208
Miért?
-
#37
a windowsupdate-en hosszú ideje fent volt a javítás. -
#36
Azt meg csak hozzatennem hogy bugtraqen mar egy jóideje nyilvánosságra hozták a hibát, köszönjétek a microsoftnak hogy ki is tudták használni... -
#35
Valakinek beszólhattam? -
TheZsenyka #34 Ha törlitek a könyvtár tartalmát és újraröffentitek a gépet, akkor esélyetek van letölteni a peccset. :D (Különben igen gyors net kell hozzá, hogy reset előtt levadászd.) -
#33
IGEN! -
#32
Nekem nincs is olyan könyvtáram :) -
#31
Most kezdték kihasználni a kedves emberek az rpc windoz biztonsági rését...szal ez ilyen modemblitz szeruseg, csak nem a netet hanem windozt resetel...
LINUX RULZ -
Cat #30 Megjelent az első féreg, ami a Microsoft RPC hibát használja ki
[2003.08.05.]
- www.viruslist.com -
A "Worm.Win32.Autorooter" kártevő egy több komponensű Win32 féregszerű csomag. Úgy tervezték, hogy a helyi és globális hálózatokon keresztül terjedjen, de a féreg ismert verziójában a terjedési rutin még nincs aktiválva.
A kártevő a nevét a fő féregkomponensben található szövegről kapta:
rpc autorooter by ERIC
RPC autorooter
A terjedéshez a féreg az ismert Microsoft Windows sebezhetőséget használja ki a DCOM RPC szolgáltatásban. Erről a biztonsági résről az alábbi Microsoft Security Bulletin-ben olvashatunk bővebben:
www.microsoft.com MS03-026.asp
A Csomag
A csomag egy Win32 SFX ZIP (önkibontó) állomány, amely kb. 114KB méretű és három fájlt tartalmaz:
rpc.exe - 41KB, fő féregkomponens (az indítást végzi), "Worm.Win32.Autorooter"
tftpd.exe - 144KB, "bolti" FTP szerver
rpctest.ex - 95KB, exploit, "Exploit.Win32.DCom"
Ha az SFX állományt futtatjuk, az három fájlt csomagol ki a C: meghajtó gyökérkönyvtárába és lefuttatja az "rpc.exe" fő komponenst.
A fő komponens: "rpc.exe"
A fő komponens elindítja a "tftpd.exe"-t és megpróbál letölteni egy "lolx.exe" nevű állományt egy távoli site-ról. A "lolx.exe" egy ismert trójai hátsóajtó program "Backdoor.SdBot.gen".
A féreg ezután távoli gépeket keres és megpróbál azokhoz kapcsolatot létesíteni a 445-ös porton keresztül. Azokat az IP címeket (a.b.c.d) amelyekkel próbálkozik, véletlenszerűen generálja a következő algoritmus szerint:
Az 'a' értékét az alábbi listából választja ki (mindegyiket használja):
24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128
A 'b' egy 0-tól 255-ig terjedő tartományból választott véletlenszám. 'c' és 'd' értékként 1-től 255-ig minden számot végigpróbál.
Például, ha 'a' 68 és 'b' 120, a féreg a 68.120.0.1 - 68.120.255.255 tartományban fog keresni gépeket.
A féreg, ezekben a szegmensekben kutat távoli gépek után, kapcsolódik a megtalált gépekhez és elküldi azoknak az exploit kódot. Ahhoz, hogy az exploit-ot átküldje, a "rpctest.exe" komponenst futtatja le. Ez az összetevő egy puffer túlcsordulást okozó kérést küld, amely elindít egy parancs shell-t az 57005-ös porton a sebezhető áldozat-számítógépen.
Az "rpctest.exe" komponens
Ez maga az exploit kód. A következő szöveg sztringet tartalmazza:
USE THE FORZ LUKE!
A "tftd.exe" komponens
Ez a hagyományos HaneWin TFTP szerver. A fő féreg komponens a 69-es portra telepíti; ez a TFTP szerver tölti le a hátsóajtó komponenst.
Megjegyzés
Annak ellenére, hogy ez a fájl-csomag nem tartalmaz semmiféle automatikus terjesztő funkciót, vegyük tekintetbe, hogy ez sokkal közelebb áll egy féregszerű programhoz, minthogy egyszerűen egy hátsóajtó program vagy egy hacker-eszköz legyen. Arra is gondolhatunk, hogy ez csak a tesztverziója egy új féregnek, amely már elég funkciót tartalmaz egy lehetséges önsokszorozásításhoz. Az is elképzelhető, hogy készítőjének az volt a célja, hogy egy erősen szétszórt hálózatot állítson fel a feltört számítógépekből valamimilyen későbbi hacker vagy vírustámadáshoz.
Minden felhasználónak azt ajánljuk, hogy frissítse rendszerét a a fenti Microsoft linken található javítással és ezen kívül blokkolja az Internet felől a 135-ös, 139-es és 445-ös TCP portokat a helyi tűzfalon. -
#29
sokkal többeknél jött elő, megnyugtatlak :) -
TheZsenyka #28 Töröljétek a C:\WINDOWS\SYSTEM32\DLLCACHE könyvtár tartalmát. A könyvtárat ne. -
Xboxman #27 Eddig tökjó volt minden -
Xboxman #26 Kicsit fura ,hogy mindhármunknál ugyanakkor jött elő?Nemde? -
neménvoltam #25 Egyébként nekem is tudtok segíteni? -
#24
tenx, csak én nem lenni hozzáértő, és mán a reinstallon gondolkodtam :) -
#23
semmi köze a nethez... -
#22
http://support.microsoft.com/?kbid=823980#WinXP
itt pedig a magyarázat is az egészre, a letöltendő exével...... -
#21
BAZZ!!! Nekem csontra ugyanez a két hiba van, és nekem is pont ma kezdődött!!!! Manta te is Datanetes vagy? -
#20
Igen, ezt az exe-t szedjétek le. Akinek megáll a telepítés, az restartoljon kihúzott modemmel, majd net nélkül telepítse. Aztán újraindítás már modemmel, és úgy működni fog. -
#19
http://download.microsoft.com/download/5/7/8/578edca5-7d72-4e19-9d41-79d1abda3be3/WindowsXP-KB823980-x86-HUN.exe
ez az a cím, ha telepíted abbahagyja... -
#18
Reset még nem volt, most A(z) Generic Host Process for Win32 hibát észlelt és leállt, de ahogy írom, megint elkezdett visszaszámlálni. -
neménvoltam #17 mán műkszik? -
neménvoltam #16 uuupsz -
neménvoltam #15 Kapcsold ki az automata csatlakozást és nézd meg, hogy ugyanezt csinálja-e. -
#14
De most jó egyelőre. Kimegyek blázolni, megnézem megvár-e a gép addig. -
#13
Nem tudom, alap hogy csatlakozni akarok a netre :) -
neménvoltam #12 Nem csatlakozol a netre akkor is csinálja? -
#11
Minek frissítenék BIOS-t? Amúgy nem régi az se. ADSL-em van.
Egyelőre még bírja. -
neménvoltam #10 Bios frissítés? Mivel csatlakozol a netre? -
#9
XP, de eddig jó volt. Emlékszem nagyon régen egyszer-kétszer csinálta, de nem így. -
#8
Hozzáteszem: SEMMI nem változott a gépen, "magától" kezdte el ezt csinálni... -
#7
frissítést kell letölteni az XP-hez. Viszont ha más oprendszered van, akkor nem tudom mi a gond... -
#6
Épp be tudtam fejezni az előző kommentet.
Neménvoltam: Dehogy, nem az a baja.
Kb. 2 percet tudok alkalmanként neten tölteni, valami guru pls gyorsan válaszoljon! -
neménvoltam #5 Mivel csatlakozol a netre? -
Xboxman #4 És amikor elindítom a gépet egy dos ablak villan fel egy pillanatra -
Xboxman #3 Ehh nekem is ezt csinálta!!! -
neménvoltam #2 Nincs letöltésvezérlő beállítva? -
#1
Bocs, hogy ide nyitottam, de sürgős, remélem nemsokára törölhető. Az a gondom, hogy fél
órája elkezdte azt csinálni a gép, hogy 1 percről visszaszámol, közli hogy resetelni
fog, de nem tudom leállítani a folyamatot. A hiba oka szerinte: Távoli eljáráshívás
(RPC) váratlanul befejeződött.
Mit csináljak?