[Virus report] W32/Blaster-A

[FireWurX]

Yo,

ik heb gisteren een mail van Sophos Anti-Virus gehad (heb abbo op mailinglist).
tis ook al in de krant en op de radio geweest.
het gaat om de W32/Blaster-A worm.
Elke Win-NT based PC is er gevoelig voor (NT, 2K, XP en 2K3 dus)
De worm exploit een lek in de DCOM RPC Service en download een bestand genaamd MSBlast.exe naar de getroffen PC via het TFTP protocol.
Hij zet een nieuwe entry in de registry (HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n\windows auto update) zodat hij bij elke reboot automatisch gestart word.
De worm zal daarnaa op 16 Augustus 2003 een DDoS aanval uitvoeren op de Windows update server.

op WinXP machines kan het gebeuren dat de RPC service over de zeik gaat door de worm, waardoor de PC automatisch reboot.

Om jezelf te beschermen tegen deze worm kan je een patch downloaden van Microsoft via de onderstaande link:
http://www.microsoft.com/technet/tre...n/MS03-026.asp

Sophos Virus Analysis:
http://www.sophos.com/virusinfo/anal...2blastera.html


uitleg DDoS Aanval:
een DDoS aanval staat voor Distributed Denial of Service aanval.
het is een aanval die constant ICMP packets stuurt naar een server, en daarmee de internet verbinding van de betreffende server overbelast waardoor de server down gaat.

[Redox]

Ik heb er een linux server tussen zitten...dus NP hiero :P

[Raven]

das al dagen bekend ouwe.....

[FireWurX]

is nog maar net uit hoor....
misschien 2 dagen, meer niet

[FireWurX]

Nu ook een Blaster-B variant.
plaatst ipv MSBlast.exe het bestand Teekids.exe en het einde van de Registry key is veranderd in "Microsoft Inet Xp"

[Thoughtless]

heb je daar weer een andere patch voor nodig???

nope

[FireWurX]

nee is geen andere patch voor, Blaster-B maakt gebruik van hetzelfde lek.
als je dat dicht, kan ook blaster-B niet binnenkomen.
de dingen die ik opnoemde zijn dingen die je ziet als je geinfecteerd bent.
zijn dus alleen andere verschijnselen, zelfde techniek.

er is trouwens nog een ander virus met dezelfde exploit, namelijk W32/RpcSpybot-A
deze worm geeft anderen backdoor toegang tot jouw PC bij infectie.

[YazooWillie]

Citaat:

Oorspronkelijk geplaatst door FireWurX

nee is geen andere patch voor, Blaster-B maakt gebruik van hetzelfde lek.
als je dat dicht, kan ook blaster-B niet binnenkomen.
de dingen die ik opnoemde zijn dingen die je ziet als je geinfecteerd bent.
zijn dus alleen andere verschijnselen, zelfde techniek.

er is trouwens nog een ander virus met dezelfde exploit, namelijk W32/RpcSpybot-A
deze worm geeft anderen backdoor toegang tot jouw PC bij infectie.

dus voor die rpcspybot heb je wel een andere patch nodig???

[FireWurX]

nee, dat is (zoals ik al zei) dezelfde exploit
zelfde lek dus, als je de patch hebt, ben je ook niet meer besmetbaar met RpcSpybot

[YazooWillie]

Citaat:

Oorspronkelijk geplaatst door FireWurX

nee, dat is (zoals ik al zei) dezelfde exploit
zelfde lek dus, als je de patch hebt, ben je ook niet meer besmetbaar met RpcSpybot

ow te snel gelezen, dacht dat die via een andere poort toegang tot je systeem nam

[DJD xtreem]

die patch komt bij mij elke keer met een foutmelding... iets van ongeldige winn32 toepassing..


iemand een idee wat het probleem kan zijn..

XP Prof ... heb de 32 en 64 bits versie al geprobeerd....
mijn vader draait met een clone van mijn systeem en heeft het in een keer gelukt..

[tongue_of_colicab]

kan je die worm niet met win98 krijgen? want die staat niet bij de paches.

[caey'the]

moest je soms opgescheept zitten met die "smeerlap" (zo als ik), vind je hier de oplossing (http://status.pandora.be/blaster/) om hem van je pc te verbannen.

[blackgoth]

Citaat:

De worm zal daarnaa op 16 Augustus 2003 een DDoS aanval uitvoeren op de Windows update server

lekker laten staat dus :P