PDA

Visualizza versione completa : W32.Blaster.A - Rischio 5 - Update


Pagine : [1] 2

Giorgius
12-08-2003, 10.50.35
http://www.europe.f-secure.com/virus-info/v-pics/rpc_english.gifhttp://ahnlab.nefficient.co.kr/20030812/images/virusinfo/Blaster_05.jpg

09:56 VIRUS: SOPHOS SEGNALA W32/BLASTER-A

(ASCA) - Roma, 12 ago - Un virus identity file (Ide) che
fornisce protezione e' disponibile sul sito di Sophos e sara'
incluso nella versione di settembre 2003 di Sophos
Anti-Virus. Sophos ha ricevuto varie segnalazioni sul worm
W32/Blaster-A o sui suoi alias W32/Lovsan.worm,
W32.Blaster.Worm, WORM_MSBLAST.A.
Maggiori informazioni su W32/Blaster-A sono disponibili
all'indirizzo
http://www.sophos.com/virusinfo/analyses/w32blastera.html E'
possibile scaricare il file Ide da
http://www.sophos.com/downloads/ide/blastera.ide Informazioni
su come usare i file Ide sono disponibili all'indirizzo
http://www.sophos.com/downloads/ide/using.html.


Aliases:
WORM_MSBLAST.A (Trend Micro), W32/Blaster (Panda Software), W32/Lovsan.worm (McAfee), W32.Blaster.Worm (Symantec), I-worm.Lovsan (Kaspersky (viruslist.com)), Troj/Msblas (PerAntivirus), WIN32/LOVSAN.A (Enciclopedia Virus (Ontinent)), W32/Blaster-A (Sophos), Win32.Poza (Computer Associates), W32/Blaster (Hacksoft)


Effetti:
W32.Blaster.Worm is a worm that will exploit the DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135. This worm will attempt to download and run the Msblast.exe file.
Block access to TCP port 4444 at the firewall level, and then block the following ports, if they do not use the applications listed:

TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"

The worm also attempts to perform a Denial of Service (DoS) on windowsupdate.com. This is an attempt to prevent you from applying a patch on your computer against the DCOM RPC vulnerability.


Info:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
http://www.srnmicro.com/virusinfo/blaster.htm
http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://vil.mcafee.com/dispVirus.asp?virus_k=100547
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=det&idvirus=40369
http://www.perantivirus.com/sosvirus/virufamo/msblast.htm
http://vil.nai.com/vil/content/v_100547.htm
http://www.f-secure.com/v-descs/msblast.shtml
http://www.ciac.org/ciac/bulletins/n-133.shtml
http://www.hacksoft.com.pe/virus/w32_blaster.htm


Utility per rimuovere il Virus:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip
http://updates.pandasoftware.com/pq/gen/blaster/pqremove.com
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
http://www.nod32.it/cgi-bin/mapdl.pl?tool=LovsanA

Giorgius
12-08-2003, 11.25.11
Info gallery:

http://ahnlab.nefficient.co.kr/20030812/images/virusinfo/Blaster_01.jpg

http://ahnlab.nefficient.co.kr/20030812/images/virusinfo/Blaster_02.jpg

http://home.ahnlab.com/images/virusinfo/Blaster_03.jpg

http://ahnlab.nefficient.co.kr/20030812/images/virusinfo/Blaster_04.jpg

http://www.f-secure.com/virus-info/v-pics/lovsan1.jpg


Si sta propagando rapidamente in rete sempre tramite le solite E-Mail infette... :rolleyes:


14/08/03 Update: L'infezione potrebbe avvenire anche tramite alcuni Siti Web (Server) infetti dal Virus in precedenza ("CodeRed_Reloaded")

Giorgius
12-08-2003, 11.33.57
Update utility per rimuovere il Virus:

Stinger v1.8.0
BackDoor-AQJ Bat/Mumu.worm IPCScan
IRC/Flood.ap IRC/Flood.bi IRC/Flood.cd
NTServiceLoader PWS-Sincom W32/Bugbear@MM
W32/Deborm.worm.gen W32/Elkern.cav W32/Fizzer.gen@MM
W32/FunLove W32/Klez W32/Lirva
W32/Lovgate W32/Lovsan.worm W32/Mimail@MM
W32/MoFei.worm W32/Mumu.b.worm W32/Nimda
W32/Sdbot.worm.gen W32/SirCam@MM W32/Sobig
W32/SQLSlammer.worm W32/Yaha@MM
http://download.nai.com/products/mcafee-avert/stinger.exe

BitDefender removing utility:
http://bitdefender.com/html/virusinfo.php?menu_id=1&v_id=148#

Proland Software Blaster Free Cure:
http://www.pspl.com/download/cleanbl.exe

davlak
12-08-2003, 11.37.39
l'ho beccato ieri.
A me non é entrato a mezzo mail, uso pop-peeper e ho cancellato dai server tutta la posta sospetta.
Immagino abbia anche altre vie di diffusione.

Io non uso alcun firewall, ma mi sà che questa é la volta buona.

Giorgius
12-08-2003, 11.42.42
;) (Y)


TeleVideo RAI 12/08 06:25
Internet, Usa: virus attacca Microsoft

Un virus informatico sta attaccando uno dei siti della Microsoft sfruttando un difetto del sistema operativo windows, quello più ampiamente diffuso. Secondo esperti americani citati dall'agenzia Ap,il virus riesce in modo misterioso a riusare i computer infettati attraverso Internet e a farli ripartire all'attacco contro uno dei siti del colosso informatico. Non ci sarebbero per ora grandi disagi sulla rete Web.Il virus,battezzato LovSan, è giudicato preoccupante dalle autorità americane.


12 ago 06:41 Internet: virus attacca sito Microsoft, gli esperti di sicurezza informatica brancolano nel buio

WASHINGTON - Un virus riesce a superare tutti i sistemi di protezione del sistema operativo Windows, il piu' diffuso al mondo, e a ritorcere contro il sito della software house americana Microsoft l'attacco dei terminali infettati. A riferirlo sono esperti del settore che ancora brancolano nel buio. L'attacco, si e' appreso finora, e' stato lanciato da un gruppo di hacker a partire da sabato, quando sono iniziate le prime disfunzioni del sito www.windowsupdate.com che mette a disposizione gli aggiornamenti destinati a Win. Il virus ha gia' un nome. E' stato battezzato "Lovsan", per il messaggio che lascia sui terminali infettati: ''I just want to say LOVE YOU SAN''. Piu' nascosto un messaggio rivolto direttamente a Bill Gates, a capo del colosso Microsoft, che intima il magnate dei computer a smettere di pensare solo ai profitti e investire maggiormente nella difesa dei suoi sistemi operativi. (Agr)

Daniela
12-08-2003, 11.59.48
Non riesco a liberarmene :wall:

Doomboy
12-08-2003, 12.01.33
Originariamente inviato da davlak

Io non uso alcun firewall, ma mi sà che questa é la volta buona.


Mi sa che è la cosa migliore. :)

Oggi dopo il lavoro devo andare a disinfestare due pc di amici che non avevano firewall e stanno always on con le dsl...

So già che quando dirò loro che sarebbe meglio formattare, mi sputeranno entrambi in un occhio...se ho fortuna mireranno entrambi allo stesso occhio, così manterrò almeno la vista bidimensionale :rolleyes:

Comunque qui in ufficio ho usato su un portatile di un collega il tool della Symantec e non ho avuto alcun problema.

:)

Giorgius
12-08-2003, 12.11.19
Dani prova anche con l'utility "Stinger" se quello del Panda non funzionasse ;)

Mi raccomando di disabilitare l'opzione su "Sistema" del "Ripristino Configurazione di Sistema" (only WINXP);)

Altrimenti si perde un sacco di tempo inutile per rimuovere il Virus.

Giorgius
12-08-2003, 12.15.34
La traccia del Virus sul registro di Windows è questa:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \windows auto update

Daniela
12-08-2003, 12.20.51
Ecco... mi è ricomparsa la finestra del menga :(

Giorgius
12-08-2003, 12.22.57
....

Daniela
12-08-2003, 12.27.46
Impossibile eseguire le patch e fare l'update di windows.

Corrotto il file update.inf

Giorgius
12-08-2003, 13.16.48
http://www.nipc.gov/images/2003%20images/dhstitle.jpghttp://www.nipc.gov/images/2003%20images/dhs-threatyellow.jpg

ADVISORY

Potential For Significant Impact On
Internet Operations Due To Vulnerability
In Microsoft Operating Systems

Worm Spreading on the Internet

August 12, 2003
THIS IS THE SECOND UPDATE TO THE DEPARTMENT OF HOMELAND SECURITY (DHS) JULY 24, 2003 ADVISORY ON MICROSOFT OPERATING SYSTEMS. The DHS/ Information Analysis and Infrastructure Protection (IAIP) National Cyber Security Division (NCSD) is issuing this advisory in consultation with the Microsoft Corporation to heighten awareness of potential Internet disruptions resulting from the possible spread of malicious software exploiting a vulnerability in popular Microsoft Windows operating systems.
http://www.nipc.gov/warnings/advisories/2003/2nd%20Update8122003.htm


... Il virus è stato soprannominato "LovSan" a causa di un messaggio lasciato sui Pc infetti, che recita: "I just want to say LOVE YOU SAN". I ricercatori hanno poi scoperto un secondo messaggio nascosto nel virus che si rivolge direttamente a Bill Gates sbeffeggiandolo così: "Bill Gates, com'è possibile? Smetti di far soldi e produci del software migliore!"...

Giorgius
12-08-2003, 13.22.38
Info italiana sulle Patch Microsoft
http://www.microsoft.com/italy/technet/solutions/security/ms03_026.asp

Patch MS consigliate:

- Blaster Worm: Critical Security Patch for Windows XP - Italiano
http://download.microsoft.com/download/a/2/f/a2fddb77-f81d-4fe5-a819-8787cba53a4b/WindowsXP-KB823980-x86-ITA.exe

- Advanced Networking Pack per Windows XP Sp1 KB817778
Advanced Networking Pack per Windows XP è un aggiornamento consigliato per Window XP SP1.
Include una nuova versione dello stack IPv6, un firewall IPv6 e un'infrastruttura peer-to-peer.
http://download.microsoft.com/download/7/6/1/761d04a3-e7ca-4bfe-bbde-8842f15965c6/WindowsXP-KB817778-x86-ITA.exe

- Blaster Worm: Critical Security Patch for Windows 2000 - Italiano
http://download.microsoft.com/download/9/8/b/98b404d3-849d-4e95-9928-a2a14c65862b/Windows2000-KB823980-x86-ITA.exe

- Blaster Worm: Critical Security Patch for Windows Server 2003 - Italiano
http://download.microsoft.com/download/e/e/e/eeeef42a-5ce6-4a2d-8d9c-fa968028f06b/WindowsServer2003-KB823980-x86-ITA.exe

- Blaster Worm: Critical Security Patch for Windows NT 4.0 - Italiano
http://download.microsoft.com/download/b/f/b/bfbb08d5-90af-49fb-9ac7-ccf4c196a5a1/ita_Q823980i.exe

Giorgius
12-08-2003, 13.44.52
Un ulteriore controllo, pulite le directory temporanee di Windows XP:

C:\windows\temp

e

C:\Documents and Settings\**\Impostazioni locali\Temp

Se avete installato utility come "PeerGuardian" e "Zone Alarm", disabilitatele prima, perchè nella cartella dei file temporanei risiedono alcuni files di queste utility. ;)


** = il nome che avete dato al vostro Windows


Verificate che in C:\Windows o C:\Windows\System32
non vi siano traccie di eseguibili come "msblast.exe" e "anti_blaster.exe"

Giorgius
12-08-2003, 13.47.45
http://www.cnnitalia.it/2003/TECNOLOGIA/08/12/1044virusinformatico/bacowin.Top.jpg

Internet: super-virus, allarme alto anche in Italia

(ANSA)-ROMA,12 AGO-Da qualche ora e' allarme 'molto alto' in tutto il mondo,anche in Italia,per il super-virus Lovsan,che da questa notte ha cominciato a replicarsi sulla rete. L'allarme,lanciato stanotte negli Usa, e'ormai diffuso in tutto il mondo e il virus sta cominciando a colpire anche in Italia,ha detto l'esperto di sicurezza informatica Fulvio Berghella,responsabile di Securitynet e vicedirettore generale della Euros Consulting.'All'incirca dalle 10 di oggi si registrano difficolta'a collegarsi in rete',ha detto Berghella.
2003-08-12 - 13:38:00
© Copyright ANSA Tutti i diritti riservati


Il nuovo virus informatico si diffonde rapidamente via internet
Ultimo aggiornamento 12 agosto 2003, 11:41 ora italiana (09:41 GMT)

WASHINGTON (CNN) -- Un virus informatico, la cui pericolosità era stata oggetto di allarme da parte del governo Usa e dell'industria, si sta diffondendo rapidamente attraverso internet, provocando un'improvviso spegnimento e riavvio dei computer e causando un attacco elettronico programmato verso la Microsoft.
http://www.cnnitalia.it/2003/TECNOLOGIA/08/12/1044virusinformatico/index.html

energia
12-08-2003, 14.13.02
bho non riesco a tirarlo via.....ho provato di tutto

messa la patch e tolto il ripristino configurazione

Giorgius
12-08-2003, 14.17.07
Update: Altro sistema per rimuovere il Virus

Trend Micro System Cleaner
http://www.trendmicro.com/download/tsc.asp



Update 14/08/03: Alcuni Antivirus oggi hanno rilasciato una nuova versione dei loro database per rimuovere anche le varianti "B" e "C" del Virus Blaster.

;)(Y)

Giorgius
12-08-2003, 14.23.02
Originariamente inviato da energia
bho non riesco a tirarlo via.....ho provato di tutto

messa la patch e tolto il ripristino configurazione

Controlla i file temporanei e metti mano al registro di Windows per cancellare la stringa immessa dal Virus...

E' probabile che WinXP base (senza Sp1 e patch sicurezza di Luglio 03) non sia facile da recuperare... :rolleyes:

Vale la pena di tentare l'eliminazione manuale della stringa di registro sopra riportata. (x i meno esperti meglio cercare un negozio di Informatica "aperto" con una certa esperienza per la rimozione dei Virus informatici) ;)(Y)

Sono sicuro che presto uscirà come al solito una nuova variante di questo stramaledetto Worm informatico. :rolleyes: :( :rolleyes:

Giorgius
12-08-2003, 14.34.20
Il baco ha già colpito un sito di Microsoft

Il CyberVirus «Lovsan» attacca anche l'Italia
Primi disagi sul web, ma i problemi continueranno a crescere nelle prossime ore

WASHINGTON - Da qualche ora è allarme «molto alto» in tutto il mondo, anche in Italia, per il super-cybervirus Lovsan, che da questa notte ha cominciato a replicarsi sulla rete. L'allarme, lanciato in nottata negli Stati Uniti, è ormai diffuso in tutto il mondo e il virus sta cominciando a colpire anche in Italia, ha detto l'esperto di sicurezza informatica Fulvio Berghella, il responsabile di Securitynet e vicedirettore generale della Euros Consulting. «All'incirca dalle 10,00 di oggi si registrano difficoltà a collegarsi in rete», ha detto.
SFRUTTA UNA FALLA DI WINDOWS - In precedenza «Lovsan», il cui arrivo era stato previsto già dal 16 luglio dal governo americano e dall’industria informatica che avevano lanciato un avvertimento, si era rapidamente propagato su Internet tra lunedì sera e la notte bloccando i computer e attuando un attacco concertato contro Microsoft. Il virus è stato rintracciato lunedì sera alle 21 (ora italiana). Secondo gli esperti, il virus, che sfrutta una falla di Windows, non compromette seriamente la rete ma continua a propagarsi. Diverse decine di migliaia di computer nelle università, nelle aziende e nelle case sono stati infettati.

COME AGISCE - Il virus attacca un sito con il quale la società informatica fornisce ai clienti un aiuto contro queste infezioni. Il virus è stato battezzato «Lovsan» a causa di una nota che dice «Voglio proprio dire I love San» e rimane sui computer infettati. È stato scoperto anche un altro messaggio, che chiede al presidente di Microsoft Bill Gates: «Perché hai permesso tutto ciò? Smettila di fare soldi e ripara il suo computer».
Il governo americano ed esperti dell’industria informatica avevano anticipato l’arrivo di questo virus dal 16 luglio, data nella quale Microsoft aveva avvertito che il virus attacca tutte le versioni di Windows.
Secondo esperti americani, il virus riesce in modo tuttora misterioso a prendere possesso dei computer infettati attraverso internet e a indirizzarli all'attacco contro uno dei siti di Microsoft. Non ci sarebbero per il momento grandi disagi sulla rete web, ma probabilmente il virus continuerà a crescere nelle prossime ore, un fenomeno giudicato preoccupante dalle autorità Usa.

Giorgius
12-08-2003, 14.37.48
http://www.corriere.it/Hermes%20Foto/2003/08_Agosto/02/virus--230x180.jpg

Questo è quello che si preannunciava il "2 Agosto" scorso:

... LA «FALLA» DI MICROSOFT - Preludio di un attacco in grande stile. Ancora una volta a fornire la porta di ingresso secondario agli intrusi è una «falla» di Microsoft Windows. «Gli hacker stanno scannerizzando la Rete a caccia di macchine che non avendo installato la patch sono vulnerabili», dice Falzea. «Una volta raggiunta una lista cospicua, grazie a un virus del tipo worm, possono prendere il controllo di queste macchine e usarle come "zombie" da cui fare partire gli attacchi» ...

davlak
12-08-2003, 14.41.08
Originariamente inviato da Daniela
Impossibile eseguire le patch e fare l'update di windows.

Corrotto il file update.inf
Prova a rinominare l'update.inf in update.old
Dai servizi di XP disattiva l'aggionamento automatico.
Apri il task monitor (ctrl+alt+canc) e termina il processo msblast.exe.
Vai nel registro e cancella il valore windows update in:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

Lancia la patch di Symantec.

Rinomina nuovamente l'update.old in update.inf

Riavvia e controlla nella task se c'é ancora il msblast.exe.

A me ha funzionato, fai sapere.

Giorgius
12-08-2003, 14.43.42
Davlak,

;)

energia
12-08-2003, 14.44.12
ora sembra andare ....

Giorgius
12-08-2003, 14.49.38
http://www.mlin.net/media/StartupCPL.png

Chi ha installato l'utilty "Startup Control Panel 2.8" sa come toglierlo agevolmente dagli eseguibili di Windows. ;)

Download:
Mirror: http://www.mlin.net/files/StartupCPL.zip
Mirror: http://www.mlin.net/files/StartupCPL_EXE.zip

Daniela
12-08-2003, 15.25.23
Ho dovuto reinstallare tutto.

Non mi partiva più windows.. schermatona nera con scritto impossibile caricare windows per mancanza di un file sotto la cartella system32 di cui non ricordo il nome.

Impossibile ripristinare con la console perchè non gli andava bene la pw.

... (N)...


tutto da capo mi tocca fare... :wall: :(

Giorgius
12-08-2003, 18.47.47
Internet: virus minaccia soprattutto computer di casa

(ANSA)-ROMA,12 AGO- Si insinua soprattutto nei computer casalinghi e li spegne all'improvviso,cancellando tutto: e se si prova a riaccendere, il virus lo spegne di nuovo. Colpisce cosi'il super-virus Lovsan. L'antidoto esiste, si chiama Patch,e lo ha distribuito dalla Microsoft. La polizia consiglia di collegarsi con il sito Symantec per scaricare la patch,ma se non si ha il tempo materiale per farlo,visto che il pc si spegne,la patch si puo'scaricare da un altro pc, registrare su dischetto e poi inserirlo nel pc attaccato.
2003-08-12 - 17:20:00
© Copyright ANSA Tutti i diritti riservati

Giorgius
12-08-2003, 18.48.33
http://www.poliziadistato.it/pds/informatica/img/postale.jpg

Proteggersi dai virus: alcuni consigli utili:

Il timore di infezione da virus informatico sembra essere in aumento tra gli utenti della telematica. Proponiamo una lista di suggerimenti utili per ridurre i rischi di infezione.

Fate dei regolari backup dei dati più importanti;

Usate un software di protezione dai virus. Questo significa tre cose: caricarlo come primo programma in esecuzione, controllare ogni giorno se vi sono aggiornamenti sui virus e infine fare uno scan dei file del proprio computer periodicamente;

Usate un Firewall come un «gatekeeper» tra il vostro computer e la rete Internet. I Firewall sono essenziali per coloro che hanno una connessione ADSL o via cavo a Internet ma sono preziosi anche per chi utilizza la connessione telefonica;

Non tenete il computer allacciato alla rete quando non lo usate. E' consigliato piuttosto disconnettere il computer, se necessario, anche fisicamente.

Non aprite gli allegati delle e-mail provenienti da sconosciuti e verificate prima il nome dei mittenti e il soggetto;

Siate sospettosi anche di ogni allegato inaspettato inviatovi da chi conoscete poiché esso può essere stato spedito senza che la persona ne sia a conoscenza da una macchina infettata;

Scaricate regolarmente i «security patches» (modifiche per incrementare la sicurezza dei software) dal vostro fornitore di software.

mantyde
12-08-2003, 19.31.41
Ciao sono nuovo
ma anch'io ho lo stesso problema, solo che non riesco più ad avviare windows, credo di non avere disabilitato
il Ripristino Configurazione di Sistema.

Qualcuno potrebbe aiutarmi ?
Ho qualche possibilità di recuperare il S.O. senza dover formattare?

davlak
12-08-2003, 20.05.34
Originariamente inviato da mantyde
Ciao sono nuovo
ma anch'io ho lo stesso problema, solo che non riesco più ad avviare windows, credo di non avere disabilitato
il Ripristino Configurazione di Sistema.

Qualcuno potrebbe aiutarmi ?
Ho qualche possibilità di recuperare il S.O. senza dover formattare?
Prova prima l'ultima configurazione sicuramente funzionante (F8 in avvio).

Poi, se non parte, :
http://www.wintricks.it/windxp/ripristina.html

Occhio a scaricarti i .txt sennò ci metti un'ora a digitare i comandi.

Se non funge questa...format :(

p.s.: benvenuto :) (D)

Giorgius
13-08-2003, 09.56.10
http://www.cert.org/images/redone.gif

Steps to recover from W32/Blaster

These instructions are designed for Windows XP. Under some circumstances, these instructions may not completely disable the worm or protect the system from re-infection. See Notes.

Physically disconnect the machine from the network (remove phone/network cable, wireless card).

Kill the "msblast.exe" process using Task Manager.
Press Ctrl-Alt-Delete key combination
Click "Task Manager" button
Select "Processes" tab
Highlight "msblast.exe"
Click "End Process" button, answer "Yes" to warning dialog

Delete any files named "msblast.exe" on the machine.
Start -> Search -> Find Files or Folders
Search for "msblast.exe"
Right-click each file and delete it

(Optional) Disable DCOM
From MS03-026 http://microsoft.com/technet/technet/security/bulletin/MS03-026.asp :
Run Dcomcnfg.exe.
If you are running Windows XP or Windows Server 2003 perform these additional steps:
Click on the Component Services node under Console Root.
Open the Computers sub-folder.
For the local computer, right click on My Computer and choose Properties.
For a remote computer, right click on the Computers folder and choose New then Computer. Enter the computer name. Right click on that computer name and choose Properties.
Choose the Default Properties tab.
Select (or clear) the Enable Distributed COM on this Computer check box.
If you will be setting more properties for the machine, click the Apply button to enable (or disable) DCOM. Otherwise, click OK to apply the changes and exit Dcomcnfg.exe.

Enable Internet Connection Firewall (ICF)
From Microsoft Knowledge Base Article 283673 http://support.microsoft.com/default.aspx?scid=kb;en-us;283673 :
In Control Panel, double-click Networking and Internet Connections, and then click Network Connections.
Right-click the connection on which you would like to enable ICF, and then click Properties.
On the Advanced tab, click the box to select the option to Protect my computer or network.
If you want to enable the use of some applications and services through the firewall, you need to enable them by clicking the Settings button, and then selecting the programs, protocols, and services to be enabled for the ICF configuration

Reboot the machine and reconnect to the network.

Install the patch from Windows Update http://windowsupdate.microsoft.com/ , or MS03-026 http://microsoft.com/technet/technet/security/bulletin/MS03-026.asp .
Using Internet Explorer, go to Windows Update and follow the instructions there to install any available patches.

Read and apply the clean up measures outlined in MS03-026 http://microsoft.com/technet/technet/security/bulletin/MS03-026.asp .

Notes

The worm may exist as processes and files with names other than "msblast.exe."
It has been reported that AOL network connections do not display an option to use ICF.
Disabling DCOM may break things and may be unnecessary (assuming that the worm is completely disabled and ICF is enabled).
Another type of host-based or network firewall can be used to block 135/tcp.
Save yourself the trouble next time by blocking 135, 137, 138, 139, and 445 tcp and udp inbound and outbound. This will block most MS networking traffic.

More Information:

http://www.cert.org/advisories/CA-2003-20.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

;)(Y)

JMass
13-08-2003, 11.15.19
Originariamente inviato da Giorgius
http://www.poliziadistato.it/pds/informatica/img/postale.jpg

Proteggersi dai virus: alcuni consigli utili

Il timore di infezione da virus informatico sembra essere in aumento tra gli utenti della telematica. Proponiamo una lista di suggerimenti utili per ridurre i rischi di infezione.

Fate dei regolari backup dei dati più importanti;

Usate un software di protezione dai virus. Questo significa tre cose: caricarlo come primo programma in esecuzione, controllare ogni giorno se vi sono aggiornamenti sui virus e infine fare uno scan dei file del proprio computer periodicamente;

Usate un Firewall come un «gatekeeper» tra il vostro computer e la rete Internet. I Firewall sono essenziali per coloro che hanno una connessione ADSL o via cavo a Internet ma sono preziosi anche per chi utilizza la connessione telefonica;

Non tenete il computer allacciato alla rete quando non lo usate. E' consigliato piuttosto disconnettere il computer, se necessario, anche fisicamente.

Non aprite gli allegati delle e-mail provenienti da sconosciuti e verificate prima il nome dei mittenti e il soggetto;

Siate sospettosi anche di ogni allegato inaspettato inviatovi da chi conoscete poiché esso può essere stato spedito senza che la persona ne sia a conoscenza da una macchina infettata;

Scaricate regolarmente i «security patches» (modifiche per incrementare la sicurezza dei software) dal vostro fornitore di software.

Manca:
Utilizzate Linux, specialmente se dovete collegarvi ad Internet.
;)

Giorgius
13-08-2003, 11.17.41
http://vil.nai.com/vil/images/logo_main.gif

Update: - Filtro sul traffico dati del Virus LovSan:

Sniffer Filter:
Download a Sniffer filter to detect W32/Lovsan.worm traffic
(Sniffer Distributed 4.3 and Sniffer Portable 4.7.5).

Download:
http://vil.nai.com/vil/content/v_100547.htm

Il Link diretto al download non funziona...

;)(Y)

RNicoletto
13-08-2003, 11.23.07
Originariamente inviato da JMass
Manca:
Utilizzate Linux, specialmente se dovete collegarvi ad Internet.
;)
:D LOL :D


SALUDOS Y BESOS !!!

Giorgius
13-08-2003, 12.22.03
Worm che attacca Windows manda in tilt computer

SAN FRANCISCO - Un "verme" del Web chiamato "Blaster", che attacca il sistema operativo Windows, si sta diffondendo in tutto il mondo, infettando computer nelle case e negli uffici così rapidamente da non permettere ai tecnici di installare i sistemi di difesa. Un esperto di sicurezza informatica ha detto che il baco, che attacca specificamente computer con i sistemi Windows XP e Windows 2000, potrà diffondersi per giorni prima di poter essere fermato. Almeno 124.000 computer che usano programmi Microsoft Corp.'s Windows sono stati finora infettati in tutto il mondo, secondo un rapporto di Symantec Corp. "Le reti informatiche aziendali sono state colpite in maniera estesa", ha detto Alfred Huger, un alto dirigente di Symantec. "Centinaia di macchine si stanno riavviando automaticamente". Johannes Ullrich del SANS Institute ha detto che il tasso di velocità di diffuzione del verme sembra leggermente diminuito da ieri pomeriggio. SANS (SysAdmin, Auditing, Networking and Security Institute) è un'organizzazione per la sicurezza informatica con base a Bethesda, nel Maryland. Russ Cooper di TruSecure Corp., un provider di servizi di sicurezza a Herndon, Virginia, ha detto che il picco dell'attività è stato raggiunto fra le 2 e le 3, ora locale, di ieri. Il "verme", chiamato LoveSan, Blaster, o MSBlaster, sfrutta una debolezza nel servizio Distributed Component Object -- ospitato in una struttura di richiamo di procedura remota in Windows 2000 e Windows XP -- che permette ai computer di condividere files. Una volta che il "verme" entra in un computer vulnerabile, il programma scarica un codice da un computer precedentemente infettato che gli permette di propagarlo a sua volta. Poi, esplora la Rete alla ricerca di altre macchine vulnerabili e le attacca.
(Reuters)

jan_81
13-08-2003, 12.44.37
Originariamente inviato da JMass


Manca:
Utilizzate Linux, specialmente se dovete collegarvi ad Internet.
;)

(Y) (Y)

Poi magari passate le mattinate a risolvere dipendenze perchè volete usare il vostro messengere preferito.. :D

Giorgius
13-08-2003, 13.30.41
Per ovviare a certi Virus, in Windows basta usare un Browser ed un gestore di E-Mail come Opera o Mozilla ;)

http://grc.com/stevehomeoffice.jpg
Mr Steve Gibson

Utility di Sicurezza che non devono mai mancare con Windows 2000/XP:

http://grc.com/xpdite/xpdite-5.gif
XPdite
- (Raccomandato, per WinXP, no Sp1) - ;)

Ever since its original release, Windows XP has contained a critical flaw that could be trivially exploited at any time by any malicious hacker. By causing any Windows XP system to process a specially-formed URL (web-style link), the XP system would obediently delete all or most of the files within any specified directory. (That's not good.)

Download:
Mirror: http://grc.com/files/XPdite.exe


http://grc.com/unpnp/enabled2.gif
Security UNPNP
- (Raccomandato per WinXP/Win2K) - ;)

Effetti:
The FBI has Strongly Recommended that
All Users Immediately Disable Windows'
Universal Plug n' Play Support.

Download:
Mirror: http://grc.com/files/unpnp.exe


http://grc.com/stm/stm-running.gif
Shoot The Messenger

Effetti:
Simple Messenger Service Windows NT, 2000, and XP hide an hidden Internet server that is running by default. It receives and accepts, among other things, unsolicited network messages that cause pop-up dialog boxes to appear on the desktop. Internet Spammers have discovered this and are spraying pop-up Spam across the Internet. The Windows Messenger server should never have been running by default, and Microsoft has finally fixed that in Windows 2003, but users of previous Windows need to take responsibility for this themselves.

Download:
Mirror: http://grc.com/files/shootthemessenger.exe


http://www.xp-antispy.org/top/logo.gif
Xp AntiSpy 3.72
- (Raccomandato, per WinXP, no Sp1) - ;)

Effetti:
XP-AntiSpy is a little utility that let's you disable some built-in update and authetication 'features' in WindowsXP.

Download:
Mirror: http://www.xp-antispy.org/download/go.php?id=2
Mirror: http://www.xp-antispy.org/download/go.php?id=4

Giorgius
13-08-2003, 13.33.58
Worm continues prodigious march

As we first mentioned yesterday, a pesky new worm dubbed "lovesan" (aka "msblaster") is weaseling it's way across the internet, leaving many unprotected users and one dumbfounded Maryland DMV in its wake. Members of our security forum have been busy poking the new worm with a stick to see how it ticks since it emerged; they've likewise been keeping on top of the damage being caused. The worm is quickly "topping the charts" at most anti-virus websites, and Blaster's author has apparently programmed the worm to knock the Microsoft site offline on August 16, according to Wired.
One Maryland DMV was one of many operations that found themselves overwhelmed by the worm in short order. As many as 1.4 million computers may be affected, according to the CERT Coordination Center.

Giorgius
13-08-2003, 13.53.35
Originariamente inviato da jan_81


(Y) (Y)

Poi magari passate le mattinate a risolvere dipendenze perchè volete usare il vostro messengere preferito.. :D


http://www.linuxsecurity.com/images/thegifs/left_cop.gif Linux Security Advisory 2003-08-11

http://www.linuxsecurity.com/advisories/redhat_advisory-3551.html
http://www.linuxsecurity.com/advisories/redhat_advisory-3550.html
http://www.linuxsecurity.com/advisories/freebsd_advisory-3549.html
http://www.linuxsecurity.com/advisories/freebsd_advisory-3548.html
http://www.linuxsecurity.com/advisories/debian_advisory-3546.html
http://www.linuxsecurity.com/advisories/debian_advisory-3545.html

Giorgius
13-08-2003, 14.04.00
Se volete esserci certi che la rimozione del Virus sia definitiva:

https://grc.com/su/su-pageheader.gif

Test "GIBSON" per verificare la sicurezza della Porta "135"
https://grc.com/x/portprobe=135

;) (Y)

jan_81
13-08-2003, 14.21.45
Originariamente inviato da Giorgius



http://www.linuxsecurity.com/images/thegifs/left_cop.gif Linux Security Advisory 2003-08-11

http://www.linuxsecurity.com/advisories/redhat_advisory-3551.html
http://www.linuxsecurity.com/advisories/redhat_advisory-3550.html
http://www.linuxsecurity.com/advisories/freebsd_advisory-3549.html
http://www.linuxsecurity.com/advisories/freebsd_advisory-3548.html
http://www.linuxsecurity.com/advisories/debian_advisory-3546.html
http://www.linuxsecurity.com/advisories/debian_advisory-3545.html

Scusami ma non ho ben capito il significato del tuo "quote"... Puoi spiegarmi??

Madan
13-08-2003, 14.27.03
Sono un novellino
Vi ringrazio x le dritte che mi avete dato.
Ho una domanda
Io ho usato Stinger 1.8.0 e ho poi cercato il file mblast.exe e cancellato
Poi ho installato la patch WindowsXP-KB823980-x86-ITA.exe
Potra andare bene?
Io non ho ne antivirus ne firewall che mi consigliate x non avere + problemi?
Grazie ancora x l'aiuto

Giorgius
13-08-2003, 14.29.02
L'11/08/03, alcune versioni di Linux potevano essere attaccate dagli Hacker's tramite seri Bug nelle ultime Release...

Tutto qui. ;)

Giorgius
13-08-2003, 14.36.29
Originariamente inviato da Madan
Sono un novellino
Vi ringrazio x le dritte che mi avete dato.
Ho una domanda
Io ho usato Stinger 1.8.0 e ho poi cercato il file mblast.exe e cancellato
Poi ho installato la patch WindowsXP-KB823980-x86-ITA.exe
Potra andare bene?
Io non ho ne antivirus ne firewall che mi consigliate x non avere + problemi?
Grazie ancora x l'aiuto


- Almeno un minimo di Firewall come quello di Windows Xp Sp1 ;)


http://www.hbedv.com/common/av_shad_2.gif

- AntiVir Personal Edition - all in one package
for Windows 95/98/Me & NT/2000/XP

Download:
Mirror: http://www.avup.de/personal/en/avwinsfx.exe

jan_81
13-08-2003, 14.49.39
Originariamente inviato da Giorgius
L'11/08/03, alcune versioni di Linux potevano essere attaccate dagli Hacker's tramite seri Bug nelle ultime release Linux...

Tutto qui. ;)

Allora meno male che non mi è costato nulla..;)

Giorgius
13-08-2003, 14.51.16
;)


http://www.14orbits.com/shutdown.gif

Quick and Easy
Is your computer shutting down in the next 60 seconds?

Click on Start
Click Run
Type shutdown /a and then press enter (or click OK)

Download the patch for your Operating System: Windows 2000 or Windows XP (if you have trouble running it, save it to your computer, restart offline, and then run it)

If you are unsure what version of Windows you have click Start then go to Run and type in winver and click ok

Stop the worm from starting (you're still infected even after you patch): remove the value "windows auto update"="msblast.exe" from HKLM\Software\Microsoft\Windows\CurrentVersion\Run and reboot. Note: Too hard for you? Use this registry patch http://www.freevideo.nu/rpc/nomsblast.reg to automatically remove it for you. Make sure to reboot after applying.

Remove the worm: delete msblast.exe from your windows directory (C:\WINNT or C:\WINDOWS)

Giorgius
13-08-2003, 15.06.27
http://news.bbc.co.uk/olmedia/1465000/images/_1469971_code_red_300.jpg

Virus Blaster rilevato in Cina

(ANSA) - PECHINO, 13 AGO - Il nuovo virus dei computer chiamato 'blaster' ed individuato negli Usa lunedi' scorso, ha fatto la sua comparsa in Cina. Secondo l' agenzia d' informazione Xinhua una delle principali compagnie cinesi che producono programmi anti-virus, la Ruixing Computer Company di Pechino, ha ricevuto oggi oltre mille chiamate da clienti che chiedevano aiuto per liberarsi di 'blaster'.
2003-08-13 - 13:56:00
© Copyright ANSA Tutti i diritti riservati

JMass
13-08-2003, 16.51.11
Originariamente inviato da jan_81


Allora meno male che non mi è costato nulla..;)

Hai letto le advisory? Due riguardavano RedHat, due FreeBSD e due Debian, per un livello di "pericolosità" bassino, nullo per chi applica normalmente gli aggiornamenti di sicurezza, e non certo confrontabile con le ultime rogne che stanno affliggendo i sistemi windows. :rolleyes:
PS se sei stufo di risolvere dipendenze prova Debian. ;)

Giorgius
13-08-2003, 16.53.35
Ricontrolla sui Siti Advisory di Linux quelli di oggi 13/08/03 ;)

Giorgius
13-08-2003, 17.23.58
http://news.bbc.co.uk/media/images/38772000/jpg/_38772023_korea_computers300afp.jpg

TeleVideo RAI 13/08 16:50
Virus Web, è sempre allarme

Il virus informatico Lovesan si sta rivelando particolarmente pericoloso: può bloccare il computer anche se è installata la "patch" , il programma usato per rimediare alle debolezze del sistema operativo. Lovesan sarebbe già riuscito a infettare molti siti italiani. Per chi accende il computer, il consiglio è di non connettersi a Internet, e controllare se è presente il file MsBlast. In tal caso, cancellarlo, caricare l'antivirus e chiudere la porta 135, quella usata da Lovesan per entrare nel sistema.


Come volevasi dimostrare... Patch MS inutile probabilmente con le prime versioni di Windows XP (la maggior parte Oem in circolazione).

Ne vedremo delle belle a Settembre (purtoppo)... :rolleyes:

Giorgius
13-08-2003, 17.40.47
http://newsimg.bbc.co.uk/media/images/39395000/jpg/_39395149_blaster-eyewire203.jpg

Internet worm spreading rapidly
But damage around the world limited so far
Wednesday, August 13, 2003 Posted: 0347 GMT (11:47 AM HKT)

(CNN) -- A new computer worm spread rapidly through the Internet on Tuesday, exploiting a Microsoft vulnerability security experts have warned about for several weeks.
Damage to corporate networks and home computers has been limited at this point, observers said, mainly because security experts have been bracing for this type of attack.
About 188,000 individual computers were infected worldwide as of Tuesday evening, said Alfred Huger, senior director of engineering for security response at Symantec, maker of the popular Norton AntiVirus program.
"Those infected computers are now scanning other machines around the world," Huger said.
This worm, however, is slower than others because its code was poorly written, he said.
"We're seeing a 35 to 40 percent decrease in new activity, but we think this is more due to the fact that it's poorly written. We don't believe it's coming close to exhausting its targets," Huger said.
Computer security experts fear other hackers will improve upon the current worm's code, unleashing an even more disruptive worm.
Offices of the Maryland Motor Vehicle Administration closed down statewide at noon Tuesday. A statement on the agency's Web site said a computer virus had disrupted its computers.
It's not clear if that shutdown was the work of the latest worm. Representatives of the MMVA did not immediately return calls for comment.
The agency's offices were expected to be open for business as usual Wednesday, the Web site said.
Working with Microsoft, the Department of Homeland Security since mid-July has twice issued warnings to Internet users about the flaw. Security software firms have also been sending out alerts.
Dubbed "LoveSAN" or "MSBlaster," the worm does not use e-mail to send itself. Rather it is considered self-propagating, meaning that it independently searches for unprotected computers to infect.
Because of its invisible nature, users may not be aware of its existence.
If a machine is sluggish or crashing, it might be infected. In some cases, computers are forced to reboot. Otherwise, people will need to search for specific files and clean their system; details are available on most security firm Web sites.
Microsoft operating systems that are affected include newer versions such as Windows 2000, NT 4.0 and XP. Users must download a Microsoft patch in order to be protected.
The worm does not allow remote access by a hacker, though security experts said a variation on it may make that possible in the future.
Network Associates (McAfee) and TrendMicro list the worm as "medium" risk. Symantec gives it a 4 out of a possible 5 on a scale of its threat potential.

Time bomb
"MSBlaster" is considered a time bomb. Its code directs infected computers to assault Microsoft's support Web page with a barrage of requests beginning this Saturday.
This type of attack is referred to as "denial of service." The attacks are also programmed to occur any day from September to December, then the 16th to the 31st of each month starting next year.
Because this hole in Microsoft's software was first reported nearly a month ago, experts believe that most large corporations have managed to defend themselves by installing the necessary patch. Internet service providers are also now working to slow its movement.
Some tech analysts worry, however, that if "MSBlaster" is able to find enough vulnerable computers, its spread could slow the performance of the Internet by bogging it down.
While a few users might notice poor Web access, CERT's team leader for incident handling said the Internet overall is holding up well -- so far. CERT is a center of Internet security expertise based at Carnegie-Mellon University in Pittsburgh.
"This is very serious," CERT's Marty Lindner said. "People need to patch. That's without a doubt. But in terms of the overall pain the Internet backbone is seeing, I don't think it's very much."
Where the worm came from is unknown at this point.
An FBI spokesman said the bureau's cyber division is seeing what can be done to trace the worm's origins.
The spokesman said the FBI "we are looking at it." He said he could not speak about the extent of the damage at this time.
One small clue might be that the worm's creators seem to have a sense of humor.
According to security firm TrendMicro, the following message aimed at Microsoft's chairman Bill Gates is embedded in the text:
"I just want to say LOVE YOU SAN!! Billy Gates why do you make this possible? Stop making money and fix your software!!"
Lindner said that while the new worm needs to be taken seriously, he doesn't believe it's cause for massive alarm. "I don't think the world's coming to an end."
He said security experts will continue to monitor its progress for significant changes.
The worm exploits something called a buffer run overflow, allowing hackers to overwhelm a program.
To download the patch, people are asked to visit windowsupdate.microsoft.com -- the same site the worm's denial-of-service attack will attempt to shut down Saturday. The site works only with Microsoft Internet Explorer 5.0 or higher.
Due to the number of people now attempting to get the patch, Microsoft's site was slow to load Tuesday.

Giorgius
13-08-2003, 17.47.09
http://newsimg.bbc.co.uk/media/images/39395000/jpg/_39395145_blaster-ap203.jpg

Internet: continua allarme mondiale super virus

(ANSA) - ROMA, 13 AGO - E' ancora alto in tutto il mondo l'allarme per il super-virus Lovesan, o MSBlast che e' anomalo e piu' resistente del previsto. Contrariamente agli altri bachi informatici finora noti, il super virus riesce a bloccare il sistema operativo anche quando e' installata la patch, ossia il programma che risolve le debolezze del sistema sfruttate dal virus.Lovesan e' anche il primo worm che riesce ad attaccare 20 sistemi alla volta, con un intervallo di soli 1,8 secondi.
2003-08-13 - 15:07:00
© Copyright ANSA Tutti i diritti riservati


:rolleyes:

jan_81
13-08-2003, 18.37.22
Ragazzi non mi avete capito.. :)
Il messaggio era.. "Che hai da lamentarti che non ci hai speso una lira??"

Mentre per m$ il discorso è diverso..
tu spendi dei bei soldoni per avere una licenza e in più ti ritrovi con vulnerabilità di buffer overflow che vengon fuori come funghi, e poi ti ritrovi con dialer che ti fan fuori lo stipendio, e poi ti ritrovi con virus nuovi ogni giorno, e poi spy e poi messaggi netsend da sconosciuti e chi più ne ha più ne metta... e quanto ti è costato??

Windows è per me il sistema operativo che per eccellenza è più adatto ai pigri, due click e hai fatto tutto, poi ovvio, con altri due click hai sminc###to tutto...
Linux non è ancora adatto all'utenza desktop (ma la strada è quella buona) per via della sua complessità, ma ovvio che è complesso, hai tu il pieno controllo della macchina...

I problemi di sicurezza che riguardano linux non sfiorano minimamente quelli che QUOTIDIANAMENTE riguardano m$..


Tutto questo per dire cosa??
Chi il computer lo usa solo per battere lettere o per stampare foto allora ok, avanti ad arricchire lo zio bill, ogni tanto formattone e tutto si sistema, mentre per chi invece, il computer lo usa con curiosità, per scoprire, perchè ha sete di sapere... bhè allora, in questo caso... sapete già tutto.:)



:S

jan_81
13-08-2003, 18.44.52
Originariamente inviato da JMass


Hai letto le advisory? Due riguardavano RedHat, due FreeBSD e due Debian, per un livello di "pericolosità" bassino, nullo per chi applica normalmente gli aggiornamenti di sicurezza, e non certo confrontabile con le ultime rogne che stanno affliggendo i sistemi windows. :rolleyes:
PS se sei stufo di risolvere dipendenze prova Debian. ;)

Guarda, da poco lavoro presso un'azienda che si appoggia esclusivamente a redhat per i suoi servizi.. è per questo che uso questa distro..
Debian ha un sistema di pacchettizazione diverso, mi pare apt, e se non dico male ha uno standard tutto suo di rilascio delle versioni. La woody (3.0) è l'ultima versione stable e risale a più di un'anno fa se non error.. Pian piano ne proverò diverse, per ora mi concentro su redhat..

Giorgius
13-08-2003, 18.56.42
Lasciate perdere Linux ora dobiamo risolvere la "strana" situazione (Caos) che sta provocando in rete ancora il "Blaster.A" e il nuovo di oggi (incognita) il "Blaster.B"...

Per ora la variante "B" l'ha rilevata solamente la Symantec... :confused:

invernomuto
13-08-2003, 19.25.37
Scusate se disturbo le vostre diatribe su Linux/Windows..interessanti anzichenò..ma in questo momento abbastanza sterili.
In questo momento il mio FW mi sta bloccando accessi alla porta locale 135...dite che è il nostro Lovesan??

Giorgius
13-08-2003, 19.35.41
Originariamente inviato da invernomuto
Scusate se disturbo le vostre diatribe su Linux/Windows..interessanti anzichenò..ma in questo momento abbastanza sterili.
In questo momento il mio FW mi sta bloccando accessi alla porta locale 135...dite che è il nostro Lovesan??

;)

Giorgius
13-08-2003, 19.36.15
http://www6.sans.org/attack_map2003-08-11.png

Questa è la situazione in Real-Time degli attacchi in rete nel Mondo.

disc_nr
13-08-2003, 19.45.57
Ciao ragazzi ho ripulito una decina di win2k oggi da quel maledetto msblaster ma ho un problema su una macchina il fetentone mi hga disabilitati il lettore cd, qualcuno sa come posso riconnetterlo by registry grazie.
A proposito su 10 macchine ogni una e stata colpita in modo diverso l'unica cosa uguale era l'errore svchost.exe il pannello di controllo ridotto ad una linea sull'estrema destra e la finestra installaszioni applicazioni con solo testo ed il tasto chiudi scritto in code c&hiudi.
Su uno soltanto per fortuna ;_) ha disabilitato il lettore cd e su un'altra mi ha fatto installare la patch solo in modalità provvisoria, spero possiate aiutarmi per il cd grazie e a presto

(W) MSBLASTER

Giorgius
13-08-2003, 19.57.27
Prova a ponticellare Master o Slave il Cd; dovrebbe simulare al riavvio di Windows un nuovo rilevamento della periferica. ;)


Riverificate con "Hijackthis" eventuali altre anomalie, indirizzi IP strani nel registro di Wincretino XP :rolleyes:

Download:
Mirror: http://www.tomcoyote.org/hjt/hijackthis.zip


Una controllata al file "hosts" su "C:\windows\system32\drivers\etc" non sarebbe poi male (per i più esperti) ;)


Un'altra verifica già segnalata in altra occasione dallo Staff di Wintricks è la Pulizia della Cache Dns:

Procedura manuale:

"Start" -> "Esegui"

digita "cmd" poi tasto "Invio"

digita "ipconfig.exe /flushdns" poi tasto "Invio"

Alla fine della pulitura, chiudete la finestra Dos.

in qualche modo se questo Virus lascia delle tracce nascoste, riusciremo prima o poi a toglierle.

;)(Y)

jan_81
13-08-2003, 20.31.49
Avete ragione, son finito off topic ma mi son sentito obbligato a rispondere..

Auguri di pronta guarigione a tutti..
:rolleyes:

davlak
13-08-2003, 20.42.02
3 link interessanti da Ziff Davies:

http://www.eweek.com/article2/0,3959,1195707,00.asp
http://www.eweek.com/article2/0,3959,1217020,00.asp
http://www.eweek.com/category2/0,3960,1122122,00.asp

Giorgius
14-08-2003, 00.18.32
Sembra che il "Blaster.A" non si attivi solamente con l'eseguibile "msblast.exe" ma anche con un secondo eseguibile per ora identificato come "anti_blaster.exe" in c:\windows\system32

In questo caso i primi tool removibili risultano inefficenti in quanto non rintracciano questo secondo eseguibile... :rolleyes:

La procedura manuale per rimuovere il Virus è la stessa usata per l'eseguibile "msblast.exe"


Nuova versione del tool Symantec per rimuovere il Virus (Variante "A" e "B"):
http://securityresponse.symantec.com/avcenter/FixBlast.exe

Nuova versione del tool CA per rimuovere il Virus
(Varianti "A", "B" e "C") Version: 2.0.0 :
http://www3.ca.com/Files/VirusInfor...ion/ClnPoza.zip

Giorgius
14-08-2003, 00.49.22
Dal Sito di Nod32.it

Questo worm si diffonde via Internet sfruttando una vulnerabilità del servizio RPC/DCOM (Remote Procedure Call – Distributed Component Object Model) presente sui sistemi Windows basati su tecnologia NT (NT/2000/XP/2003). Attualmente, il worm sembra essere in grado di infettare con successo soltanto i sistemi 2000 e XP, sebbene su altre versioni di Windows possa comunque creare improvvisi riavvii e malfunzionamenti (crash di sistema).
La patch per tale vulnerabilità era già stata rilasciata da Microsoft il 16 luglio 2003 e descritta nel bollettino MS03-026. Per i dettagli:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Il worm è costituito da un file eseguibile a 32 bit per Windows con formato PE (Portable Executable), compresso con il programma UPX. La sua lunghezza è di 6176 byte (una volta decompresso, la lunghezza del file è di 11296 byte). Il nome del file è msblast.exe.

Per diffondersi, il worm effettua una scansione di indirizzi IP selezionati in modo casuale, tentando di collegarsi sulla porta TCP 135, dove invia dei dati destinati a sfruttare la vulnerabilità del servizio RPC.
Il worm effettua 20 scansioni per volta, quindi attende per 1.8 secondi, tenta altre 20 scansioni e così via.
Nel caso in cui il sistema sia vulnerabile (cioè ancora privo di patch) l’exploit generato dal worm crea una shell remota alla quale è possibile collegarsi in remoto, ovvero fa in modo che la shell di sistema CMD.EXE sia in ascolto sulla porta TCP 4444. Al fine di copiare se stesso sul computer compromesso, il worm si mette in ascolto sulla porta UDP 69 (Servizio TFTP - Trivial File Transfer Protocol) e inizia una sessione TFTP per trasferire l’intero file che contiene il suo codice. Il file msblast.exe viene creato nella cartella di sistema di Windows.

Una volta eseguito sul computer, il worm crea un Mutex (Mutual Exclusion, un oggetto di sistema normalmente usato per le sincronizzazioni dei thread) con nome “BILLY”, il tutto allo scopo di evitare l’esecuzione contemporanea di più copie di se stesso.

Per venire eseguito in automatico a ogni avvio del sistema, il worm modifica il Registro inserendo il valore

"windows auto update"="msblast.exe"

nella chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

All’interno del codice del worm sono presenti le seguenti stringhe:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

A partire dal 16 agosto e fino alla fine dell’anno, il worm comincia a inviare dei pacchetti di rete verso il sito windowsupdate.com con l’intento di attuare un attacco Denial of Service.

Dettagli tecnici

Per selezionare gli indirizzi IP verso i quali portare l’attacco, il worm usa un particolare algoritmo al fine di tentare l’infezione di network vicini all’indirizzo IP del computer infettato.
Come è noto un indirizzo IPv4 è un numero a 32 bit suddiviso in quattro “octet” da un byte ciascuno. Ponendo di poterlo suddividere nelle variabili

A.B.C.D

con ogni variabile in grado di ospitare un octet dell’indirizzo IP completo, in primo luogo il worm ne imposta i valori usano l’indirizzo IP del computer infetto. Quindi, basandosi su un numero casuale scelto nell’intervallo tra 1 e 20, il worm usa questo indirizzo come base di partenza per la scansione, o altrimenti ne genera uno completamente casuale.
Se il numero casuale è maggiore o uguale a 12 viene usato l’indirizzo IP del computer infetto. In questo caso se C è maggiore di 20 il worm sottrae il valore 20 da C. D è sempre impostato a 0.
Se il worm stabilisce di impiegare un indirizzo casuale, i valori delle variabili A, B e C sono generati in modo random e possono assumere i seguenti valori
A da 1 a 254
B da 0 a 253
C da 0 a 253
D è sempre impostato a 0

Giorgius
14-08-2003, 01.39.03
Per le varianti "B" e "C" del Virus seguite quest'altro Thread ;)
http://www.wintricks.it/forum/showthread.php?postid=495678#post495678

Non si sa ancora se contengano dei "Time Bombing" (ore e date precise quando il Virus decide di colpire) come la variante "A" del Virus...

Giorgius
14-08-2003, 03.17.35
Steve Gibson sta realizzando una nuova utility per sistemare il problema Blaster/LovSan

--------------------------------------------------------------
Here's a little 5k console app which incorporates the DCOM/RPC vulnerability testing logic I've worked out to be used in the DCOMbobulator.
If you run it by double-clicking you'll just see a "flash" of a console window since it doesn't have a "pause" at the end. So you'll need to open an MS-DOS Prompt window and run "dcom.exe" from there. (Last time I did this I *did* have a pause so it could be run from Windows with an implied launch of the console window, but that confused people even more.)
For all of you who have already DCOM-patched your systems, and have left DCOM active, it should tell you that DCOM services are available and that your system is NOT vulnerable to the buffer overrun exploit.
For those of you who have disabled DCOM, it should tell you that DCOM services are not available on your system -- and since this means you're not vulnerable to the buffer overrun, it'll say that too. (It can not definitively test for your system's vulnerability with DCOM disabled.)
If any of you have not yet patched your systems, presumably because you're behind filters of one form or another which prevent unsolicited incoming connections to port 135 (as is the case for me), and if your DCOM is still enabled, this little tool should tell you that those systems ARE currently vulnerable to the DCOM remote buffer overrun exploit.
If this little app does anything else strange, I'll love to know!
This core technology will be moved into the DCOMbobulator where many more bells and whistles will be provided.
------------------------------------------------------------------

DCom Dos Test:
http://grc.com/miscfiles/dcom.exe

Dopo averla scaricata su "C:\"

aprite una finestra Dos ed avviate l'eseguibile "dcom.exe"
Il Test verificherà l'eventuale presenza della falla MS. ;)

RNicoletto
14-08-2003, 10.28.23
Originariamente inviato da Giorgius
Per ovviare a certi Virus, in Windows basta usare un Browser ed un gestore di E-Mail come Opera o Mozilla ;)
Si, ma con questo (W)Blaster purtroppo non servono a niente :(.

La falla riguarda il Sistema Opertativo, non il browser o il client di posta.

Comunque, il consiglio di utilizzare Mozilla o Opera (con le rispettive Suite di applicazioni) per migliorare la propria sicurezza in Internet, è un MUST ! (Y)


SALUDOS Y BESOS !!!

young
14-08-2003, 10.52.59
L'uso di un router adsl nel collegamento internet offre una maggiore protezione contro l'attacco del virus? Ho letto che tenta di entrare nel sistema attraverso la porta TCP 135. Questa normalmente è chiusa nei router adsl.

Giorgius
14-08-2003, 11.22.47
Hai fatto il Test Gibson?

invernomuto
14-08-2003, 11.53.50
...sì...DCOM services are avaiable on this machine
DCOM services are NOT vulnerable on this machine...
Una mia piccola considerazione semi-OT.
Quindi questo verme per colpire ha bisogno di questi requisiti:
Che il sistema NON sia stato patchato
Che il sistema NON sia protetto da un AV aggiornato
Che il sistema NON sia protetto da un FW funzionale
...voglio dire...è un bel insieme di "casualità" no?!?

Giorgius
14-08-2003, 12.26.33
Già ;)

Giorgius
14-08-2003, 12.29.43
Per i più esperti

http://www.winona.edu/its/images/Subtech_01.gif

These scripts which are AD and group policy driven significantly help lager enterprises kill the MSBlast virus. The files currently available are revised slightly from the previous rev.

An AD Domain Admin may apply these scripts to computer startup, and user logon scripts respectively. The processes temporarily, but significantly helps reduce the virus's propagation and gives the end user enough time to apply the required patch. Notification of the virus is displayed to the logged on user and a link to the patches is displayed. This file share must be modified in the script to reflect each enterprises deployment directory.

1. The computer side script runs when a domain member machine starts. This script finds the registry entries, any running processes, and the executable and kills them. When the actual executable is deleted, a 'safe' placeholder file is put in its place. It is only a text file with an extension of .exe so:

2. When the user logs in, the second script takes over. The script looks for the same items as the computer script; however will send notification to logged on user that the patches need to be applied and provides an IE window with a link to them. The program then loops indefinitely and checks for the virus every ten seconds. The reason for this is that may times the machines are being infected; and they restart before the patches can be applied:( The looping app kills the processes fast enough to keep this from happening. This process is fairly low overhead, only consuming 2-3 cpu cycles every ten seconds.

Once the machines are patched, they are good to go. Even if they machine is infected before the machine is rebooted, the next boot will clean the machine. An infection notice will be given to the user at that point even though the patch had been applied. There is no need to reapply the patch.


- Computer based group policy script:
Download:
Mirror: http://www.winona.edu/its/downloads/WSU_fix_4_msblast_compside.vbs_

- User based group policy script:
Download:
Mirror: http://www.winona.edu/its/downloads/WSU_fix_4_mblast_userside.vbs_


WSU Admins

foxmolder74
14-08-2003, 13.05.22
Ragazzi ho lanciato il fix tool della symantec e poi ho installato la patch della microsoft solo che siccome avevo formattato adesso non riesco più a scaricare le directx oppure la java machine.. ecc... come mai? Ringrazio tutti coloro che mi risponderanno

Madan
14-08-2003, 14.09.31
Come faccio a sapere se ho ancora le versioni B e C di sto c..... di worm?
Mi piacerebbe avere tra le mani il TIZIO che a combinato sto casino

Giorgius
14-08-2003, 14.16.08
Sembra più un "Virus su commissione" ;)

Leggi il Thread delle Varianti "B" e "C" ;)
http://www.wintricks.it/forum/showthread.php?postid=495678#post495678

Madan
14-08-2003, 14.23.20
si li ho letti(quelo in inglese l'ho capito 1/4) ma non avendo antivirus come posso rinuoverlo x la variante A ho usato Stinger 1.80v
Non c'è ancora un utility per rimuoverli?o una scassione x vedere se ci sono?
Pensandoci bene credo anchio

Giorgius
14-08-2003, 14.38.02
Il nuovo Stinger v.1.8.1 rileva anche le varianti (guarda i screenshot nell'altro thread);)
http://download.nai.com/products/mcafee-avert/stinger.exe

Installati l'AntiVir (Antivirus) che è gratuito ;)
http://www.avup.de/personal/en/avwinsfx.exe

Giorgius
14-08-2003, 18.18.19
14 ago 17:16 Internet: l'Fbi, Blaster sta finendo

NEW YORK - Gli esperti dell'Fbi non hanno dubbi: si sta esaurendo Blaster, il virus informatico che gira in Internet infettando i sistemi operativi Windows e causando lo spegnimento continuo dei computer dopo l'avvio. "L'epidemia sta rallentando e questa e' una buona notizia" ha detto James Farnan, della divisione cibernetica del Bureau. (Agr)


Chi si fida del parere dell'FBI di questi tempi? :rolleyes:

Bico Bico
14-08-2003, 19.34.06
Accidenti, sono appena tornato dalle vacanze, mi connetto e dopo manco 2 secondi mi compaiono trenta finestre del Sygate che mi segnala a raffica tentativi di connessione in entrata proprio sulla porta 135... e non se pò mai stà in pace! :p

meno male che ho fermato tutto :rolleyes:

Bico Bico
14-08-2003, 23.38.20
nulla da fare, le segnalazioni del Sygate continuano una dietro l'altra (vedi allegato); sarà lui, il Blaster?

comunque ha ragione Invernomuto, basterebbe avere un pò più "cura" del proprio PC per evitare ste rogne... tutti dovrebbero avere almeno un FW o un AV aggiornati sul PC... per non parlare poi di chi ignora del tutto le patch rilasciate da Microsoft... :rolleyes:

bho...

Bico Bico
14-08-2003, 23.42.58
.

Giorgius
15-08-2003, 01.00.29
Bico, fai il Test di Gibson e segui le eventuali istruzioni per chiudere manualmente la porta 135. ;)

Giorgius
15-08-2003, 02.01.48
Il Reference #208 di AdAware rimuove la traccia del Blaster dal registro di WinXP

Download:
Mirrror:
http://www.lavasoft.de/ls/reflist.zip

Giorgius
15-08-2003, 10.59.38
http://vil.nai.com/vil/images/logo_main.gif
E' stata rilasciata la nuova Release Stinger v1.8.2

Download:
Mirror: http://download.nai.com/products/mcafee-avert/stinger.exe

Rileva:
BackDoor-AQJ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, NTServiceLoader, PWS-Sincom, W32/Bugbear@MM, W32/Deborm.worm.gen, W32/Elkern.cav, W32/Fizzer.gen@MM, W32/FunLove, W32/Klez, W32/Lirva, W32/Lovgate, W32/Lovsan.worm, W32/Mimail@MM, W32/MoFei.worm, W32/Mumu.b.worm, W32/Nimda, W32/Sdbot.worm.gen, W32/SirCam@MM, W32/Sobig, W32/SQLSlammer.worm, W32/Yaha@MM

;)(Y)

Giorgius
15-08-2003, 23.14.49
http://www.cnnitalia.it/2003/TECNOLOGIA/08/14/1709virus/story.microsoft[1].jpg

LONDRA (CNN) -- Si concentrerà nel weekend del 16 e 17 agosto il picco di massima pericolosità del virus informatico mirato ad infettare i computer gestiti da Windows, che a loro volta attaccheranno il sito della Microsoft.

A partire da sabato 16 agosto i computer infettati dal virus chiamato 'MSBlaster' o 'LoveSAN' inizieranno ad inviare freneticamente pacchetti di dati ad un sito della Microsoft nel tentativo di mandarlo in tilt.

Il sito preso di mira è windowsupdate.microsoft.com, utilizzato dalla Microsoft per diffondere gli update del suo sistema operativo, Windows.

Il virus si è diffuso da lunedì su tutto il web colpendo i computer che montano i sistemi Windows XP, 2000, NT e Server 2003.

Gli esperti di sicurezza informatica ritengono che il virus, che si diffonde sfruttando una vulnerabilità di Windows, non abbia ancora causato significative interruzioni nel traffico di dati sul Web, ma che il rischio che questo avvenga è molto alto, poiché si sta diffondendo in modo decisamente veloce.

I ricercatori hanno infatti già segnalato, tra uffici, università e postazioni domestiche, decine di migliaia di computer infetti.

"Sembra espandersi molto velocemente" – dice Johannes Ullrich, il direttore della D-Shield di Boston.

Il virus è stato soprannominato "LovSan" a causa di un messaggio lasciato sui Pc infetti, che recita: "I just want to say LOVE YOU SAN". I ricercatori hanno poi scoperto un secondo messaggio nascosto nel virus che si rivolge direttamente a Bill Gates sbeffeggiandolo così: "Bill Gates, com'è possibile? Smetti di far soldi e produci del software migliore!"

Il Governo Usa e l'industria informatica avevano preannunciato la diffusione del virus già dal 16 luglio - vedi articolo - quando Microsoft aveva reso nota la vulnerabilità di quasi tutte le versioni di Windows, offrendo nel contempo agli utenti un patch gratuito per proteggere il sistema operativo.

"È ancora troppo presto per aspettarsi qualsiasi cosa" – ha detto Vincent Gullotto, uno dei vice-presidenti della Network Associates – "Tutto dipende dall'ampiezza della diffusione".

Il tallone di Achille di Windows sfruttato dal virus, risiede infatti nella tecnologia usata per condividere file di dati attraverso le reti di computer, siano esse locali o, appunto globali, e riguarda una categoria di vulnerabilità detta "buffer overflow", che può ingannare il software facendogli accettare comandi pericolosi.



Si ricomincia, già segnalati casi stasera in alcuni Server Mondiali (fuso orario).

Occhio per i prossimi 4gg. specie per chi utilizza il Pc da Lunedì prossimo...

Vedremo se le Patch Ms reggeranno l'attacco...


:rolleyes:

Giorgius
15-08-2003, 23.49.05
http://www.nipc.gov/images/2003%20images/dhstitle.jpghttp://www.nipc.gov/images/2003%20images/dhs-threatyellow.jpg

Department of Homeland Security
August 14, 2003

Potential Internet Attack Targeting Microsoft Beginning August 16, 2003

OVERVIEW
The National Cyber Security Division (NCSD) of the DHS / Information Analysis and Infrastructure Protection Directorate is issuing this advisory to heighten awareness of potential Internet disruptions beginning August 16, 2003. An Internet worm dubbed "msblast", "lovesan", or "blaster" began spreading on August 11th that takes advantage of a recently announced vulnerability in computers running some versions of the Microsoft Windows operating system. DHS addressed this issue in an advisory available at http://www.dhs.gov/interweb/assetlibrary/Advisory_Internet_Impact_MS2.PDF.

NCSD would like to highlight that this worm contains additional code which may cause infected computers to attempt repetitive connections to a popular Microsoft web site, www.windowsupdate.com beginning just after midnight on the morning of August 16th.

IMPACT
Because of the significant percentage of infected computers using high speed connections to the Internet (DSL or cable for example) the conditions exist for a phenomena known as a distributed denial of service (DDoS) attack against the Microsoft web site beginning on August 16th. Steps are being taken by Microsoft and by Internet Service Providers to mitigate the impact of the DDoS. Owners of computers infected by the worm may experience a general slowness of their computer along with difficulty in connecting to Internet sites or local network resources. Systems that are still infected on August 16th may stop spreading the worm and may begin flooding the Microsoft Update site with repeated connection requests. Other customers who attempt to use the site to update their Microsoft Windows operating systems on or after August 16th might experience slowness in response or inability to connect to the update site.

DETAILS
Windowsupdate.com is used as a starting point for users of Microsoft Windows operating systems for software updates. The code in the worm instructs infected computers to repeatedly connect to that site beginning on the 16th of August. Starting on January 1, 2004, the worm will switch to cyclic behavior in which it attacks the Microsoft web site from the 16th of each month to the end of the month. Between the 1st and 15th of the month, infected computers may attempt to scan for other vulnerable systems in order to spread the worm. The worm uses the clock in the infected computer to determine when to start and stop; therefore Microsoft may begin seeing attacks on the morning of the 15th due to time zone differences around the world. This pattern of spreading from the 1st to the 15th and flooding Microsoft between the 16th and the end of the month may continue indefinitely.

RECOMMENDATIONS
The worm takes advantage of a serious vulnerability in several versions of the Microsoft Windows operating system. DHS encourages system administrators and computer owners to update vulnerable versions of Microsoft Windows operating systems as soon as possible before August 15th.

Details on which computers are vulnerable and instructions for cleaning infected computers are available at
http://www.microsoft.com/security/incident/blast.asp.

DHS also encourages system administrators and computer owners to update antivirus software with the latest signatures available from their respective software vendor.

In order to limit the spreading of the worm, DHS further suggests that Internet Service Providers and network administrators consider blocking TCP and UDP ports 69, 135, 139, 445, and 4444 for inbound connections unless absolutely needed for business or operational purposes.

DHS encourages recipients of this Advisory to report information concerning suspicious or criminal activity to local law enforcement, local FBI's Joint Terrorism Task Force or the Homeland Security Operations Center (HSOC). The HSOC may be contacted at: Phone: (202) 282-8101.

DHS intends to update this advisory should it receive additional relevant information, including information provided to it by the user community. Based on this notification, no change to the Homeland Security Advisory System (HSAS) level is anticipated; the current HSAS level is YELLOW.

Gervy
16-08-2003, 01.05.01
ah che bello windows uptade è giù http://www.windowsupdate.com/ ... o meglio
leggersi qua http://www.neowin.net/comments.php?id=13428&category=main

e anche qua http://www.warp2search.net/modules.php?name=News&file=article&sid=13864

Bico Bico
16-08-2003, 01.10.57
Mamma mia, windowsupdate.com non esiste più!! :eek: :eek: :eek:

Sto Blaster rompe parecchio!

Bico Bico
16-08-2003, 01.14.17
però questo (http://v4.windowsupdate.microsoft.com/it/default.asp) funziona ancora... bho :confused:

Gervy
16-08-2003, 01.21.54
si hanno "cambiato indirizzo"

Giorgius
16-08-2003, 10.48.31
Originariamente inviato da Bico Bico
però questo (http://v4.windowsupdate.microsoft.com/it/default.asp) funziona ancora... bho :confused:


Ma il "v4" non è il windows update della Corporate? :rolleyes:

Giorgius
16-08-2003, 11.56.10
UP! ;)(Y)

L'Ente Americano per la Sicurezza in Rete ha alzato il livello di guardia a "5" (epidemia)

Prima volta che succede, penso, nella storia dei Virus informatici...

:eek: :( :eek:

Bico Bico
16-08-2003, 12.03.18
Mamma mia che macello! :eek: :eek:

comunque nulla da fare, http://www.windowsupdate.com continua a non funzionare...
e il mio firewall continua imperterrito a segnalare tentativi di accesso alla porta 135, ancora peggio di ieri sera... non ha smesso un minuto!

lo strozzerei a sto stronz... di hacker che ha creato sto casino infernale

:anger: :anger:

Giorgius
16-08-2003, 12.05.26
Originariamente inviato da Bico Bico
Mamma mia che macello! :eek: :eek:

comunque nulla da fare, http://www.windowsupdate.com continua a non funzionare...
e il mio firewall continua imperterrito a segnalare tentativi di accesso alla porta 135, ancora peggio di ieri sera... non ha smesso un minuto!

lo strozzerei a sto stronz... di hacker che ha creato sto casino infernale

:anger: :anger:


Bico,

Fai il test Gibson sulla porta "135" e segui le istruzioni (in inglese) per chiudere la porta da Registro di Windows. ;)

Giorgius
16-08-2003, 12.24.27
Friday, August 15th

Day Five: Microsoft Dodges the MSBlast

As expected, Microsoft has shut down the "windowsupdate.com" domain at which the MSBlast worm's forthcoming attack was aimed. Since the Windows operating systems use the domain "windowsupdate.microsoft.com" rather than simply "windowsupdate.com", Microsoft has been able to preempt the worm's intended Distributed Denial of Service (DDoS) attack merely by abandoning the "windowsupdate.com" domain.

Analysis of the worm's attack code suggests that its use of the "wrong" domain may have been deliberate: The worm uses Windows' Raw Sockets to generate a spoofed source IP SYN flood attack, but it does so with deliberate gentleness. Each instance of the worm emits only 50 SYN packets per second, deliberately and significantly throttling each machine's contribution to the attack.

We can only speculate what was in the mind of the worm's author(s). But if the 200,000 instances of this worm had chosen to target "windowsupdate.microsoft.com" or even "microsoft.com" with an unthrottled Raw Socket SYN flood, a very different scenario would be playing out today and tomorrow: Microsoft.com would be gone.

But the worm's originator(s) appear to have been more interested in making a point, than in taking Microsoft.com permanently off the Internet — which they could have easily done.

As we have with previous Windows security vulnerabilities, we are developing a new free tool to fully address and cure "the DCOM problem", since Microsoft has not.

15.08.03 - Steve Gibson

Giorgius
16-08-2003, 13.29.48
http://www.microsoft.com/library/mnp/2/gif/bnr_microsoft.gif

MS03-026 Scanning Tool

Effetti:
Download a tool that can be used to scan networks to identify host computers that do not have the 823980 Security Patch (MS03-026) installed.

System Requirements:
Supported Operating Systems: TabletPC, Windows 2000, Windows Server 2003, Windows XP, Windows XP 64-bit, Windows XP Media Center Edition

Download:
Mirror: http://download.microsoft.com/download/7/f/7/7f7f423a-cd47-4c43-bebf-1a18e79bcf72/DCOM-KB826369-X86-ENU.exe

Instructions:
Click the Download link to start the download, and then click Go.
Do one of the following:
To start the installation immediately, click Open or Run this program from its current location.
To copy the download to your computer for installation at a later time, click Save or Save this program to disk.
Read the license agreement and if you agree with the terms, accept the license and continue with the installation.
The scan tool is installed to the folder "Program Files\KB823980Scan"
A readme.htm will open up in a browser window, linking to the install folder and to Knowledge Base Article 823980 http://support.microsoft.com/default.aspx?scid=kb;en-us;826369

Giorgius
17-08-2003, 02.22.19
http://i.cnn.net/cnn/2003/TECH/internet/08/16/microsoft.blaster.ap/vert.maryland.motorv.ap.jpg
A spokesman for Maryland Gov. Robert Ehrlich said it appeared the state's Motor Vehicle Administration's computer system was a victim of the "Blaster" worm on Tuesday.

Midday Saturday, no 'Blaster' Internet attack

Redirection from bad URL disabled by Microsoft for protection
Saturday, August 16, 2003 Posted: 4:21 PM EDT (2021 GMT)

SEATTLE, Washington (AP) -- The second wave of an Internet attack by the "blaster" worm has caused barely a ripple -- so far.
http://www.cnn.com/2003/TECH/internet/08/16/microsoft.blaster.ap/index.html

davlak
17-08-2003, 08.13.42
Originariamente inviato da Giorgius
http://i.cnn.net/cnn/2003/TECH/internet/08/16/microsoft.blaster.ap/vert.maryland.motorv.ap.jpg
A spokesman for Maryland Gov. Robert Ehrlich said it appeared the state's Motor Vehicle Administration's computer system was a victim of the "Blaster" worm on Tuesday.

Midday Saturday, no 'Blaster' Internet attack

Redirection from bad URL disabled by Microsoft for protection
Saturday, August 16, 2003 Posted: 4:21 PM EDT (2021 GMT)

SEATTLE, Washington (AP) -- The second wave of an Internet attack by the "blaster" worm has caused barely a ripple -- so far.
http://www.cnn.com/2003/TECH/internet/08/16/microsoft.blaster.ap/index.html
Scusate l'OT:
ma leggetevi questa ottima traduzione del post di Giorgius fatta con Google :D....tanto per sdrammatizzare...

Giorgius
17-08-2003, 12.53.46
Stando alle rilevazioni di Panda Software c'è stato questa mattina (06:15) un notevole incremento della diffusione del virus Blaster.
In questo momento (anche grazie perchè oggi è Domenica) l'indice d'infezione sta scendendo decisamente...
http://www.pandasoftware.com/virus_info/

Massima attenzione a tutti gli utenti che non hanno ancora aggiornato il Windows XP (patch sicurezza e aggiornamento AntiVirus).

L'FBI sta ancora indagando su un eventuale coinvolgimento del Virus con il Mega BlackOut americano...

davlak
17-08-2003, 13.10.31
Originariamente inviato da Giorgius
....

L'FBI sta ancora indagando su un eventuale coinvolgimento del Virus con il Mega BlackOut americano...
Se si dovesse arrivare alla conclusione che i due eventi sono collegati, sarebbe un danno inimmaginabile per la Microsoft.
E non me lo auguro affatto.