AVISO acerca dos Reboots dos PC's do pessoal > WORM activity detected!

[kazuza]

Pois é! Além de sacarem o patch da M$, vejam também:

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

Parta-se do principio, que se os vossos sistemas estivessem bem configurados, nada disto vos acontecia....
Este worm até o windows update tenta bloquear, com técnicas de DoS...

lindo!

 

[Nemesis11]

Só vou meter o 1º comentário que está no Osnews ( http://www.osnews.com/comment.php?news_id=4254&limit=no )

You probably won't believe this, but I just installed Win2k (With SP3 included) on this box, and WHILE IT WAS STILL INSTALLING WINDOWS, I got infected with msblast.

Not kidding.

Isto está bonito......

 

[JCmendes]

Bom o meu vizinho ligou-me há hora do almoço a dizer que o tinha apanhado!!!

esta aqui o patch:

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

 

[Nemesis11]

O engraçado é que esse patch tem 3 semanas, é pequeno e se bem me lembro nem é necessário fazer um restart.......

 

[JCmendes]

Bom, ele diz-me que assim que entra em Win começa a contagem decrecente de 60 segundos!

há alguma hipotese de parar e correr a tool do antivirus?

 

[Nemesis11]

Tirei isto de outra thread

http://homepage.ntlworld.com/michaelgadge/shutdownproblem.htm

Edit:O meu telemovel ja tocou 4 vezes com amigos meus desesperados. 2 deles até já formataram........

Isto está bonito.......

Edit2: Fica aqui o que está naquele site para ajudar a resolver os problemas

PC SHUTDOWN PROBLEMS - RPC EXPLOIT/REMOTELY RESTARTING

IDENTIFIED AS THE W32.Blaster.Worm VIRUS

W32.Blaster.Worm is a worm that will exploit the DCOM RPC vulnerability using TCP port 135. It will attempt to download and run a file, msblast.exe

------------------------------------------------------------------------------------------------

TO CANCEL THE SHUTDOWN GO TO START -> RUN -> TYPE CMD TO ACCESS CMD PROMPT AND
TYPE (SHUTDOWN -A) TO CANCEL IT.

DO CTRL+ALT+DELETE AND KILL MSBLAST.EXE FROM THE PROCESSES LIST

GO TO C:\WINDOWS\SYSTEM32 AND FIND MSBLAST.EXE AND RENAME IT TO BLASTMS.BAK (DON'T DELETE IT SINCE I DON'T KNOW IF IT IS AN IMPORTANT FILE, IF ITS A VIRUS IT WILL NOT
BE ABLE TO START IF U RENAME IT, RENDERING IT USELESS.)

NOW GO TO C:\WINDOWS\PREFETCH AND DELETE THE FILE THAT HAS MSBLAST.EXE IN ITS NAME.
(IT STARTS WITH MSBLAST.EXE IN ITS FILENAME)

THE VIRUS ADDS A REGISTRY VALUE TO AUTO LOAD WHEN WINDOWS STARTS UP, YOU MUST DELETE THE REGISTRY KEY.

1. Click Start, and then click Run. (The Run dialog box appears.)
2. Type regedit

3. Then click OK. (The Registry Editor opens.)

4. Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5. In the right pane, delete the value:

"windows auto update"="msblast.exe"

6. Exit the Registry Editor.

INSTALL THE PATCH FOR YOUR SYSTEM FROM THE LINKS BELOW

NON SP1 USERS =
http://microsoft.com/downloads/deta...6C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

SP1 USERS = http://securityresponse.symantec.com/avcenter/security/Content/8205.html

Boa sorte

 

[kazuza]

Originally posted by JCmendes
Bom, ele diz-me que assim que entra em Win começa a contagem decrecente de 60 segundos!

há alguma hipotese de parar e correr a tool do antivirus?

shutdown -a

na linha de comandos...

Vocês não estão a perceber...
Ao aplicarem o patch da M$, removem a vulnerabilidade RPC dos servicos COM+, mas não removem o executável...
Apliquem também, a tool da Symantec....

 

[JCmendes]

ok, tb já me disseram esta:

1º Abrir janela de DOS e escrever "shutdown -a" para abortar o encerramento do windows. 2º Abrir página "microsoft.com/technet/" 3º Abrir link que tem uma fechadura "Action: Read Security..." 4º De seguida ir a PATCH AVAILABILITY e fazer download do WINDOWS XP 32 ou WINDOWS 2000 confore versão 5º Opção DOWNLOAD 6º Quando aparecer uma janela escolher a opção ABRIR e não o SAVE.




Já agora este virus apanha-se COMO????

 

[Nemesis11]

Isso não é um virus, é um worm.

Está tudo explicado no Link do kazuza.

W32.Blaster.Worm is a worm that will exploit the DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135. This worm will attempt to download and run the Msblast.exe file.

Block access to TCP port 4444 at the firewall level, and then block the following ports, if they do not use the applications listed:

* TCP Port 135, "DCOM RPC"
* UDP Port 69, "TFTP"

Edit:

Só como curiosidade, só vi isto agora:

The worm contains the following text, which is never displayed:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

 

[estigma]

Já tenho amigos meus a formatar o PC... não ajuda nada.

Nada de formatar o PC! Não ajuda só adia o problema... e no caso que o Nemesis11 disse, nem adia...

Isto é grave mas não é muito grave... só serve para enervar o pessoal! Depois de fechar o sistema tudo passa...

 

[kazuza]

Também reparaste...

Engraçado!... lol

 

[estigma]

FORMATAR não é a resposta:

I'm serious when I say this.
I just re-installed XP on a laptop. After instaling the drivers, rebooting, and setting up the network connection, I immediately recieved a message that the system will be shutting down.

So, does anybody know how to get rid of this thing once you get it?

uma boa solução/dica:

Was attacked yesterday. The first thing I did when the warning window (that Windows had to shut down) was running netstat which listed a large amount of computers connected to mine (that shouldn't be - this is my workstation not my server).
The second thing (within a few seconds) was to pull the network cable. When the system had rebooted I simply searched for files that had changed recently and so found "msblast.exe" in the /windows/system32 directory.
This files was renamed "msblast.shit" and a dummy (0 bytes large - cannot execute) files with the original name was put in place.
After that the network was reactivated and the patch installed...
Oh and of course one have to remove the reactivation shit that it put into the registry - either search for "msblast.exe" or simply go to HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun and look for an entry containing "msblast.exe".

 

[JAFoNEXUS]

isto é incrivel, ate ja deu nos telejornais :die:

 

[Tecnoboy]

Epá desculpem la, mas acho que já se disse o que era perciso sobre este problema, é que já existem 3 threads a falar do mesmo e acho que mais uma é desnecessário.

Se quiserem falar sobre isto usem uma destas duas threads:

http://forum.techzone.d2g.com/showthread.php?s=&threadid=21090

OU

http://forum.techzone.d2g.com/showthread.php?s=&threadid=21084