Hardware Upgrade Forum - View Single Post - I nuovi loghi delle cpu AMD Athlon 64 e Opteron

J0J0 · 12-08-2003, 11:10

Scusate l'ot

ma dato che hwupgrade ancora nn ne riporta la notizia...
ricordati i msg di NICOLE del messanger?
bene, ieri c'e' stato un'attacco del genere
solo che questa volta non si tratta di un semplice POPUP premi OK...
ma sfuttando una connessione in FTP remoto (TFTP.EXE)
questi pacchetti/codice vi fa scarira ed installare un file MSBLAST.EXE che altro non e' che una trojan o semplice scherzo (ancora non si e' capito bene)e dopo pochi sencondi stoppa il servizio RPC dei sistemi NT/2000/XP/2003
provocando una arresto inaspettato del servizio e conseguente riavvio della macchina
Scompattando il file MSBLAST.EXE con UPX (un decompressore di file EXE)
c'e' un messaggio che riporta questa frase...

Bill Gates: «Perché hai permesso tutto ciò? Smettila di fare soldi e ripara il tuo computer».

ovviamente in inglese

io ho solo tradotto.
Una volta installata le patch

http://download.microsoft.com/download/a/2/f/a2fddb77-f81d-4fe5-a819-8787cba53a4b/WindowsXP-KB823980-x86-ITA.exe

http://download.microsoft.com/download/e/e/e/eeeef42a-5ce6-4a2d-8d9c-fa968028f06b/WindowsServer2003-KB823980-x86-ITA.exe

bisogna rimuovere dalla memoria il file terminando il processo con la TASKMAN... e rimuovere la voce nel registro o tramite MSCONFIG

Il responsabile dello "scherzo" avrebbe potuto fare di tutto, ma ha solo avvisato questa grave falla...
siamo stati fortunati...

per altri approfondimenti e patch per risolvere questo problema...
consiglio:

http://www.corriere.it/Primo_Piano/Scienze_e_Tecnologie/2003/07_Luglio/17/microsoft.shtml

http://www.zanezane.net/z.asp?mail=127

http://www.corriere.it/Primo_Piano/Economia/2003/08_Agosto/12/lovsan.shtml

http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html

ovviamente ieri norton non segnalava il problema, oggi forse si!

ragazzi la cosa e' gravissima a mio avviso...
non si vedeva una cosa del genere dai tempi dei Ping of the dead... tramite la porta 139 mascherina blu... TCP interrotto e disconnessione forzata

CHE TEMPI

heeheh

oggi dopo i driver del chipset, consiglio di installare questa path

Se avete Agnius OUTPOST siete protetti... i pacchetti non raggiungono il servizio RPC e quindi non scaricano il file infetto.
Dovrebbero funzinoare anche norton I security e zone alarm
non funziona invece Sygate...
Buona rimozione a tutti...

Spero di essere stato utile

12-08-2003, 11:10	#18
J0J0 Bannato Iscritto dal: Jul 2002 Messaggi: 464	OT ma importante (virus LOVESAN) Scusate l'ot ma dato che hwupgrade ancora nn ne riporta la notizia... ricordati i msg di NICOLE del messanger? bene, ieri c'e' stato un'attacco del genere solo che questa volta non si tratta di un semplice POPUP premi OK... ma sfuttando una connessione in FTP remoto (TFTP.EXE) questi pacchetti/codice vi fa scarira ed installare un file MSBLAST.EXE che altro non e' che una trojan o semplice scherzo (ancora non si e' capito bene)e dopo pochi sencondi stoppa il servizio RPC dei sistemi NT/2000/XP/2003 provocando una arresto inaspettato del servizio e conseguente riavvio della macchina Scompattando il file MSBLAST.EXE con UPX (un decompressore di file EXE) c'e' un messaggio che riporta questa frase... Bill Gates: «Perché hai permesso tutto ciò? Smettila di fare soldi e ripara il tuo computer». ovviamente in inglese io ho solo tradotto. Una volta installata le patch http://download.microsoft.com/download/a/2/f/a2fddb77-f81d-4fe5-a819-8787cba53a4b/WindowsXP-KB823980-x86-ITA.exe http://download.microsoft.com/download/e/e/e/eeeef42a-5ce6-4a2d-8d9c-fa968028f06b/WindowsServer2003-KB823980-x86-ITA.exe bisogna rimuovere dalla memoria il file terminando il processo con la TASKMAN... e rimuovere la voce nel registro o tramite MSCONFIG Il responsabile dello "scherzo" avrebbe potuto fare di tutto, ma ha solo avvisato questa grave falla... siamo stati fortunati... per altri approfondimenti e patch per risolvere questo problema... consiglio: http://www.corriere.it/Primo_Piano/Scienze_e_Tecnologie/2003/07_Luglio/17/microsoft.shtml http://www.zanezane.net/z.asp?mail=127 http://www.corriere.it/Primo_Piano/Economia/2003/08_Agosto/12/lovsan.shtml http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html ovviamente ieri norton non segnalava il problema, oggi forse si! ragazzi la cosa e' gravissima a mio avviso... non si vedeva una cosa del genere dai tempi dei Ping of the dead... tramite la porta 139 mascherina blu... TCP interrotto e disconnessione forzata CHE TEMPI heeheh oggi dopo i driver del chipset, consiglio di installare questa path Se avete Agnius OUTPOST siete protetti... i pacchetti non raggiungono il servizio RPC e quindi non scaricano il file infetto. Dovrebbero funzinoare anche norton I security e zone alarm non funziona invece Sygate... Buona rimozione a tutti... Spero di essere stato utile