Nieuwe worm maakt razendsnel misbruik van lek in RPC

12 aug 2003, 11:08

<img src="http://www.userbase.be/forum/images/portal/virus.jpg" border="0" align="right">Het zal misschien een enkele keer voorgekomen zijn dat de afgelopen dagen een Windows NT-machine opeens een een reboot nodig had vanwege een gestopte Remote Procedure Call-service, maar vandaag is het geweld echt losgebarsten. Systemen waarop sinds 16 juli geen update meer is uitgevoerd, kunnen aangevallen worden door de worm W32.Blaster. Deze komt via TCP-poort 135, 139 of 445 binnen en gebruikt een backdoor shell command waardoor de RPC-service afgesloten wordt en de machine automatisch een shutdown krijgt. Daarnaast zullen geïnfecteerde pc's vanaf 16 augustus DDoS-aanvallen uitvoeren gericht op de Windows Update-site. Computers uitgerust met Windows NT 4.0 of hoger kunnen kwetsbaar zijn. Het gebruik van een firewall kan misbruik van de exploit nog wel enigszins beperken, maar het wordt toch aangeraden de patch te installeren. Microsoft heeft op deze TechNet-pagina alle benodigde informatie bij elkaar gezet:

Draai Windows update nu onmiddellijk, hierdoor krijg je automatisch de juiste patch binnen!

Remote Procedure Call (RPC) is a protocol used by the Windows operating system. RPC provides an inter-process communication mechanism that allows a program running on one computer to seamlessly execute code on a remote system. The protocol itself is derived from the Open Software Foundation (OSF) RPC protocol, but with the addition of some Microsoft specific extensions.

Bron: http://www.tweakers.net

12 aug 2003, 11:52

Aha. Dat is dus wat ik vorige week 2x op m'n laptop heb zien gebeuren ...
Toen zat ik wel direct op telefoonlijn en niet via (beveiligd) netwerk ...

Weetgraag · 12 aug 2003, 12:28

Vanmorgen een telefoontje een vriend ivm dat virus, zijn pc blijft opstarten na de melding dat RPC een ongeldige bewerking heeft gemaakt.
Vanmiddag dan verwijderen met de patch van MS, en zoals gezegd hij had nog virusupdates tot 11/07/03 dus niet gedetecteerd. Zou die W32.Balster ook Norton AV uitschakelen, ik kon geen updates binnenhalen en vinkjes in de config van Norton stonden lichtgrijs.
Na de automtische updates aan en uitgezet te hebben kon het weer????

Greetz
Weetgraag :wink:

Erik · 12 aug 2003, 15:48

hallo,

om mensen die ongerust zijn of ze nu de juiste patch hebben of niet.hier is een kleine truck .u gaat naar de technet site van micosoft die u hier vindt en u noteert dat nummer dat u in de titel van het artikel ziet.Voor deze bug is dat "823980".Dan gaat u naar start => instellingen => control panel => software en u kijkt of u iets hebt window XP hotfix kb823980

als u dit ziet staan dan bent u nu beschermd tegen dit beveilingslek
over poorten 137/139 moeten skynet klanten zich geen zorgen maken die worden door skynet zelf gesloten .
nog vragen ? shoot

greetz

Erik

Weetgraag · 12 aug 2003, 16:36

Als je de patch download via de technet zorg er voor dat je de juiste taal selecteerd. Ik heb deze middag op een pc dit virus (Win32.Blaster)
verwijderd en na het verwijderen krijg je de optie om naar de site van MS te gaan om die patch te downloaden. Het heeft dan in feite geen zin om
die patch te installeren als je al besmet bent.
De Removel tool kan je hier downloaden
http://www.symantec.com/avcenter/venc/d ... .tool.html

Greetz
Weetgraag :wink:

12 aug 2003, 17:09

Hm ... De patch had ik nog niet op de laptop, maar de remover vindt geen Blaster-worm. Dan had ik dus nog iets anders aan de hand ...

Zelfde symptomen (RPC is afgesloten en NT AUTHORITY sluit het systeem af binnen de 60 seconden).

Weetgraag · 12 aug 2003, 17:26

Heb je de remover in "veilige modus" laten draaien zonder "netwerkmogelijkheden" , bij vond die hem ook niet
maar dan zonder netwerk en in veilge modus wel.
Heel raar, maar heeft BugBear daar ook geen variant op.

I'm looking

Greetz
Weetgraag :wink:

Het nr van de hotfix voor Win2K is hetzelfde

Blue-Sky · 12 aug 2003, 22:01

Hier nog eens de link naar Symantec >
http://www.symantec.nl/ klik op > 11.08.03 W32.Blaster.Worm & 08-11-03 W32.Blaster.Worm

Nog eens een bewijs dat men de updates van MS moet bijhouden, dat zou heel wat moeilijkheden voorkomen.
Idem de updates van Symantec.
Tip van Eric gecheckt (XP hotfix kb823980) is vanzelfssprekend in mijn lijst.

Blino · 12 aug 2003, 22:19

Ik heb een paar dagen geleden 1x moeten herstarten omwille van die rpc maar het is ook bij die ene keer gebleven. Heb nu ondertussen zowel norton als da removal tool 2x maal laten lopen (zowel gewoon als in veilige modus) maar er wordt niets gevonden...

Trouwens "Nieuwe worm maakt razensnel misbruik van lek in RPC"???
tis razenDsnel... :wink:

The Oddity · 13 aug 2003, 09:51

Ik dacht dat Skynet reeds vanaf maandag-ochtend of zelfs vorige week poort 135 tijdelijk afgesloten heeft omwille van dit beveiligingslek. Meer info in de hot-news-sectie op de selfcare portal van Skynet.

Hotfix 823980 is hier al een tijdje geinstalled, is kwestie van je volledige systeem up-to-date te houden.

Pi R² · 13 aug 2003, 17:22

Haha, gelukkig heb ik het veel krachtigere windows 98 besturingssysteem: tegenwoordig maken ze daar geen virussen voor :wink:

13 aug 2003, 17:57

idd Pi R², na dit topic overweeg ik om windows 1.0 hier te installeren

Blue-Sky · 13 aug 2003, 20:11

Hopelijk zal Bigg Bill het "undercontrol" hebben, bij zijn volgende uitgave van Software? (Zie volgende link i.v.m. 2005 Longhorn)
http://www.directionsonmicrosoft.com/sa ... i_illo.htm
En zal er dan niet opnieuw een virus opduiken, waarin er een code boodschap ingebouwd is "dat hij zijn software moet in orde brengen".
Of zijn de criminelen de normale mensen altijd een stapje vóór :???:

Weetgraag · 13 aug 2003, 20:18

Dat is wel duidelijk hè Blue-Sky, je moet eerst een ziekte hebben om een remedie te vinden.

Greetz
Weetgraag :wink:

14 aug 2003, 14:33

Oh help.
Eergisteren alle updates die er zijn geïnstalleerd, FixBlast.exe gedraaid, virusdefs geupdate op alle pc's en vandaag meldt m'n zus zich aan (na dat de pc al een halve dag aan stond, maar aangemeld op een andere gebruiker) en krijg ik het gevreesde venster die je systeem zal afsluiten binnen 60 seconden. Deze keer geen RPC, maar wel services.exe dat afgesloten was.
Nieuwe exploit of toevallige fout in het systeem?
Ik heb FixBlast opnieuw gedraaid, niets te vinden ...

Witchez · 14 aug 2003, 16:44

En voor Windows ME maken ze er ook al geen ni meer, wie gebruikt nu ook diejen brol

Ik heb toch voor alle zekerheid de poorten geblokkeerd voor 't geval mochten ze nog snel een extra versie maken :lol:

[mod="Sub Zero"]Posts samen gezet[/mod]

Pi R² · 14 aug 2003, 17:03

Zijn er eigenlijk virussen voor Linux? Ne mac da moet ook iets goed zijn tegen virussen denk ik. Pffff, kzou maar beter terug naar DOS gaan, dat was tenminste een goed besturingssyteem, nog nooit zien crashen. Ik vraag mij af waarom dat eigenlijk allemaal vol lekken zit... als ge iets gewoon programmeert, kan dat toch niet?

14 aug 2003, 19:12

voor linux zijn er een 3-tal virussen die eigenlijk alleen maar persoonlijke files kunnen wissel (als je niet als root werkt natuurlijk!!)

er is 1 mogelijkheid gevonden om toch root te worden zonder het pass te kennen maar die is alleen lokaal uitvoerbaar en al de nieuwe kernels hebben er een patch voor

Blue-Sky · 14 aug 2003, 19:38

Pi R² schreef:Zijn er eigenlijk virussen voor Linux? Ne mac da moet ook iets goed zijn tegen virussen denk ik.

Een link naar het Skynet forum>
Zie hier wat een User Yowannes schreef op 13 augustus 2003 23:21
& wat Noppes schreef op 13 augustus 2003 23:21
Niet te versmaden de bemerking van telloorlekker :twisted:

Commodore 64, mm..ja..dan kun je ook de postduif gebruiken

http://www.skynet.be/index.html?a=posts ... e&p1=41831
Neen aan voorbijgestreefde technieken, vooruit naar een niet te kraken software. (kleine optimist)

Sandman · 14 aug 2003, 21:27

tjah, voor linux en mac zijn er minder virussen, ook omdat het nu eenmaal VEEL minder wordt gebruikt, en de mensen die het gebruiken zijn er in het algemeen ook meer geïnteresseerd in hunne computer als de gemiddelde computergebruiker. (-> zij zullen sowieso hun pc eerder beter beschermen etc)

Het is niet enkele Windows dat buggy is, het zijn vooral de vele nonchalante gebruikers van windows die het voor hackers vaak makkelijk maken

15 aug 2003, 00:58

In reactie op mijn laatste post ivm de zelfafsluitende services.exe:
Geen problemen meer gehad voorlopig, het zal wel een toevals-fout zijn geweest dat niet gelinkt is aan dit virus.

The Oddity · 16 aug 2003, 10:07

Witchez schreef:Ik heb toch voor alle zekerheid de poorten geblokkeerd voor 't geval mochten ze nog snel een extra versie maken

Witchez, Skynet heeft tijdelijk poort 135 die hiervoor misbruikt wordt dichtgezet voor alle verkeer. Dit om de inpact bij Skynet klanten al drastisch te verlagen. Maw op Windows Me kan een variant niet echt geschreven worden, is immers een volledig ander os.

Massachusetts · 17 aug 2003, 11:03

Ik had de geruchten over die aanval een week geleden gehoord. Mijn broer had gehoord via meerdere irc-channels dat je vrijdag je pc niet mag aandoen. Gelukkig hadden we 'm niet aangedaan, want het was toch gebeurd. Hij had die patch van MS ook gedownload, dus er kon gelukkig niets gebeuren als het toch zou voorvallen. In Nederland waren er duizenden pc's aangetast. Ik ben blij dat dit niet met ons is gebeurd. Hebben die hackers nog het verkeerde ip-adres gebruikt. Als je iets doet, moet je het goed doen. Het zijn dus toch niet zo "goede" hackers.

The Oddity · 17 aug 2003, 11:24

Hmm, je pc niet aanzetten omwille van een virus is toch wel vrij paranoia

Gewoon zorgen dat je systeem up-to-date is. AV up to date is. En niet opgaan in de media-heissa.

Trouwens verkeerd ip? Ik dacht dat Ms uit voorzorg de update portal verplaatst heeft. Ze hadden volgens hetgeen ik gehoord heb, het adres uit de source gefilterd naar waar de aanval zou gaan en ms heeft die locatie unavaillable gemaakt en de windowsupdate ergens anders gezet.

17 aug 2003, 11:58

ms heeft inderaad de windows update bij een andere maatrschappij gezet (pittig detail: die andere maatschapij werkt met linuxclusters niet met win servers

)

Blue-Sky · 17 aug 2003, 12:31

Dat is meer als een pittig detail, pinguins leggen eieren en als ze eenmaal uitgebroed zijn...... :???:

Misschien kan MS die linuxclusters gebruiken als firewall 8-)

Eigenlijk ben ik wel tevreden over de kwaliteiten van WindowsXP, indien in de toekomst Linux met het zelfde percentage in de markt zou liggen worden zij waarschijnlijk ook geviseerd om virussen op los te laten.

Massachusetts · 17 aug 2003, 19:57

Sorry, ik had dat van het verkeerde ip gehoord via de radio. Info kan soms verdraaid worden. MS heeft dankzij hun techneuten de juiste maatregelen kunnen nemen. Gelukkig maar. Wat betreft die updates, vandaag moest ik van windowsupdate het systeem al 2 keer updaten, dan dat is wel in orde. Blue-Sky, jouw idee om Linux als firewall voor MS te gebruiken, klinkt nog niet zo gek. :-D

The Oddity · 18 aug 2003, 00:27

Een linux firewall als bescherming voor een Winmachine is zeker niet gek. De meesten die thuis een lan hebben hier, hebben een linux server waarop firewall draait. Dus die firewall beschermt windows eh

Dat wordt zeer vaak toegepast. Ook binnen bedrijven gebeurt dat. Windows gewoon om de gebruiksvriendelijkheid voor de end-user. En linux als servers gewoon voor de veiligheid en performantie.

Heb nu eigenlijk ook wel gelezen bij Tweakers.net dat het om een verkeerd ip betreft te gaan.. maar er is nogal wat heissa rond, dat je niet weet wat waar is en wat niet. Soit, ms heeft de dreiging afgeslaan en het virus heeft toch zijn kuren redelijk kunnen uithalen

Alweer een student informatica die zit te grijnzen.

Erik · 18 aug 2003, 02:14

Massachusetts schreef:Ik had de geruchten over die aanval een week geleden gehoord. Mijn broer had gehoord via meerdere irc-channels dat je vrijdag je pc niet mag aandoen. Gelukkig hadden we 'm niet aangedaan, want het was toch gebeurd. Hij had die patch van MS ook gedownload, dus er kon gelukkig niets gebeuren als het toch zou voorvallen. In Nederland waren er duizenden pc's aangetast. Ik ben blij dat dit niet met ons is gebeurd. Hebben die hackers nog het verkeerde ip-adres gebruikt. Als je iets doet, moet je het goed doen. Het zijn dus toch niet zo "goede" hackers.

Waarom zou je uwe pc dan niet mogen inschakelen zolang uw systeem gepacthed en gefirewalled is, laten ze maar proberen dan .... ik wil microsoft hier niet gaan verdedigen.Ze hebben wel degelijk hun slechte punten maar volgens mij kan een enkel "wannabe" hackertje computergigant microsoft niet aan hoor nee nee als je ms op de knieen wilt moet je in een groep samen werken en niet op je eentje nu het is niet de eerste keer en waarschijnlijk ook niet de laaste keer dat microsoft aangevallen wordt naar wat ik gehoord heb heeft ms windowsupdate gewoon verhuisd ....