Nova epidemija - zakrpite Windows

[Šile]

Worm.Win32.Sasser u dvije varijante, za dva dana

Worm.Win32.Sasser.a
[ 05/02/2004 21:54, GMT +03:00, Moscow ]
Danger : moderate risk

This worm spreads via the Internet using a vulnerability in the Microsoft Windows LSASS service. The vulnerability is described in Microsoft Security Bulletin MS04-011, which can be found at:

http://www.microsoft.com/technet/sec.../MS04-011.mspx

The worm is written in C/C++ using Visual C compiler. It is approximately 15KB in size, and packed using ZiPack.
Propagation
When launching, the worm registers itself in the system registry autorun key:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
avserve.exe = %WINDIR%\avserve.exe

The worm scans IP addresses, searching for computers which have the vulnerability described in MS04-011. A vulnerable computer will launch the command packet "cmd.exe" on TCP port 9996, and will then accept commands to download and launch copies of the worm.

Downloading is carried out via FTP protocol.

In order to do this the worm launches an FTP server on TCP port 5554 and on request from the victim computer loads a copy of itself. The copy of the worm will be loaded under the name "_up.exe", where "_" is a random number.

Worm.Win32.Sasser.b
[ 05/02/2004 22:14, GMT +03:00, Moscow ]
Danger : moderate risk

This worm spreads via the Internet using a vulnerability in the Microsoft Windows LSASS service. The vulnerability is described in Microsoft Security Bulletin MS04-011, which can be found at:

http://www.microsoft.com/technet/sec.../MS04-011.mspx

The worm is written in C/C++ using Visual C compiler. It is approximately 15KB in size, and packed using ZiPack.
Propagation
When launching, the worm registers itself in the system registry autorun key:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe

The worm scans IP addresses, searching for computers which have the vulnerability described in MS04-011. A vulnerable computer will launch the command packet "cmd.exe" on TCP port 9996, and will then accept commands to download and launch copies of the worm.

Downloading is carried out via FTP protocol.

In order to do this the worm launches an FTP server on TCP port 5554 and on request from the victim computer loads a copy of itself. The copy of the worm will be loaded under the name "_up.exe", where "_" is a random number.

[Šile]

Znaci, kada se nekome pojavi ova slika



a zatim dok ste online ova:



...znajte da imate Sasser na racunaru.

[//Wild-Boy\\]

...šta učinit da do toga ne dođe...

[Sljaka]

Dobar firewall i dobar antivirus i malo pažnje. Koristiti neki drugi e-mail klijent , a ne OE ili slični.

[//Wild-Boy\\]

...imam Norton...pa valjda je dovoljan...

[Šile]

Ma dovoljan vraga!!
A sto uciniti pise ti sve gore.

[bigboss]

ja sam ga pokupio i na laptopu i na kompu

[gog]

Navodno critigal upgrade za ovaj propust može razjebati windose, tako su barem u ms-u objavili, ima nešto više o tome na bug.hr...

Dobar firewallglavu čuva...

@šljaka, sasser se ne širi mailom, nego pinga random računala u potrazi za propustu u sustavu i onda se infiltrira... isto kao i netsky (ili kako se već zvao) koji je koristio propust u RPC-u...

[dmi]

...i redovit update...

[whiteboy]

btw jel to napada sve windowse ili samo xp?

[gog]

mislim da je sve odim 95 ili tako nešto, guglaj

[tomo]

neam SP1, jel to bad?

[Sljaka]

@gog ako nisi skužil da ti pojasnim upute su bile općenite. A na prvom mjestu je firewall, zatim pažnja, a onda sve ostalo. Na primjer, ja već godinu dana nemam uopće antivirus i nisam pokupio ni jedan virus, ni crva. Ali zato sve sumnjive poruke brišem na serveru i ništa ne prolazi kroz portove bez mog izričitog odobrenja. To je ponekad zamarajuće, ali nažalost nužno.

[Šile]

Ja mislim da napada sve sem 95 a ni ja nemam Servis pack al sam si ga stavio i sad nemam problema.

[Šile]

Plastično uputstvo za:

Sasser

Patch za WinXP (2.65 MB) - http://download.microsoft.com/downlo...32-x86-ENU.EXE

Patch za Win2k (6.99 MB) - http://download.microsoft.com/downlo...32-x86-ENU.EXE

Remove tool Win2k i WinXP (333 KB) - http://download.microsoft.com/downlo...841720-ENU.exe

Napomena: prvo "patch" pa onda uklanjanje sa datim alatom.

[gog]

@Šljaka, sve štima, samo sam htjeo biti određeniji OE je leglo svih zala... ja sam isto dugo brisao poruke sa servera, no otkad imam spam assasin na serveru i podešene filtere, niti za tim više nemam potrebe, skoro pa da sam se riješio spama...

[Šile]

Uhvatili su gimnazijalca iz njemacke iz hanovera ako se nevaram ima 18 god. koji je napravio Sessara. Nije namjerno decko htio studirat informatiku (neznam kog je htio imresionirat). U suradnji microsofta i njemacke policije. Sad sam vidio na RTL-u.

[damgol]

fakat ne kužim kaj se tim tipovima mota po glavi kad rade virus ono fakat su totalno

[kinfa]

sam bi se kur***

[sms freak]

Poslao: gog
Dobar firewallglavu čuva...

Zone Alarm Pro na max razini itekako glavu čuva.Jednom mi se za 1:40h surfanja čak 12 puta pojavila obavijest o blokiranom pokušaju upada u računalo.Par mjeseci(cirka 5) nakon instalacije tog odličnog vatrozida sam instalirao antivirusni program i našao je samo 2 trojanca.
Preporučujem ga svima.

P.S.Čak će vam napisati I.P.adresu otkud je pokušan upad

[damgol]

ima li ga gdje za skinut?
i manje surfaj po adult sajtovima pa ti neće upadat niko

[gog]

meni se agnitum outpost puno više sviša, a s najnovijom verzijom niti stabilnost više nije upitna...

BTW, ne radi se o upadima, nego o skeniranju portova uglavnom, mada se to može svakako protumačiti BTW, i ISP-ovi vam skeniraju portove u potrazi za nekim čestim virusima pa vas znaju o tome i lijepo obavijestiti. Slično je bilo u doba kada je back orifice žario i palio...

[kinfa]

i ja imam Zone Alarm pro i čim ga isključim odma pokupi virus moram ga restartat

[Šile]

Ma neznam zone je prva zona.

[kinfa]

do sada imam 1853 pokušaja upada u komp od kojih je 441 hihg rated