Ajutor - Cauta - Forumisti - Calendar
Versiune completa:[info] Vulnerabilitati Windows
HanuAncutei.com - ARTA de a conversa > Odaia IT > Software, Hardware si Programare
Mihai
WORM_SASSER.B este un vierme ce exploateaza vulnerabilitatea Microsoft MS04-011 ce permite initierea unui atac buffer overflow si executarea de cod arbitrar in scopul preluarii controlului asupra sistemului.

Dupa lansare WORM_SASSER.B:

1. Isi va face o copie cu numele %System%\AVSERVE2.EXE;

2. Ientru a se asigura ca va fi lansat la fiecare pornire a sistemului, va modifica registrii:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run avserve.exe = %Windows%\avserve2.exe

3. Spre deosebire de varianta precedenta ce cauta un singur mutex numit Jobaka3l, aceasta versiune va cauta sesiunile mutex: Jobaka3 si JumpallsNlsTillt

4. Pentru a se propaga, va scana adrese IP aleatoare pentru a gasi sisteme afectate de vulnerabilitatea MS04-011. Cand un sistem vulnerabil este gasit, va trimite un pachet special pentru a crea o eroare de tip buffer overflow pe LSASS.EXE. Pachetul pentru initierea buffer overflow va fi trimis pe portul 445/TCP, un port valid folosit de catre Windows 2000 pentru a transmite pachete SMB (Server Message Block) peste TCP si UDP.
Rezultatul erorii buffer overflow va permite acestui vierme sa monitorizeze un anumit port de unde va primi instructiuni pentru deschiderea unui shell de comanda.
Deschiderea unui shell de comanda va permite acestui vierme sa se autoruleze oricand anumite fisiere sunt executate sau deschise. Va crea apoi fisierul script CMD.FTP ce va contine instructiuni pentru ca sistemul vulnerabil sa descarce sis a execute o copie a acestui vierme prin FTP.
Sistemul gazda infectat va deschide apoi portul 5554/TCP pentru a accepta orice conexiune FTP de la sistemele infectate. Copia virusului ce va fi descarcata prin FTP va purta denumirea <numar aleator>_up.exe (ex:12345_up.exe) si va fi salvat in directorul Windows.
Dupa descarcare, va sterge CMD.FTP. Va fi creat un fisier de tip log WIN.LOG in directorul radacina. Acest fisier va contine numarul de sisteme pe care gazda le-a infectat, percum si ultimul IP pe care aceasta la scanat.

5. De vreme ce acest vierme va cauza o eroare buffer overflow in LSASS.EXE, va cauza generarea unei erori ce va necesita repornirea sistemului de operare:

user posted image

user posted image

Sursa: GeCAD.ro


Detalii despre Vulnerabilitatea Windows

Download Patch pentru Windows (Recomandat!)

Tool pentru Verificarea si Stergerea Worm-ului (Recomandat!)


Alte linkuri: Symantec.com, TrendMicro
Mihai
Creatorul virusului informatic "Sasser", arestat in Germania

Potrivit sursei, este vorba de un tanar de 18 ani, originar din Waffensen, langa Bremen (Saxonia Inferioara), care a fost arestat vineri, in urma unui denunt. Revista germana Der Spiegel afirma, in editia de astazi, ca Politia si Parchetul germane au facut o perchezitie la domiciliul tanarului, unde au gasit un mare numar de probe. Tanarul este suspectat ca s-ar fi aflat si la originea virusului "Netsky.ac", care s-a propagat pe Internet in cursul noptii de marti spre miercuri. Virusul informatic Sasser (W32/Sasser), care ataca sistemele Windows 2000, Windows Server 2003 si Windows XP, poate infecta un calculator doar pentru ca a fost conectat la Internet, si nu printr-un e-mail.

Microsoft, implicat in ancheta
Studentul la informatica, a carui identitate nu a fost facuta publica, a fost arestat dupa ce grupul american Microsoft a contribuit la investigatii prin indiciile oferite autoritatilor germane.
"Suntem absolut siguri ca acesta este creatorul virusului de pe Internet deoarece expertii Microsoft au fost implicati in ancheta si ne-au confirmat suspiciunile, iar suspectul si-a recunoscut vinovatia", a declarat Frank Federau, din cadrul Politiei din Landul Saxonia Inferioara. El a mai spus ca tanarul a studiat informatica la o scoala profesionala si ca a dobandit "pasiunea pentru programare" datorita afacerii familiei sale din domeniul serviciilor informatice.

Recompensa si-a facut efectul
Un grup de informaticieni din Saxonia Inferioara au contactat, miercuri, Microsoft pentru a cere informatii in legatura cu recompensa oferita pentru predarea autorului, a anuntat consilierul general al grupului, Brad Smith.
El a declarat ca Microsoft a acceptat sa-i recompenseze pe informatori, daca se va pronunta o sentinta de condamnare. Desi a recunoscut ca se afla la originea Sasser, autorul virusului a fost lasat in libertate deoarece nu s-au gasit probe care sa ateste ca este recidivist. Politia germana crede ca el a creat toate variantele virusului de tip "worm" Sasser, un program distructiv printre victimele caruia se afla persoane fizice, corporatii si agentii guvernamentale din America de Nord, Asia si Europa. Cele mai afectate institutii europene par sa fie Deutsche Post si paza de coasta din Marea Britanie.

Judecat de un tribunal pentru minori
In urma primelor declaratii luate de catre politisti, reiese ca el nu a fost constient de amploarea daunelor pe care le-a cauzat. Tanarul ar putea fi judecat de un tribunal pentru minori deoarece a implinit 18 ani abia in data de 29 aprilie, mai precizeaza Politia germana. Pentru infractiunea de care este acuzat, "sabotaj informatic", el risca o pedeapsa cu inchisoarea de maximum cinci ani. La descinderea in locuinta tanarului, Politia a gasit codul-sursa al Sasser in computerul acestuia. Se crede ca el a actionat singur, dar a comunicat cu alti programatori.

Sasser a terorizat si tara noastra
Sistemele informatizate ale societatii Electrica, sucursalele Neamt si Suceava, au fost blocate, la mijlocul saptamanii trecute, de virusul Sasser, iar angajatii firmei nu au reusit sa faca nici plati si nici incasari.
"S-a constatat ca exista un virus in sistem, dupa care am inchis toate computerele pentru a verifica de unde s-a ivit acest virus. Problema se va rezolva in cel mai scurt timp cu putinta. Noi avem acces la Internet si banuim ca de acolo ar fi problema", declara seful Biroului de relatii cu publicul din cadrul Electrica Neamt, Dumitru Olaru. El a mai spus ca deocamdata nu s-a stabilit la cat se ridica pierderile inregistrate de societate, din cauza virusarii sistemului informatic. Cu aceeasi problema s-a confruntat si Electrica Suceava, unde virusul Sasser a facut imposibila folosirea programelor de facturare a energiei electrice.

Sursa: Madalin Pribu, Gardianul.ro
Mihai
Vulnerabilitate in centrul de suport si ajutor din Microsoft Windows

Microsoft a anuntat lansarea unui patch pentru rezolvarea unei probleme aparute in centrul de suport si ajutor (Help and Support Center) din Microsoft Windows.

Vulnerabilitatea este cauzata de o eroare in validarea unor date de intrare, aceasta putand fi exploatata via protocolul HCP in Microsoft Windows Xp si Microsoft Windows 2003 prin Internet Explorer sau Outlook.

Versiuni afectate:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Celelalte versiuni de Windows nu contin HCP si deci nu sunt afectate.

Patch-urile pentru aceasta vulnerabilitate sunt disponibile prin WindowsUpdate sau de la urmatoarele adrese:

Microsoft Windows XP si Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows XP 64-Bit Edition Version 2003
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details...&displaylang=en

Microsoft Windows Server 2003 64-Bit Edition
http://www.microsoft.com/downloads/details...&displaylang=en

Vulnerabilitatea a fost anuntata de: http://www.microsoft.com
Pentru mai multe detalii: http://www.microsoft.com/technet/security/...n/MS04-015.mspx

Sursa: Gecad.ro, Simion PREDA
Aceasta este o versiune "Text-Only" a continutului acestui forum. Pentru a vizualiza versiunea completa, cu mai multe informatii, formatari si imagini,click aici.
Invision Power Board © 2001-2024 Invision Power Services, Inc.