geplaatst
SEVERITY: CRITICAL DATE: August 11, 2003 PRODUCTS AFFECTED: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition
WHAT IS IT? The Microsoft Product Support Services Security Team is issuing this alert to inform customers about a new worm named W32.Blaster.Worm which is spreading in the wild. This virus is also known as: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Best practices, such as applying security patch MS03-026 should prevent infection from this worm.
Customers that have previously applied the security patch MS03-026 before today are protected and no further action is required.
IMPACT OF ATTACK: Spread through open RPC ports. Customer's machine gets re-booted or has mblast.exe exists on customer's system.
TECHNICAL DETAILS: This worm scans a random IP range to look for vulnerable systems on TCP port 135. The worm attempts to exploit the DCOM RPC vulnerability patched by MS03-026.
Once the Exploit code is sent to a system, it downloads and executes the file MSBLAST.EXE from a remote system via TFTP. Once run, the worm creates the registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Symptoms of the virus: Some customer may not notice any symptoms at all. A typical symptom is the system is rebooting every few minutes without user input. Customers may also see: - Presence of unusual TFTP* files - Presence of the file msblast.exe in the WINDOWS SYSTEM32 directory
To detect this virus, search for msblast.exe in the WINDOWS SYSTEM32 directory or download the latest anti-virus software signature from your anti-virus vendor and scan your machine.
For additional details on this worm from anti-virus software vendors participating in the Microsoft Virus Information Alliance (VIA) please visit the following links:
Please contact your Antivirus Vendor for additional details on this virus.
PREVENTION: Turn on Internet Connection Firewall (Windows XP or Windows Server 2003) or use a third party firewall to block TCP ports 135, 139, 445 and 593; TCP ports 135, 139, 445 and 593; also UDP 69 (TFTP) for zombie bits download and TCP 4444 for remote command shell. To enable the Internet Connection Firewall in Windows: http://support.microsoft.com/?id=283673
1. In Control Panel, double-click Networking and Internet Connections, and then click Network Connections. 2. Right-click the connection on which you would like to enable ICF, and then click Properties. 3. On the Advanced tab, click the box to select the option to Protect my computer or network.
As always, please make sure to use the latest Anti-Virus detection from your Anti-Virus vendor to detect new viruses and their variants.
RECOVERY: Security best practices suggest that previously compromised machine be wiped and rebuilt to eliminate any undiscovered exploits that can lead to a future compromise. See Cert Advisory: Steps for Recovering from a UNIX or NT System Compromise. http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
For additional information on recovering from this attack please contact your preferred anti-virus vendor.
If you have any questions regarding this alert please contact your Technical Account Manager or Application Development Consultant.
PSS Security Response Team
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Het zal misschien een enkele keer voorgekomen zijn dat de afgelopen dagen een Windows NT-machine opeens een een reboot nodig had vanwege een gestopte Remote Procedure Call-service, maar vandaag is het geweld echt losgebarsten. Systemen waarop sinds 16 juli geen update meer is uitgevoerd, kunnen aangevallen worden door de worm W32.Blaster. Deze komt via TCP-poort 135, 139 of 445 binnen en gebruikt een backdoor shell command waardoor de RPC-service afgesloten wordt en de machine automatisch een shutdown krijgt. Daarnaast zullen geïnfecteerde pc's vanaf 16 augustus DDoS-aanvallen uitvoeren gericht op de Windows Update-site. Computers uitgerust met Windows NT 4.0 of hoger kunnen kwetsbaar zijn. Het gebruik van een firewall kan misbruik van de exploit nog wel enigszins beperken, maar het wordt toch aangeraden de patch te installeren. Microsoft heeft op deze TechNet-pagina alle benodigde informatie bij elkaar gezet:
Remote Procedure Call (RPC) is a protocol used by the Windows operating system. RPC provides an inter-process communication mechanism that allows a program running on one computer to seamlessly execute code on a remote system. The protocol itself is derived from the Open Software Foundation (OSF) RPC protocol, but with the addition of some Microsoft specific extensions.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
a word of warning: the hotfix from MS that fixes it is the one that causes max file corruption ...there is a patch for that patch as well...but you need to phone MS to get it and the list time i tried their phones were overloaded
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Heb je wel de security patch gedraaid? Anders is ie zo weer terug.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
********** NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup. **********
Executive Summary:
A worm has started spreading early afternoon EDT (evening UTC Time) and is expected to continue spreading rapidly. This worms exploits the Microsoft Windows DCOM RPC Vulnerability announced July 16, 2003. The SANS Institute, and Incidents.org recommends the following Action Items:
* Close port 135/tcp (and if possible 135-139, 445 and 593) * Monitor TCP Port 4444 and UDP Port 69 (tftp) which are used by the worm for activity related to this worm. * Ensure that all available patches have been applied, especially the patches reported in Microsoft Security Bulletin MS03-026. * This bulletin is available at http://www.microsoft.com/technet/security/bulletin/MS03-026.asp * Infected machines are recommended to be pulled from the network pending a complete rebuild of the system.
Technical Details:
Names and Aliases:W32.Blaster.Worm (symantec),W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trend Micro),Win32.Posa.Worm (CA),Lovsan (F-secure), MSBLASTER,Win32.Poza. The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:
Infection sequence: 1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET 2. this causes a remote shell on port 4444 at the TARGET 3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444, 4. the target will now connect to the tftp server at the SOURCE.
So far we have found the following properties:
- Scans sequentially for machines with open port 135, starting at a presumably random IP address - uses multiple TFTP servers to pull the binary - adds a registry key to start itself after reboot - infected machines will start a DDOS attack (port 80 synflood) against windowsupdate.com on August 16th.
Name of registry key: SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'
Strings of interest:
msblast.exe I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! windowsupdate.com start %s tftp -i %s GET %s %d.%d.%d.%d %i.%i.%i.%i BILLY windows auto update SOFTWARE\Microsoft\Windows\CurrentVersion\Run
The worm may launch a syn flood against windowsupdate.com on the 16th. It has the ability to infect Windows 2000, XP and potentially 2003.
The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.
Detection: Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c
Removal and Eradication:
Once you are infected, we highly recommend a complete rebuild of the site. As there have been a number of irc bots using the exploit for a few weeks now, it is possible that your system was already infected with one of the prior exploits. Do not connect an unpatched machine to a network. If you can not do this and/or the computer resides on a protected or non-Internet connected network, then several Anti-Virus Venders have supplied tools to assist in removing the worm. However, these tools can not clean-up damage from other RPC DCOM malware such as the recent sdbot irc bots. This method of cleaning your system is _not_ recommended, but the URLs are presented below for completeness.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Een nieuw computervirus voert op dit moment een aanval uit op het internet en computers met Windows software. Het virus verspreidt zich razendsnel waardoor geïnfecteerde computers vastlopen.
Bovendien vertraagt het virus het internet omdat de verbindingcomputers van het wereldwijde netwerk dienst weigeren. Dat hebben deskundigen dinsdag gezegd.
Het computervirus is van het type 'worm' omdat het zichzelf over computers verspreidt via het internet. Het virus maakt gebruik van een zwakke plek in Windows, de meest gebruikte besturingssoftware van computers. De worm is onder verschillende namen bekend, onder andere MSBlaster, Blaster and LoveSan.
Symantec, een Amerikaanse producent van beveiligingssoftware, heeft het virus al op bijna 60.000 computers aangetroffen.
De worm doet ook pogingen om zijn eigen leven te rekken. Volgens de website van de BBC zullen geïnfecteerde computers op 16 augustus namelijk de website van Microsoft aanvallen waar internetgebruikers het gat in de Windows software kunnen dichten.
Volgens experts zullen thuisgebruikers waarschijnlijk het meeste last van het virus krijgen. Verschillende makers van beveiligingssoftware zeggen echter dat de worm niet zo gevaarlijk is als de Slammer worm, die onlangs huishield onder computers. Toch zouden er wereldwijd ongeveer 200.000 computers geïnfecteerd kunnen raken.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Providers nemen maatregelen tegen Blaster
Blaster (ook bekend onder de namen DCOM Worm of Lovsan) dook maandag laat voor het eerst op internet op. Hierna ging de verspreiding hard. Dinsdag waren er al 30.000 machines wereldwijd besmet, meer dan de recente Slammer-worm, maar minder dan Code Red en Nimda.
Deze cijfers komen van het SANS Internet Storm Center, dat alle mogelijke gevaren voor de internetinfrastructuur in de gaten houdt. Volgens Johannes Ullrich van dit instituut hebben bijna alle providers inmiddels de nodige maatregelen genomen, waardoor de verspreiding van Blaster tot stilstand lijkt te komen.
Wereldwijd hebben isp's poort 135 geblokkeerd. De worm gebruikte deze poort om zich te vermenigvuldigen. Dit in tegenstelling tot de succesvolle wormen tot nu toe, die zich via mailprogramma's verspreidden. Ook hebben veel systeembeheerders ook poort 4444 geblokkeerd, waarop een 'achterdeurtje' werd gecreëerd door Blaster. Aanval
Alhoewel Microsoft al enige tijd een patch tegen het bekende lek beschikbaar heeft voor de kwetsbare systemen (Windows XP, NT en 2000) blijkt lang niet iedereen maatregelen te hebben genomen. Volgens de Finse beveiliger F-Secure was slechts de helft van de potentieel kwetsbare systemen voorzien van de patch.
Sinds dinsdag zijn gebruikers vervolgens massaal toegesneld naar de updatesite van Microsoft, die dinsdagavond voor sommigen onbereikbaar was. Hiermee zijn de problemen voor Microsoft nog niet voorbij.
Het aanstaande weekend (16 augustus) wordt Blaster namelijk geactiveerd. Alle getroffen systemen zullen op die datum een gecoördineerde aanval uitvoeren op de Windows Update-site. Vanaf vrijdag kan het volgens kenners al heel moeilijk zijn deze site te bereiken.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
Het LoveSan-virus, waarvoor deze week werd gewaarschuwd, is wereldwijd al op honderdduizenden computers aangetroffen. LoveSan, ook wel MSBlaster en Blaster genoemd, slaat toe op pc's die het besturingsprogramma Windows gebruiken.
Honderdduizenden computers in Noord-Amerika, Azië en Europa zijn gecrasht, en dat aantal neemt snel toe omdat het virus zich via internet verspreidt. Experts verwachten het hoogtepunt op zaterdag. Dan zou de website van Microsoft, waarop reparatiesoftware voor het virus te downloaden is, worden aangevallen.
Een van de grote slachtoffers van LoveSan is de Amerikaanse US Federal Reserve Bank in Atlanta, dat het systeem moest afsluiten nadat het door het virus was aangetast. In China zijn tienduizenden computers geïnfecteerd, voornamelijk van particulieren en kleine bedrijven.
Het virus dringt ongemerkt computers binnen, in tegenstelling tot de meeste andere wormen die zich via e-mail verspreiden. Het virusscript bevat een boodschap aan Microsoft-oprichter Bill Gates: "Billy Gates waarom maak je dit mogelijk? Stop met geld verdienen en beveilig je software!"
Volgens Microsoft kan met speciale software worden voorkomen dat het virus toeslaat. De reparatiesoftware is op de website van Microsoft (www.microsoft.nl) te downloaden. Vooral mensen met nieuwere versies van Windows zoals XP wordt aangeraden het programma te installeren.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
W32.Blaster.B.Worm Ook bekend als: W32/Lovsan.C.worm Type: Internet Worm Systeem: Microsoft Windows Risico: Laag, Risicoschaal: LASTIG - 13 augustus 2003 | bron: (c) 2003, VirusAlert
W32.Blaster.Worm Ook bekend als: W32/Lovsan.worm Win32.Poza WORM_MSBLAST.A Win32.Poza Type: Internet Worm Systeem: Microsoft Windows Risico: Middel, Risicoschaal: LASTIG - 11 augustus 2003 | bron: (c) 2003, VirusAlertBerichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! New version of Blaster worm on the loose
KASPERSKY LABS claimed this afternoon that there's already a new version of the Blaster/Lovesan worm on the loose.
And it says that's likely to mean a repeat of the outbreak we've seen during this week. The new variety of Lovesan/Blaster exploits the same vulnerability.
Kaspersky says that the number of infected systems is around the 300,000 mark, and the new variety may double this number.
"In the worst case, the world community can face a global Internet slow down and regional disruption... to the World Wide Web," said Eugene Kaspersky, head of the labs.
The new variety uses the name TEEKIDS.EXE instead of MSBLAST.EXE, different code compression, and different signatures in the body of the worm
Microsoft hopes to be ready when hundreds of thousands of computers infected with the MSBlast worm start pelting its Windows Update service with data requests on midnight Friday.
The company has taken steps to try to dodge the denial-of-service attack, but it's also begun educating Windows users about other ways to get updates and patches in the event that the update service is made unavailable.
"We are preparing," said Stephen Toulouse, security program manager for Microsoft's security research center. "We are working diligently to make sure that our customers can get the patch."
The primary payload of the MSBlast worm, which began infecting systems Monday, is a DoS attack against the service from which most Windows users get their updates. If successful, the maneuver would frustrate efforts to patch the Windows vulnerability the worm exploits. The strategy is also a way of simply harassing the Redmond, Wash.-based software giant; the worm's code contains a message for the company's founder: "billy gates why do you make this possible? Stop making money and fix your software!!"
Named after the msblast.exe file that contains the program, MSBlast continued to spread across the Net on Wednesday, infecting nearly 228,000 computers by midmorning, according to data gathered by security company Symantec.
Computers infected with the worm will start sending connection requests to the Windows Update service at midnight Friday, according to the clock on a given user's computer.
Although Toulouse was mum on the specific steps the software giant is taking to prepare for the attack, Microsoft is advertising alternative ways to get downloads and information from its site. The company has put more than 10 links on its main Web site to send people to more information and alternative channels for downloading updates.
Toulouse also stressed that consumers can and should get the latest patches from the company's Download Center.
Lloyd Taylor, the vice president of technology and operations Keynote Systems, which evaluates network performance, said that Microsoft's service will likely fall victim to the attack.
"I don't think any network in the world would be accessible with the amount of traffic that is going to be thrown at it," Taylor said.
Taylor also said that the amount of traffic directed at the Microsoft site could take down small local networks. But a similar prediction a few years ago fell flat.
In 2001, after Code Red infected some 350,000 computers, it aimed a similar DoS attack at whitehouse.gov. The network administrators were able to move the site from the targeted Internet address and sidestep the attack. Moreover, despite hundreds of thousands of PCs flooding the Internet with data, local network outages didn't happen.
Marc Maiffret, chief hacking officer for security software maker eEye Digital Security, said the amount of data sent from each infected computer would be small and that it would be unlikely to overwhelm any networks. Each compromised computer should send 50 packets of data every second--about 16kbps. That's quite low for such attacks.
"I doubt Windows Update will go down," Maiffret said. "They have a big network, and it's very distributed."
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Microsoft maakt zich op voor Blastervirus
De helpdesk van softwarebedrijf Microsoft wordt sinds donderdag overspoeld met telefoontjes van verontruste computergebruikers. Aanleiding is het Blastervirus, ook wel MSBlaster of LoveSan genoemd.
Het virus had op 11 augustus de aanval geopend op een lek in het Windows-besturingssysteem van Microsoft. Volgens general manager M. van der Bel zijn wereldwijd inmiddels honderdduizenden computers besmet met het Blastervirus. Microsoft Nederland heeft extra telefoonlijnen beschikbaar gesteld voor bellers en de helpdesk blijft 's avonds langer open. Ook de grote internetproviders, zoals Zonnet, Planet Internet en XS4ALL, krijgen beduidend meer hulpverzoeken dan normaal. Zij proberen hun klanten via hun website zo goed mogelijk te informeren.
De worm, gecreëerd door hackers, verspreidt zich niet via e-mail. Het zoekt naar onvoldoende beveiligde computers en probeert dan via een lek in Windows binnen te komen. De computer sluit af en blijft daarna steeds herstarten.
Volgens Microsoft is het virus uiterst hinderlijk, maar niet schadelijk voor de pc. Het lek was op 16 juli al bekend bij Microsoft en er is ook al enige tijd een zogenoemde patch (reparatiesoftware) voor beschikbaar. ,,Maar niet iedereen houdt blijkbaar zijn software up-to-date'', aldus Van der Bel.
Gebruikers van firewall-software hebben geen last van de Blaster. Is de worm eenmaal binnen dan kan een verwijderprogramma van internetbeveiligingsbedrijf Symantec uitkomst bieden.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
UBBFriend: Email deze pagina naar iemand!
Printer-versie van dit onderwerp
![[Razz]](tongue.gif)
