Internetā plosās RPC tārpi – Lovsan un Blaster

Un atkal šī Windows DCOM RPC ievainojamība. Pēc nedēļas jau parādījās automatizētie uzbrukumi Windows sistēmām. Esam arī nodzīvojuši līdz interneta tārpiem, kas izplatās pateicoties šai ievainojamībai. Te var redzēt Agnitum Outpost ugunsmūra log failu par pāris minūtēm. Nospiežot pogu “Refresh” parādīsies jaunas IP adreses, bet ar tiem pašiem pieprasījumiem.

Agnitum Outpost Log window - RPC Worm

Pie vainas ir visi jaunie hakeri-iesācēji ar saviem skaneriem un daži nerātneļi Worm/Lovsan.A un I-Worm.Win32.Blaster.6176 kā arī Worm.Win32.Autorooter. Lai gan domāju, ka tuvākajā laikā uzradīsies vēl kāds tārpiņš.

Redzēs ar ko viss tas galu galā beigsies.

69 thoughts on “Internetā plosās RPC tārpi – Lovsan un Blaster

  1. Gints

    ha ha, es jau vienaa lapaa redzeeju ka raksta kas notiek ar manu kompi, un bija shitais viirus, ja nemaldos lapas adrese bija chepa.no.lv.

    Atbildēt
  2. JCD

    hahaha. vajadzēja patch pirms kādām jau 3 nedēļām uzlikt, un viss būtu kedā. ja esi ignorants, un par savu os neinteresējies, ko tad var gribēt…

    Atbildēt
  3. Pecis

    Efekti ja godiigi uz dazhaadaam OS ir dazhaadi, bet baigi jautrie – piemeeram Win2k tas izraisa to, ka nedarbojas drag’n’drop, office neiet, vai gandriiz neiet, inets dazhreiz tiek atkauts. vobshem piiiiilna zorte… 😉
    Pecis.

    Atbildēt
  4. rumpelshtincer

    Tā kā es pats ugunsmūri neizmantoju un man ir W2000 tad ielogojoties uzrādījās jau otro dienu ka nevar atrast SVCHOST.EXE failu vai kādu no tās komponentēm. Izrādas šis vīruss diezgan nejauks, jo sākās ka dažas programmas nestrādāja un piedevam arī sistēmas folderus nevēra vaļā kā piemēram C:WINNT un program files kur vispirms jānospiež show files, visamizantāk parādījās add/remove programms ieksh control panel kur nevarēja neko atinstalēt. Tāpat antivirusu nevarēja palaist uz mode scan, neatrod cietni un tā komponentes. praktiski pēdējās ziņas man sēžot darbā par manu kompi ir ienākušas ka Norton AntiViruss 2003 pro atteicies strādāt un vēlas lai to pārinstalē. Laikam sagaidāms ka nāksies instalēt no jauna OS un ņemt nost DCOM, bet vai piemēram būs viss okey pēc tā atvienošanas?! Vai strādās Nero, kurš nupat pateica ka +COM serviss ir nepieejams un nevar palaist progu?! Vai AntiViruss arī darbosies?!

    Atbildēt
  5. andza

    Baigaa bauda ieejot kaadaa DC HUBaa lasiit kaa visiem viss karas. :)) Un nopiriecaaties, ka uz Linux taada explota pagaidaam nav.

    Atbildēt
  6. MaxDam

    Vakar atnaaku darba un skatos ka kompis ne no shaa ne no taa paarstarteejies. Eju dushaa, dzirdu shis kautko istabaa starteejas un shutdownojas.
    No saakuma nepierubiiju kas notiek. Par laimi paspeeju fiksi ieskriet paguugleeties un atrast risinaajumu. Iedarbinaaju defaulto XP ugunsmuuri un viss kachaaja.
    P.S. Vakar nebiju vieniigais no HDSL lietotaajiem kas cieta no uzbrukumiem

    Atbildēt
  7. Kuuminsh

    cien. rumpelshtincer. Jums buus ne tikai vien Blaasters.. Jums bus vesala viirusu ferma :O)) Blasters remuvojas apsoluut izy. izdzeesham msblast.exe un uzliekam M$ pachu. Bez pacha kaste var restarteeties ik pa laikam (apm 2-5min) :))
    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

    Atbildēt
  8. rumpelshtincer

    cien. Kuuminsh paldies jau pirmam kartam un otram kartam vismaz pagaidam man 2000 vel nerestartejas, bet domajams pagaidam..megjinashu ielikt MSpatchu msblast.exe vieta !!! Vai varetu lidzet ta shtele un vairs nekas nebruktu?!

    Atbildēt
  9. K|NG

    Nu man tai Agnitum ugumsienai ir līdzīga aina vakar bij kaadi 400 pieprasijumi 🙁 Uzliku lai blokjee pēc tam arī uz laiku to IP, bet kamer oi… DCOM ir atlēgts, bet ļaunie tapat visu laiku skanē skanē skanē. ZB

    Atbildēt
  10. daysleeper

    shkiet ir taa – uzliec antivirusu un firewall un dziivo domaas par gaisho nakotni un internetu – labaak nemaz nezinat un nedalit labie ljaunie 🙂 savadak pavisam bailigi paliek. nekas – tapec jau mes esam lai turetos preti. Bet cik lieli ir tie apjomi, kurus viruss ir paspeejis sakjert? Pasaules meerogos? kas lidzigs cih vai i love ya ?? 🙂

    Atbildēt
  11. INFO

    http://neowin.net/comments.php?id=13315&category=main
    1.Patch Your System with the appropriate MS03-026 Patch
    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
    XP

    http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee- b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
    2000
    http://download.mic rosoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows 2000-KB823980-x86-ENU.exe
    2.After Installation of the Patch, Reboot your system.
    3.Download and run “FIXBLAST”.exe to remove the MSBLAST.exe file, terminate the process and remove added registry keys by the worm.
    http://securityresponse.symantec.com/avcenter/FixBlast.exe
    4.Reboot your pc one last time.
    5.Visit WindowsUpdate.com more often and take note of our repeated warnings to keep your system updated.
    P.S.From Symantec:
    The worm also attempts to perform a Denial of Service (DoS) on windowsupdate.com. This is an attempt to prevent you from applying a patch on your computer against the DCOM RPC vulnerability.

    Atbildēt
  12. grr

    liekam back win98/95 ;] a patiesibaa pisaks tam kursah palaida shito wormu, tagad visi pathcos savas kastes un vais normaali NEKUR nevares valkaties…

    Atbildēt
  13. palags

    A mans seezh savaa win98 un priecaajas, cik dziive skaista aiz ZoneAlarm firewall. :)) 2 gadu laikaa drWeb ir nokjeeris 2 viirusus un tie pashi kaut kaadi nekaadi, bez speciaalas palaishanas nekas nebuutu noticis.

    Atbildēt
  14. dadzis

    es arii peishkjiilu wxp firewallu kas defaultaa ir wxp un restarteeshanaas beidzaas. shis firewal ir pavisam vienkaarshi konfigureejams un tu to nemaz nemani.
    cerams ka tie sukuchi nebuus manaa kompii kaut ko atstaajushi iekshaa

    Atbildēt
  15. ui

    2coolynx:
    > cilveeks miiljais, rakstaa pirmais links. vai tieshaam tik gruuti pamaniit?
    pamanit nav gruti, tachu ta ka bija aprakstits, man (winXP) nedarbojas:
    Start -> Run, ierakstam dcomcnfg Enter
    jaunatvērtajā logā izvēlamies Default properties
    un noņemam ķeksīti no Enable Distributed COM…
    nav tur tada “Default properties”, ko iesaki?

    Atbildēt
  16. es

    Palags aizej ka uz http://www.antivirus.lv/news.asp?l=lv&d=6.08.2003&n=1&w=1 (bish zemaak pa to i infa) un saac satrauktu seju raadiit :)))
    U vispaapaa tas te http://www.antivirus.lv/news.asp?l=lv&d=12.08.2003&n=1&w=1 tas jau tika vakar dabuuc(11.08): 1-s kantooris win2000 dialUpiski iegaaja k.kaadaa tur muitas dekleraacijas serverii lai iekopeetu datus = gaida manu helpu….. A bet tieshaam ir daudz cilveeku kuriem ir apstaastic kas buus ja kompism nebuus pa4i salikti un ruuters ok uzmesc….. un tik un taa pofig… /me ies alu dzert un ignore uz taaadiem…

    Atbildēt
  17. grr

    winxp ir sekojoshi: labajaa pusee liste uz leju ar 3 ikonaam, panjem pirmo, tad computer, tad my coputer, tad ar labo peles pogu uz mucomputer, yad default options, tad iznjem keksi no “enable dcom on this pc”… paldies par uzmaniibu…

    Atbildēt
  18. Blins

    Sakot luudzu kaa tikt valjaa no taa lodzinja, kas paraadaas ik reiz kad ielogojos kaa adminis ieksh XP un peec laika paraadaas ka sisteema peecminuutes tiks shutdown?? msblast.exe izdzeesu un no dcom eneble iznjeemu.

    Atbildēt
  19. Deathperado

    Lai vareetu izmantot to blasterfix tooli, ieksh XP no saakuma vajag iet Control Panelii, tad Administrative Tools, tad Services, tad tur var RPC iestaadiit, taa lai serviss tikai restarteejaas, nevis viss kompis. Es te visu dienu lieku pachus – ne gala, ne malas neredzu.
    A uz W2000 vajag uzlikt Service pack un tad to pachu – bez pakas pachs neliksies.

    Atbildēt
  20. andza

    tam viirusam nav obligaati seedeet msblast.exe failaa.
    Man atrada ssaadaa failaa:
    Worm.MSBLAST.A failaa /windows/system32/TFTP2508

    Atbildēt
  21. Didulis

    Es jau laiciigi atrubiiju DCOM. Taadeelj man nekas nedraud plus veel man ZoneAlarm, kura logi pilni ar attempt’iem. Tachu neuzraada, kaads softs to veicis. Kaa manu ~85% attempti bija no MDSL adreseem. Napacinji. ;-))

    Atbildēt
  22. F9

    a kapee man tik mieriigi? cauru diennakti kompis iesleegts un nekaa. Outpost klusee. NT4 neliecas. caurumi valjaa. laikam resnie taarpi caur tv kabeli netiek cauri. 🙂

    Atbildēt
  23. Lamzaks

    man ir liikas rokjeles un luudzu paliidziibu profinjiem sakaraa ar to pashu svchost.exe…..man kjpa ieksh Pc saka ka shamais fails nestraadaa vai ari trucee iisti saprast nevar…saka ka jarestartee PC…nevar apskatiit pa WINNT faulus, caur WinExploreri…..:(, jaa Search nestradaa…..nevar pa Desktop par ikonas parvietot 🙂 pat Floppy neljauj formatizeet 🙂 prasu kaa to suudeli dabuu laukaa…Jaa….par to Dcom ja to visu izpilda tad tas suuds pazudiis????
    Man uz PC ir 2000 NT Os…..
    gribu aatru un profisionaalu atbildi …
    Please…

    Atbildēt
  24. weejsh

    HELP!!!
    Nezinu, vai tas ir šī paša tārpa dēļ, bet mans XP šorīt startējās labi, ja 5 – 10 min.laikā. Pie tam pazūd “palodze”. windows taustiņš arī nestrādā. Vai kāds var kā līdzēt?

    Atbildēt
  25. endrju

    Smieklīgi – “firewall nepalīdzēja”. Bļin – pliks firewall nekad nepalīdzēs! – to vajag konfigurēt. Šajā gadījumā vajag aizliegt 135-139,445,569 portus no ārējām IP adresēm un arī no LAN, ja iekš to LAN tas nav vajadzīgs. Var jau arī atrubīt “Share files and printers”. Argh!

    Atbildēt
  26. bieteem naavi

    hvz nava ugnsmuurs ir hdsl,ne smakas no taa baisulja uz w2k. krietni baisaak ira isleekt eMuli,kad gaida kaadi 2000 lietotaaji rindaa, nogaazh visus ugunsmuurs un komps, varbuut kaac padoms?

    Atbildēt
  27. es

    A bet kas tagad notiks ar Pasu dienestiem – kuri tiek sasleegti live rezjiimaa pa LV ar (proga ZZ-Dati) un kur uuserim ir jaatsper valjaa 135 porc…..

    Atbildēt
  28. INFO

    If your having problems installing the patch within the 60 sec, when you see the window pop up telling you 60 sec, Go to Start, Run and type in shutdown -a. This will cancel the shutdown attempt.

    Atbildēt
  29. Re5pEcT

    Kas jadara kad taads virus paradaas? Man vins paradaas kad es iesleedzu DC++.
    Ir kautkada programma lai to virusu apstadinaatu??

    Atbildēt
  30. weee

    Sygate Personal Firewall man neko neaizsargaaja, naaksies domaat par citu muuri
    Autors: pauliic :: 12.08.2003 / 13:49

    Nu man bija sygate personal firewall 2003 un man noblokjeeja sho nelietiibu… tu kaadreiz live uptodate sleedz ieksh? 😛

    Atbildēt
  31. weee

    Kas jadara kad taads virus paradaas? Man vins paradaas kad es iesleedzu DC++.
    Ir kautkada programma lai to virusu apstadinaatu??
    Autors: Re5pEcT [www] :: 13.08.2003 / 17:54
    Control Panel > Administrative Tools > Services > Remonte Procedure Call (RPC) > Properties > Recovery > First Failure ,2nc utt > Take no action
    ——
    W32.Blaster.Worm Removal Tool
    http://securityresponse.symantec.com/avcenter/FixBlast.exe
    Autors: coolynx :: 13.08.2003 / 12:54

    Atbildēt
  32. Little_Hacker

    Njaa.. es kaa tankaa.. savu xp neesu nekad pachojis, bet cik saprotu shitais shits ielien tikai tajos pc kuri staav uz reaala IP..?? [/me vismaz domaa ka man nav par ko uztraukties ?!?, jo es esu uz nereaala ip, un nekas taads pagaidaam nav reegojies..]

    Atbildēt
  33. ui

    2grr un 2zaagjiz + parejiem “paligiem”: nja, izstas, ka neviens no jums taja punkta nebij iegajs, kad sheit posteja, tik vien ta darba – precizu celju uzrakstit…
    koroche:
    Start, Run: dcomcnfg, Console Root, Component Services, Computers, My Computer, laba pele – Properties, Default Properties, izsledzam Enable Distributed COM on this computer

    Atbildēt
  34. MIGs

    Little a kaada starpiiba reaals vai nee??? njus seedi tu uz ljevaas ip jeb dial up bet taksh tu takshu poljubomu esi tiiklaa iekshaa …

    Atbildēt
  35. AnetiX

    /me ik peec paaris sec ZA ieraxta LOG failos kaadu nezinaamu IP kas meegjina ko dariit caur 135,137,139 portu. Paarsvaraa 135.

    Atbildēt
  36. Dzenis

    Vai gadījumā nav tā, ka coolynx ievietotā outpost loga bilde norāda, ka viņa kompī tas vīruss jau ir? Izskatās, ka mblast.exe mēģina izmantojot viņa kompi lai inficētus citus!

    Atbildēt
  37. kekx

    Hmm… interesanti kaa microsofts noturees savus serveriishus www.windowsupdate.com 16. augustaa. Kas tas taarps saaks DOS’ot… Bus labais…

    Atbildēt
  38. meteejs

    Siikaak par sho viirusu ir aprakstiits:
    http://www.antivirus.lv/news.asp?l=lv&d=13.08.2003&n=1&w=1
    (tur aprakstiits kaa vinju pilniibaa izdzeest, zem kaadiem nosaukumiem vinjsh glabaajas, antiviirusi ar kuriem izniicinaat MS BLAST)

    Vislabaakais liidzeklis:
    http://securityresponse.symantec.com/avcenter/FixBlast.exe

    Atbildēt
  39. ui

    FixBlast.exe ir tikai viens no pieejamajiem, vel KAVP ir papildinajis savu clrav lai pazist MSBlaster (ftp://ftp.kaspersky.com/utils/clrav.com)
    bet vislabak man patika Trend Micro System Cleaner, janopumpe divi faili:
    http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    un lpt610.zip vai svaigaks no
    http://www.trendmicro.com/download/pattern.asp
    shis mak ne tikai izdzest inficetos failus un ierakstus no regjistra Run nodaljam, bet ari izvakt NT servisus, ja kads viruss paslepies zem ta! pedeja laika nacies ari ar tadiem saskarties…

    Atbildēt
  40. w2k foreva

    uz win 2000 nestraadaa drag’ n’drop funkcija, nevar iztiiriit miskasti, un nedarbojas ad/remove programs. Mosh kaads zina kurš serviss atbild par to, ja zina tad iepostojiet, neliidzeeja arii repair , btw fixblast.exe nelietojiet vinjsh vismaz man visus msblaster.exe neizdzeesa. un par tiem servisiem, nu baigi gribaas zinaat kas un kaa tam w2k, aa un skanjas ar nava, bet nu tas taa(originaalie draiveri neliidzeeja) so ja kaads tika ar to galaa informeejiet, padalaties infaa.
    thnx jau ieprieks

    Atbildēt
  41. REDLINE

    mle… es dellj… 6hitaa prikola uzstaadiiju Win 98 SE, bet tas man arii uzkaaraas..
    Tomeer Win MEir labaaks par XP(nez ar ko)

    Atbildēt
  42. yess

    Nu baac :)))))) Uzliekat tachu pret to pretiigo taarpu anti-hacker viens un dici viirus worms prom!!! Un shis tik censhas tikt mana kompii..:D
    Ja par kaspersky anti-hacker neder tad jamakle antivirus.lv vai microsoft.com visadas progas worma izvakshanai.Es sainstekeju visas iespejamas,atrodamas worma izvakshanas progas,un visbeidzot uzliku anti-hacker ugnsmuuri kursh jatjauno ik pec menesha..Bet varbut ari nevares atjaunot jo noistelejo atrodamo antivirus.lv izmeginashanas..:/

    Atbildēt
  43. JunkY

    Njaa man ir Win 98 – man bija northon 2003 un taa vai taa man tas viiruss ir , bet es tik nezinu , kaa no vinja tikt valjaa , jo visi atrisinaajumi nav domaati prieksh 98….. :/

    Atbildēt

Atbildēt uz komentāru Anonīmais Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *