Jauns un ļoti bīstams – Sasser tārps

Pasauli ir pāršalkusi ziņa par jaunu un ļoti bīstamu tārpu – Sasser (viss nepieciešamais, lai salāpītos). Sasser tārps un tā paveidi it kā esot pat bīstamāki par iepriekš piedzīvoto Blaster.

Spriežot pēc Sasser tārpa tehniskā apraksta, tas bāzējas uz aprīlī atrastās ievainojamības iekš Windows Local Security Authority Service. Lai arī cik banāli tas neizklausītos, arī šoreiz viss notiek pēc plāna kā tas bija ar Blaster tārpu – tika atrasta ievainojamība, parādījās exploits nu un tagad izplatās tārps, kas dara ļaunās lietas.

Blaster tārpu es pieminēju nevis tādēļ, ka Sasser uzskata par bīstamāku, bet gan tādēļ, ka abiem šiem tārpiem ir kopīgs izplatīšanās princips.

The susceptible LSA functionality is accessible via the LSARPC named pipe over TCP ports 139 and 445.

Abi šie tārpi ložņā pa tīklu un lien datoros izmantojot gandrīz tos pašus TCP 135 (Blaster), 139 un 445 portus. Attiecīgi, atliek tikai pievērt šos portus, iebāzt mutē čupa-čups un pagriezties uz otriem sāniem, lai mierīgi turpinātu skatīties saldos sapnīšus.

Tiem, kas lieto Agnitum Outpost ugunsmūri un vēl kaut kādu mistisku iemeslu dēļ vēl nav izveidojuši attiecīgus ierakstus savā ugunsmūra konfigurācijā var lasīt turpinājumu.

Izvēlamies Options -> System
Tālāk Global Application and System Rules -> Settings
Šajā logā izvēlamies pievienot jaunu noteikumu Add
Kā rezultātā mūsu priekšā pavērsies šāds logs:

Outpost

Izvēlamies protokolu TCP, pie “direction” Inbound, kas ir ienākošiem pieprasījumiem, tālāk izvēlamies portus Local port kurus vēlamies bloķēt (rezams nākamajā bildē) un izvēlamies Block it.

Outpost

Vienīgais, kas varētu samulsināt ir tas, ka katram portam ir cilvēcīgais apzīmējums nevis vienkārši porta numurs. Bet arī šajā dialoga logā nav nekā sarežģīta, jo visi porti atrodas sarakstā sarindoti pēc kārtas ar attiecīgiem apzīmējumiem un atliek tikai uzklikšķināt ar peli uz attiecīgās rindiņas, lai tas automātiski tiktu pievienots pie mūsu jaunizveidotā noteikuma. Un viss. Jaunais noteikums, kas bloķēja veco Blaster un jauno Sasser tārpu ir izveidots. Jāatzīst gan, ka man kopš Blaster laikiem ir izveidots vēl viens identisks noteikums, ar tiem pašiem portiem, tikai priekš UDP protokola. Par tā lietderību gan neņemos spriest, jo uz to ir daudz mazāk gribētāju.

Teorētiski jau it kā vajadzētu arī uzlikt ielāpu, kas nāk no Microsoft, bet praktiski šo procedūru es atstāšu kādai citai reizei. Tāpat visus caurumus nesalāpīsi…

46 komentāri par “Jauns un ļoti bīstams – Sasser tārps

  1. Mr. Skepse

    Teorētiski… rakstīts:
    [q] ložņā pa tīklu un lien datoros izmantojot TCP 139 un 445 portus [q]
    CoolLynx bildē parādās [b] DCOM un MICROSOFT_DS [b], bet Agnitum firewall DCOM ir 135, ne 139. Laikam tomēr būs jāsāk sekot līdz, tam ko Tu te raksti… 😛

    Atbildēt
  2. Johnie

    Vai nav vienkarsak aizvert defaulta visus portus un tad atstat firewall ieks interakt. rezima – resp. katra programma pati pieteiksies kad gribes tikt interneta? :)) ZoneAlarm sadu fitchu piedava jau loti sen:)
    Sitads roku darbs varetu tikt ietaupits:)

    Atbildēt
  3. coolynx

    Johnie: Tieši tā arī tiek darīts. Vienkārši arī "Wizard" vai "Interact" režīmā, sauc kā gribi, ir nepieciešams nodefinēt vienotus noteikumus, kas darbotos uz visām programmām. Tu taču neiesi rakstīt katrai IP un katrai atsevišķai programmai savus noteikumus, ja vari uzrakstīt vienu visām?
    Es šo paraugu uzrakstīju tikai tāpēc, lai nepiesārņotu noteikumu listi ar nevajadzīgiem ierakstiem, kas atbilst vienai problēmai, jo tiklīdz kāds nerātnelis piesienās, tā izlec šāds paziņojums.
    Pieļauju, ka ir arī cilvēki, kas saspaida OK pogu un rezultātā iegūst kaudzi ar noteikumiem, kas dublējas.

    Atbildēt
  4. e-remit

    Vietā, kur litoju WinXP man pilnīgi pietiek ar iebūvēto FW – uzlikt client only režīmu, un visas lietas. ar nmap pārbaudot – visi porti ciet.

    Atbildēt
  5. Spameris

    Arii dabuuju shito suudu, tad veel nezinaaju, ka tas ir viiruss, domaaju systeema noglluchiija, dabuuju visu paarinstalet, kaa tikai paarinstaleeju atkal dabuuju, beigaas saaku searchot – mycrosoftaa shis jaunums jau kaadu nedeellu staav – vienkaarshi jaanokachaa visi mycrosoft updati un viss paareeais pofig.
    Bet taarps pretiigs gn bija:( Daudz laika aizgaaju kameer sapratu kas un kaa notiek, galvenais ka Nortons arii ar jaunaako updatu arii tikai ar mokaam to atklaaja, kad jau es pats to biju netaa izsearchojis, bet par kaa izaarsteet nepateica cuuka Nortons. Vienmeer viss jaadara pasham – pretiigi:)

    Atbildēt
  6. neregistreetais - nepieskaitaamais....

    Par Firewall Outpost konfigurāciju latviski var vairāk izlasīt:
    Te būs 1.daļa un Te būs 2.daļa
    Autors: Kurmis @ 05.05.2004 / 01:13
    njaa… puis paprovee to palasiit bez faking registracijas – kanalizaacijas… 🙂

    Atbildēt
  7. Ugne

    A kur var atrast, kur nokonfigurēt WinXP default firewall? Control Panelī gandrīz acis izmežģīju, kaut kā nekā neatradu. Lūdzu paskaidrojiet !??

    Atbildēt
  8. John

    Seit: Settings>Network Connections>Local Area Connection>Properties.
    Bet iesaku izmantot ko nopietnaku par iebuveto firewall, kaut vai ZoneAlarm bezmaksas versiju, vai Sygate Personal Firewall.

    Atbildēt
  9. Johnie

    coolynx www:
    Nu nezinu gan vai sadi ir ertak – vismaz ZA atliek tikai vienreiz nospiest OK pogu lai vins sadas lietas atceretos un vairs par to nejautatu:)

    Atbildēt
  10. Aidus

    Updeic jau laba lieta. tikai nevarēju nekādīgi sākumā viņu uzlikt, jo REBOOT visu laiku (tipa nevarēju paspēt aizkriet līdz M$ lapai un atkačāt). Beigu galā viss tomēr beidzās laimīgi ar kabeļu raustīšanu un nelielu apraudāšanos .

    Atbildēt
  11. Sasha

    Man tas mēsls ielīda, tieši kamēr vilku updeitus. Riebīgi. Lai gan pats jau vainiigs, jo kameer updeitoju, biju uzlicis vieglo "mode" firewallam, citādi sapinos tajos servisos un portos, caur kuriem grib slēgties uz āru.

    Atbildēt
  12. ui

    citats no MS04-011:
    A buffer overrun vulnerability exists in the rendering of Windows Metafile (WMF) and Enhanced Metafile (EMF) image formats that could allow remote code execution on an affected system. Any program that renders WMF or EMF images on the affected systems could be vulnerable to this attack. An attacker who successfully exploited this vulnerability could take complete control of an affected system.

    Atbildēt
  13. ui

    nebutu slikti RSSaa pielikt ari komentu skaitu (iekavaas) kautvai pirms raksta, bet to jau laikam tekstfailbazeetaa portaalaa nav reali 🙁

    Atbildēt
  14. ui

    imho shoreiz ne tauta vainiiga, bet masu mediji (ne)sadarbojoties ar t.s. droshibas specialistiem, kas laicigi neizsludinaja trauksmi. izradas, shii zinja jau BNSaa 2. maijaa bija. a muusu IT portaalos aizvakar/vakar ne skanjas… un cik saprotu, dazhi ielaapi jau XP SP2 RC bija iekshaa, a tas iznaaca pirms 100 gadiem

    Atbildēt
  15. Resident

    Attempts to ping the remote address, and if successful, connects on TCP port 445 to determine whether a remote computer is online.
    If a connection is made to a remote computer, the worm will send shell code to it, which may cause it to open a remote shell on TCP port 9995.
    Uses the shell on the remote computer to reconnect to the infected computer’s FTP server running on TCP port 5554, and retrieve a copy of the worm. This copy will have a name consisting of four or five digits, followed by _up.exe. For example, 74354_up.exe.
    The Lsass.exe process will crash after the worm exploits the Windows LSASS vulnerability. Windows will display the alert and shut down the system in one minute.
    Creates a file at C:win2.log that contains the IP address of the computer that the worm most recently attempted to infect, as well as the number of infected computers.

    Atbildēt
  16. dzh

    man šitais jau 1.maijā iesēdās datorā. šodien saņēmos un uzliku ielāpu. besīja laukā – ik pēc ~2min. sledzas ara dators. 😀

    Atbildēt
  17. bish_neiet

    bish neiet … it ka nokeru vinu un uzliku ielapu bet man joprojaam neiet start josla un I – nets ari normalaa modee neiet … ko dariit ?

    Atbildēt
  18. KOLJA

    DA JUS LAIKAM DUMJI VERT PORTUS DAUZIIT KOMPI AR LAAPSTU..DA JA TAA TAD VIEGLAAK PANJEMT UN IZMEST KOMPI,BET JA JUS ESAT GUDRI CILVEEKI JUS IEIESIET http://WWW.LIVAS.LV TUR ATRADISIET VIRUS UN NOKA4ASIET ZAPLATKU KURA PRET TO AIZSARGAAA.BET JA JAU ESAT AR TO SASLIMU6I TAD TA PROGA TIKAI NEDOS IZSLEEGTIES KOMPIM,NEVIS NORMAALI STRADAAT,JO 6O VIIRUSU IR JAADZEE6 LAUKAA NO REGEDITA(START-RUN…UN TUR REGEDIT.

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.