Igen, ezt az exe-t szedjétek le. Akinek megáll a telepítés, az restartoljon kihúzott modemmel, majd net nélkül telepítse. Aztán újraindítás már modemmel, és úgy mûködni fog.
BAZZ!!! Nekem csontra ugyanez a két hiba van, és nekem is pont ma kezdõdött!!!! Manta te is Datanetes vagy?
Megjelent az elsõ féreg, ami a Microsoft RPC hibát használja ki [2003.08.05.]
- www.viruslist.com -
A "Worm.Win32.Autorooter" kártevõ egy több komponensû Win32 féregszerû csomag. Úgy tervezték, hogy a helyi és globális hálózatokon keresztül terjedjen, de a féreg ismert verziójában a terjedési rutin még nincs aktiválva.
A kártevõ a nevét a fõ féregkomponensben található szövegrõl kapta:
rpc autorooter by ERIC
RPC autorooter
A terjedéshez a féreg az ismert Microsoft Windows sebezhetõséget használja ki a DCOM RPC szolgáltatásban. Errõl a biztonsági résrõl az alábbi Microsoft Security Bulletin-ben olvashatunk bõvebben: www.microsoft.com MS03-026.asp
A Csomag A csomag egy Win32 SFX ZIP (önkibontó) állomány, amely kb. 114KB méretû és három fájlt tartalmaz:
Ha az SFX állományt futtatjuk, az három fájlt csomagol ki a C: meghajtó gyökérkönyvtárába és lefuttatja az "rpc.exe" fõ komponenst.
A fõ komponens: "rpc.exe" A fõ komponens elindítja a "tftpd.exe"-t és megpróbál letölteni egy "lolx.exe" nevû állományt egy távoli site-ról. A "lolx.exe" egy ismert trójai hátsóajtó program "Backdoor.SdBot.gen".
A féreg ezután távoli gépeket keres és megpróbál azokhoz kapcsolatot létesíteni a 445-ös porton keresztül. Azokat az IP címeket (a.b.c.d) amelyekkel próbálkozik, véletlenszerûen generálja a következõ algoritmus szerint:
Az 'a' értékét az alábbi listából választja ki (mindegyiket használja): 24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128
A 'b' egy 0-tól 255-ig terjedõ tartományból választott véletlenszám. 'c' és 'd' értékként 1-tõl 255-ig minden számot végigpróbál.
Például, ha 'a' 68 és 'b' 120, a féreg a 68.120.0.1 - 68.120.255.255 tartományban fog keresni gépeket.
A féreg, ezekben a szegmensekben kutat távoli gépek után, kapcsolódik a megtalált gépekhez és elküldi azoknak az exploit kódot. Ahhoz, hogy az exploit-ot átküldje, a "rpctest.exe" komponenst futtatja le. Ez az összetevõ egy puffer túlcsordulást okozó kérést küld, amely elindít egy parancs shell-t az 57005-ös porton a sebezhetõ áldozat-számítógépen.
Az "rpctest.exe" komponens Ez maga az exploit kód. A következõ szöveg sztringet tartalmazza: USE THE FORZ LUKE!
A "tftd.exe" komponens Ez a hagyományos HaneWin TFTP szerver. A fõ féreg komponens a 69-es portra telepíti; ez a TFTP szerver tölti le a hátsóajtó komponenst.
Megjegyzés Annak ellenére, hogy ez a fájl-csomag nem tartalmaz semmiféle automatikus terjesztõ funkciót, vegyük tekintetbe, hogy ez sokkal közelebb áll egy féregszerû programhoz, minthogy egyszerûen egy hátsóajtó program vagy egy hacker-eszköz legyen. Arra is gondolhatunk, hogy ez csak a tesztverziója egy új féregnek, amely már elég funkciót tartalmaz egy lehetséges önsokszorozásításhoz. Az is elképzelhetõ, hogy készítõjének az volt a célja, hogy egy erõsen szétszórt hálózatot állítson fel a feltört számítógépekbõl valamimilyen késõbbi hacker vagy vírustámadáshoz.
Minden felhasználónak azt ajánljuk, hogy frissítse rendszerét a a fenti Microsoft linken található javítással és ezen kívül blokkolja az Internet felõl a 135-ös, 139-es és 445-ös TCP portokat a helyi tûzfalon.
Most kezdték kihasználni a kedves emberek az rpc windoz biztonsági rését...szal ez ilyen modemblitz szeruseg, csak nem a netet hanem windozt resetel... LINUX RULZ
Ha törlitek a könyvtár tartalmát és újraröffentitek a gépet, akkor esélyetek van letölteni a peccset. :D (Különben igen gyors net kell hozzá, hogy reset elõtt levadászd.)
Valakinek beszólhattam?
Azt meg csak hozzatennem hogy bugtraqen mar egy jóideje nyilvánosságra hozták a hibát, köszönjétek a microsoftnak hogy ki is tudták használni...
a windowsupdate-en hosszú ideje fent volt a javítás.
Én le tudtam szedni Viszont nekem tényleg nincs olyan könyvtáram. Vagy az már az említett exe telepítése miatt nincs?
Végülis abban nem volt igazam hogy nem netfüggõ, mert egyfajta trójai progi, de tuti nem a szolgáltatótok a ludas, na :) (amint az látható a cikkbõl)
a videokártyához is szedsz le újabb drivert nem? játékokhoz patch-et ami javítja a hibákat... és nincs bonyolult program ami elsõre hiba nélkül megy :)
Ja, a datanet csak véletlen, viszont az érdekelne, hogy amikor egy ilyen utasítást kap a gép, az automatikus, vagy valami hülyegyerek éli ki magát.
Zone Alarmon át tud jutni? Bár lehet, hogy ez láma kérdés. Vírusokban nem vagyok otthon.
Szerintem valaki írjon egy olyan vírust vissza, hogy aki ezt elküldte/kitalálta/megcsinálta, annak vállból rohadjon le mind a két karja...
Minden felhasználónak azt ajánljuk, hogy frissítse rendszerét a a fenti Microsoft linken található javítással és ezen kívül blokkolja az Internet felõl a 135-ös, 139-es és 445-ös TCP portokat a helyi tûzfalon."
Talán ezt kellene tenni, nemde ?
Nekem most szokatlanul hosszú ideje stabilnak tûnik :) (kopp-kopp-kopp)
Zsenykának jelentem: disznókat megetettem, DLLCACHE könyvtárhoz nem nyúttam' :)
Egyelõre nem jött elõ. Bár már töltöm is a peccset.
Ez utóbbit hogy a csába kell megcsinálni? Én életemben elõször most kapcsoltam be az xp tûzfalát...
...azt kapcsold is ki rögtön és szedj le egy Kerio Personal Firewallt.
Muhhhahhha, a felhasználói infódban írt foglalkozásról jut eszembe amit az indexen írtak: Senior Winter Logistics Manager - Hómunkás :) Bocs az offért, csak most muszáj volt
hát elõször is szerintem húzd ki a hálózatból magad, és utána telepítsd a file-t. Aztán utána csatlakozz, és majd kiderül. Hála az égenek én le tudtam szedni, és rögtön telepíteni is tudtam, és azóta nincs gáz.