PDA

Visualizza versione completa : W32.Blaster.A - Rischio 5 - Update


Pagine : 1 [2]

Giorgius
17-08-2003, 14.07.35
Intanto un danno alla Motorizzazione Civile Americana l'ha fatto.

In USA, alcune centrali elettriche utilizzano un Sistema automatico di controllo su base Windows 2000; altre, usano un sistema personalizzato industriale (forse su base Unix o simile).

Giorgius
17-08-2003, 19.12.51
Una piccola Utility per monitorare Windows:

http://sysinternals.com/images/screenshots/tcpvshot.gif

Effetti:
TCPView is a Windows program that will show you detailed listings of all TCP and UDP endpoints on your system, including the local and remote addresses and state of TCP connections. On Windows NT, 2000 and XP TCPView also reports the name of the process that owns the endpoint. TCPView provides a more informative and conveniently presented subset of the Netstat program that ships with Windows.

TCPView works on Windows NT/2000/XP and Windows 98/Me.

Info:
http://sysinternals.com/ntw2k/source/tcpview.shtml

Download:
Mirror: http://sysinternals.com/files/tcpview.zip

Giorgius
18-08-2003, 00.01.48
Il Testo (per ora in inglese)

Subject line: updated
Message text: Dear customer:
At 11:34 A.M. Pacific Time on August 13, Microsoft began investigating a worm reported by Microsoft Product Support Services (PSS). A new worm commonly known as W32.Blaster.Worm has been identified that exploits the vulnerability that was addressed by Microsoft Security Bulletin MS03-026.

Questa Mail ha in allegato il file "03-26updated.exe", che contiene un Trojan, il "Troj/Graybird-A"
http://www.sophos.com/virusinfo/analyses/trojgraybirda.html

Gervy
18-08-2003, 00.39.43
voci dicono che Microsft potrebbe far uscire un piccolo service pack di xp (SP1a) con la patch anti blaster inclusa la prossima settimana http://www.theinquirer.net/?article=11074 mah

Giorgius
18-08-2003, 22.25.50
UP! ;)(Y)

Sono uscite le prime varianti "D" non ufficiali del Virus...
Per ora non arrecano nessun danno per quelli che hanno installato in precedenza la Patch Microsoft ;)

Giorgius
18-08-2003, 23.01.37
http://vil.nai.com/vil/images/logo_main.gif
E' stata appena rilasciata la nuova Release Stinger v1.8.3

Download:
Mirror: http://download.nai.com/products/mcafee-avert/stinger.exe

Rileva:
This version of Stinger includes detection for all known variants, as of August 18, 2003:

BackDoor-AQJ Bat/Mumu.worm Exploit-DcomRpc
IPCScan IRC/Flood.ap IRC/Flood.bi
IRC/Flood.cd NTServiceLoader PWS-Sincom
W32/Bugbear@MM W32/Deborm.worm.gen W32/Elkern.cav
W32/Fizzer.gen@MM W32/FunLove W32/Klez
W32/Lirva W32/Lovgate W32/Lovsan.worm
W32/Mimail@MM W32/MoFei.worm W32/Mumu.b.worm
W32/Nachi.worm W32/Nimda W32/Sdbot.worm.gen
W32/SirCam@MM W32/Sobig W32/SQLSlammer.worm
W32/Yaha@MM

;)(Y)

Giorgius
19-08-2003, 14.42.47
ZDNet UK
August 18, 2003, 14:00 BST

http://www.nipc.gov/images/warnings.jpg

Following last week's MSBlast worm attack, security experts at Microsoft and other firms are worried that a recently discovered vulnerability in DirectX could cause even more problems
http://news.zdnet.co.uk/0,39020330,39115773,00.htm

C'è un'altro pericolo "Blaster" x chi non ha aggiornato le Directx9.0/9.0a alla versione Directx9.0b
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-030.asp

Le varianti del suddetto Virus potrebbero sfruttare il "buco" nella sicurezza scoperto il mese scorso nelle Directx9.0/9.0a

Aggiornate le vostre librerie DIRECTX. ;)(Y)

Sistemi Operativi MS in pericolo:
Tutti, tranne Windows NT

Giorgius
19-08-2003, 22.56.54
http://vil.nai.com/vil/images/logo_main.gif

E' stata rilasciata la nuova Release Stinger v1.8.4

Download:
Mirror: http://download.nai.com/products/mcafee-avert/stinger.exe

Rileva:
This version of Stinger includes detection for all known variants, as of August 19, 2003:
BackDoor-AQJ Bat/Mumu.worm Exploit-DcomRpc
IPCScan IRC/Flood.ap IRC/Flood.bi
IRC/Flood.cd NTServiceLoader PWS-Sincom
W32/Bugbear@MM W32/Deborm.worm.gen W32/Dumaru@MM
W32/Elkern.cav W32/Fizzer.gen@MM W32/FunLove
W32/Klez W32/Lirva W32/Lovgate
W32/Lovsan.worm W32/Mimail@MM W32/MoFei.worm
W32/Mumu.b.worm W32/Nachi.worm W32/Nimda
W32/Sdbot.worm.gen W32/SirCam@MM W32/Sobig
W32/SQLSlammer.worm W32/Yaha@MM

;)(Y)

kAoS_mEnTaLe
20-08-2003, 09.51.58
io ho esguito tutti i test, applicato tutte le patch, ma il sygate continua a segnalarmi "RPC DCOM buffer overflow exploit attempt detected." è possibile fare in modo di bloccare definitivamente questi tentativi oppure devo continuare a vedermi le freccettine rosse lampeggiare? grazie! :-)

Giorgius
20-08-2003, 10.25.28
Con la pacth MS continui ad avere questi attacchi?

davlak
20-08-2003, 10.45.33
a dire il vero pure io ce li ho in continuazione, nonostante la patch e un winupdate globale.



:eek:

kAoS_mEnTaLe
20-08-2003, 10.47.57
esattamente. in più ho scaricato fixblast per sicurezza ma la scansione mi dice che nn ha rilevato alcun file...
le porte sn bloccate x' sto facendo la scansione dal sito sygate cn tutti i test e continua a dirmi che il mio pc è eccezionale e nn verrà neanche sfiorato da una formica....
che debbo fà?!?!
nn se ne può più....:mad: :mad:

Giorgius
20-08-2003, 10.51.59
Avete controllato se risiedono ancora in "C:\Winnt\system32" o "C:\Windows\System32" i files eseguibili "Msblast.exe" e "Msblast32.exe"?

Nel caso che ci fossero, dovete interrompere i due eseguibili in memoria aprendo il "Task Manager" ;)

Se non ci fossero, fate il Test Gibson per la porta "135" ;) I passaggi successivi vi suggeriranno manualmente la procedura per chiudere la suddetta porta da registro di Winzozz ;):)
Riavviate poi il Sistema.


Un'altro consiglio è di aggiorare le Directx9.0/9.0a alle 9.0b ;)

Download:
Mirror: http://download.microsoft.com/download/c/9/c/c9c8a1d4-7690-4c98-baf3-0c67e7f3751f/dx90b_redist.exe

Può anche essere che vi siete presi le varianti "D" del Blaster...

kAoS_mEnTaLe
20-08-2003, 10.56.23
il fatto è che nn ci sn mai stati nel mio pc..
il test di gibson l'ho eseguito ieri, rieseguito oggi mi da questo risultato (lo stesso di ieri):

Gibson Research Corp. (http://grc.com)
DCOM/RPC development tool

Connected to local RPC port.

DCOM services are NOT currently available.
DCOM RPC is NOT vulnerable to buffer overrun on this machine.

DCOM/RPC development tool terminating.

da cui deduco che sn a posto..
inoltre le mie directx sn proprio le 9.0b...sn un maniaco dell'aggiornamento...

davlak
20-08-2003, 11.22.54
Giorgius, credimi:

ho fatto tutto quello che c'era da fare.

il firewall é settato che non entra manco uno spiffero...stinger non rileva niente....gibson già fatto....le directx: non sono mai passato alle 9...il registro é pulito...

il worm lo avevo preso su un'altra installazione di XP, non su questa, che non é stata mai toccata dal bastardone.

sono costretto a usare Millennium per la navigazione...non riesco a capire.

:confused:

Giorgius
20-08-2003, 11.59.30
Io ho un "WinXp Sp1" è mi è bastato installare questa Patch (farà parte di WinXP Sp2) di Marzo scorso.

Effetti:
Patch di protezione Windows XP: una falla nel servizio RPC potrebbe consentire attacchi di tipo Denial of Service

Download: (solo per i possessori di WinXP Sp1)
Mirror: http://download.microsoft.com/download/4/e/d/4ed9af70-501d-49cc-adab-0ef6aca0f937/Q331953_WXP_SP2_x86_ITA.exe

Riavviate poi il Sistema


N.B.: vale bene il consiglio di spendere qualche eurino per acquistare un buon Firewall Software, tipo Zone Alarm Pro 4.0 (non sarebbe male x chi conosce Linux un vecchio pc k6/PII/PIII da usare come router e come buon Firewall aggiornabile) ;) (Y)

Giorgius
20-08-2003, 12.14.06
http://www.navy.mil/slice_03.jpg

Navy's New $6.9 billion Intranet crippled ...errmmm disrupted.. by worm outbreak
Blaster variant and SoBig.F may be the cause
08-19-2003 1:04:02 PM CST --
Story by Dan Verton for ComputerWorld.com

The Navy confirmed today that its multibillion-dollar Navy/Marine Corps Intranet (N/MCI) has been taken off-line by what could be a combined onslaught of the Blaster worm variant and Sobig.F Internet worms, which are spreading fast. A U.S. Navy spokesman said the details of the network's problems are still coming in and that it is unclear whether one or both worms were responsible for the failure. Navy officials are holding an emergency meeting to study the problem. N/MCI is a $6.9 billion IT outsourcing contract, often referred to as seat management, that will give the Navy and Marine Corps secure, universal access to integrated voice, video and data communications. Plano, Texas-based Electronic Data Systems Corp. won the contract in October 2000. However, technical difficulties, deployment delays and user complaints have hampered the program since its inception.

Discovered on Aug. 19, SoBig.F is spreading today at a fast rate in the wild. The worm spreads via random e-mails. Garbage characters are appended to the SoBig worm in an attempt to make it difficult to detect, said Ken Dunham, malicious code intelligence manager at iDefense Inc. in Reston, Va. "SoBig.F shows how the spreading of malicious code has become more calculated and precise in recent months," Dunham said. "Malicious code actors are now releasing multiple variants of code sequentially using multiple techniques to help malicious code spread in the wild." Attachments for SoBig.F known to date include files named details.pif, thank-you.pif, movie0045.pif, your-details.pif and application.pif. "Block all PIF files at the gateway level to help lower the risk of a SoBig worm outbreak," Dunham advised....continued...

YET ANOTHER UPDATE : The Navy confirmed late today that its multibillion-dollar Navy/Marine Corps Intranet (N/MCI) was hit by a variant of the Blaster worm, but it said that earlier statements that the network had been taken off-line were inaccurate. Nicolle Rose, a Navy spokeswoman, said the N/MCI was first affected by the Blaster variant, also known as W32.Welchia.Worm, Blast.D and Nachi, at 3:05 p.m. yesterday. "The attack affected only the unclassified portion of the N/MCI network, has been contained, and cleanup is in progress," Rose said. According to an official Navy statement on the incident released this afternoon, the U.S. Naval Network Warfare Command, along with the Navy's prime contractor on the program, Electronic Data Systems Corp., worked with antivirus vendor Symantec Corp. to develop and deploy fixes...continued...

:rolleyes: :eek: :eek: :rolleyes:


Hanno speso milioni di dollari per una "Intranet militare" che è stata letteralmente bucata da "Blaster" e soci ultimi usciti...

Sanduleak
20-08-2003, 13.30.01
una info utile
lavoro in un negozio di PC e giusto ieri mi sono imbattuto sul Blaster a casa di un cliente....
Dovevo andare su internet per scaricare la patch ma mentre scaricavo (con un 56kakka) mi è comparsa la mascheretta "Arresto del sistema in corso".. come finire il download????

Start--->Esegui-->"shutdown -a"

questo comando abortisce lo shutdown.. il conto alla rovescia si è arrestato... ho scaricato e installato la patch... tolto il virus... e sopratutto ricevuto 5€ di mancia :D :D :D

Spero possa essere di aiuto ciao a tutti

Giorgius
20-08-2003, 14.47.49
;)

RNicoletto
20-08-2003, 16.14.49
Ma il firewall vi sta segnalando un attacco in entrata o dei pacchetti in uscita ?? :confused:

Se è il primo caso credo sia normale; indica che altri PC infetti da (W)Blaster stanno tentando di attaccare il vostro PC :o.


SALUDOS Y BESOS !!!

Giorgius
20-08-2003, 16.36.54
X quelli che hanno la connessione 56K e non riescono a scaricare il malloppone delle "Directx9.0b"

Se avete installato le Directx 9.0/9.0a, MS rende disponibile una piccola Patch per chiudere la falla sulla sicurezza...

Effetti:
DirectShow® Security Fix for DirectX 9.0 and DirectX 9.0a Knowledge Base Article 819696
This is a small download package which fixes a security issue in DirectShow. To install the full DirectX 9.0b please see the DirectX 9.0b End-user runtime related link.

Info:
http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=22F990CB-E9F9-4670-8B4F-AC4F6F66C3A2

Download:
Mirror: http://download.microsoft.com/download/b/d/3/bd397e7d-80c6-491a-af95-a53e96678e07/DirectX9-KB819696-x86-ITA.exe

Sistemi operativi supportati: TabletPC, Windows 2000, Windows 2000 Service Pack 2, Windows 2000 Service Pack 3, Windows 98, Windows 98 Second Edition, Windows ME, Windows Server 2003, Windows XP
Requires DirectX 9.0 or DirectX 9.0a to be installed.

kAoS_mEnTaLe
20-08-2003, 23.37.26
Originariamente inviato da RNicoletto
Ma il firewall vi sta segnalando un attacco in entrata o dei pacchetti in uscita ?? :confused:

Se è il primo caso credo sia normale; indica che altri PC infetti da (W)Blaster stanno tentando di attaccare il vostro PC :o.


SALUDOS Y BESOS !!!

è il primo caso, mi segnala prima un "active response" e poi un "intrusion detection system" e appunto mi dice che c'è un tentativo di buffer overflow exploit....
in teoria quindi posso stare "tranquillo"..devo solo rimanere molestato da questo finchè blaster nn sarà tolto dalla circolazione?
grazie infinite!

RNicoletto
21-08-2003, 10.38.43
Originariamente inviato da kAoS_mEnTaLe
...devo solo rimanere molestato da questo finchè blaster nn sarà tolto dalla circolazione?
Direi proprio di si ! (Y)


SALUDOS Y BESOS !!!

kAoS_mEnTaLe
21-08-2003, 13.57.30
sn riuscito ad ovviare al problema..nonostante il test di gibson e altri test vari mi dicessero che era tutto a posto, il sygate nn blocca per default la porta 135 del protocollo tcp..strano però che nn venisse rilevato nei test..bloccata quella nn ho più nessun tentativo di intrusione..
grazie a tutti per il supporto!

Giorgius
21-08-2003, 15.02.54
;)

Come suggerito in precedenza, se trovate o avete ancora un vecchio Pc At/Atx con almeno 128Mb Ram, fatevelo settare come Firewall-Router Linux da una persona che conosce bene il linguaggio del Pinguino.

Per il momento non ci sono grossi attacchi al kernel di Torvald, ma di questi tempi non si sa mai... (S)

Gervy
23-08-2003, 14.30.41
altro worm che utilizza la falla oramai famosa ma non solo, anche una un po più vecchia di gennaio http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-001.asp comunque il worm non è considerato molto pericoloso o diffuso ;)


http://www.sarc.com/avcenter/venc/data/w32.hllw.gaobot.aa.html

Giorgius
23-08-2003, 14.42.27
E' un clone del Blaster ;)

Giorgius
30-08-2003, 15.20.06
Internet: Virus Blaster, arrestato teenager untore
Ultimo aggiornamento 29 agosto 2003, 19:41 ora italiana (17:41 GMT)

Tra i danni causati dal terribile virus informatico c’è stata la chiusura degli uffici della motorizzazione del Maryland

Washington (CNN) -- I cyberinvestigatori americani hanno arrestato venerdì un teenager del Minnesota sospettato di essere uno degli autori del micidiale virus Blaster che alcune settimane fa ha imperversato sui computer che utilizzano il software della Microsoft di tutto il mondo.
http://www.cnnitalia.it/2003/TECNOLOGIA/08/29/1920blaster/index.html

;)(Y) Uno in meno.

RNicoletto
01-09-2003, 12.21.56
Originariamente inviato da Giorgius
;)(Y) Uno in meno.
Prevedo ca##i amari per questo teenager... :rolleyes:


SALUDOS Y BESOS !!!

Giorgius
03-09-2003, 19.42.51
13:25 VIRUS: CASO GONFIATO QUELLO DELL'AUTORE DI BLASTER

(ASCA) - Roma, 3 set - Le autorita' inquirenti hanno
esagerato le accuse contro di me e la copertura dei mezzi di
informazione ha proposto un ritratto della mia persona che
non corrisponde alla realta'. In una trascrizione apparsa sul
sito web di Msnbc si e' difeso cosi' Jeffrey Parson, lo
studente di 18 anni accusato di aver modificato una versione
di Blaster, il worm che nelle scorse settimane ha portato lo
scompiglio in migliaia di computer nel mondo. Parson teme che
il governo voglia fare del suo un caso esemplare per tutti.
Il ragazzo deve presentarsi presso la corte di Seattle il
prossimo 17 settembre e rischia fino a 10 anni di prigione e
una multa di 250.000 dollari. ''Capisco che il governo abbia
bisogno di prendere un responsabile per crimini del genere'',
ha dichiarato Parson, ''ma non sono io quello che hanno
bisogno di prendere''. Gli inquirenti hanno rivelato che lo
studente ha ammesso di aver messo in circolazione una
variante di Blaster che ha colpito almeno 7.000 computer.
In un'intervista televisiva i genitori del ragazzo, Bob e
Rita Parson, hanno sottolineato che loro figlio e' un
teenager come tanti, non un genio solitario del computer come
e' stato detto dai mezzi di informazione.


:rolleyes:

Giorgius
05-09-2003, 11.42.21
UP! ;)(Y)

Per chi è ritornato dalle vacanze...

Jekol
05-09-2003, 18.03.15
Brutte cose da leggere di ritorno dalle vacanze :(

Il mio collega l'ha beccato e, dietro linkaggi a questa sezione da parte del sottoscritto, ha risolto brillantemente :cool: ... complimenti a tutti e , soprattutto, a Giorgius (Y)

Io, invece, mi son preso Hacktool :mad: (peraltro come un pollo) ... ma ora ho risolto :)


Grazie ancora per gli utilissimi consigli








_____________________________________


http://www.zencore.biz/gridstat.pl?user=Jekol (http://windows.zdnet.it/folding.html)

Giorgius
06-09-2003, 20.13.26
;)(Y)

Secondo Panda Software, dovrebbe essere un Week End tranquillo...

Da tenere d'occhio il prossimo 11.09.03 ;):rolleyes:

Giorgius
20-09-2003, 10.17.39
http://www.sophos.com/images/common/misc/parson2.jpg

Blaster worm suspect pleads not guilty in Seattle court

Jeffrey Lee Parson, the 18-year-old youth suspected of creating the W32/Blaster-B worm, has pleaded not guilty to charges of causing damage to a computer.

Parson, from Hopkins, Minnesota, appeared in a Seattle court to answer charges that he intentionally caused or attempted to cause damage to a computer. According to media reports, if he is found guilty he could face up to 10 years in prison and a $250,000 fine.

Law enforcement officials claim that Parson admitted creating a variant of the worm when he was arrested. Parson is reported to claim that he is being treated as a scapegoat as the author of the original Blaster worm has not been discovered.

"It's interesting to hear that Parson intends to fight the charges against him," said Graham Cluley, senior technology consultant at Sophos Anti-Virus. "In the past virus writers such as David L Smith, Simon Vallor and Christopher Pile have pleaded guilty. This could become a real test case for the authorities to see if they can produce convincing evidence in court that will prove a computer crime has been committed."

Parson will next appear in court on 17 November. He has been banned from using the internet, surfing the web or using online chat systems during the course of his trial.

Giorgius
27-09-2003, 12.05.42
27 set 00:34 Internet: virus Blaster, giovane pirata informatico arrestato a Seattle

NEW YORK - Un giovane pirata informatico e' stato arrestato dalle autorita' di Seattle nell'ambito delle indagini sul virus Blaster. Si tratta del terzo arresto legato al virus informatico che lo scorso mese infetto' milioni di computer nel mondo. In precedenza erano stati arrestati uno studente delle superiori del Minnesota e un 24enne rumeno. Non e' stato pero' ancora possibile risalire al creatore del virus originale. (Agr)

;)(Y)