Userbase

<img src="http://www.userbase.be/forum/images/portal/virus.jpg" border="0" align="left">Het was te verwachten, en hier is hij dan. W32.Sasser heet het nieuwe beestje, en maakt gebruik van de LSASS exploit die recent ontdekt is in alle Windows versies tot nu toe.

Volgens info van de media blijkt de worm reeds meer dan 3 miljoen servers te hebben geïnfecteerd. Dit was wederom mogelijk vanwege het lakse beheer van veel systeem administrators die niet bijblijven met de security-patches van Microsoft.

Net zoals de W32.Blaster worm verspreid ook dit virus zich niet via e-mail of aanverwanten, maar rechtstreeks via internet door een lek in het Windows besturingssysteem. Nadat een systeem geïnfecteerd is, gaat het zichzelf repliceren naar andere niet-beveiligde systeem d.m.v. een random reeks IP-adressen te genereren. Uiteraard zal dit gepaard gaan met een overlast op het netwerkverkeer.

Hieronder enkele links voor meer info over de worm én zijn reeds eerste variant.

http://www.sarc.com/avcenter/venc/data/ ... .worm.html
http://www.sarc.com/avcenter/venc/data/ ... .worm.html

De Microsoft Exploit:
http://www.sarc.com/avcenter/security/C ... 10108.html

Een removal tooltje:
http://securityresponse.symantec.com/av ... .tool.html

Dus wacht niet te lang met een windowsupdate indien je het nog niet gedaan zou hebben.

Blue-Sky schreef:Deze meldingen over virus gevaren blijven zich steeds herhalen, wie echter de voorziene patches op tijd uitvoerd zal dus weinig last hebben van deze rommel.
De users en gasten welke regelmatig userbase bezoeken weten dat inmiddels wel...en zijn dus wel attent zodat deze virussen geen kans hebben. Ik heb vandaag nog een patch kunnen downloaden, welke de naam draagt KB837272 voor Media Player 9 Series

Sasuke schreef:Dus wacht niet te lang met een windowsupdate indien je het nog niet gedaan zou hebben.

Daar is idd al genoeg op gehamerd geweest, het tijdig goed onderhouden door systeem beheerders zou veel ellende kunnen vermijden.
Daar werd al op attent gemaakt in de link hier juist boveneen speciale webpagina

Ik ben geen system admin, ik had hem al voor dat symantec hem op de site zette. Nu zit ik met de gebakken peren, dit is echt een stukje venijn, authorisatiewijzigingen, system shutdowns, messed up passwords, etc.,

<img src="http://upload.userbase.be/upload/sasser_b.jpg" align="left" width="100" height="77"> Housecall schreef hierover

WORM_NETSKY.AB is a medium risk alert (daar vind je al de extenties)


Bron: HBVL van 02/05/2004 en Tweakers.net

Ter verdediging van de sysadmins: (waaronder mezelf)

Zomaar altijd de laatste updates zitten installeren kan niet ... zeker in het geval van service packs loopt er ALTIJD wel iets mis ...

Overlaatst is er trouwens nog een critical update geweest die ervoor zorgde dat na de installatie sommige systemen problemen hadden met inloggen.

De redenering van 'oh een nieuwe patch! direct installeren!' is dus ZEKER niet de goeie manier van werken.

<img src="http://upload.userbase.be/upload/encript_virus_kl.jpg" align="left" width="120" height="90"> Nieuwe Sasser-varianten beginnen aan opmars, de bastaards zijn een stuk gevaarlijker.
Varianten op de Sasser-worm verschijnen in versneld tempo en zijn gevaarlijker dan de originele worm. Enkele eerder vastgestelde fouten in de programmacode zijn door onbekende auteurs hersteld. Het aantal infecties neemt wereldwijd dan ook flink toe.
In de praktijk blijkt de eerste vorm van een virus of worm de minst gevaarlijke te zijn, voor de meeste virussen staan de eerste stappen in de echte wereld, direct na de verspreiding, gelijk aan een bètatest zoals we die kennen bij reguliere software. Gisteren werd van de oervariant van Sasser al snel duidelijk dat ontbrekende code het succes van de worm zou verhinderen. Ook Symantec heeft het over de W32.Sasser.B.Worm welke nu gecatalogeerd is op Nr. 4
lees daarover meer

Bron: ZDNet.be

weet iemand of het nodig is om de servers te restarten nadat de patch gedeployed is? De patch geeft geen 'please restart your pc' melding... .
Dit omdat vele servers niet zomaar kunnen worden herstart ... .

Het is wel aangewezen om dit te doen ja.
t' Is te zeggen; als je wil dat de patch ook meteen effect heeft.

Als je voortaan wilt voorkomen dat dit soort wormen in je computer cq netwerk terechtkomen raad ik je aan een firewall te plaatsen. Voor bedrijven kan je beter een hardwarematige oplossing gebruiken, zie bv www.hotbrick.nl ( deze zijn zeer goed en betaalbaar, ik er zo een in m'n netwerk hangen en ben er zeer tevreden over ). Voor een thuisgebruiker is een softwarematige oplossing meestal wel voldoende. Let hierbij wel op dat je poorten moet kunnen dichtzetten of dat deze standaard dichtstaan. De sasser worm kijkt welke poort er open staat en komt op deze manier binnen.

Dus als je het minste last wilt hebben van virussen is naast een goede virusscanner een goede firewall zeker belangrijk

[mod] Beide berichtjes even samengezet michel[/mod]

Mja ik ben in de eerste plaats niet kwaad op de virusmakers, wel op microsoft die dit mogelijk maakt. Dit is al erg genoeg.

Hier kan je een tool downloaden om je servers, pc's te scannen:

http://www.eEye.com/html/Research/Tools ... 829.625770

Mr Pink schreef:Hier kan je een tool downloaden om je servers, pc's te scannen:

Blue-Sky schreef: Ook Symantec heeft het over de W32.Sasser.B.Worm welke nu gecatalogeerd is op Nr. 4

Daar kon je ook de removal tool vinden, bovendien best nazien of er niet al besmetting op je "recover" disk staat.
Zoniet wordt bij een herstel naar een vroegere datum, deze rommel terug actief.
(bij WindowsXP vind je dat onder "Wijzigingen ongedaan maken met behulp van Systeemherstel" )
Actueel staat er een speciale melding op de Update website van Microsoft waar er ook info is over sasser...

Grtz,

McAfee heeft ten allen tijde ook een removal tool als free download voor als je prijs hebt met 1 van de recente virussen:

http://vil.nai.com/vil/stinger/

Computervirus treft ook het ministerie van Financiën, het Sasser-virus heeft toegeslagen op de federale overheidsdienst van Financiën. Een honderdtal computers raakten besmet.
Bij de belastingsdiensten in de Financiëntoren bleef het probleem beperkt, zegt ICT-deskundige Christian Van Waeyenberge. Het internetvirus Sasser drong begin deze week het netwerk van het ministerie binnen.
De computerdeskundigen van Financiën kregen maandagmiddag de eerste telefoontjes van ambtenaren.
Van Waeyenberge vermoedt dat het virus via een draagbare computer het systeem is binnengeraakt.
In de buitendiensten raakte een honderdtal computers besmet.

Bron: Het Laatste Nieuws (Belga)

Erratum: Laatste Info over Sasser in het Nederlands.

Het wordt hoog tijd dat de overheid haar personeel eens wat basis-veiligheidsbesef bijbrengt.

Laatst nog weer een email vanaf een mil.be adres met iedereen in CC:
Leuk dat je adres zo te grabbel gegooid wordt