uopste nemam nikakvih problema!

dakle: Win Live Update + nov firewall = NO Problemo! :ang:

 

[delimir]

Manifestacija je definitvno ovakva: WinXP masine dobijaju odbrojavanje dok kod Win2000 masina ili puca RPC servis, negde sa upozorenjem negde ne (onda ne znas ni sta te je snaslo). Posto od RPC servisa zavisi mali milion drugih servisa pocinju da odkazuju recimo copy/paste kao i drugi vitalni servisi sistema.

...ili ne mozes da se skines sa Neta, niti bilo kakvo kliktanje po systrayu ima efekta.

 

[boza]

meni se desava da u mrezi sve masine budu ubijene odjedanput(interval izmedju nekoliko sekundi i tako vise puta)
Crv ubija servis remote procedure call i moze da mu se doskoci na budjav nacin tako sto cete staviti da se racunar ne resetuje u slucaju njegovog gubitka vec da dalje radi.Patch jos nisam stavo ali moracu uskoro, nadam se da odradjuje posao?

 

[srki]

Ja ga nisam jos dobio.Koristim Norton anti virus i securiti. Ali drugar je sa istim nortonom dobio ga jedne veceri i sve ponovo inst. i sledeci dan ponovo dobio.Inace ja sam u CH i koristimo internet preko LAN konekcije.Ovamo je napravio pravu katastrofu tako da ima mnogo da se radi oko instalacija.Program koji ga otkriva zove se FixBlast . ctp;

 

[Pilence]

O E pa ko vam kriv kad ne koristite redovno Windows Update !
Meni u Instalation History pise da sam taj patch instalirao jos 21 jula. :rtfm: ;P


Ili sto ne koriste ME, kao ja, kod njega nema problema. cheers (D)

 

[Wolverine]

Ja koristim XP SP1 + Zone Alarm. Nista Windows Update. Nemam nikakvih problema. ZA uredno odbija sve opkusaje pristupa portu 135 (oko 50 na svakih 10 minuta).
Dakle, u dobrom firewall-u lezi zec

 

[Ser_Zile]

Mnogo me nerviraju AV programi tako da sigurno necu da koristim neki, jer mi je muka kad se integrisu do jaja pa pocnu da drljaju po disku i td. Da ne govorim sto usporavaju masinu. Firewall cima nonstop jer se deca igraju sa nekim skenerima, sub7 trojancima i slicnim glupostima sa kojima nemoze nista da se uradi.

Mislim da je resenje windows update kao sto je neko vec pomenuo par puta i to cu poceti da koristim, nije losa ni ideja da neko obavestava o novim zakrpama.

:wave;

 

[ZoNi]

VEOMA je losa ideja NEkoriscenja av-programa i firewalla!!!!!!!!

(podesi firewall da te ne pita stalno - mene Kerio pita jednom u tri dana...)

(probaj NOD32 - stvarno malo opterecuje masinu, a vise puta je proglasavan za najbolji av-program!)