a windowsupdate-en hosszú ideje fent volt a javítás.
Azt meg csak hozzatennem hogy bugtraqen mar egy jóideje nyilvánosságra hozták a hibát, köszönjétek a microsoftnak hogy ki is tudták használni...
Valakinek beszólhattam?
Ha törlitek a könyvtár tartalmát és újraröffentitek a gépet, akkor esélyetek van letölteni a peccset. :D (Különben igen gyors net kell hozzá, hogy reset elõtt levadászd.)
Most kezdték kihasználni a kedves emberek az rpc windoz biztonsági rését...szal ez ilyen modemblitz szeruseg, csak nem a netet hanem windozt resetel... LINUX RULZ
Megjelent az elsõ féreg, ami a Microsoft RPC hibát használja ki [2003.08.05.]
- www.viruslist.com -
A "Worm.Win32.Autorooter" kártevõ egy több komponensû Win32 féregszerû csomag. Úgy tervezték, hogy a helyi és globális hálózatokon keresztül terjedjen, de a féreg ismert verziójában a terjedési rutin még nincs aktiválva.
A kártevõ a nevét a fõ féregkomponensben található szövegrõl kapta:
rpc autorooter by ERIC
RPC autorooter
A terjedéshez a féreg az ismert Microsoft Windows sebezhetõséget használja ki a DCOM RPC szolgáltatásban. Errõl a biztonsági résrõl az alábbi Microsoft Security Bulletin-ben olvashatunk bõvebben: www.microsoft.com MS03-026.asp
A Csomag A csomag egy Win32 SFX ZIP (önkibontó) állomány, amely kb. 114KB méretû és három fájlt tartalmaz:
Ha az SFX állományt futtatjuk, az három fájlt csomagol ki a C: meghajtó gyökérkönyvtárába és lefuttatja az "rpc.exe" fõ komponenst.
A fõ komponens: "rpc.exe" A fõ komponens elindítja a "tftpd.exe"-t és megpróbál letölteni egy "lolx.exe" nevû állományt egy távoli site-ról. A "lolx.exe" egy ismert trójai hátsóajtó program "Backdoor.SdBot.gen".
A féreg ezután távoli gépeket keres és megpróbál azokhoz kapcsolatot létesíteni a 445-ös porton keresztül. Azokat az IP címeket (a.b.c.d) amelyekkel próbálkozik, véletlenszerûen generálja a következõ algoritmus szerint:
Az 'a' értékét az alábbi listából választja ki (mindegyiket használja): 24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128
A 'b' egy 0-tól 255-ig terjedõ tartományból választott véletlenszám. 'c' és 'd' értékként 1-tõl 255-ig minden számot végigpróbál.
Például, ha 'a' 68 és 'b' 120, a féreg a 68.120.0.1 - 68.120.255.255 tartományban fog keresni gépeket.
A féreg, ezekben a szegmensekben kutat távoli gépek után, kapcsolódik a megtalált gépekhez és elküldi azoknak az exploit kódot. Ahhoz, hogy az exploit-ot átküldje, a "rpctest.exe" komponenst futtatja le. Ez az összetevõ egy puffer túlcsordulást okozó kérést küld, amely elindít egy parancs shell-t az 57005-ös porton a sebezhetõ áldozat-számítógépen.
Az "rpctest.exe" komponens Ez maga az exploit kód. A következõ szöveg sztringet tartalmazza: USE THE FORZ LUKE!
A "tftd.exe" komponens Ez a hagyományos HaneWin TFTP szerver. A fõ féreg komponens a 69-es portra telepíti; ez a TFTP szerver tölti le a hátsóajtó komponenst.
Megjegyzés Annak ellenére, hogy ez a fájl-csomag nem tartalmaz semmiféle automatikus terjesztõ funkciót, vegyük tekintetbe, hogy ez sokkal közelebb áll egy féregszerû programhoz, minthogy egyszerûen egy hátsóajtó program vagy egy hacker-eszköz legyen. Arra is gondolhatunk, hogy ez csak a tesztverziója egy új féregnek, amely már elég funkciót tartalmaz egy lehetséges önsokszorozásításhoz. Az is elképzelhetõ, hogy készítõjének az volt a célja, hogy egy erõsen szétszórt hálózatot állítson fel a feltört számítógépekbõl valamimilyen késõbbi hacker vagy vírustámadáshoz.
Minden felhasználónak azt ajánljuk, hogy frissítse rendszerét a a fenti Microsoft linken található javítással és ezen kívül blokkolja az Internet felõl a 135-ös, 139-es és 445-ös TCP portokat a helyi tûzfalon.
Igen, ezt az exe-t szedjétek le. Akinek megáll a telepítés, az restartoljon kihúzott modemmel, majd net nélkül telepítse. Aztán újraindítás már modemmel, és úgy mûködni fog.