Robak W32/Blaster

[yahol]

Info od mojego Admina!

-----Oryginalna wiadomość-----
Od:
Wysłano: 13 sierpnia 2003 07:10
Do: Dyspozytorzy Techniczni
Temat: W32/Blaster - PL CERT Advisory


Witam,

Przesyłam Wam trochę moich wypocin ponieważ nie wiem czy do końca znacie temat robaka W32/Blaster a może Wam się to przydać w pracy jak i prywatnie


Jeśli ab. zadzwoni i powie ze mu windows "oszalał" lub ze wyświetla cos podobnego jak na obrazku to znaczy ze ktoś w danej chwili próbuje się do niego włamać lub juz to zrobił.

Aby się zabezpieczyć należy zainstalować i DOBRZE SKONFIGUROWAĆ FireWall, więcej info. w kom. CERT.


================================================== ==========================
=================
FRAGMENT INFORMACJI Z CERT KTÓRY PRZETŁUMACZYŁEM ================================================== ==========================
=================
Instalacja łatek

Wszyscy użytkownicy proszeni są o zastosowanie łatek, o których mowa w Microsoft Security Bulletin MS0-026 (http://microsoft.com/technet/treevie...t/security/bul
letin/MS03-026.asp) tak szybko jak to możliwe w celu zmniejszenia podatności na atak. Pod w/w adresem znajdują się też patche dla systemu Windows NT/2000/XP/Server 32/bit/64bit

Zarejestrowano, że część zainfekowanych komputerów nie jest w stanie utrzymać połączenia z siecią wystarczająco długo by ściągnąć patche ze strony Microsoftu. Dla hostów w takiej sytuacji CERT/CC zaleca następujące
czynności:
1. fizyczne odłączenie systemu od sieci
2. sprawdzenie oznak zainfekowania systemu
- w większości przypadków na zainfekowanie będzie wskazywała obecność w rejestrze klucza: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\windows
auto update" z wartością msblast.exe. Jeśli istnieje ten klucz to usuń go
za pomocą edytora rejestru.
3. jeśli jesteś zainfekowany, zatrzymaj działającą kopię msblast.exe używając Menadżera Zadań. 4. Przed zainstalowaniem patcha, wykonaj jeden z następujących kroków aby się zabezpieczyć:
- wyłącz DCOM jak opisane poniżej
- włącz filtr Microsoftu (Internet Connection Filter, ICF), albo inny program filtrujący na poziomie hosta, by zablokować przychodzące połączenia dla 135/tcp. 5. podłącz system do sieci i zainstaluj patche

Filtrowanie ruchu w sieci

Zaleca się zablokowanie dostępu z sieci przez następujące porty:

* 69/UDP
* 135/TCP
* 135/UDP
* 139/TCP
* 139/UDP
* 445/TCP
* 445/UDP
* 4444/TCP

Należy rozważyć zablokowanie zarówno ruchu przychodzącego i wychodzącego na tych portach, w zależności od wymagań sieci. Zaleca się zablokowanie wszystkich typów ruchu sieciowego oprócz tego niezbędnego do normalnego działania.


================================================== ==========================
=================
INFORMACJA Z CERT
================================================== ==========================
=================

-----BEGIN PGP SIGNED MESSAGE-----

CERT Advisory CA-2003-20 W32/Blaster worm

Original issue date: August 11, 2003
Last revised: --
Source: CERT/CC

A complete revision history is at the end of this file.

Systems Affected

* Microsoft Windows NT 4.0
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003

Overview

The CERT/CC is receiving reports of widespread activity related to a
new piece of malicious code known as W32/Blaster. This worm appears to
exploit known vulnerabilities in the Microsoft Remote Procedure Call
(RPC) Interface.

I. Description

The W32/Blaster worm exploits a vulnerability in Microsoft's DCOM RPC
interface as described in VU#568148 and CA-2003-16. Upon successful
execution, the worm attempts to retrieve a copy of the file
msblast.exe from the compromising host. Once this file is retrieved,
the compromised system then runs it and begins scanning for other
vulnerable systems to compromise in the same manner. In the course of
propagation, a TCP session to port 135 is used to execute the attack.
However, access to TCP ports 139 and 445 may also provide attack
vectors and should be considered when applying mitigation strategies.
Microsoft has published information about this vulnerability in
Microsoft Security Bulletin MS03-026.

Lab testing has confirmed that the worm includes the ability to launch
a TCP SYN flood denial-of-service attack against windowsupdate.com. We
are investigating the conditions under which this attack might
manifest itself. Unusual or unexpected traffic to windowsupdate.com
may indicate an infection on your network, so you may wish to monitor
network traffic.

Sites that do not use windowsupdate.com to manage patches may wish to
block outbound traffic to windowsupdate.com. In practice, this may be
difficult to achieve, since windowsupdate.com may not resolve to the
same address every time. Correctly blocking traffic to
windowsupdate.com will require detailed understanding of your network
routing architecture, system management needs, and name resolution
environment. You should not block traffic to windowsupdate.com without
a thorough understanding of your operational needs.

We have been in contact with Microsoft regarding this possibility of
this denial-of-service attack.

II. Impact

A remote attacker could exploit these vulnerabilities to execute
arbitrary code with Local System privileges or to cause a
denial-of-service condition.

III. Solutions

Apply patches

All users are encouraged to apply the patches referred to in Microsoft
Security Bulletin MS03-026 as soon as possible in order to mitigate
the vulnerability described in VU#568148. These patches are also
available via Microsoft's Windows Update service.

Systems running Windows 2000 may still be vulnerable to at least a
denial-of-service attack via VU#326746 if their DCOM RPC service is
available via the network. Therefore, sites are encouraged to use the
packet filtering tips below in addition to applying the patches
supplied in MS03-026.

It has been reported that some affected machines are not able to stay
connected to the network long enough to download patches from
Microsoft. For hosts in this situation, the CERT/CC recommends the
following:
1. Physically disconnecting the system from the network
2. Check the system for signs of compromise.
+ In most cases, an infection will be indicated by the presence
of the registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion
\Run\windows auto update" with a value of msblast.exe. If
this key is present, remove it using a registry editor.
3. If you're infected, terminate the running copy of msblast.exe
using the Task Manager.
4. Take one of the following steps to protect against the compromise
prior to installing the Microsoft patch:
+ Disable DCOM as described below
+ Enabling Microsoft's Internet Connection Filter (ICF), or
another host-level packet filtering program to block incoming
connections for 135/tcp
5. Reconnect the system to the network and apply the patches in the
recommended manner

Trend Micro, Inc. has published a set of steps to accomplish these
goals. Symantec has also published a set of steps to accomplish these
goals.

Disable DCOM

Depending on site requirements, you may wish to disable DCOM as
described in MS03-026. Disabling DCOM will help protect against this
vulnerability but may also cause undesirable side effects. Additional
details on disabling DCOM and possible side effects are available in
Microsoft Knowledge Base Article 825750.

Filter network traffic

Sites are encouraged to block network access to the following relevant
ports at network borders. This can minimize the potential of
denial-of-service attacks originating from outside the perimeter. The
specific services that should be blocked include
* 69/UDP
* 135/TCP
* 135/UDP
* 139/TCP
* 139/UDP
* 445/TCP
* 445/UDP
* 4444/TCP

Sites should consider blocking both inbound and outbound traffic to
these ports, depending on network requirements, at the host and
network level. Microsoft's Internet Connection Firewall can be used to
accomplish these goals.

If access cannot be blocked for all external hosts, the CERT/CC
recommends limiting access to only those hosts that require it for
normal operation. As a general rule, the CERT/CC recommends filtering
all types of network traffic that are not required for normal
operation.

Because current exploits for VU#568148 create a backdoor, which is in
some cases 4444/TCP, blocking inbound TCP sessions to ports on which
no legitimate services are provided may limit intruder access to
compromised hosts.

Recovering from a system compromise

If you believe a system under your administrative control has been
compromised, please follow the steps outlined in

Steps for Recovering from a UNIX or NT System Compromise

Reporting

The CERT/CC is tracking activity related to this worm as CERT#30479.
Relevant artifacts or activity can be sent to cert@cert.org with the
appropriate CERT# in the subject line.

Appendix A. Vendor Information

This appendix contains information provided by vendors. When vendors
report new information, this section is updated and the changes are
noted in the revision history. If a vendor is not listed below, we
have not received their comments.

Microsoft

Please see Microsoft Security Bulletin MS03-026.

Appendix B. References

* CERT/CC Advisory CA-2003-19 -
http://www.cert.org/advisories/CA-2003-19.html
* CERT/CC Vulnerability Note VU#561284 -
http://www.kb.cert.org/vuls/id/561284
* CERT/CC Vulnerability Note VU#326746 -
http://www.kb.cert.org/vuls/id/326746
* Microsoft Security Bulletin MS03-026 -
http://microsoft.com/technet/securit...n/MS03-026.asp
* Microsoft Knowledge Base article 823980 -
http://support.microsoft.com?kbid'3980

Thanks

Our thanks to Microsoft Corporation for their review of and input to
this advisory.
__________________________________________________ ____________________

Authors: Chad Dougherty, Jeffrey Havrilla, Shawn Hernan, and Marty
Lindner
__________________________________________________ ____________________

This document is available from:
http://www.cert.org/advisories/CA-2003-20.html
__________________________________________________ ____________________

CERT/CC Contact Information

Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

CERT/CC personnel answer the hotline 08:00-17:00 EST(GMT-5) /
EDT(GMT-4) Monday through Friday; they are on call for emergencies
during other hours, on U.S. holidays, and on weekends.

Using encryption

We strongly urge you to encrypt sensitive information sent by email.
Our public PGP key is available from
http://www.cert.org/CERT_PGP.key

If you prefer to use DES, please call the CERT hotline for more
information.

Getting security information

CERT publications and other security information are available from
our web site
http://www.cert.org/

To subscribe to the CERT mailing list for advisories and bulletins,
send email to majordomo@cert.org. Please include in the body of your
message

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S.
Patent and Trademark Office.
__________________________________________________ ____________________

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software
Engineering Institute is furnished on an "as is" basis. Carnegie
Mellon University makes no warranties of any kind, either expressed or
implied as to any matter including, but not limited to, warranty of
fitness for a particular purpose or merchantability, exclusivity or
results obtained from use of the material. Carnegie Mellon University
does not make any warranty of any kind with respect to freedom from
patent, trademark, or copyright infringement.
__________________________________________________ ____________________

Conditions for use, disclaimers, and sponsorship information

Copyright 2003 Carnegie Mellon University.

Revision History

August 11, 2003: Initial release

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBPzhJFGjtSoHZUTs5AQEO6wP5AZuyr1OG/U9RjZDAAatFmJUuTO8SFhtd
R+nfZ54ylZPGE8ewMiS0hiuKaaXsOyk46R+zcwuPfoKffaaQX7 SvwkS5uVzRBU+E
PEnECSv6O8qL0uGR6BO8zmDncOhd8YouyXWGwMCRqpvH4rMHLR B8CIgKHyEoqBpl
r69lGr8lqtE=3GAW
-----END PGP SIGNATURE-----


--
pozdrawiam,
(-=BPL=-)


---
Incoming mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.507 / Virus Database: 304 - Release Date: 2003-08-04

[RoKFoR]

Niechcialo mi sie tego wszystkiego czytac ale w temacie pisze ze to wirus, to nie wystarczy miec antywirusa wlanczonego non stop w tle z najnowsza biblioteka do niego.

[+++LeWaP+++]

http://securityresponse.symantec.com...ster.worm.html

tu jest narzędzie do usuwania tego gówna:

http://securityresponse.symantec.com...oval.tool.html

a jeszcze tu jest Blaster Worm: Critical Security Patch for Windows XP (1,2 MB)
http://microsoft.com/downloads/detai...displaylang=pl

[+++LeWaP+++]

dla leniwych załącznik z removal tool

[Kasprzak]

ja to mialem. Pisalem w moim poscie ze gg 60 juz jest. To nie wina gg tylko mialem tego wira. Nakladka od Billa pomogla

[Gorzala]

Nie chce nikogo martwic... ale:
http://nt.interia.pl/news?inf=417615
"Wirus komputerowy LoveSan, grasujący od poniedziałku po internecie, zainfekował do czwartku od 120 tysięcy do 200 tysięcy komputerów na całym świecie. Eksperci ostrzegają, że pojawiły się już pierwsze mutacje tego wirusa - groźniejsze od oryginału.

LoveSan atakuje komputery z systemem operacyjnym Windows NT, Windows 2000 i Windows XP, wykorzystując "dziurę", o której zresztą wiadomo od dość dawna i dla której firma Microsoft (producent Windowsów) przygotowała odpowiednią "łatkę". Jak zwykle jednak wielu prywatnych internautów i wiele firm zlekceważyło ostrzeżenia i nie zadbało na czas o zabezpieczenie się przed kolejnym atakiem.
Pojawienie się mutacji LoveSana może oznaczać - jak ostrzega moskiewska firma Kaspersky Labs, zajmująca się zabezpieczaniem systemów komputerowych - że wszystkie zainfekowane dotąd komputery, z niemałym trudem "wyleczone" następnie z wirusa, mogą w najbliższym czasie ponownie paść ofiarą ataku.
Eugene Kaspersky, szef wydziału walki z wirusami komputerowymi w moskiewskiej firmie, mówi, że możliwa jest powtórka wydarzeń ze stycznia 2003 roku, kiedy wirus Slammer znacznie spowolnił, a na niektórych obszarach wręcz sparaliżował ruch w internecie.
Eksperci nie mieli wątpliwości, że prędzej czy później pojawią się mutacje LoveSana. Osławiony wirus "I Love You" doczekał się aż 90 wariantów. Nie jest jeszcze za późno, żeby ściągnąć z serwera firmy Microsoft wspomnianą "łatkę", która najprawdopodobniej zapewni ochronę także przed mutacjami LoveSana.
Wśród ofiar wirusa LoveSan jest m.in. urząd komunikacji w amerykańskim stanie Maryland, jeden z największych banków Finlandii i wielkie azjatyckie linie lotnicze.
Już dziś, 16 sierpnia, z zainfekowanych przez LoveSana komputerów ma zostać wyprowadzony atak typu DoS, wymierzony przeciwko jednemu z serwerów firmy Microsoft. (DoS - Denial of Service - polega na przeciążeniu atakowanego serwera tak wieloma pytaniami, że system załamuje się).
Internauci odczują najprawdopodobniej wyraźne spowolnienie ruchu w Sieci, chyba że ekspertom Microsoftu uda się udaremnić atak."

[-Sid-The-Rat=>]

moze cos z tego DoSa wyjdzie...

[Smartek]

No to bedzie rozruba, www.windowsupdate.com juz nie dziala ^_^
pozdro

[CIAPEK]

ej chłopaki mam tego robaka (Worm32.Blaster)

Ten pliczek od Lewapa w zipe mi nie działa (archiwum zipa uszkodzone), a ta nakładka nie wiem gdzie jest.

Możecie pomóc? Podac bezpośredni link, albo przesłać mi ten plik fix blast na maila?

Dzieki

mój mail

[yahol]

http://download.microsoft.com/downlo...80-x86-PLK.exe

[andrzejj9]

Chcecie w takim razie powiedziec, ze to, na co klne od jakiegos miesiaca, a mianowicie nagle restartowanie sie komputera, kiedy jestem na necie (z natury jestem czlowiekiem bardzo spokojnym, ale jak mi sie komputer wylacza, kiedy mam otwartych dwadziescia roznych stron, do ktorych przez rozne wyszukiwarki dochodzilem przez godzine, to mam ochote cos rozwalic. Pol biedy, kiedy jeszcze uzywam Avant Browsera, bo tam przynajmniej zapamieta mi otwarte okna i bede tylko musial czekac, az jeszcze raz sie otworza. Ale w Explorerze trace je bezpowrotnie), to ten durny wirus? Troche mi to nie na reke, bo musialbym odszczekac to wszystko, co przez ten czas powiedzialem na TPSA (a bylo tego oj bylo ), ale z drugiej strony miloby bylo w koncu znalezc przyczyne, bo juz zaczynam sie bac wchodzic na internet

Tak wiec napisze jeszcze raz objawy i powiedzcie mi, czy to moze byc to? Ani razu nie zrestartowal mi sie komputer, kiedy nie bylem na internecie, ale bardzo czesto robi to, kiedy jestem online. Mam zainstalowanego antyvirusa (wyjatkowo, bo przy reinstalacji systemu znalazlem na plycie od plyty glownej Nortona Antyvirusa 2002, wiec zainstalowalem), ale nieuaktualnionego, jednak czasami pojawia sie napis, ze zablokowany zostal atak na moj komputer. Po takim komunikacie nigdy komputer sie nie zawiesil. Jednak rzadko widze taki napis, najczesciej komputer po prostu sie restartuje.

Czy to moze byc wiec wina tego wirusa? I jak on w ogole dziala, bo tak, jak zwykle jestem w miare na biezaco, jesli chodzi o nowe ciekawostki, tak o tym nie slyszalem praktycznie nic. Posciagam i tam na wszelki wypadek te rzeczy, o ktorych pisaliscie, ale caly czas mam ochote zadzwonic do tepsy i powiedziec im, co o nich mysle. Nie wiem tylko, czy mam powod (to znaczy kilka na pewno by sie znalazlo, ale konkretnie chodzi mi o te restarty ).

[yahol]

niestety po angielsku
Tak, pewnie go masz, on nie siedzi na kompie, tylko krazy w sieci. jak masz oryginalnego Nortona, zaktualizuj go i zstaluj:
To

[paput2000]

No to faktycznie pościagaj te wszystkie uaktualnienia i łaty o których na tym forum i nie tylko było pisane.
Też miałem ostatnio problemy i to głównie podczas korzystania z przegladarki (błąd svchost.exe) i po zainstalowaniu odpowiednich łat i uaktualnieniu antywira system do tej pory nie padł.
A tak na marginesie to zainstaluj sobie na stałe, a nie okazjonalnie program antywirysowy i firewalla i aktualizuj bazę wirusów przynajmniej raz w tygodniu - zresztą odpowiednio skonfigurowany program zrobi to sam.

[andrzejj9]

Cytat:

paput2000 napisa***322;(a)
A tak na marginesie to zainstaluj sobie na stałe, a nie okazjonalnie program antywirysowy i firewalla i aktualizuj bazę wirusów przynajmniej raz w tygodniu - zresztą odpowiednio skonfigurowany program zrobi to sam.

Wiem, masz racje. Ale do tej pory nigdy - i podkreslam slowo NIGDY - nie mialem zainstalowanego zadnego programu antyvirusowego i rowniez nigdy nie mialem zadnych problemow z wirusami. Moze kwestia szczescia, ale tak bylo. Wiem, powiesz, ze to kwestia czasu i pewnie bedziesz mial racje, ale to tez troche dziwne, ze akurat, kiedy pierwszy raz mam program antyvirusowy, to zaczyna mnie meczyc wirus. Moze te programu je przyciagaja, zeby klienci kupowali nowe wersje

[paput2000]

Cytat:

andrzejj9 napisa***322;(a)
Wiem, masz racje. Ale do tej pory nigdy - i podkreslam slowo NIGDY - nie mialem zainstalowanego zadnego programu antyvirusowego i rowniez nigdy nie mialem zadnych problemow z wirusami. Moze kwestia szczescia, ale tak bylo. Wiem, powiesz, ze to kwestia czasu i pewnie bedziesz mial racje, ale to tez troche dziwne, ze akurat, kiedy pierwszy raz mam program antyvirusowy, to zaczyna mnie meczyc wirus. Moze te programu je przyciagaja, zeby klienci kupowali nowe wersje

Mój antywirus też przyciąga wirusy i trojany, czasami podczas jednej kilkugodzinnej sesji internetowej, lub połączenia z p2p mam kilka komunikatów o jakimś tam NetBusie - tylko gdybym nie miał antywira to wcale o tym bym nie wiedział - pewnie po jakimś czasie tylko wszystko by mi buszowało po komputerze, a nie ja sam.