Nieuw virus sluit computers af door RPC bug *LEZEN*

[Enlightenment]

Momenteel waait er een worm rond die computers uitschakelen indien ze kwetsbaar zijn. Als dit gebeurt, krijg je dit plaatje te zien:



De worm heet W32.Blaster en maakt gebruik van een RPC bug waarvan sinds 16 juli een patch valt te downloaden vanaf www.windowsupdate.com

Microsoft heeft op deze pagina alle informatie over de worm geplaatst, en hoe je het kunt verhelpen.

Download en installeer zo snel mogelijk de volgende patches:

Windows XP
http://microsoft.com/downloads/detai...displaylang=en

Windows 2000
http://microsoft.com/downloads/detai...displaylang=en

Verder raad ik je aan regelmatig www.windowsupdate.com te draaien om zodoende security bugs te dichten.

[bam]

Voor de mensen die zich zorgen maken over het bestand MSblast.exe:

Dit is een nieuwe worm dat vergelijkbaar is met het "Code Red" worm, die vorig jaar zo'n 350000 computers infecteerde in maar 2 dagen.

Eigenlijk best wel vervelend zeg maar

Officieel heet het W32.Blast. Systemen waarop sinds 16 juli geen update meer is uitgevoerd, kunnen aangevallen worden door de worm. Deze komt via TCP-poort 135, 139 of 445 binnen en gebruikt een backdoor shell command waardoor de RPC-service afgesloten wordt en de machine automatisch een shutdown krijgt. Daarnaast zullen geïnfecteerde pc's vanaf 16 augustus DDoS-aanvallen uitvoeren gericht op de Windows Update-site.


Ten eerste moet je idd even de microsoft patch installeren.


Deze is voor Windows XP Nederlands.
Die in die van Enlightenment's reply is voor de Engelse XP

Daarnaast heeft Bitdefender een patch uitgebracht om de worm te verwijderen.




Hier meer informatie over W32.Blast.a.

Hier meer informatie op Tweakers.net.

Hier een site met nog meer informatie over de worm. (engels)

[edit]
Deze patch zit in Windows XP SP2.

[deathz0rz]

voor mensen die niet weten of ze de patch al hebben, op windows XP heet hij:

Security Update for Windows XP (823980)

verder nog een artikel uit de Knowledge base: http://support.microsoft.com/?kbid=823980

[Severus]

Volgens Microsoft kunnen andere computergebruikers door die bug je computer gaan overheersen en er kwaadwillende dingen mee doen, zoals dingen veranderen of aan de harddisk zitten sleutelen.

Hoe kom je er achter of iemand daadwerkelijk op je computer heeft zitten rotzooien? Het installeren van de patch alleen, en het verwijderen van het virus maakt al die veranderingen door kwaadwillende gebruikers toch niet ongedaan - of wel?

Groetjes,

Ripper

[Enlightenment]

Ik dacht dat enkel je computer werd uitgeschakeld en je computer als DDoS werd gebruikt. Niet dat er een backdoor in kwam.

Maar dat kun je ook niet zomaar zien ofzo, hooguit merken dat er iets veranderd is.

Gewoon zo snel mogelijk de patch installeren.

[bam]

Ik heb via de radio gehoord dat Microsoft beweerd dat het geen bestanden aanpast.

[miro]

Ik heb het virus op mijn pc gehad.

Zoals al eerder vermeld sluit windows af (niet als je bij deze pc even aanvinkt dat ie alleen de service opnieuw moet opstarten.

Veel bestanden waren ineens verdwenen van mijn pc (niet echt verdwenen want nadat t virus dr af was waren ze weer terug) Internet werkte nauwelijks meer en van norton deden een aantal onderdelen het niet meer.

Ik weet niet hoe je kunt zien dat "iemand je pc heeft overgenomen" Ik heb wel een melding gekregen dat als je onregelmatigheden in symantic zag (en die had ik dus) dat er dan waarschijnlijk een "attack" uitgevoerd was.

Ik ben niet zon computerweetal maar ik heb het virus kunnen verbannen door de scan die in dit artikel staat uit te voeren: http://www.home.nl/nieuws/tech/artikel/00088185

[dystopia]

Niet deze worm, maar een andere exploit, kan wel je PC 'overnemen' (remote exploiten en Administrator access krijgen).

http://www.google.nl/search?q=cache:iCZUcvuDE4wJ:[url]www.oc192.us/+oc192&hl=nl&ie=UTF-8

En over minder dan 2 dagen wordt Microsoft.com geDDoSed door elke geinfecteerde PC. Revenge of the worms

Patchen is simpel, gewoon naar Windows Update gaan en zorgen voor een werkende Windows serial dan de patch installeren en dan WINDOWS\SYSTEM32\MSBLAST32.EXE verwijderen.

[bam]

Citaat:

dystopia schreef op 13-08-2003 @ 15:56:
Niet deze worm, maar een andere exploit, kan wel je PC 'overnemen' (remote exploiten en Administrator access krijgen).

http://www.google.nl/search?q=cache:iCZUcvuDE4wJ:[url]www.oc192.us/+oc192&hl=nl&ie=UTF-8

En over minder dan 2 dagen wordt Microsoft.com geDDoSed door elke geinfecteerde PC. Revenge of the worms

Patchen is simpel, gewoon naar Windows Update gaan en zorgen voor een werkende Windows serial dan de patch installeren en dan WINDOWS\SYSTEM32\MSBLAST32.EXE verwijderen.

*prt*
Staat dat niet gewoon in de eerste 2 posts ?

[dystopia]

Citaat:

bambix schreef op 13-08-2003 @ 17:32:
*prt*
Staat dat niet gewoon in de eerste 2 posts ?

Alleen dat laatste in ongeveer dezelfde woorden, ja. Dus, 50% niet. Microsoft kan zoveel lullen, maar ze zeggen er weer niet bij dat men zo'n unpatched bakje wel remote kan rooten. Nee, dat dan weer niet. En dat zeg ik dan weer lekker wel. Als je nu pas je Windows patched, of je hebt de worm, dan ben je al een maand lek geweest.

[miro]

Al die moeilijke woorden

Ik had t dus. Als ik dat speciaal gemaakte programma heb gebruikt (er staat immers "BitDefender heeft inmiddels een programma ontwikkeld om het virus van computers te verwijderen. Het programma is gratis van hun website downloaden. ") dan is t toch voor altijd weg? Voor de rest hoef je toch niets te doen (behalve dan windowsupdate?)

Toch?

en wat moet je doen als je hem hebt? ik heb hem niet en heb dan ook gelijk mijn virusscanner geupdate maar iemand anders die ik ken wel. (dat is geen computergenie)

[bam]

Citaat:

kydnav schreef op 13-08-2003 @ 19:14:
en wat moet je doen als je hem hebt? ik heb hem niet en heb dan ook gelijk mijn virusscanner geupdate maar iemand anders die ik ken wel. (dat is geen computergenie)

Misschien de posts lezen ?

[Orion]

Citaat:

miro schreef op 13-08-2003 @ 15:48:
Zoals al eerder vermeld sluit windows af (niet als je bij deze pc even aanvinkt dat ie alleen de service opnieuw moet opstarten.

Dit is wel interessant, maar ik snap het niet helemaal

[miro]

Citaat:

Orion schreef op 13-08-2003 @ 21:14:
Dit is wel interessant, maar ik snap het niet helemaal

Deze computer -->systeembeheer --> services --> Remote Procedure Call --> systeemherstel

Bij systeemherstel staat bij alle drie de opties “computer opnieuw opstarten” Als je doormiddel van het lijstpijltje instelt “service opnieuw starten” zal de pc niet meer uitvallen.

nog een ding: bij het tabblad "algemeen" moet "gestart" staan, anders op start klikken.

Let wel op, je moet dit doen voordat je het scherm in beeld krijgt dat ie opnieuw gaat opstarten dus je moet snel zijn.

Dit is tenminste de manier waarop ik het gedaan heb, en dat hielp. Daarna kreeg ik wel die rare dingen in Norton, maar het geeft je tenminste de tijd om met het speciale programmatje het virus uit de pc te halen.

[MacArt]

Goh, weer een voordeel aan Powerbookjes ontdekt.. Mac OS X is niet compaitable met windos virussen

Gedupeerden aller landen! Verenigt U en koop een Mac OH

[LB06]

Citaat:

MacArt schreef op 13-08-2003 @ 21:48:
Goh, weer een voordeel aan Powerbookjes ontdekt.. Mac OS X is niet compaitable met windos virussen

Gedupeerden aller landen! Verenigt U en koop een Mac OH

Troll troll

Als ik het goed begrijp 'werkt' dit virus dus alleen voor Windowzen met de NT kernel?

[bam]

Citaat:

LB06 schreef op 13-08-2003 @ 22:35:
Troll troll

Als ik het goed begrijp 'werkt' dit virus dus alleen voor Windowzen met de NT kernel?

Incorrect. De enigste Windows versie de er _geen_ last van heeft is Windows ME.

[M@rco]

Hoe is het mogelijk, het slechtste OS wat Microsoft ooit heeft gemaakt heeft er geen last van.

[biep]

dat Virus staat op mijn broertjes computer!
en het is fucking irritant.
compu krijgt om de 10 minuten zon berichtje en dan valt hij weer uit.

naja hij moet zelf maar uitzoeken hoe hij 't eraf haalt, maar irri is het zeker!

Citaat:

M@rco schreef op 14-08-2003 @ 09:52:
Hoe is het mogelijk, het slechtste OS wat Microsoft ooit heeft gemaakt heeft er geen last van.

Ik vind dat Windows 97 het slechtste is...

[Orion]

Citaat:

McLaren schreef op 14-08-2003 @ 10:33:
Ik vind dat Windows 97 het slechtste is...

Nou.. zeg dat wel

Citaat:

Orion schreef op 14-08-2003 @ 13:42:
Nou.. zeg dat wel

Voor degene die denken dat ik een tiepfout maakte,
nee dat is het niet

Windows 97 was zo ontzettend bagger dat ze het niet uit hadden gegeven.
Toen het eindelijk goed zat was, waren ze al een jaar verder, maar ja om in 1998 nog Windows 97 uit te geven was niks, dus hebben ze de naam veranderd...

[dystopia]

Windows 97 is Windows 95 OSR2. OSR2 kwam in in 97 uit. En OSR2 is best aardig te noemen voor die tijd, tov. OSR1 en 1.1 en Windows 98 versies. Met name qua stabiliteit, snelheid en non-koppelverkoop.

[bam]

Kan het weer ontopic blijven ?

[-niels-]

Als de topic titel nou ff (MS)Blaster bevat kijkt niet iedereen erover heen...

[ice-dive]

Ik heb op mijn computer (XP) de patch geïnstalleerd. Maar mijn firewall (BlackICE) heeft nu in 5 min al 11 aanvallen, 'port probe's'. Komt dit door de worm?

[Lil' Stef]

waarom werken die microsoft links niet.......overbezet

* en waarom werkt me vraagteken nou nie*

[dafelix]

port probes heb je altijd, zijn onschulidge port-scans

[bam]

Citaat:

Lil' Stef schreef op 15-08-2003 @ 09:37:
waarom werken die microsoft links niet.......overbezet

* en waarom werkt me vraagteken nou nie*

De linken werken wel hoor.

[iamcj]

http://www.sophos.com/support/disinf.../blastera.html

Dit is een beter oplossing, kan je Resolver downloaden. Het virus is inmiddels bestand tegen windows update.

[bam]

Citaat:

iamcj schreef op 15-08-2003 @ 16:13:


Het virus is inmiddels bestand tegen windows update.

Bron ?

[miro]

Nieuwe varianten Blaster duiken op
14 augustus 2003, 11:33:38

WebWereld - Het Blaster-virus waart amper twee dagen op internet rond, of er is al een opvolger: Blaster-B. Ook is er een irc-variant met Trojaans paard opgedoken.

Volgens antivirusbedrijf Sophos dook Blaster-B woensdag voor het eerst op. De nieuwe worm werkt hetzelfde als zijn voorganger, alleen de naam van het meegeleverde bestand is anders (teekids.exe).

Verder is er volgens Sophos nog weinig bekend over de werking van de nieuwe Blaster-variant. Voorlopig heeft Sophos dit virus daarom laag op de gevarenschaal ingedeeld.

Spybot
Ook het nieuwe virus RpcSpybot misbruikt het rpc-lek. Omdat dit virus hetzelfde lek misbruik, wordt het door experts niet gezien als een nieuwe variant.

Wel installeert Spybot een achterdeur op besmette machines. Via irc (internet relay chat) neemt het virus vervolgens de controle over de besmette pc's over.

Sophos analyseert momenteel de code van Spybot. De organisatie weet dan ook nog niet welke andere verassingen dit virus mogelijk aan boord heeft.

[miro]

Zal ik dr ook nog maar even oppleuren:

Email van Microsoft:

Geachte relatie,

Zoals u waarschijnlijk heeft vernomen is een nieuw virus ontdekt,
het ‘Blaster-virus’ dat gebruik maakt van een lek in een aantal
recente versies van Windows. Wij willen u via dit bericht
informeren over het virus, hoe u kunt voorkomen dat uw computer
wordt getroffen en hoe u het virus onschadelijk kunt maken
indien het uw systemen heeft besmet.

Welke computers lopen een risico?

Het Blaster-virus kan onbeschermde pc’s die gebruik maken van
Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0
en Windows NT 4.0 Terminal Services infecteren.

Microsoft heeft op 16 juli 2003 een beveiligingspatch (MS03-026)
beschikbaar gesteld, waarmee gebruikers hun systemen kunnen
beschermen. Indien u deze patch al geïnstalleerd heeft, bent
u beschermd tegen het Blaster-virus en eventuele andere
indringers die gebruik zouden kunnen maken van het lek. Als
u een firewall heeft geïnstalleerd is het waarschijnlijk dat
uw computer beschermd is. Om het zekere voor het onzekere te
nemen adviseren wij u de website van Microsoft te raadplegen.

Heeft u een oudere Windows-versie, zoals Windows 95, Windows 98
of Windows Millennium Editie (ME), dan hoeft u géén maatregelen
te treffen. Maatregelen

Als uw computer of systeem nog niet beveiligd is met de
beveiligingspatch of firewall en u gebruikt één van de
bovengenoemde versies van Windows, dan adviseren wij u
dringend de beveiligingspatch te downloaden die u vindt via
http://www.microsoft.com/netherlands/blaster/
Daar wordt in eenvoudige stappen uitgelegd hoe u dit kunt doen.

Mocht het virus al op uw computer aanwezig zijn, dan vindt u
op dezelfde webpagina een overzicht van leveranciers van
antivirussoftware die u verder kunnen helpen met het
onschadelijk maken van het Blaster-virus.

Wat merkt u van het virus?

Voor zover nu bekend is het virus vooral hinderlijk en brengt
het geen schade toe aan gegevens op de pc. Het virus gebruikt
veel geheugencapaciteit van de computer waardoor deze trager
kan worden. Daarnaast kan de pc door het virus uit zichzelf
herstarten.

We hopen dat u met behulp van deze informatie eventuele
problemen kunt voorkomen en/of verhelpen. Op
http://www.microsoft.com/netherlands/ kunt u terecht voor de
actuele informatie.

[Pr0xy]

Citaat:

bambix schreef op 13-08-2003 @ 22:44:
Incorrect. De enigste Windows versie de er _geen_ last van heeft is Windows ME.

en Windows Me is geen Windows NT, dus wat lul je dan, overigens gaat het ook niet op voor OS's voor Me uit de non-NT-reeks

Citaat:

bambix schreef op 13-08-2003 @ 22:44:
Incorrect. De enigste Windows versie de er _geen_ last van heeft is Windows ME.

De enige nog ondersteunde versie, misschien. Al weet ik niet of Win98SE inderdaad niet meer ondersteund wordt.

Ik kan opeens helemaal geen updates downloaden
Ik heb geen fckgw(of in die richting) keycode.

Eerst kon ik nog wel gewoon updates downloaden, maar nu helemaal niets. Ik hoop dat de windows site gewoon ff gek bezig is, want dit vind ik niet fijn in de huidige situatie. Gelukkig kon ik wel de update voor dit gedoe downloaden via 1 van de links die hier aan het begin gegeven werd.

[MacArt]

windows update is naar een linux server verhuist
Nieuwe IP's dus het domein werkt even niet ( ik weet niet van waneer tot waneer, maar goed..)

Citaat:

MacArt schreef op 16-08-2003 @ 11:45:
windows update is naar een linux server verhuist
Nieuwe IP's dus het domein werkt even niet ( ik weet niet van waneer tot waneer, maar goed..)

Fjieuw
Dank je wel voor de geruststelling

[Pr0xy]

** onzin **

[Dr HenDre]

Ik ben net terug van vakantie, en ergens tussen mijn mailtjes had k een ms mailtje over blaster. Daarin stond dat als je een firewall had dat je zeer waarschijnlijk ook beschermd was tegen blaster. Maar k ga de patch toch maar even installeren

[Des]

Eh ik lees hier vanalles over Blaster maar bij mij geeft Norton aan dat mijn pc besmet is met W32.Randex.E

Wat is hier tegen te doen dan? Want al die programmaatjes werken bij mij niet.

[bam]

Citaat:

Des schreef op 20-08-2003 @ 12:43:
Eh ik lees hier vanalles over Blaster maar bij mij geeft Norton aan dat mijn pc besmet is met W32.Randex.E

Wat is hier tegen te doen dan? Want al die programmaatjes werken bij mij niet.

hier een linkje met informatie over het virus, en hoe je hem moet verwijderen

http://securityresponse.symantec.com....randex.e.html

[Zoulou]

Ik las in een Belgisch krant dat Microsoft Update van server werd verplaatst om die ddoss attack van 16/08 voor te komen. En dat die tijdelijke server ironisch onder Linux draait
Ik geloof er niet veel van, maar dat zou best wel grappig zijn

[bam]

Citaat:

Zoulou schreef op 20-08-2003 @ 20:58:
Ik las in een Belgisch krant dat Microsoft Update van server werd verplaatst om die ddoss attack van 16/08 voor te komen. En dat die tijdelijke server ironisch onder Linux draait
Ik geloof er niet veel van, maar dat zou best wel grappig zijn

Het is wel zo.

Tenminste, de site is verplaatst naar 1 van de grotere hosting bedrijven.
En die draaide Linux

voor zover ik weet,

[Des]

Citaat:

bambix schreef op 20-08-2003 @ 12:48:
hier een linkje met informatie over het virus, en hoe je hem moet verwijderen

http://securityresponse.symantec.com....randex.e.html

Ik heb het allemaal geprobeerd maar ik krijg dat ding maar niet verwijderd. Norton scant hem ook maar kan hem niet verwijderen.

Red me!

[DEChengst]

Citaat:

Zoulou schreef op 20-08-2003 @ 20:58:
Ik las in een Belgisch krant dat Microsoft Update van server werd verplaatst om die ddoss attack van 16/08 voor te komen. En dat die tijdelijke server ironisch onder Linux draait

De Microsoft Update server is niet verplaatst naar Linux dozen. Wat Microsoft gedaan heeft is Akamai in huren. Dit bedrijf heeft wereldwijd servers staan waarmee ze een DDoS attack kunnen verdelen. Ze hebben DNS servers staan die resolven aan de hand van waar jij zit. Een Nederlandse surfer zal dus een IP adres terug krijgen van een server in Europa.

De servers die verspreid staan over de wereld deden vervolgens niks anders dan je via HTTP doorsturen naar de gewone Windows Update servers. Windows Update draaide dus gewoon door op Windows 2000 machines. Het systeem van Akamai draait toevalig onder Linux, niet meer en niet minder.

De DDoS attack werd dus netjes verdeeld over een hoop verschillende servers in verschillende netwerken. Dit vermindert de effecten van de aanval sterk. Al werden de servers van Akamai trager door de aanval dan had dit voor de gebruikers weinig gevolgen omdat de bulk van het werk nog steeds door de Microsoft servers werd gedaan.

Leuk detail is trouwens dat de schrijvers van de Blaster worm een de verkeerde hostname hadden gebruikt om aan te vallen. Ze gebruikte dus niet http://v4.windowsupdate.microsoft.com (link die in Startmenu onder "Windows Update" hangt) maar een alias hiervan. Microsoft heeft toen doodleuk een dag van te voren dit alias uit de DNS verwijderd waardoor de worm geen adres kon resolven om aan te vallen.

[miro]

Citaat:

Des schreef op 20-08-2003 @ 22:55:
Ik heb het allemaal geprobeerd maar ik krijg dat ding maar niet verwijderd. Norton scant hem ook maar kan hem niet verwijderen.

Red me!

Misschien eens even heeeeeeeeeeeel goed deze topic doorlezen?

[Des]

Misschien was ik wel zo slim en heb ik dat al gedaan?

Ik heb alles gedaan wat ik in deze topic kon vinden, maar 1. het gaat allemaal over Blaster en ik heb het over Randex.E en dat is blijkbaar iets anders en 2. als ik doe wat me geadviseerd wordt dan lukt dat op de een of andere manier niet.

[Zoulou]

Citaat:

Desecrator schreef op 20-08-2003 @ 23:01:
De Microsoft Update server is niet verplaatst naar Linux dozen. Wat Microsoft gedaan heeft is Akamai in huren. Dit bedrijf heeft wereldwijd servers staan waarmee ze een DDoS attack kunnen verdelen. Ze hebben DNS servers staan die resolven aan de hand van waar jij zit. Een Nederlandse surfer zal dus een IP adres terug krijgen van een server in Europa.

De servers die verspreid staan over de wereld deden vervolgens niks anders dan je via HTTP doorsturen naar de gewone Windows Update servers. Windows Update draaide dus gewoon door op Windows 2000 machines. Het systeem van Akamai draait toevalig onder Linux, niet meer en niet minder.

Oho, dat Belgisch krant was neit zo l33t en zei gewoond at ze van server veranderde. Dus neit, gewoon een soort vHost zeg maar?

Citaat:

Al werden de servers van Akamai trager door de aanval dan had dit voor de gebruikers weinig gevolgen omdat de bulk van het werk nog steeds door de Microsoft servers werd gedaan.

uhhu, want zonder dat ik me dat hele verhaal op eht moment zelf herinnerde heb ik meer dan een uur op windowsupdate gezeten (onder win98SE IE5.0 upgraden naar 6.0, had ik beter niet gedaan) en hebt geen abnormale vertraging ondervonden (niets anders dan gewoonlijk op mn p166 iig )