U pitanju je crv koji koristi ranjivi MS RPC DCOM (buffer overflow exploit) da izvrši kod koji ga kopira na sledeću mašinu. Kad se ubaci na računar, crv traži nove mašine na koje bi mogao da se proširi.

Simptom:



Najlakše je otkačiti se sa mreže, podići task manager, ubiti msblast.exe, zatim ga obrisati iz system32 direktorijuma, ukloniti iz registry-ja (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ime: 'windows auto update'), zatim se zakačiti, i skinuti odgovarajuću zakrpu sa windowsupdate ili ručno sa MS sajta. Evo Microsoftovog saopštenja.

Zgodna zaštita je i zatvaranje porta 135.

Moguće je da će crvi napasti windowsupdate.com SYN floodom 16-og avgusta.

[Ovu poruku je menjao random dana 12.08.2003. u 20:43 GMT]

RPC DCOM WORM (MSBLASTER)
This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.

**********
NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup.
**********


Increase in port 135 activity: http://isc.sans.org/images/port135percent.png

In order to protect yourself, you need to :
Close port 135 (if possible 135-139, 445 and 593)
Apply Patches http://www.microsoft.com/technet/security/bulletin/MS03-026.asp


If you are infected:
- disconnect machine from any network
- delete msblast.exe - delete registry key staring msblast.exe - reboot.


The worm may launch a syn flood against windowsupdate.com on the 16th. It has the ability to infect Windows 2000 and XP.

The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.

Infection sequence: 1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET
2. this causes a remote shell on port 4444 at the TARGET
3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444,
4. the target will now connect to the tftp server at the SOURCE.


The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

So far we found the following properties:

- Scans sequentially for machines with open port 135, starting at a presumably random IP address
- uses multiple TFTP servers to pull the binary
- adds a registry key to start itself after reboot


Name of registry key:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'

Strings of interest:

msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run


Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c

Mogu da potvrdim da je i Win2003 Server ranjiv. Dva puta mi se dogodilo ali nemam msblast.exe. Zanimljivo je da sam nasao neki tekst o ovome (ali ga jos nisam procitao) i nakon nekoliko minuta evo ga...

Inace mozete spreciti iskljucivanje racunara sa shutdown /a iz komandne linije a zatim ponovo pokrenuti RPC Service (ipak ispoljavaju seneke sitnije nestabilnosti pa ipak preporucujem restart).

BTW, evo upravo se ponovo desava...

Nije procurio exploit, nego je 2 dana nakon otkrivanja buga vec bilo rilizano par verzija exploita. Gledam, svaki dan nove verzije....
A sta kiddyi rade s tim...idite na efnet #phrack i samo cekajte...ne dugo :-))).

Eh mirnog li sna :)

.... jednog dana iz dosade uzeh da zabravim sve LISTEN portove na mojoj masini na poslu koja je na javnoj adresi ....

DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:135
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:445
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1025
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1032
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1118
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1207
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1477
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1484
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1489
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1528
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1529
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1620
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:5000
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:2211
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1770
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1979
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:139
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1655
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:1656
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:136
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:137
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:138
DROP tcp -- 0.0.0.0/0 213.184.99.36 tcp dpt:539


...

Ja sam skinuo update sa microsoft.com jedno pre nedelju dve. Tako da i nije baš tako nov virus? Malo pre sam opet hteo da update-ujem i nije bio nijedan critical update od tad.

~Say FiQ

Zove se Worm.Win32.Lovesun. Meni je isto upao (), ali sam ga otkloniJo sa KAV-om.

AAUUUUUUUUUU bruka....pa ovo je bruka

skeniraju i gruvaju sa svih strana...e pa bar mi se jedno 10 musterija zalilo i bukvalo CELA firma (na xp-u je) je bila u REBOOT RPC varijanti...ne mozete da verujete!

svi su imali msblast.exe u start/run i aktivnog u memoriji....

juce sam namerno skinuo firewall (dok nisam ubacio patch) i 5-6 puta me neko gadjao....odvali me..

a MSBLAST.exe otvori bar 10-15 konekcija ko zna gde po svetu i ceka...

a onda u random momentu uradi jedan KILL RPC-a i reboot je neminovan....

patch ima, primenite ga

msblast.exe je u win/system32 dir-u i kao prefetch file win/prefetch

pazite ovo...sasvim slucajno sam pratio paljenje jedne mashine...i evo sta rupa od virusa radi:

cim upalite mashinu u lokalnoj mrezi ODMAH krece da skenira privvate adrese...

192.168....i krece od C klase 0 na dalje.....jedan po jedan IP....i samo salje na 135 port....

i to otvori jedno 30 konekcija i samo shiba....auuu kakva bruka za MS....

meni je ceeeeeluuu firmu zarazilo za manje od sat vremena....odjednom su svi racunari poceli ODJEDNOM u isto vreme da se restartuju?????

zamislite trip da vam zvoni 7-8 telefona i svi korisnici kukaju na istu stvar!!!!!!!!

JOOOOOO............

Koliko sam ja ispratio, dotični patch je objavljen još 16. jula. Prema tome, nema excuse-a :)

A koliko sam ja ćitao da pćela ima tri oči. L;))

Zar ne bi trebalo da svaki odgovoran za windows mreže ima update agente koji revnosno skidaju nove update-ove ?

A za firewall niko nije čuo izgleda.. Samo neka rukaju, i treba :)

Pitaj boga kolka je ta brzina.

Za sve "administratore", prvo, koristite neki od besplatnih alata za patch management, recimo HFNetChkPro (50 CPU, free) ili napravite Microsoft-ov SUS u lokalnoj mreži kako bi izbegli ovakve i slične probleme.
Drugo, ako vaši korisnici imaju stalan pristup Internetu (mislim na mreže korisnika) ili koriste dial-on-demand, ISDN recimo, postavite jedan firewall (može čak i softverski), ali se potrudite da ga konfigurišete.
Treće, mirno spavajte.

ABSoftNet, poenta je u neodgovornosti, koja je ocigledno sveprisutna ... jerbo izgleda da oni vec "mirno spavaju" iako ............... maaa ... ona dva u stranu l;)

A malopre sam saznao da su virusom zaraženi i računari u gradskoj skupštini... Mislim stvarno...

A na bagremovoj paši ..... L;))



.... sta stvarno? Sta je tu cudno? Kakve veze ima sto su zarazeni racunari bas u gradskoj skupstini? Po cemu se ti racunari razlikuju od bilo kojih drugih par hiljada drugih koji rade na windows-u???

Aloooooo?
Moze li pitanje i ja sam to "cudo" zaradio pa me interesuje dali ta zakrpa
zatvara sve portove koje treba.Jer procitao sam da treba da se zatvore neki portovi kako se to raaadi.Ajde malo detaljnije neka neko objasni ...

Bojane, pa recimo po tome sto se u toj zgradi kreira politika grada (a gde je politika tu su i pare). Verovatno je isti slucaj i na visim nivoima.

Ako tebi tu nista nije cudno, onda takodje nisi rodjen za administratora. Dakle da definitvno pojasnim: "Mislim stvarno" je znacilo da se u ovoj drzavi svakome dozvoljava da se bavi racunarima, mrezama i njihovim odrzavanjem...

Ovaj mali worm jw stvarno terorista, a ja malo smotana pa ne znam vise sta da radim da olaksam muke i sebi a i mom kompu. Pokusavala sam i neke update-ove i ovo i ono ali nemam pojma ni sta sam ja to u stvari radila. Stvarno mi dodje da obrisem ceo sistem, formatiram disk i ponovo nabacim OS. Ali to je dug posao pa povodom toga molim sve iskusnije u ovome da mi tacno kazu sta da radim jer stvarno gubim razum polako sa ovim malim teroristom.

Skini removal tool i patch: http://www.elitesecurity.org/poruka/189180

Ocisti racunar sa removal tool i posle pokreni patch.

Samo dajte mi link od patch-a. Ja ne znam koji da skinem i kako se radi s time!

ajooj L;))

ne znam ti ja nista oko toga ... ja sam covek sa sela, prost, seljak ... taj lajnuks, san, 9x .. ne znam ti ja kako to ide ... taj sekuriti, kako to? neki vormi ... ale i zmajevi ...

ja cu da se vratim konfigurisanju mog zonealarma ... i odjebavacu korisnike koji se zale za neki worm, i pri tom cu se cinicno smejati ...

l;)))

Pa postovao sam ti link za patch ali evo opet direktan link:

W32.Blaster.Worm Removal Tool - Testirano i radi
Download Software-a za otklanjanje w32.blaster-a

Patch za prevenciju:
Download

Aha, znači korisnici su dužni sami o sebi da se staraju... Znao sam da negde grešim ;)

Narode, sve mi se čini da sam malopre kod prijatelja naleteo na nešto revolucionarno. Pošto je moje znanje ograničeno, evo vam malo materijala pa da vidimo šta će biti...

1. sigurno je nešto iz RPC DCOM porodice (klasika, imam samo 60 sekundi...)
2. Ne dozvoljava da se instalita q823980
3. ne dozvoljava da se instalira bilo koji firewall (srećom, ovo kroz servise može da se zaobiđe)
4. Baš kao što Welchia crv ubija Blastera, ovaj ubija i njega i Blastera...(!)
5. ... ali je 'malo mudriji': nekako premapira 135. port, pa kad skenirate 135 (recimo sa ShieldsUp), firewall vidi pokušaj upada na 137. portu!!!!!!! Ovo verovatno sprečava upade budućih RPC crva pošto je konkurencija trenutno vrlo jaka!

Kad odes na

https://grc.com/x/portprobe=135

firewall (kad se posle puno muka podigne) vidi ovo:

[26/Aug/2003 22:11:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:137, flags: SYN , seq:46542599 ack:0, win:8192, tcplen:0

dok, verovatno, pravi potpis crva izgleda ovako:

[26/Aug/2003 22:53:32] DROP "Default traffic rule" packet from Dial-Up, proto:UDP, len:78, ip/port:64.32.95.212:61249 -> 195.252.84.144:137, udplen:50

bez obzira što je paket najverovatnije došao na 135. port!!!

Pogledajte ovaj filter.log posle redom skeniranih portova:

...
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:132, flags: SYN , seq:942885913 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:133, flags: SYN , seq:3618945222 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:134, flags: SYN , seq:1100580514 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:136, flags: SYN , seq:1803804537 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:137, flags: SYN , seq:4221705909 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:138, flags: SYN , seq:46542599 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:139, flags: SYN , seq:3848466283 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:140, flags: SYN
...

204.1.226.228 je grc.com, a skenirani su:
...
132
133
134
135
136
137
138
139
140
...

Ima li iko od vas slično iskustvo ili (još bolje) neko uputstvo?


[Ovu poruku je menjao DjordjeRd dana 27.08.2003. u 03:10 GMT]

[Ovu poruku je menjao DjordjeRd dana 27.08.2003. u 03:14 GMT]

E da, za prvu pomoć pali ovo:

Start->Run->shutdown -a

Duvaj ga crve!

E ja sam izbrisao msblast.exe i nema ga u aktivnim procesima.

Vec sta se desava...Ima 4-5 svchost.exe startovanih procesa svo vreme i kad pokusam da ubijem neki onda mi izadje ono obavestenje da ce se komp resetovati za 60 sekundi....Inace ovako ako ne pokusavam da ubijem te procese nista se ne desava....Sem jedne stvari koja me nervira, a to je da se send buffer samo puni, postaje veci, odnosno moj kompjuter salje nesto negde.... Sad i registry sam ocistio ali ipak ovo se i dalje desava...glavni problem je kod ovog send buffera, jer on samo salje li salje, i samim tim nema sansi nista da radim online, vec jedino mogu da resetujem komp i opet iznova sve. Jedino kad promenim datum cini mi se da onda stane da salje.

Ne znam sta da radim vise...Jel ima neko slican problem?

Skinuo sam i pokrenuo fixblast.exe i posle njega patch za XP sp1.

http://www.microsoft.com/techn...security/bulletin/MS03-026.asp

Probaj da primeniš ovaj fix. Ako neće da se instalira, idi u servise i stopiraj ICS/ICF (Internet Connection Sharing). Onda podigni neki firewall. Zone alarm, Kerio ili ICF na Dial-up konekciji. E, sad si miran dok ne nađeš koji je crv u pitanju...

Kako mislis da idem u servise?

Start->Settings->Control panel->Administrative tools->Servicies...

ok
mene zanima zasto imam pokrenuto 4 svchost.exe procesa? da li je to normalno? ima li jos ko ovo da mu se desava?

evo i na drugoj masini isto tako.

Sasvim je normalno da ima nekoliko aktivnih svchost procesa, jer pod njim rade dll-ovi servisa. Ako te zanima koji servisi rade pod odrđenim svchost-om, kucaj tlist -s (ima ga u Support tools).

e drustvo ako vam je muka da stalno pratite nove zakrpe , samo stavite win 9x i mirno spavajte,jer ovo s***** ne napada obicne vindovse vec samo ove bazirane na new tehno....

"new tehno" - misliš na NT kernel, koji je (verovatno) stariji od tebe? :)

Mislim da bi neko trebao ili svi mi korisnici tuziti Microsoft zbog propusta u sigurnosti jer stvarno mi nije jasno: Kod njih radi toliko inzinjera i opet ne mogu da pisu OS a da nema rupa. Ko ce stalno skidati zakrpe i pack-ove. Ako je neko mogao napisati Linux tako siguran ( tako bar svi pricaju da je siguran, ako ne, onda je sigurno sigurniji od Windows-a) zasto onda Microsoft koji je toliko velika kompanija i koja ima toliko para se za*ebava sa sigurnoscu ( oprostite na izrazu ali mi se cini da je tako). Nedavno sam citao u novinama da su nakon ovih silnih virusa koju su protutnjali, odlucili da im prioritet bude sigurnost. Mos mislit. Sta su dosad radili ?!?!

Microsoft zakrpe izdaje jednom mesečno. U čemu je toliki problem za desktop korisnika da ovo odradi (ili uključi automatic updates i podesi da skida zakrpe svakog 15-og u mesecu, pošte MS izdaje iste mislim 12-og ili 13-og)? Većina takvih virusa se pojavljuje NAKON što se objave zakrpe - računa se na to da korisnici ne drže sistem up-to-date. S obzirom na to da Windows drži oko 95% desktop tržišta, uvek će biti dovoljno onih koji to ne rade. 1% je i više nego dovoljno. Dakle, jednom mesečno na Windows Update i to je to.

Ja lično ne skidam zakrpe zato što sam na dial-up konekciji i to bi trajalo poprilično dugo. Lako je tebi da pričaš

kada očigledno imaš stalnu vezu i veoma veću brzinu od nas u SCG, ispravi me ako grešim I zato sam stavio dobar AV i Firewall i nemam takvih muka. Jednostavno MS je sve prilagodio "normalnim" državama koje imaju stalnu konekciju i solidnu brzinu.
Primer Automatic Updates, 7 min pre nego što ne krene nalaziš se u čudu koji je sad đavo internetu, dok to na cable user to nebi ni osetio.
Pozdrav

Pa šta znam.. mislim da je sad u Aprilu ukupna veličina zakrpa bila oko 3 MB. Pa nije baš toliko strašno za jednom mesečno. Svakako firewall i antivirus i eto..

Mozda malo kasnim - ali .. bice jos blastera (he,he,he ...) pa - neka se nadje za ubuduce ...
Dakle, pored svih pach fileova - ne bi bilo lose i da uradite sledece

1. Otvorite Registry Editor... Start>Run, ukucajte Regedit, pritisnite Enter.
2. U levom panelu, Dva puta klik na :
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. U desnom panelu, nadjite i deletujte:
”windows auto update" = MSBLAST.EXE
4. Zatvorite Registry Editor.

Nadam se da ce ovo biti od koristi ...

Za system shut down imam jedinstveno reshenje:cancel shutdown.I reshen problem
+ koristite firewall.Poz

Danas mi je ponovo izlazio RPC nekolko puta već... Znači ista fora, da će se komp resetovati za 1 min.... Se još nekome dešavalo?

Takođe imam neki W32 Opaserv worm koji se nalazi u srw32.exe fajlu, međutim nikako ne mogu da ga odstranim. Čak i kad obrišem ovaj srw32.exe, vraća se opet.

Judge, pogledaj sta je Veljko napoisao 15.08.
To bi trebalo da ti resi probleme - potkacio si crva, sta ces (brzo update :))

i to nekoliko crva... skynetave.exe, ndis.exe, mslaugh.exe

I ja sam dobio taj blaster/lovesan.Neda mi spajanje na internet,bilo kakvu instalaciju i ne otvara mi onu start traku na dnu ekrana.Sto da radim?HVALA

Npr. možeš da pročitaš ovu temu i još par njih na es-u koja se bavi time i rešiš probleme. Sve je već objašnjeno .. više puta.

Mislim da tematika ove teme (uh) nije vise toliko aktuelna pa je skidam sa TOP liste.
Ova poruka cisto za obavestenje, evidenciju i mogucnost da tema postepeno sklizne sa vrha.