Dit is onderwerp New Virus: W32.Blaster.worm in forum Veiligheid bij Goedzo?! NiMS Forum.


Om dit onderwerp te bezoeken gebruik deze URL:
http://forum.goedzo.com/cgi-bin/ubb/ultimatebb.cgi/ubb/get_topic/f/32/t/000062.html

Gereageerd door NiMS op :
 
SEVERITY: CRITICAL
DATE: August 11, 2003
PRODUCTS AFFECTED: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition

WHAT IS IT?
The Microsoft Product Support Services Security Team is issuing this alert to inform customers about a new worm named W32.Blaster.Worm which is spreading in the wild. This virus is also known as: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Best practices, such as applying security patch MS03-026 should prevent infection from this worm.

Customers that have previously applied the security patch MS03-026 before today are protected and no further action is required.

IMPACT OF ATTACK: Spread through open RPC ports. Customer's machine gets re-booted or has mblast.exe exists on customer's system.

TECHNICAL DETAILS: This worm scans a random IP range to look for vulnerable systems on TCP port 135. The worm attempts to exploit the DCOM RPC vulnerability patched by MS03-026.

Once the Exploit code is sent to a system, it downloads and executes the file MSBLAST.EXE from a remote system via TFTP. Once run, the worm creates the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Symptoms of the virus: Some customer may not notice any symptoms at all. A typical symptom is the system is rebooting every few minutes without user input. Customers may also see:
- Presence of unusual TFTP* files
- Presence of the file msblast.exe in the WINDOWS SYSTEM32 directory

To detect this virus, search for msblast.exe in the WINDOWS SYSTEM32 directory or download the latest anti-virus software signature from your anti-virus vendor and scan your machine.

For additional details on this worm from anti-virus software vendors participating in the Microsoft Virus Information Alliance (VIA) please visit the following links:

Network Associates: http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547

Trend Micro: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSB
LAST.A

Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm
.html

Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36265

For more information on Microsoft's Virus Information Alliance please visit this link: http://www.microsoft.com/technet/security/virus/via.asp


Please contact your Antivirus Vendor for additional details on this virus.

PREVENTION: Turn on Internet Connection Firewall (Windows XP or Windows Server 2003) or use a third party firewall to block TCP ports 135, 139, 445 and 593; TCP ports 135, 139, 445 and 593; also UDP 69 (TFTP) for zombie bits download and TCP 4444 for remote command shell. To enable the Internet Connection Firewall in Windows: http://support.microsoft.com/?id=283673

1. In Control Panel, double-click Networking and Internet Connections, and then click Network Connections.
2. Right-click the connection on which you would like to enable ICF, and then click Properties.
3. On the Advanced tab, click the box to select the option to Protect my computer or network.

This worm utilizes a previously-announced vulnerability as part of its infection method. Because of this, customers must ensure that their computers are patched for the vulnerability that is identified in Microsoft Security Bulletin MS03-026. http://www.microsoft.com/technet/security/bulletin/MS03-026.asp. Install the patch MS03-026 from Windows Update http://windowsupdate.microsoft.com

As always, please make sure to use the latest Anti-Virus detection from your Anti-Virus vendor to detect new viruses and their variants.

RECOVERY: Security best practices suggest that previously compromised machine be wiped and rebuilt to eliminate any undiscovered exploits that can lead to a future compromise. See Cert Advisory:
Steps for Recovering from a UNIX or NT System Compromise. http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

For additional information on recovering from this attack please contact your preferred anti-virus vendor.

RELATED MICROSOFT SECURITY BULLETINS: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

RELATED KB ARTICLES: http://support.microsoft.com/?kbid=826955
This article will be available within 24 hours.

RELATED LINKS: http://www.microsoft.com/security/incident/blast.asp
As always please make sure to use the latest Anti-Virus detection from your Anti-Virus vendor to detect new viruses and their variants.

If you have any questions regarding this alert please contact your Technical Account Manager or Application Development Consultant.

PSS Security Response Team
 
Gereageerd door NiMS op :
 
Het zal misschien een enkele keer voorgekomen zijn dat de afgelopen dagen een Windows NT-machine opeens een een reboot nodig had vanwege een gestopte Remote Procedure Call-service, maar vandaag is het geweld echt losgebarsten. Systemen waarop sinds 16 juli geen update meer is uitgevoerd, kunnen aangevallen worden door de worm W32.Blaster. Deze komt via TCP-poort 135, 139 of 445 binnen en gebruikt een backdoor shell command waardoor de RPC-service afgesloten wordt en de machine automatisch een shutdown krijgt. Daarnaast zullen geïnfecteerde pc's vanaf 16 augustus DDoS-aanvallen uitvoeren gericht op de Windows Update-site. Computers uitgerust met Windows NT 4.0 of hoger kunnen kwetsbaar zijn. Het gebruik van een firewall kan misbruik van de exploit nog wel enigszins beperken, maar het wordt toch aangeraden de patch te installeren. Microsoft heeft op deze TechNet-pagina alle benodigde informatie bij elkaar gezet:

Remote Procedure Call (RPC) is a protocol used by the Windows operating system. RPC provides an inter-process communication mechanism that allows a program running on one computer to seamlessly execute code on a remote system. The protocol itself is derived from the Open Software Foundation (OSF) RPC protocol, but with the addition of some Microsoft specific extensions.
 
Gereageerd door NiMS op :
 
http://forum.myoms.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=32;t=000055

Dit had ik al bijna een maand geleden aangegeven.
 
Gereageerd door NiMS op :
 
a word of warning: the hotfix from MS that fixes it is the one that causes max file corruption ...there is a patch for that patch as well...but you need to phone MS to get it and the list time i tried their phones were overloaded
 
Gereageerd door LilWiz op :
 
Leuk virusje...net eentje verwijderd bij de buurman...wil ik vaker doen [Razz]
 
Gereageerd door NiMS op :
 
Heb je wel de security patch gedraaid? Anders is ie zo weer terug.
 
Gereageerd door LilWiz op :
 
quote:
Origineel van NiMS:
Heb je wel de security patch gedraaid? Anders is ie zo weer terug.

ja alles

en als kado kreeg ik geld voor deze kleine ingreep
 
Gereageerd door NiMS op :
 
This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.

Increase in port 135 activity: http://isc.sans.org/images/port135percent.png

**********
NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup.
**********

Executive Summary:

A worm has started spreading early afternoon EDT (evening UTC Time) and is expected to continue spreading rapidly. This worms exploits the Microsoft Windows DCOM RPC Vulnerability announced July 16, 2003. The SANS Institute, and Incidents.org recommends the following Action Items:

* Close port 135/tcp (and if possible 135-139, 445 and 593)
* Monitor TCP Port 4444 and UDP Port 69 (tftp) which are used by the worm for activity related to this worm.
* Ensure that all available patches have been applied, especially the patches reported in Microsoft Security Bulletin MS03-026.
* This bulletin is available at http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
* Infected machines are recommended to be pulled from the network pending a complete rebuild of the system.

Technical Details:

Names and Aliases:W32.Blaster.Worm (symantec),W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trend Micro),Win32.Posa.Worm (CA),Lovsan (F-secure), MSBLASTER,Win32.Poza.
The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

Infection sequence:
1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET
2. this causes a remote shell on port 4444 at the TARGET
3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444,
4. the target will now connect to the tftp server at the SOURCE.

So far we have found the following properties:

- Scans sequentially for machines with open port 135, starting at a presumably random IP address
- uses multiple TFTP servers to pull the binary
- adds a registry key to start itself after reboot
- infected machines will start a DDOS attack (port 80 synflood) against windowsupdate.com on August 16th.

Name of registry key:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'

Strings of interest:

msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run


The worm may launch a syn flood against windowsupdate.com on the 16th. It has the ability to infect Windows 2000, XP and potentially 2003.

The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.

Detection: Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c


Removal and Eradication:

Once you are infected, we highly recommend a complete rebuild of the site. As there have been a number of irc bots using the exploit for a few weeks now, it is possible that your system was already infected with one of the prior exploits. Do not connect an unpatched machine to a network.
If you can not do this and/or the computer resides on a protected or non-Internet connected network, then several Anti-Virus Venders have supplied tools to assist in removing the worm. However, these tools can not clean-up damage from other RPC DCOM malware such as the recent sdbot irc bots. This method of cleaning your system is _not_ recommended, but the URLs are presented below for completeness.
 
Gereageerd door NiMS op :
 
Een nieuw computervirus voert op dit moment een aanval uit op het internet en computers met Windows software. Het virus verspreidt zich razendsnel waardoor geïnfecteerde computers vastlopen.

Bovendien vertraagt het virus het internet omdat de verbindingcomputers van het wereldwijde netwerk dienst weigeren. Dat hebben deskundigen dinsdag gezegd.

Het computervirus is van het type 'worm' omdat het zichzelf over computers verspreidt via het internet. Het virus maakt gebruik van een zwakke plek in Windows, de meest gebruikte besturingssoftware van computers. De worm is onder verschillende namen bekend, onder andere MSBlaster, Blaster and LoveSan.

Symantec, een Amerikaanse producent van beveiligingssoftware, heeft het virus al op bijna 60.000 computers aangetroffen.

De worm doet ook pogingen om zijn eigen leven te rekken. Volgens de website van de BBC zullen geïnfecteerde computers op 16 augustus namelijk de website van Microsoft aanvallen waar internetgebruikers het gat in de Windows software kunnen dichten.

Volgens experts zullen thuisgebruikers waarschijnlijk het meeste last van het virus krijgen. Verschillende makers van beveiligingssoftware zeggen echter dat de worm niet zo gevaarlijk is als de Slammer worm, die onlangs huishield onder computers. Toch zouden er wereldwijd ongeveer 200.000 computers geïnfecteerd kunnen raken.
 
Gereageerd door LilWiz op :
 
Providers nemen maatregelen tegen Blaster

Blaster (ook bekend onder de namen DCOM Worm of Lovsan) dook maandag laat voor het eerst op internet op. Hierna ging de verspreiding hard. Dinsdag waren er al 30.000 machines wereldwijd besmet, meer dan de recente Slammer-worm, maar minder dan Code Red en Nimda.

Deze cijfers komen van het SANS Internet Storm Center, dat alle mogelijke gevaren voor de internetinfrastructuur in de gaten houdt. Volgens Johannes Ullrich van dit instituut hebben bijna alle providers inmiddels de nodige maatregelen genomen, waardoor de verspreiding van Blaster tot stilstand lijkt te komen.

Wereldwijd hebben isp's poort 135 geblokkeerd. De worm gebruikte deze poort om zich te vermenigvuldigen. Dit in tegenstelling tot de succesvolle wormen tot nu toe, die zich via mailprogramma's verspreidden. Ook hebben veel systeembeheerders ook poort 4444 geblokkeerd, waarop een 'achterdeurtje' werd gecreëerd door Blaster.
Aanval

Alhoewel Microsoft al enige tijd een patch tegen het bekende lek beschikbaar heeft voor de kwetsbare systemen (Windows XP, NT en 2000) blijkt lang niet iedereen maatregelen te hebben genomen. Volgens de Finse beveiliger F-Secure was slechts de helft van de potentieel kwetsbare systemen voorzien van de patch.

Sinds dinsdag zijn gebruikers vervolgens massaal toegesneld naar de updatesite van Microsoft, die dinsdagavond voor sommigen onbereikbaar was. Hiermee zijn de problemen voor Microsoft nog niet voorbij.

Het aanstaande weekend (16 augustus) wordt Blaster namelijk geactiveerd. Alle getroffen systemen zullen op die datum een gecoördineerde aanval uitvoeren op de Windows Update-site. Vanaf vrijdag kan het volgens kenners al heel moeilijk zijn deze site te bereiken.
 
Gereageerd door NiMS op :
 
LoveSan-virus slaat toe

Het LoveSan-virus, waarvoor deze week werd gewaarschuwd, is wereldwijd al op honderdduizenden computers aangetroffen. LoveSan, ook wel MSBlaster en Blaster genoemd, slaat toe op pc's die het besturingsprogramma Windows gebruiken.

Honderdduizenden computers in Noord-Amerika, Azië en Europa zijn gecrasht, en dat aantal neemt snel toe omdat het virus zich via internet verspreidt. Experts verwachten het hoogtepunt op zaterdag. Dan zou de website van Microsoft, waarop reparatiesoftware voor het virus te downloaden is, worden aangevallen.

Een van de grote slachtoffers van LoveSan is de Amerikaanse US Federal Reserve Bank in Atlanta, dat het systeem moest afsluiten nadat het door het virus was aangetast. In China zijn tienduizenden computers geïnfecteerd, voornamelijk van particulieren en kleine bedrijven.

Het virus dringt ongemerkt computers binnen, in tegenstelling tot de meeste andere wormen die zich via e-mail verspreiden. Het virusscript bevat een boodschap aan Microsoft-oprichter Bill Gates: "Billy Gates waarom maak je dit mogelijk? Stop met geld verdienen en beveilig je software!"

Volgens Microsoft kan met speciale software worden voorkomen dat het virus toeslaat. De reparatiesoftware is op de website van Microsoft (www.microsoft.nl) te downloaden. Vooral mensen met nieuwere versies van Windows zoals XP wordt aangeraden het programma te installeren.
 
Gereageerd door LilWiz op :
 
2 soorten nog wel:

W32.Blaster.B.Worm
Ook bekend als: W32/Lovsan.C.worm Type: Internet Worm Systeem: Microsoft Windows Risico: Laag, Risicoschaal: LASTIG
- 13 augustus 2003 | bron: (c) 2003, VirusAlert



W32.Blaster.Worm
Ook bekend als: W32/Lovsan.worm Win32.Poza WORM_MSBLAST.A Win32.Poza Type: Internet Worm Systeem: Microsoft Windows Risico: Middel, Risicoschaal: LASTIG
- 11 augustus 2003 | bron: (c) 2003, VirusAlert

 
Gereageerd door LilWiz op :
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
New version of Blaster worm on the loose

KASPERSKY LABS claimed this afternoon that there's already a new version of the Blaster/Lovesan worm on the loose.

And it says that's likely to mean a repeat of the outbreak we've seen during this week. The new variety of Lovesan/Blaster exploits the same vulnerability.

Kaspersky says that the number of infected systems is around the 300,000 mark, and the new variety may double this number.

"In the worst case, the world community can face a global Internet slow down and regional disruption... to the World Wide Web," said Eugene Kaspersky, head of the labs.

The new variety uses the name TEEKIDS.EXE instead of MSBLAST.EXE, different code compression, and different signatures in the body of the worm

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[ 14.08.2003, 13:28: Bericht ge-edit door: LilWiz ]
 
Gereageerd door LilWiz op :
 
Microsoft prepares to be Blasted

Microsoft hopes to be ready when hundreds of thousands of computers infected with the MSBlast worm start pelting its Windows Update service with data requests on midnight Friday.

The company has taken steps to try to dodge the denial-of-service attack, but it's also begun educating Windows users about other ways to get updates and patches in the event that the update service is made unavailable.

"We are preparing," said Stephen Toulouse, security program manager for Microsoft's security research center. "We are working diligently to make sure that our customers can get the patch."

The primary payload of the MSBlast worm, which began infecting systems Monday, is a DoS attack against the service from which most Windows users get their updates. If successful, the maneuver would frustrate efforts to patch the Windows vulnerability the worm exploits. The strategy is also a way of simply harassing the Redmond, Wash.-based software giant; the worm's code contains a message for the company's founder: "billy gates why do you make this possible? Stop making money and fix your software!!"

Named after the msblast.exe file that contains the program, MSBlast continued to spread across the Net on Wednesday, infecting nearly 228,000 computers by midmorning, according to data gathered by security company Symantec.

Computers infected with the worm will start sending connection requests to the Windows Update service at midnight Friday, according to the clock on a given user's computer.

Although Toulouse was mum on the specific steps the software giant is taking to prepare for the attack, Microsoft is advertising alternative ways to get downloads and information from its site. The company has put more than 10 links on its main Web site to send people to more information and alternative channels for downloading updates.

Toulouse also stressed that consumers can and should get the latest patches from the company's Download Center.

Lloyd Taylor, the vice president of technology and operations Keynote Systems, which evaluates network performance, said that Microsoft's service will likely fall victim to the attack.

"I don't think any network in the world would be accessible with the amount of traffic that is going to be thrown at it," Taylor said.

Taylor also said that the amount of traffic directed at the Microsoft site could take down small local networks. But a similar prediction a few years ago fell flat.

In 2001, after Code Red infected some 350,000 computers, it aimed a similar DoS attack at whitehouse.gov. The network administrators were able to move the site from the targeted Internet address and sidestep the attack. Moreover, despite hundreds of thousands of PCs flooding the Internet with data, local network outages didn't happen.

Marc Maiffret, chief hacking officer for security software maker eEye Digital Security, said the amount of data sent from each infected computer would be small and that it would be unlikely to overwhelm any networks. Each compromised computer should send 50 packets of data every second--about 16kbps. That's quite low for such attacks.

"I doubt Windows Update will go down," Maiffret said. "They have a big network, and it's very distributed."
 
Gereageerd door NiMS op :
 
Microsoft maakt zich op voor Blastervirus

De helpdesk van softwarebedrijf Microsoft wordt sinds donderdag overspoeld met telefoontjes van verontruste computergebruikers. Aanleiding is het Blastervirus, ook wel MSBlaster of LoveSan genoemd.

Het virus had op 11 augustus de aanval geopend op een lek in het Windows-besturingssysteem van Microsoft. Volgens general manager M. van der Bel zijn wereldwijd inmiddels honderdduizenden computers besmet met het Blastervirus. Microsoft Nederland heeft extra telefoonlijnen beschikbaar gesteld voor bellers en de helpdesk blijft 's avonds langer open. Ook de grote internetproviders, zoals Zonnet, Planet Internet en XS4ALL, krijgen beduidend meer hulpverzoeken dan normaal. Zij proberen hun klanten via hun website zo goed mogelijk te informeren.

De worm, gecreëerd door hackers, verspreidt zich niet via e-mail. Het zoekt naar onvoldoende beveiligde computers en probeert dan via een lek in Windows binnen te komen. De computer sluit af en blijft daarna steeds herstarten.

Volgens Microsoft is het virus uiterst hinderlijk, maar niet schadelijk voor de pc. Het lek was op 16 juli al bekend bij Microsoft en er is ook al enige tijd een zogenoemde patch (reparatiesoftware) voor beschikbaar. ,,Maar niet iedereen houdt blijkbaar zijn software up-to-date'', aldus Van der Bel.

Gebruikers van firewall-software hebben geen last van de Blaster. Is de worm eenmaal binnen dan kan een verwijderprogramma van internetbeveiligingsbedrijf Symantec uitkomst bieden.
 
Gereageerd door LilWiz op :
 
quote:
Volgens Microsoft is het virus uiterst hinderlijk, maar niet schadelijk voor de pc. Het lek was op 16 juli al bekend bij Microsoft en er is ook al enige tijd een zogenoemde patch (reparatiesoftware) voor beschikbaar. ,,Maar niet iedereen houdt blijkbaar zijn software up-to-date'', aldus Van der Bel.

Dit heeft zijn redenen waarom niemand up2date is....er was ook een tijd dat die patches dit M$ uitbracht niet goed waren en virusse bevatte toen...denk daardoor dat mense maar voorzichtig zijn met updaten van Windows (denk ik dan he)
 
Gereageerd door NiMS op :
 
Heeft ms patches met virussen erin uitgebracht?
 
Gereageerd door LilWiz op :
 
quote:
Origineel van NiMS:
Heeft ms patches met virussen erin uitgebracht?

Er was volgens mij wel es zoiets gebeurd dat ik had gelezen
 
Gereageerd door LilWiz op :
 
Microsoft website suffers DoS attack

Users unable to access patches and updates the day before second Blaster attack is due
Friday, 15 August 2003

Microsoft's WindowsUpdate.com website was inaccessible early Friday, one day before a new variant of the W32.Blaster worm was set to spawn a massive denial of service (DoS) attack on the site.

A Microsoft spokeswoman said the "Microsoft.com site experienced a DoS attack at 8:45pm PDT on Thursday [4:45am Friday UK time], but that it was not due to the Blaster worm, nor caused by the major power outages that have affected the US east coast."

"We are currently investigating the cause of the attack but it was not Blaster," the spokeswoman said.

This contradicts rumours that have been rife in the antivirus community. A press release from anti virus specialist, BitDefender, yesterday warned that Microsoft's Windows Update site could come under attack from a DoS instigated by the bug MSblast. BitDefender said "[MSblast's] three versions enclose instructions to launch a DoS attack against WindowsUpdate.com, beginning from tomorrow [Thursday]."

BitDefender's Bogdan Irina, suggests this could be the first salvo in virus writers' war against Microsoft: "This could be the beginning of a campaign initiated by virus writers groups." Mihai Radu, BitDefender communication manager, agrees, saying that he thinks the attack is a response to Microsoft's recent attempts to improve the security of its products, including its purchase of RAV Antivirus.

Radu also believes that the WindowsUpdate.com site could come under more attacks from the Blaster worm, as any of the many PCs infected by this bug could launch a future attack. He says he doesn't understand why Microsoft is denying the DoS attack is anything to do with the Blaster worm, saying that his company had even received a warning about potential DoS attacks caused by the virus from Microsoft.

Microsoft says that both the WindowsUpdate.com and Microsoft download centre sites remained available to customers during the attack and PC Advisor was able to access them both this morning. Although she could not confirm that the entire Microsoft.com site was up and running again and to access the update site it is best to go via Microsoft.com or to search for it using Google, as we were unable to get to the site using the WindowsUpdate.com URL.

The new version of Blaster, which has spread quickly this week, infecting up to one million computers according to some estimates, is expected to spawn a DOS attack on the WindowsUpdate.com site on Saturday.

Users of the Windows 2000, Windows XP, Windows NT and Windows Server 2000 software were advised by Microsoft to take security precautions such as downloading the latest patches, using a firewall and installing antivirus software. A disruption of the Microsoft site could affect users' ability to download needed patches, however.

But the software maker said today that it is taking aggressive steps to keep the site up, but if it becomes inaccessible users will be able to access and download the Blaster patches here. More detailed instructions on how to take the preventative measures are also detailed at that address.
 
Gereageerd door NiMS op :
 
http://www.windowsupdate.com en deze doet het nu dus niet. Wat zou er gebeurd zijn?
 
Gereageerd door LilWiz op :
 
quote:
Origineel van NiMS:
http://www.windowsupdate.com en deze doet het nu dus niet. Wat zou er gebeurd zijn?

Denk DoS attack op die site (niet die blaster.exe virus)...lees artikel hierboven.
Of M$ heeft de site eruitgelegd

Antwoord:

Microsoft kills Net address to foil worm

As part of its effort to stop the progress of the MSBlast worm, Microsoft is killing off the Windowsupdate.com address that the self-propagating program was set to attack.

Because the worm is programmed to attack only that address and not the site that it redirects to, the software giant has decided to eliminate the Windowsupdate.com address. The move is one of a series of efforts that Microsoft has undertaken to try to thwart an attack on its servers that was expected to be launched by infected computers starting Friday. "One strategy for cushioning the blow was to extinguish the Windowsupdate.com" site, said Microsoft spokesman Sean Sundwall. "We have no plans to ever restore that to be an active site."

On Thursday, Microsoft changed the Internet addresses that correspond to the Windowsupdate.com entry in the domain name service servers that act as the Internet's address book. One source familiar with the change said that the new addresses are no longer on the same network as Microsoft's other servers, thereby insulating the company's servers from any attack aimed at Windowsupdate.com. Sundwall stressed that the Windows Update service remains up and running, noting that the service never connected to Windowsupdate.com. Access to Windows Update is built into the latest versions of Microsoft's Windows client and server operating systems.

To get the latest patches, consumers can type in windowsupdate.microsoft.com or, as Microsoft would prefer, go to the main Microsoft.com page, where they can find information on downloading patches as well as on setting up a firewall and installing antivirus software. The worm is programmed to start attacking Windowsupdate.com at 12 a.m. Saturday. As a result, Australia was among the first countries to be affected, with midnight hitting at 7 a.m. PDT.

[ 15.08.2003, 20:30: Bericht ge-edit door: LilWiz ]
 
Gereageerd door NiMS op :
 
Nu Microsoft zelf het doelwit is van een Ddos-aanval vanuit een virus morgen, komt het bedrijf in actie om haar klanten goed voor te lichten.

Behoorlijk aan de late kant e-mailt Microsoft Nederlandse Windows-gebruikers persoonlijk een viruswaarschuwing. Met nog 48 uur op de klok vroeg Microsoft-directeur Van der Bel of Windows-gebruikers hun pc willen repareren om een
aanval op Microsoft.com te voorkomen.

Meer dan ooit eerder heeft Microsoft zich nu sterk gemaakt voor voorlichting, en heeft overleg met providers om poorten dicht te zetten om de Ddos aanval te voorkomen. providers nemen ook zelf maatregelen. Onder meer X4all en Planet Internet maakten eigen maatregelen bekend.

Microsoft Nederland heeft een onbekend aantal van zijn zakelijke en particuliere klanten in Nederland 'persoonlijk' geinformeerd over de dreiging van het Blaster-virus. ZDNet citeert
Microsoft-directeur Michel van der Bel, die de e-mail ondertekende: "Wij willen u via dit bericht informeren over het virus, hoe u kunt voorkomen dat uw computer wordt getroffen en hoe u het virus onschadelijk kunt maken indien het uw systemen heeft besmet. (...)". De elektronische boodschap werd op 14 augustus verstuurd, 3 dagen nadat het virus bekend werd.

Op zaterdag 16 augustus 2003, morgen, activeert het zich snel verspreidende virus zich. Zoals de naam doet vermoeden, tracht het bestand Microsoft.com 'te blasten', te vernietigen. Alle geinfecteerde computers met een internetaansluiting zullen vanaf een gezet tijdstip op virtuele wijze zo vaak en hard aan de deur van Microsofts Windowsupdate rammelen, dat deze webserver het begeeft.

Virusalert.nl verschaft heldere detectie- en verwijderingsinstructies. Uit een rapportage op de virussite blijkt dat het virus niet erg schadelijk voor de thuisgebruiker is. Op een schaal van 0 tot 10 krijgt het voor gebruikers een 2,1 met de kwalificatie 'lastig'.
 
Gereageerd door Maria op :
 
Veel overlast door pc-virus

De helpdesk van softwarebedrijf Microsoft wordt overspoeld met telefoontjes. Aanleiding is het Blastervirus, ook wel MSBlaster of LoveSan genoemd, dat de aanval heeft geopend op een lek in het Windows-besturingssysteem.

Volgens Microsoft zijn wereldwijd honderdduizenden computers besmet.
De worm, gecreëerd door hackers, verspreidt zich niet via e-mail. Het probeert via een lek in Windows binnen te komen. De computer sluit af en blijft daarna steeds herstarten. Volgens Microsoft is het virus uiterst hinderlijk, maar niet schadelijk voor de pc. Gebruikers van een firewall hebben geen last.
 
Gereageerd door NiMS op :
 
Microsoft slaat aanval van Blaster-virus af

Het Blaster-virus heeft getracht een aanval uit te voeren op Microsoft, maar door goede voorzorgsmaatregelen te nemen heeft de software-gigant grote schade weten te voorkomen. Blaster verspreidde zich razendsnel over ruim 350.000 computers in Amerika en deze zouden gezamenlijk de aanval openen op de website van Microsoft. De software-reus liet zich echter niet meteen uit het veld slaan en nam direct maatregelen. Zo werd de update-site van het bedrijf bijvoorbeeld verhuisd naar een cluster van Linux-servers. Dit om te voorkomen dat Blaster gebruik zou maken van een lek in Windows Server 2003 waar de website eerder op geserveerd werd. Overigens is er nog een andere reden die ervoor zorgde dat de Blaster-aanval mislukte. Het virus richtte de aanval op het compleet verkeerde adres.

---
Microsoft update werd verhuisd naar Akamai Technologies Inc, die inderdaad een cluster van Linux servers er tegenaan gooide. Maar wat misschien wel leuk is om te weten is dat Apple een substantieel aandeel heeft in Akamai.
microsoft had dus elke concurent nodig om de update site overeind te houden.
 
Gereageerd door NiMS op :
 
Blaster treft Belgisch ministerie

Het Belgische federale ministerie van Financiën in Brussel is getroffen door het Blaster-virus.

Dit bericht De Standaard op grond van een nieuwsuitzending van de VRT. Op de nieuwssite van de omroep staat er niets over.

Het gaat om het LoveSan-virus of MSblast of Blaster dat een flink deel van de 20.000 pc's van het departement van Belgische geldzaken wist te infecteren. Het exacte aantal is niet bekend, het systeembeheer telde circa 10 procent besmette computers.

Het virus zou binnengebracht zijn via een laptop van een medewerker, en niet de firewall van het bedrijf zijn gepasseerd.

De diensten van de site van het ministerie werken nog naar behoren. Die zijn niet getroffen.
 


Copyright 2004 Ni-Frith Media Systems

Powered by Infopop Corporation
UBB.classic™ 6.7.0
Vertaald door NiMS