[info] Vulnerabilitati Windows - HanuAncutei.com - ARTA de a conversa

HanuAncutei.com - ARTA de a conversa!

Haine Dama designer roman

LocuriFaine: Hoteluri si Pensiuni de Lux | Ferma Club

Bine ati venit ca musafir! ( Logare | Inregistrare )

HanuAncutei.com - ARTA de a conversa > Odaia IT > Software, Hardware si Programare

[info] Vulnerabilitati Windows

Mihai Vizualizare profil forumist	4 May 2004, 02:36 PM Mesaj #1
Gazda Hanului Grup: Admin Mesaje: 8.578 Inscris: 22 February 03 Din: Hanu Ancutei Forumist Nr.: 1	WORM_SASSER.B este un vierme ce exploateaza vulnerabilitatea Microsoft MS04-011 ce permite initierea unui atac buffer overflow si executarea de cod arbitrar in scopul preluarii controlului asupra sistemului. Dupa lansare WORM_SASSER.B: 1. Isi va face o copie cu numele %System%\AVSERVE2.EXE; 2. Ientru a se asigura ca va fi lansat la fiecare pornire a sistemului, va modifica registrii: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run avserve.exe = %Windows%\avserve2.exe 3. Spre deosebire de varianta precedenta ce cauta un singur mutex numit Jobaka3l, aceasta versiune va cauta sesiunile mutex: Jobaka3 si JumpallsNlsTillt 4. Pentru a se propaga, va scana adrese IP aleatoare pentru a gasi sisteme afectate de vulnerabilitatea MS04-011. Cand un sistem vulnerabil este gasit, va trimite un pachet special pentru a crea o eroare de tip buffer overflow pe LSASS.EXE. Pachetul pentru initierea buffer overflow va fi trimis pe portul 445/TCP, un port valid folosit de catre Windows 2000 pentru a transmite pachete SMB (Server Message Block) peste TCP si UDP. Rezultatul erorii buffer overflow va permite acestui vierme sa monitorizeze un anumit port de unde va primi instructiuni pentru deschiderea unui shell de comanda. Deschiderea unui shell de comanda va permite acestui vierme sa se autoruleze oricand anumite fisiere sunt executate sau deschise. Va crea apoi fisierul script CMD.FTP ce va contine instructiuni pentru ca sistemul vulnerabil sa descarce sis a execute o copie a acestui vierme prin FTP. Sistemul gazda infectat va deschide apoi portul 5554/TCP pentru a accepta orice conexiune FTP de la sistemele infectate. Copia virusului ce va fi descarcata prin FTP va purta denumirea <numar aleator>_up.exe (ex:12345_up.exe) si va fi salvat in directorul Windows. Dupa descarcare, va sterge CMD.FTP. Va fi creat un fisier de tip log WIN.LOG in directorul radacina. Acest fisier va contine numarul de sisteme pe care gazda le-a infectat, percum si ultimul IP pe care aceasta la scanat. 5. De vreme ce acest vierme va cauza o eroare buffer overflow in LSASS.EXE, va cauza generarea unei erori ce va necesita repornirea sistemului de operare: Sursa: GeCAD.ro Detalii despre Vulnerabilitatea Windows Download Patch pentru Windows (Recomandat!) Tool pentru Verificarea si Stergerea Worm-ului (Recomandat!) Alte linkuri: Symantec.com, TrendMicro --------------------

Mesaje in acest topic

Mihai [info] Vulnerabilitati Windows 4 May 2004, 02:36 PM

Mihai Creatorul virusului informatic "Sasser",... 10 May 2004, 12:03 AM

Mihai Vulnerabilitate in centrul de suport si ajutor din... 12 May 2004, 09:28 PM

Mihai Incidente cu Microsoft Internet Information Servic... 26 Jun 2004, 12:15 AM

« Cele mai vechi · Software, Hardware si Programare · Cele mai noi »

Closed Topic

Start new topic

Mod Afisare: Comuta la: Standard · Comuta la: Liniar+ · Outline

Abonare topic · Trimite unui prieten · Tiparire topic · Abonare forum

Versiune Text-Only

Data este acum: 18 April 2024 - 04:04 PM

Ceaiuri Medicinale Haine Dama Designer Roman

Powered By IP.Board © 2024 IPS, Inc
Powered by Minerva SEO IPB module