Pasauli ir pāršalkusi ziņa par jaunu un ļoti bīstamu tārpu – Sasser (viss nepieciešamais, lai salāpītos). Sasser tārps un tā paveidi it kā esot pat bīstamāki par iepriekš piedzīvoto Blaster.
Spriežot pēc Sasser tārpa tehniskā apraksta, tas bāzējas uz aprīlī atrastās ievainojamības iekš Windows Local Security Authority Service. Lai arī cik banāli tas neizklausītos, arī šoreiz viss notiek pēc plāna kā tas bija ar Blaster tārpu – tika atrasta ievainojamība, parādījās exploits nu un tagad izplatās tārps, kas dara ļaunās lietas.
Blaster tārpu es pieminēju nevis tādēļ, ka Sasser uzskata par bīstamāku, bet gan tādēļ, ka abiem šiem tārpiem ir kopīgs izplatīšanās princips.
The susceptible LSA functionality is accessible via the LSARPC named pipe over TCP ports 139 and 445.
Abi šie tārpi ložņā pa tīklu un lien datoros izmantojot gandrīz tos pašus TCP 135 (Blaster), 139 un 445 portus. Attiecīgi, atliek tikai pievērt šos portus, iebāzt mutē čupa-čups un pagriezties uz otriem sāniem, lai mierīgi turpinātu skatīties saldos sapnīšus.
Tiem, kas lieto Agnitum Outpost ugunsmūri un vēl kaut kādu mistisku iemeslu dēļ vēl nav izveidojuši attiecīgus ierakstus savā ugunsmūra konfigurācijā var lasīt turpinājumu.
Izvēlamies Options -> System
Tālāk Global Application and System Rules -> Settings
Šajā logā izvēlamies pievienot jaunu noteikumu Add
Kā rezultātā mūsu priekšā pavērsies šāds logs:
Izvēlamies protokolu TCP
, pie “direction” Inbound
, kas ir ienākošiem pieprasījumiem, tālāk izvēlamies portus Local port
kurus vēlamies bloķēt (rezams nākamajā bildē) un izvēlamies Block it
.
Vienīgais, kas varētu samulsināt ir tas, ka katram portam ir cilvēcīgais apzīmējums nevis vienkārši porta numurs. Bet arī šajā dialoga logā nav nekā sarežģīta, jo visi porti atrodas sarakstā sarindoti pēc kārtas ar attiecīgiem apzīmējumiem un atliek tikai uzklikšķināt ar peli uz attiecīgās rindiņas, lai tas automātiski tiktu pievienots pie mūsu jaunizveidotā noteikuma. Un viss. Jaunais noteikums, kas bloķēja veco Blaster un jauno Sasser tārpu ir izveidots. Jāatzīst gan, ka man kopš Blaster laikiem ir izveidots vēl viens identisks noteikums, ar tiem pašiem portiem, tikai priekš UDP protokola. Par tā lietderību gan neņemos spriest, jo uz to ir daudz mazāk gribētāju.
Teorētiski jau it kā vajadzētu arī uzlikt ielāpu, kas nāk no Microsoft, bet praktiski šo procedūru es atstāšu kādai citai reizei. Tāpat visus caurumus nesalāpīsi…
Teorētiski… rakstīts:
[q] ložņā pa tīklu un lien datoros izmantojot TCP 139 un 445 portus [q]
CoolLynx bildē parādās [b] DCOM un MICROSOFT_DS [b], bet Agnitum firewall DCOM ir 135, ne 139. Laikam tomēr būs jāsāk sekot līdz, tam ko Tu te raksti… 😛
labots.
Quickie!!!
Ja laicīgi aizlaāpa caurumus tad viss ir OK 😉
Vai nav vienkarsak aizvert defaulta visus portus un tad atstat firewall ieks interakt. rezima – resp. katra programma pati pieteiksies kad gribes tikt interneta? :)) ZoneAlarm sadu fitchu piedava jau loti sen:)
Sitads roku darbs varetu tikt ietaupits:)
Johnie: Tieši tā arī tiek darīts. Vienkārši arī "Wizard" vai "Interact" režīmā, sauc kā gribi, ir nepieciešams nodefinēt vienotus noteikumus, kas darbotos uz visām programmām. Tu taču neiesi rakstīt katrai IP un katrai atsevišķai programmai savus noteikumus, ja vari uzrakstīt vienu visām?
Es šo paraugu uzrakstīju tikai tāpēc, lai nepiesārņotu noteikumu listi ar nevajadzīgiem ierakstiem, kas atbilst vienai problēmai, jo tiklīdz kāds nerātnelis piesienās, tā izlec šāds paziņojums.
Pieļauju, ka ir arī cilvēki, kas saspaida OK pogu un rezultātā iegūst kaudzi ar noteikumiem, kas dublējas.
Kaa var izveeleties Local portus – man vairaak par protocol un direction nepiedaava!!!
OKi, pats atradu!
Šobrīd slimoju ar šo kropli 🙁
laiks migreet uz nixiem, ne !? 🙂 vai arii uzlikt priekshaa kaadu routeriiti.
nu droshi1n routeriishi teu jau priekshaa ir. faervolis kaads gan nodereetu.. heh.
Par Firewall Outpost konfigurāciju latviski var vairāk izlasīt:
Te būs 1.daļa un Te būs 2.daļa
Vietā, kur litoju WinXP man pilnīgi pietiek ar iebūvēto FW – uzlikt client only režīmu, un visas lietas. ar nmap pārbaudot – visi porti ciet.
Arii dabuuju shito suudu, tad veel nezinaaju, ka tas ir viiruss, domaaju systeema noglluchiija, dabuuju visu paarinstalet, kaa tikai paarinstaleeju atkal dabuuju, beigaas saaku searchot – mycrosoftaa shis jaunums jau kaadu nedeellu staav – vienkaarshi jaanokachaa visi mycrosoft updati un viss paareeais pofig.
Bet taarps pretiigs gn bija:( Daudz laika aizgaaju kameer sapratu kas un kaa notiek, galvenais ka Nortons arii ar jaunaako updatu arii tikai ar mokaam to atklaaja, kad jau es pats to biju netaa izsearchojis, bet par kaa izaarsteet nepateica cuuka Nortons. Vienmeer viss jaadara pasham – pretiigi:)
Par Firewall Outpost konfigurāciju latviski var vairāk izlasīt:
Te būs 1.daļa un Te būs 2.daļa
Autors: Kurmis @ 05.05.2004 / 01:13
njaa… puis paprovee to palasiit bez faking registracijas – kanalizaacijas… 🙂
A kur var atrast, kur nokonfigurēt WinXP default firewall? Control Panelī gandrīz acis izmežģīju, kaut kā nekā neatradu. Lūdzu paskaidrojiet !??
Seit: Settings>Network Connections>Local Area Connection>Properties.
Bet iesaku izmantot ko nopietnaku par iebuveto firewall, kaut vai ZoneAlarm bezmaksas versiju, vai Sygate Personal Firewall.
coolynx www:
Nu nezinu gan vai sadi ir ertak – vismaz ZA atliek tikai vienreiz nospiest OK pogu lai vins sadas lietas atceretos un vairs par to nejautatu:)
Johnie: Nu, puis, ti zagnul. 😀
Pat tīri teorētiski tas nav iespējams, kur nu vēl praktiski…
Sviestains tas worms ir un glups 🙂
iekšējās adreses tas vispār neinficē.
viens nieka updeits tik jāuzliek
starp citu, vakar kursabiedrenei vienu līdzīgu izķēru…
forshi ka cilvecigi apstaasta ko darit lietas labaa :)))
Paldies John 🙂
Updeic jau laba lieta. tikai nevarēju nekādīgi sākumā viņu uzlikt, jo REBOOT visu laiku (tipa nevarēju paspēt aizkriet līdz M$ lapai un atkačāt). Beigu galā viss tomēr beidzās laimīgi ar kabeļu raustīšanu un nelielu apraudāšanos .
Man tas mēsls ielīda, tieši kamēr vilku updeitus. Riebīgi. Lai gan pats jau vainiigs, jo kameer updeitoju, biju uzlicis vieglo "mode" firewallam, citādi sapinos tajos servisos un portos, caur kuriem grib slēgties uz āru.
klau a ir kaads firewalls (ZA, Tiny…) kursh instaleejot/uninstaleejot neprasa restartu XP windowsam?
thnx
CLX, uzliec gan to KB835732 ielaapinju, citadi vel sanjemsi pa pastu .WMF failu, kas tev cieto padzeesiis vai ko citu nejauku…
ui: es nelietoju outgļuku vai tā paveidus un visādus wmf’us neveru vaļā. 🙂
zinu, ka nelieto. bet cik saprotu, tas nav saistiits ar outgļukiem
ui: Ar outgļukiem es biju domājis to jauko m$ fīču, ka nav nepieciešama lietotāja iejaukšanās, lai palaistu vīrusu.
citats no MS04-011:
A buffer overrun vulnerability exists in the rendering of Windows Metafile (WMF) and Enhanced Metafile (EMF) image formats that could allow remote code execution on an affected system. Any program that renders WMF or EMF images on the affected systems could be vulnerable to this attack. An attacker who successfully exploited this vulnerability could take complete control of an affected system.
—> coolynx : a moshka beidzot iespiediisi kodaa "pragmu" "no-catche" ? , a to biezji aizmirstas par F5 un jaumumus palaizju garaam 🙂
nebutu slikti RSSaa pielikt ari komentu skaitu (iekavaas) kautvai pirms raksta, bet to jau laikam tekstfailbazeetaa portaalaa nav reali 🙁
ekk, atkal tauta uzkāpj uz tā paša vecā grābekļa. Smieklīgi.
imho shoreiz ne tauta vainiiga, bet masu mediji (ne)sadarbojoties ar t.s. droshibas specialistiem, kas laicigi neizsludinaja trauksmi. izradas, shii zinja jau BNSaa 2. maijaa bija. a muusu IT portaalos aizvakar/vakar ne skanjas… un cik saprotu, dazhi ielaapi jau XP SP2 RC bija iekshaa, a tas iznaaca pirms 100 gadiem
bet paskiet kaa vinju var izaarsteet????? neko nesaprotu,jo esar’ tikko sho dabuju…… 🙁
jurixxx
http://securityresponse.symantec.com/avcenter …
http://securityresponse.symantec.com/avcenter …
Attempts to ping the remote address, and if successful, connects on TCP port 445 to determine whether a remote computer is online.
If a connection is made to a remote computer, the worm will send shell code to it, which may cause it to open a remote shell on TCP port 9995.
Uses the shell on the remote computer to reconnect to the infected computer’s FTP server running on TCP port 5554, and retrieve a copy of the worm. This copy will have a name consisting of four or five digits, followed by _up.exe. For example, 74354_up.exe.
The Lsass.exe process will crash after the worm exploits the Windows LSASS vulnerability. Windows will display the alert and shut down the system in one minute.
Creates a file at C:win2.log that contains the IP address of the computer that the worm most recently attempted to infect, as well as the number of infected computers.
mjaaa: nieka apdeits, kurš nomaina ~30 failus…
Ssakera autors arestēts Vācijā.
man šitais jau 1.maijā iesēdās datorā. šodien saņēmos un uzliku ielāpu. besīja laukā – ik pēc ~2min. sledzas ara dators. 😀
nav aarzemju, mosh pasakiet kaa no vinja atbriivoties
bish neiet … it ka nokeru vinu un uzliku ielapu bet man joprojaam neiet start josla un I – nets ari normalaa modee neiet … ko dariit ?
DA JUS LAIKAM DUMJI VERT PORTUS DAUZIIT KOMPI AR LAAPSTU..DA JA TAA TAD VIEGLAAK PANJEMT UN IZMEST KOMPI,BET JA JUS ESAT GUDRI CILVEEKI JUS IEIESIET WWW.LIVAS.LV TUR ATRADISIET VIRUS UN NOKA4ASIET ZAPLATKU KURA PRET TO AIZSARGAAA.BET JA JAU ESAT AR TO SASLIMU6I TAD TA PROGA TIKAI NEDOS IZSLEEGTIES KOMPIM,NEVIS NORMAALI STRADAAT,JO 6O VIIRUSU IR JAADZEE6 LAUKAA NO REGEDITA(START-RUN…UN TUR REGEDIT.