Er is een lek gevonden in Windows 2000, Windows XP, Windows NT en Windows Server 2003. Je kunt dan een melding krijgen dat RCP is gestopt en windows opnieuw zal opstarten. Dit komt door scans die zijn uitgevoerd en bij sommige mensen zelfs bestanden op PC's zijn geplaatst. Er is wel al een patch voor. Die kun je hier downloaden.
Als het goed is zo daarmee je probleem opgelost moeten zijn.
Open dus niet weer een nieuw topic, maar plaats het hierin.
Een handig vragenlijstje van Gurgeh hierover
Q: Waarom verhuist MS de download site?
A: Vanwege het dreigende gevaar van een DDoS aanval op het 'windowsupdate.com' serverpark.
Q: Waar komt die dreiging vandaan?
A: Een virus, genaamd 'Blaster'. Dat is zo gemaakt dat het een gecoordineerde DDoS aanval gaat doen op de windowsupdate.com servers.
Q: Dus om de effecten daarvan tegen te gaan, haal je je site weg uit het netwerk dat het doelwit is, en je merkt er vrij weinig meer van?
A: Correct.
Q: Maar waarom dan naar Linux servers.
A: OMdat Microsoft voor de windows update site(s) een hele hoge bandbreedte nodig heeft. Een bandbreedte die niet zomaar iedereen beschikbaar heeft. Hostingbedrijf Akamai heeft dat wel, en die heeft al een hele batterij aan servers klaarstaan. En dat zijn Linux servers. Simpel gezegd: DNS verwijzing aanpassen, files overkiepen. klaar.
Q: Aha. Maar hoe verspreidt dat virus zich dan?
A: Door een bug in de DCOM implementatie van microsoft servers
Q: AH!! Dus toch gezichtsverlies!
A: Nou, geen enkel OS is bugvrij. Bovendien is de patch voor deze bug al geruime tijd beschikbaar. Daarnaast verspreidt het virus zich via poorten die ieder weldenkend mens helemaal niet open moet hebben staan voor het internet.
Q: Dus?
A: De enige die eigenlijk gezichtsverlies lijden zijn stupide gebruikers die het vertikken om hun systemen te patchen en/of (beheerders) die hun beveiliging niet in orde hebben.
[Dit bericht is gewijzigd door Slarioux op 15-08-2003 20:00]
hier vind je daar meer info over
(er staat nu nog niet zo veel info overigens, maar dat wordt vast meer)
Over dit topic zal dan ongetwijfeld ook overheen worden gelezen.
Maar het idee is leuk
quote:Achja, maar deze heeft een mooi [centraal] tagje
Op maandag 11 augustus 2003 23:58 schreef static het volgende:
OPLOSSING VOOR HET SVCHOST PROBLEEM!
quote:Ja, ik hoop nog altijd dat deze sticky wordt gemaakt. Ik heb Yvonne al een msg gestuurd
Op dinsdag 12 augustus 2003 00:00 schreef pierce het volgende:
Ja das leuk en aardig, maar zoals jezelf ook al hebt gemerkt lees, zoekt en kijkt uberhaupt niemand naar welke topics er al open zijn.
Over dit topic zal dan ongetwijfeld ook overheen worden gelezen.
Maar het idee is leuk
quote:Ik wil hem ook wel even sticky maken
Op dinsdag 12 augustus 2003 00:02 schreef CySt het volgende:[..]
Ja, ik hoop nog altijd dat deze sticky wordt gemaakt. Ik heb Yvonne al een msg gestuurd
[Dit bericht is gewijzigd door Happyness op 12-08-2003 00:13]
quote:Yvonne
Op dinsdag 12 augustus 2003 00:11 schreef yvonne het volgende:
done
quote:Ja.
Op dinsdag 12 augustus 2003 00:22 schreef Slee-3r het volgende:
Weet iemand eigenlijk hoe je de worm oploopt? Via poort 135 idd maar zouden ze een network scan doen ofzo?
Verschillende ISP's melden al dat hun netwerken trager zijn door de verspreiding van deze worm.
Het is RPC en niet RCP
Ik heb die patch al een week, maar mijn port135 is stealthed.
quote:Doorgegeven aan Yvonne
Op dinsdag 12 augustus 2003 00:26 schreef Tijger_m het volgende:
Ermm....zou een mod mischien het topic van een foutje kunnen ontdoen?
Het is RPC en niet RCP
quote:Als je de patch hebt dan hoef je geen firewall meer te draaien voor dit probleem. Zonder de RPC vulnerability kan de worn niets doen, hij heeft dan geen ingang in jouw systeem.
Op dinsdag 12 augustus 2003 00:27 schreef SliderTPP het volgende:
Dus een goede firewall zou ook helpen?
Ik heb die patch al een week, maar mijn port135 is stealthed.
quote:Draai al lang een firewall, niemand in mijn netwerk
Op dinsdag 12 augustus 2003 00:31 schreef Tijger_m het volgende:[..]
Als je de patch hebt dan hoef je geen firewall meer te draaien voor dit probleem. Zonder de RPC vulnerability kan de worn niets doen, hij heeft dan geen ingang in jouw systeem.
Vroeg het me even af.
op www.grc.com is al een testje te vinden.
quote:Ja, het zal die sukkel van een Gibson (grc.com) weer niet zijn, zeker met enorme koeieletters in the midden van de tekst in bij voorkeur fel rood of fel blauw?
Op dinsdag 12 augustus 2003 00:34 schreef SliderTPP het volgende:Draai al lang een firewall, niemand in mijn netwerk
Vroeg het me even af.
op www.grc.com is al een testje te vinden.
Al is je poort 135 zo stealth als een F-117, zolang je de patch niet installeert ben je kwetsbaar, het gevaar hoeft niet via het open internet te komen maar kan ook via email bnnen komen.
Yvonne is onze heldin
quote:Wat mis met Gibson?
Op dinsdag 12 augustus 2003 00:36 schreef Tijger_m het volgende:[..]
Ja, het zal die sukkel van een Gibson (grc.com) weer niet zijn, zeker met enorme koeieletters in the midden van de tekst in bij voorkeur fel rood of fel blauw?
Al is je poort 135 zo stealth als een F-117, zolang je de patch niet installeert ben je kwetsbaar, het gevaar hoeft niet via het open internet te komen maar kan ook via email bnnen komen.
BEn wel blij met zijn research anders...
Maar dat laatste was dus uiteindelijk het antwoord op mijn vraag, vroeg me net dat af, portscan doen en nix vinden= clean blijven.
http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
en hier de removal voor W32.Blaster.worm
De boosdoener: MSBLAST.EXE in windows\system32.
meer info: http://gathering.tweakers.net/forum/list_messages/788697//
en http://gathering.tweakers.net/forum/list_messages/794058//
je kan het afsluiten ook onderbreken met
Start -> Run -> shutdown /a
quote:Ah...en ik me maar ergeren aan dat gelul dattie blijft herstarten...
Op dinsdag 12 augustus 2003 09:36 schreef Tiim het volgende:
het lag bij mij (e.v.a) aan dat virus ja. Ook na de microsoft-patch last van gehad.De boosdoener: MSBLAST.EXE in windows\system32.
meer info: http://gathering.tweakers.net/forum/list_messages/788697//
en http://gathering.tweakers.net/forum/list_messages/794058//
je kan het afsluiten ook onderbreken met
Start -> Run -> shutdown /a
Thnx
P.S. Ik had die msblast ook maar nadat ik die verwijderd had bleef ie herstarten...
Ook zag ik bijzonder veel dataverkeer voor een idle verbinding. Ethereal gedraaid..Allemaal ARP requests.... 
quote:Da's niet zo'n zinnige opmerking op een moment dat hier de telefoon roodgloeiend staat.
Op dinsdag 12 augustus 2003 10:19 schreef Blue Thunder het volgende:
dubbel
Veel mensen zitten met een probleem en die moeten gewoon geholpen worden.
quote:No prob.
Op dinsdag 12 augustus 2003 10:19 schreef Blue Thunder het volgende:[..]
Ah...en ik me maar ergeren aan dat gelul dattie blijft herstarten...
Thnx
P.S. Ik had die msblast ook maar nadat ik die verwijderd had bleef ie herstarten...
Ook zag ik bijzonder veel dataverkeer voor een idle verbinding. Ethereal gedraaid..Allemaal ARP requests....
Hetzelfde probleem had ik dus ook. Wat ik gedaan heb:
- MSBLAST verwijderd uit registry (HKEY Local Machine/Software/Microsoft/Windows/CurrentVersion/Run) of met MSCONFIG...
- MSBLAST.EXE verwijderd uit geheugen (ctrl-alt-del)
- en verwijderd uit C:\windows\system32.
Daarna:
met Notepad een leeg bestand van 0 bytes genaamd MSBLAST.EXE aangemaakt en die in Windows\System32 gezet. En er een readonly en system file van gemaakt (attributes).
Nu geen last meer
Dus als supportdesk zou ik twee adviezen geven, installeer de patch van MS en update de virusscanners van users.
quote:Mee eens. En uiteraard de tip van shutdown /a om te kunnen patchen
Op dinsdag 12 augustus 2003 11:13 schreef Tijger_m het volgende:
Het lijkt erop dat alle grote AV fabrikanten inmiddels updates klaar hebben om blast tegen te gaan.Dus als supportdesk zou ik twee adviezen geven, installeer de patch van MS en update de virusscanners van users.
Even wat nuttige links:
Info over de worm:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.wo rm.html
Een removal tool:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.wo rm.removal.tool.html
Microsoft Security Bulletin:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/MS03-026.asp
Securityfocus:
http://www.securityfocus.com/bid/8205/info
De patches:
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C1 5-8C9F-220354449117&displaylang=en
Windows XP:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44A C-9532-3DE40F69C074&displaylang=en
quote:ik bedoelde dat ik een dubbelpost had
Op dinsdag 12 augustus 2003 10:46 schreef efd het volgende:[..]
Da's niet zo'n zinnige opmerking op een moment dat hier de telefoon roodgloeiend staat.
Veel mensen zitten met een probleem en die moeten gewoon geholpen worden.
quote:Als je nou gewoon het linkje van de reactie geeft
Op dinsdag 12 augustus 2003 11:31 schreef StephanL het volgende:
Van tweakers.net<knip>
http://www.tweakers.net/reacties.dsp?Action=Posting&ParentID=828687
Had het al gevraagd in Feedback, maar dat mocht niet van Yvonne
[Dit bericht is gewijzigd door efd op 12-08-2003 12:21]
quote:Dat had ik niet begrepen, sorry dan
Op dinsdag 12 augustus 2003 12:15 schreef Blue Thunder het volgende:[..]
ik bedoelde dat ik een dubbelpost had
welke link moet ik hebben om de zooi uit mn pc te mikken?
dank u!
(iiiehw mn pc heeft wormpjes!! lol)
quote:Wat moet er veranderd worden? Dan stuur ik yvonne een msg
Op dinsdag 12 augustus 2003 12:19 schreef efd het volgende:
Kan een modje even bovenstaande post met die links aanpassen zodat de links allemaal correct werken?
Had het al gevraagd in Feedback, maar dat mocht niet van Yvonne
quote:Er zitten spaties in die links, die moeten er ff uit zodat de links correct klikbaar worden.
Op dinsdag 12 augustus 2003 12:49 schreef CySt het volgende:[..]
Wat moet er veranderd worden? Dan stuur ik yvonne een msg
Thnx
quote:www.windowsupdate.com
Op dinsdag 12 augustus 2003 12:47 schreef CherryLips het volgende:
en nu even duidelijk;
welke link moet ik hebben om de zooi uit mn pc te mikken?
dank u!(iiiehw mn pc heeft wormpjes!! lol)
Gebruik start > uitvoeren > shutdown /a [enter] om het afsluiten te onderbreken.
Virusscanner updaten, en eventueel de hotfix van Symantec gebruiken.
ik geloof dat alles t weer doet, oftewel; hij heeft zichzelf nog niet uitgezet of opgeblazen!
quote:np
Op dinsdag 12 augustus 2003 13:28 schreef CherryLips het volgende:
dank je!
ik geloof dat alles t weer doet, oftewel; hij heeft zichzelf nog niet uitgezet of opgeblazen!
(het gebeurde namelijk vorige week voor het eerst, sindsdien een paar keer gebeurd, ik dacht eerst aan een hardware defect, maar de vele topics over dit probleem deden mij vermoeden dat het hier mee te maken heeft)
quote:Veel hier aan de telefoon
Op dinsdag 12 augustus 2003 13:52 schreef dutchmage het volgende:
heb vandaag al 3 klanten gehad met dit probleem... wat is Fok! toch een mooi medium
Meerdere in de winkel.....
quote:Zozo dan neem je toch de site van Sygate. Kan je meteen ook die gratis firewall van sygate downloaden.
Op dinsdag 12 augustus 2003 00:36 schreef Tijger_m het volgende:[..]
Ja, het zal die sukkel van een Gibson (grc.com) weer niet zijn, zeker met enorme koeieletters in the midden van de tekst in bij voorkeur fel rood of fel blauw?
Al is je poort 135 zo stealth als een F-117, zolang je de patch niet installeert ben je kwetsbaar, het gevaar hoeft niet via het open internet te komen maar kan ook via email bnnen komen.
http://scan.sygatetech.com/
Je hoeft niet speciaal die van gibson te gebruiken.
Allemaal zo overdreven.
Dus ff gedaan wat er stond en alles werkt weer top, maar want een irri virus zeg
Moet ik deze er ook afkicken? of zijn ze van ms zelf?
quote:DEL
Op dinsdag 12 augustus 2003 14:14 schreef HansvanOchten het volgende:
Ik heb nu nog wel 2 filetje met de naam msblast op me pcMoet ik deze er ook afkicken? of zijn ze van ms zelf?
Alvast bedankt.
quote:Als je een huis tuin en keuken gebruiker bent heb je 32bit
Op dinsdag 12 augustus 2003 15:00 schreef Rikku het volgende:
Weet iemand hoe je erachter komt of je XP 32 bit hebt of 64 bit ????Alvast bedankt.
quote:Dat zie je meteen wanneer de pc opstart: dan staat er bij de 64-bits versie "Windows XP 64 bit".
Op dinsdag 12 augustus 2003 15:00 schreef Rikku het volgende:
Weet iemand hoe je erachter komt of je XP 32 bit hebt of 64 bit ????Alvast bedankt.
Die versie draait overigens alleen op de AMD Opteron en de nieuwe Intel Xeon. Dus ik denk dat jij gewoon de 32bits-versie hebt
dit zegt me allemaal niks, maar kan (moet?) ik deze 2 eruit kicken of sloop ik dan windows? (t zou niet de eerste keer zijn namelijk...)
.quote:ja die Sven buijsen is mijn vriendje
Op dinsdag 12 augustus 2003 14:13 schreef DJ_Robbie het volgende:
Ik had dit probleem dus ook sinds gister en ik wist maar niet wat het was. Kwam vandaag me moeder thuis van haar werk met een uitgeprint artikel, deze namelijk: http://www.nu.nl/news.jsp?n=188811&c=53
Dus ff gedaan wat er stond en alles werkt weer top, maar want een irri virus zeg
quote:Er uit flikkeren, of gewoon een removal tool downloaden. Dan hoef je namelijk ook niet in het register te gaan spitten enzo...
Op dinsdag 12 augustus 2003 16:31 schreef CherryLips het volgende:
Ik heb in de pc gezocht op MSBLAST en er staan nog 2 bestanden op mn pc, te vinden in system32 en prefetch.
dit zegt me allemaal niks, maar kan (moet?) ik deze 2 eruit kicken of sloop ik dan windows? (t zou niet de eerste keer zijn namelijk...)
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
(Check jullie firewall log maar eens, want het valt direct op)De patch had ik overigens al geďnstalleerd toen deze uitkwam.
quote:Hier ook ( @home ) , sinds 2 uur helemaal nix meer
Op dinsdag 12 augustus 2003 17:51 schreef -Hans- het volgende:
Volgens mij heeft Planet Internet de poorten gesloten die worden gebruikt door deze worm, want de afgelopen weken kreeg ik dagelijks echt veel requests op de poorten 135, 445 en 139 en nu ineens NIETS meer.
me log is wel over de 500kb met alleen maar pogingen op poort 135 ( sinds vanochtend 08:00 )
is dat :
WindowsServer2003-KB823980-ia64-ENU.exe
of
WindowsXP-KB823980-x86-NLD.exe
Antimsblast-EN.exe heb ik gedownload, die zegt Detecs and removes W32.Blaster.Worm
maar een duidelijke melding of je het nou had of niet blijft vaag.
In me netwerk met een up to date norton 2003 virus scanner, een sygate firewall is die er toch ingeslopen. Ten eerste vraag ik me af hoe, maar vooral of die het dan altijd naar de andere pc's in het netwerk doorgeeft.
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition
wat heeft een normaal mens bijv, een 32 of een 64 bit xp versie?
quote:Een ' normaal ' (
Op dinsdag 12 augustus 2003 19:07 schreef Brendovic het volgende:
Download locations for this patch
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Editionwat heeft een normaal mens bijv, een 32 of een 64 bit xp versie?
) mens heeft een 32 -bits Windows XP versie, de kans dat je de andere versie van XP hebt is niet al te groot. quote:Hoe up-to-date was die virusscanner? want als ik mij niet vergis dan wordt deze worm pas gezien met de virus definitions van 11/08/03
maar een duidelijke melding of je het nou had of niet blijft vaag.
In me netwerk met een up to date norton 2003 virus scanner, een sygate firewall is die er toch ingeslopen. Ten eerste vraag ik me af hoe, maar vooral of die het dan altijd naar de andere pc's in het netwerk doorgeeft.
Je laatste vraag is interessant, en ik kan deze helaas niet beantwoorden. Het zou kunnen, maar goed dit weet ik niet zeker dus raak a.u.b. nu niet in paniek ofzo... 
quote:De worm scant (schijnbaar) willekeurige IP's af naar een "kwetsbare" PC, dus het zou zomaar kunnen. Bijna alle pogingen die ik vandaag op mijn firewall zag langskomen, kwamen van PC's met een IP adres van mijn eigen provider...
Op dinsdag 12 augustus 2003 19:18 schreef -Hans- het volgende:[..]
Een ' normaal ' (
[..]Hoe up-to-date was die virusscanner? want als ik mij niet vergis dan wordt deze worm pas gezien met de virus definitions van 11/08/03
Je laatste vraag is interessant, en ik kan deze helaas niet beantwoorden. Het zou kunnen, maar goed dit weet ik niet zeker dus raak a.u.b. nu niet in paniek ofzo...
quote:Op dat laatste heb ik niet echt gelet, al is er één Planet Internet gebruiker die al weken(!) in mijn firewall log voorkomt. (poort 135) Voor de rest zijn het ook veel ip-adressen die niet van Planet Internet users zijn.
Op dinsdag 12 augustus 2003 19:29 schreef Jalu het volgende:De worm scant (schijnbaar) willekeurige IP's af naar een "kwetsbare" PC, dus het zou zomaar kunnen. Bijna alle pogingen die ik vandaag op mijn firewall zag langskomen, kwamen van PC's met een IP adres van mijn eigen provider...
Overigens is dit niet de eerste keer dat er een ' lek ' zit in het RPC protocol, meer info hier
quote:
Een kwaadwillende kan het lek misbruiken door een speciaal verzoek naar de RPC-dienst te sturen dat werkt via TCP/IP-poort 135. Binnen bedrijven is deze poort over het algemeen toegankelijk. Voor extern verkeer wordt de data meestal door de firewall geblokkeerd.
quote:Inderdaad, en gezien de quote van Webwereld zou het goed kunnen.
De worm scant (schijnbaar) willekeurige IP's af naar een "kwetsbare" PC, dus het zou zomaar kunnen.
Ik las vanmiddag trouwens dat er mensen waren die problemen hebben met het downloaden van de patch van de MS website ? Als dat nog steeds zo is, wil ik de Nederlandse en Englese versie wel tijdelijk even op een servertje zetten als daar behoefte aan is.
Bij de ene site zeggen ze dat alleen de server en terminal server editie de lek hebben, maar ergens anders lees ik weer dat de workstation versie ook het lek heeft?
Hoe zit dat nou?
If installed on Windows XP Service Pack 1:
To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980.
heb strax effe de patch in t nederlands geload, daar stond ergens een link naar en die liep aardig vlot.
t gaat om WindowsXP-KB823980-x86-NLD.exe
maar ik kom alleen in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\,, KB823980 niet tegen.
Als ik moet geloven wat daar staat is de laatste patch op de 16,de ofzo van de vorige maand erin gezet
Kom zelfs geen nummer tegen daar wat op die NLD.exe lijkt
ideetje iemand??
edit: laat maar hij zit nie in SP2 maar in SP1 heb m al..
[Dit bericht is gewijzigd door gogo115 op 12-08-2003 22:24]
quote:
Summary of information uncovered;1. Windows 2000 SP2 can install MS03-026. Microsoft still isn't supporting this configuration and insist you should test it, but I have had numerous reports from people who have successfully installed it. Windows 2000 SP2 systems have been successfully compromised.
2. Windows Update and most 3rd party patch management applications will not offer you the ability to install MS03-026 on Windows 2000 SP2 systems. I have prepared an XML file for use with HFNetchk or MBSACli which will both check for, and recommend, MS03-026 on Windows 2000 SP2 systems.
3. Came across another very large installation that had used St. Bernard's Update Expert to deploy MS03-026. They deployed to Windows 2000 SP3 systems. After rechecking, that installation discovered that MS03-026 had not deployed correctly, and all of those systems needed to have the patch re-applied either manually, or via HFNetchk/MBSA.
4. The worm appears now to be entirely self contained. It works as follows;
a) attacker runs a TFTP server due to the worm code.
b) TCP135 connection from attacker to victim.
c) a command shell is established on victim listening on TCP4444
d) attacker sends command, via command shell, to cause victim to invoke TFTP.exe to attacker to retrieve msblast.exe
e) attacker sends command, via command shell, to cause victim to invoke msblast.exe
f) attacker drops connection victim command shell, victim command shell stops listening on 4444
g) victim starts TFTP server and processes other instructions in msblast (to modify the registry keys, start attacks on TCP135, etc...)Ergo;
- scanning for systems listening on 69 indicate successfully attacked systems (or valid TFTP Server)
- scanning for systems listening on 4444 is short-lived, only during exchange with attacker
- monitoring for systems using destination port 135 to 5 or more different IP addresses suggests attack traffic
- you can probably safely ignore the list of IP addresses previously posted5. Monitoring your Firewall, Router, or other network logs should indicate infected systems. Since the IP address generation is random, it does not stay within your subnet range. Eventually an infected system will attack beyond your subnets and can be detected at logging points.
6. Systems that are infected may display erratic behavior, including but not limited to, output of applications not being displayed, run but then disappear, or not run at all.
7. Multiple copies of MSBlast.exe can run on the same victim.
8. TFTP<number> files are incomplete TFTP downloads, and may or may not be present due to LovSAN. You may have had them from a previous virus/worm/trojan, or, due to a legitimate TFTP you did. Since they are temporary files, they can be safely deleted (and should be deleted.)
9. So far no other port activity, 137, 139, or 445, has been associated with this worm. Such activity has been high for some time now due to other worms/trojans. Don't discount it, but there is no reason so far to believe it has to do with LovSAN.
10. I do have confirmed reports of LANs with proper perimeter protection being infected due to infected laptops being brought into the LAN, and/or VPN connections to systems without adequate protection.
11. The text that I believed was in the registry was not there.
Uncorroborated Reports:
- Adds a user to the Administrators group
- Starts up NetBIOS services (if they aren't running)
- eEye's DCOM Checker incorrectly reports NT 4 machines as being vulnerable, despite the patch being positively verified
- Systems patched with MS03-026 may not be able to run Search or browse to the \winnt or \winnt\system32 directories. Drag and Drop may stop functioning
- On Windows XP doing a System Restore to a date prior to the worm does get rid of the worm (which would be expected, but the system could quickly be re-compromised)
- XP Home system using AOL Dial-up connection got infected
- Worm has been found in Excel Spreadsheet and an RTF file (I've asked for copies, no reply yet)Resources:
Modified MSSecure.XML file to use with HFNetchk/MBSA to detect Windows 2000 SP2 installations without the patch: http://www.ntbugtraq.com/LovSAN-W2KSP2.asp
Symantec Removal Tool: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
Trend Micro Removal Tool: http://www.trendmicro.com/download/tsc.asp
F-Secure Removal Tool: http://www.f-secure.com/v-descs/msblast.shtml
Computer Associates Removal Tool: http://www3.ca.com/virusinfo/virus.aspx?ID=36265
McAfee/NAI Removal Tool:
http://vil.nai.com/vil/stinger/Cheers,
Russ - NTBugtraq Editor
quote:ALLE versies van Windows NT, Windows 2000, Windows XP en Windows 2003 hebben het lek.
Op dinsdag 12 augustus 2003 20:05 schreef pierce het volgende:
Hoe zit dat nou met nt4?
Bij de ene site zeggen ze dat alleen de server en terminal server editie de lek hebben, maar ergens anders lees ik weer dat de workstation versie ook het lek heeft?
Hoe zit dat nou?
Voor de volledigheid zijn dat:
Windows NT 4.0 Workstation
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server
Windows 2000 Professional
Windows 2000 Server
Windows 2000 Advanced Server
Windows 2000 Datacenter Server
Windows XP Home Edition
Windows XP Professional Edition
Windows XP Media Center Edition
Windows XP 64-bit Edition
Windows Server 2003
Windows Server 2003 Enterprise Edition
Windows Server 2003 Web Edition
Mischien dat ik hier en daar een versie mis ofzo (doe het ook maar uit het hoofd) maar in principe zijn alle OS-en met een kernel die gebaseerd is op de NT kernel "voorzien" van deze bug en dienen zo spoedig mogelijk gepatched te worden.
Er is trouwens veel voor gewaarschuwd, dus als je je servers nog steeds ongepatched hebt staan dan is het je eigen schuld. Vergeet niet dat een onverlaat met een floppy ook het virus een INTERN netwerk kan besmetten, en zo'n fijne melding van "this system is shutting down" wil je toch ook echt niet op je interne server tegenkomen tijdens werkuren
quote:HELP! ik kan de nederlandse patch niet downloaden.. wil iemand aub een link neerzetten..? mijn dank is groot..
Op dinsdag 12 augustus 2003 22:11 schreef gogo115 het volgende:
ik zie hier net t volgende:
If installed on Windows XP Service Pack 1:
To verify that the patch has been installed on the machine, confirm that the following registry key has been created on the machine:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980.heb strax effe de patch in t nederlands geload, daar stond ergens een link naar en die liep aardig vlot.
t gaat om WindowsXP-KB823980-x86-NLD.exe
maar ik kom alleen in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\,, KB823980 niet tegen.
Als ik moet geloven wat daar staat is de laatste patch op de 16,de ofzo van de vorige maand erin gezet
Kom zelfs geen nummer tegen daar wat op die NLD.exe lijktideetje iemand??
edit: laat maar hij zit nie in SP2 maar in SP1 heb m al..
quote:http://microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Op woensdag 13 augustus 2003 11:43 schreef dutchmage het volgende:[..]
HELP! ik kan de nederlandse patch niet downloaden.. wil iemand aub een link neerzetten..? mijn dank is groot..
op de 1 of andere manier blijft hij terug komen.
als ik de patch voor windows installeer geeft ie een foutmelding aan,
welke weet ik niet meer stom ik weet t ik had het op moeten schrijven...
maar de tool van Symantec werkt ook niet..
ik run m en als ie klaar is zegt ie dat hij niks heeft kunnen vinden.
met als gevolg dat de RPC foutmelding weer terug komt en mijn pc afsluit..
iemand een id..?
Er staat iets in dat bericht met "remote procedure call (rpc)-service'
En ook 'authority\system'
snap er dus helemaal niks van kan geen screenshot maken hij zegt dat dat niet kan dan staat er een kruisje bij
Het is heel vaag maar ja kan iemand mijn helpen??
Windows woord door NT authority\system afgesloten
suc6 het is een hardnekkig kreng quote:ok je moet het proggie laten draaien om m weg te halen
Op woensdag 13 augustus 2003 13:56 schreef Seal_force het volgende:
Hij zegt het weer moet me pc afsluiten
de update uitvoeren en dan moet ie het als het goed is doen.. denk ik..
Waart het probleem trouwens nog steeds rond, of is de intensiteit behoorlijk afgenomen ?
Waar kan ik ergens zien of hun die update al gedraait hebben?!
=edit=
Op de servers dan zegmaar.
quote:Simpel, ga naar Add/Remove Programs (of Software voor NL systeem) en scroll naar beneden totdat je
Op donderdag 14 augustus 2003 10:00 schreef vosss het volgende:Waar kan ik ergens zien of hun die update al gedraait hebben?!
Op de servers dan zegmaar.
Windows 2000 Hotfix - KB823980 ziet staan.
Als die vermeld wordt is de patch geinstalleerd, zoniet dan alsnog installeren.
quote:Nog 2?
Op woensdag 13 augustus 2003 20:46 schreef Hymn het volgende:
er zijn 2 nieuwe varianten
quote:
Oké, even een update.Er zijn nu dus twee *major* varianten.
Je hebt nu de volgende versies:
- W32/Lovsan.worm (het origineel): http://vil.nai.com/vil/content/v_100547.htm
- W32/Lovsan.worm.b (de eerste nieuwe variant): http://vil.nai.com/vil/content/v_100551.htm
- W32/Lovsan.worm.c (tweede nieuwe variant): http://vil.nai.com/vil/content/v_100552.htmZojuist (15 minuten geleden) heeft McAfee de DAT-versie 4285 gereleased, die beide nieuwe varianten af kan vangen (4284 kon het origineel al afvangen).
Nieuwste SuperDAT-file vind je op http://a64.g.akamai.net/7...nglish/intel/sdat4285.exe
Dus zegmaar op de pc's die verder in het netwerk hangen niks installeren?
quote:Het is uiteraard beter om alle machines te patchen, je server zijn dan wel veilig maar de andere PC's zullen dan wel blijven proberen om de infecties te verspreiden en daar zit natuurlijk niemand op te wachten.
Op vrijdag 15 augustus 2003 10:16 schreef vosss het volgende:
en alleen op de servers die patch draaien is not an option?
Dus zegmaar op de pc's die verder in het netwerk hangen niks installeren?
quote:Daar gaat me sticky topic
Op zondag 17 augustus 2003 11:51 schreef Slarioux het volgende:
Aangezien de dreiging voorbij is, de aanval werd afgeslagen, gaat dit topic van sticky af.Zie ook:
http://www.tweakers.net/nieuws/28357
Internet klapte er ineens uit. Ik had een vaag vermoeden van de Blaster of Welchia.
Voor de zekerheid 4 removal tools gedownload voordat het systeem eruit klapte binnen 60 sec door de RPC melding.
Blaster --> niets gevonden !!
Welchia --> Niets gevonden !!
Sobig f. --> Niets gevonden !!
Damaru --> niet gevonden !!
Toch krijg ik de melding nog en hij geeft in de sys tray aan dat een van de netwerkkabels niet goed verbonden is.
Ik ben niet aan de router geweest ofzo dus is wel goed verbonden.
In de taskmanager staan verschillende svchost.exe meldingen sommige nemen veel geheugen in gebruik.
Als ik deze meldingen wil afsluiten (stuk of 6) dan krijg ik bij de laatste de rpc melding en wordt het systeem weer afgesloten.
Mijn svchost crasht niet meteen na het inloggen zoals bij veel andere.
Misschien lag het wel aan de tools dat hijde bestanden niet kon verwijderen. Daarom welchia en blaster removal tool nog eens in de veilige modus gedraaid.
Nog steeds geen resultaat. Internet ligt er nog steeds uit en kan niets meer.
Ieemand een IDEE ??? Youre welcome
quote:In iedergeval geen Welchia of MSBlaster.
Op vrijdag 5 september 2003 08:08 schreef sp33dfreak het volgende:
Ok, what about this then...Internet klapte er ineens uit. Ik had een vaag vermoeden van de Blaster of Welchia.
Voor de zekerheid 4 removal tools gedownload voordat het systeem eruit klapte binnen 60 sec door de RPC melding.Blaster --> niets gevonden !!
Welchia --> Niets gevonden !!
Sobig f. --> Niets gevonden !!
Damaru --> niet gevonden !!Toch krijg ik de melding nog en hij geeft in de sys tray aan dat een van de netwerkkabels niet goed verbonden is.
Ik ben niet aan de router geweest ofzo dus is wel goed verbonden.In de taskmanager staan verschillende svchost.exe meldingen sommige nemen veel geheugen in gebruik.
Als ik deze meldingen wil afsluiten (stuk of 6) dan krijg ik bij de laatste de rpc melding en wordt het systeem weer afgesloten.
Mijn svchost crasht niet meteen na het inloggen zoals bij veel andere.Misschien lag het wel aan de tools dat hijde bestanden niet kon verwijderen. Daarom welchia en blaster removal tool nog eens in de veilige modus gedraaid.
Nog steeds geen resultaat. Internet ligt er nog steeds uit en kan niets meer.Ieemand een IDEE ??? Youre welcome
Svchost.exe is een erg belangrijk bestand voor Windows.
Als je die zelf handmatig stopt, dan krijg je ook de RPC melding.
Jij hebt een ander probleem, ik zou als ik jou was even op Spyware/ander virus zoeken.
Heb je wel een virusscanner geinstalleerd. zo niet, doe even een online scan bij symantec ofzo.
kweet niet hoelang ik erover heb gedaan voor ik erover nadacht om eens op internet te gaan zoeken.. eerst geprobeerd met norton en dat updaten.. had hij alles geupdate en kwam hij nog steeds met dat remote procedure call...
