Vulnerabilità Plug And Play: arrivano le prime vittime illustri

[vale56]

Da Windows Startup aplication (http://www.virit.com/startup/scheda.asp?num=1652)

Descrizione:

Questo virus sfrutta la vulnerabilità di RPC COM di Windows. Quando eseguito, il virus Tenga.A infetta tutti i file .EXE del disco fisso e si propagherà attraverso la rete LAN. Inoltre scaricherà il file CBACK.EXE infetto da Trojan.Win32.Agent.KL.

Il virus cerca di prelevare anche il file DL.EXE da utenti.lycos.it

Il virus Win32.Tenga.A puo' rovinare i file .EXE quando li infetta, in questo caso si dovranno sostituire con delle copie pulite.


da www.viruslibrary.com (copiato dalla cache di google)

Tenga infects PE exe files. The virus can also behave like a Network-Worm if it finds machines that are vulnerable to MS03-026 in Microsoft Windows DCOM RPC Interface

quindi basta essere collegati in rete, se non ha mesdsdo la pacth MS03-026

[12pippopluto34]

Quote:

Originariamente inviato da Barone di Sengir

[cut]

non uso firewall perchè quando ne usavo non notavo differenze, ma solo fastidi

Da quanto ha scritto sopra vale56, il problema sembra essere proprio questo, dovuto forse anche alla mancanza dell'opportuna patch di Windows.

Comunque se il tuo pc e' direttamente connesso ad Internet tramite modem, e non tramite router, ti consiglio vivamente di abilitare quantomeno il firewall di XP (se hai XP, ovvio!); e' poco invadente, si configura abbastanza agevolmente e ti para il nella maggioranza dei casi da worms come nella fattispecie.

[Cfranco]

Quote:

Originariamente inviato da edivad82

dimentichi quanto sono belle le vpn, le reti locali, le wan ed il click del cavo di rete di un portatile infetto che si collega alla rete e questo è solo un esempio

E quanto sono belli i modem attaccati al telefono no ? Entra dal doppino ed esce dalla presa ethernet in un nanosecondo .

[Gildor]

Non so se è successo anche ad altri, cmq al riavvio dopo l'installazione mi si è piantato completamente il monitor tft, nel senso che visualizzava delle "trame" colorate a caso, anche durante il boot e provando ad accenderlo con il pc spento...

Stavo già maledicendo microsoft ma dopo aver "staccato/riattaccato" sia monitor che pc tutto è tornato normale-_-...mah

[vale56]

Quote:

Originariamente inviato da Gildor

Non so se è successo anche ad altri, cmq al riavvio dopo l'installazione mi si è piantato completamente il monitor tft, nel senso che visualizzava delle "trame" colorate a caso, anche durante il boot e provando ad accenderlo con il pc spento...

Stavo già maledicendo microsoft ma dopo aver "staccato/riattaccato" sia monitor che pc tutto è tornato normale-_-...mah

Hai verificato la frequenza di refresh della scheda video?
Se hai un monitor TFT mettila a 60 Hz senza problemi, i TFT non hanno bisogno di refresh elevati (e non tutti accettani il refresh superiore a 75 Hz)

[Gildor]

Quote:

Originariamente inviato da vale56

Hai verificato la frequenza di refresh della scheda video?
Se hai un monitor TFT mettila a 60 Hz senza problemi, i TFT non hanno bisogno di refresh elevati (e non tutti accettani il refresh superiore a 75 Hz)

Si si ora è tutto a posto...è stato un problema causato da sta benedetta patch, anche se nn so come ...il refresh è sempre e comunque settato a 60 Hz (anche perchè alla risoluzione standard non posso fare altrimenti)

[edivad82]

Quote:

Originariamente inviato da Cfranco

E quanto sono belli i modem attaccati al telefono no ? Entra dal doppino ed esce dalla presa ethernet in un nanosecondo .

anche le chiavette usb, i cd, i dvd, i floppy...tutto quello che entra può essere sospetto...soluzioni? ammazzare i dipendenti
oppure fare venire una gastrite al sysadmin segmentando di brutto la rete, vlan, routing e firewall...avrai meno performance, avrai più gastriti da curare ma almeno isoli i problemi ai singoli uffici...ma è lavoro a tempo pieno per tre persone in una azienda media

[nicscics]

Quando comunichi al cliente che deve aggiornare, fa un'alzata di spalle, perchè ha paura di doverti pagare per l'intervento. Ora che comincio a ricevere chiamate di aiuto, mi diverto io. Ora sì che gli costerà uno sproposito!

[edivad82]

Quote:

Originariamente inviato da nicscics

Quando comunichi al cliente che deve aggiornare, fa un'alzata di spalle, perchè ha paura di doverti pagare per l'intervento. Ora che comincio a ricevere chiamate di aiuto, mi diverto io. Ora sì che gli costerà uno sproposito!

beh...ovvio

ciao nic

[Sh0K]

Raga ma per questa vulnerabilità non basta disabilitare il servizio plug & play dentro services.msc?

Comunque la mamma dei virus writer è sempre incinta

[12pippopluto34]

Quote:

Originariamente inviato da Sh0K

Raga ma per questa vulnerabilità non basta disabilitare il servizio plug & play dentro services.msc?

Credo di si', ma credo anche che sia fortemente sconsigliato farlo:
(riporto quanto scritto nella relativa console di XP)

Quote:

Abilita un computer a riconoscere e adattarsi alle modifiche hardware con il minimo input da parte dell'utente o senza alcun input. Se il servizio viene arrestato o disabilitato, il sistema diventerà instabile.

Il gioco vale la candela?
Qualcuno l'ha mai disabilitato prima per lungo tempo?

Quote:

Comunque la mamma dei virus writer è sempre incinta

It's business, baby!

[canislupus]

@12pippopluto34

Ehm non lo potevo decidere in quanto in fondo secondo loro ero un semplice tecnico (sai HelpDesk di IBM...)
Cmq sono d'accordo che si debbano cercare delle soluzioni che creino meno incompatibilità possibili, però è anche vero che solo da qualche mese hanno deciso di blindare i pc con delle policies restrittive. Prima quasi tutti gli utenti erano anche amministratori del proprio pc e puoi capire quando succede che si parla di ben 2000 pc !!!
Calcola che poi ovviamente c'erano dei firewall di un certo livello con anche dei filtri in base al contenuto delle pagine visitate e con un continuo controllo della rete per verificare consumi eccessivi (che potevano essere sintomo dell'uso di sw p2p oppure di qualche infezione).
Quello che volevo cmq dire è che spesso la troppa paura di certe aziende nell'aggiornare porta poi più danni che benefici (leggasi chiama il povero tecnico di turno a staccare tutti i pc dalla rete e togliere a manina i vari virus... ).

@Sh0K

Certo si può disabilitare il plug & play però calcola che potresti avere un casino di problemi ogni volta che provi ad installare qualche periferica (pensa se non viene riconosciuta al casino che devi fare). Magari potresti pensare di lasciarlo su manuale in modo da avviarlo solo in caso di necessità.

[samuelx]

Io ho un server con win2003, ho aggiornato una decina di gg fa però non potevo riavviare. Fino a ora non è successo nulla. Oggi ho provato a vedere sul windows update se avevo già installato le patch ma mi dice che prima devo riavviare il pc per fare un altro upgrade. Se non avevo installato le patch ero già infettato giusto?

[NoX83]

Direi di no, le patch critiche solitamente non vengono implementate fino al riavvio. Ma non è nemmeno detto che il tuo pc debba per forza di cose essere stato infettato anche se privo di aggiornamenti. Come c'è la sfiga, esiste anche il deretano

[12pippopluto34]

Quote:

Originariamente inviato da canislupus

@12pippopluto34

Ehm non lo potevo decidere in quanto in fondo secondo loro ero un semplice tecnico (sai HelpDesk di IBM...)

Come ti capisco!

Quote:

Cmq sono d'accordo che si debbano cercare delle soluzioni che creino meno incompatibilità possibili, però è anche vero che solo da qualche mese hanno deciso di blindare i pc con delle policies restrittive. Prima quasi tutti gli utenti erano anche amministratori del proprio pc e puoi capire quando succede che si parla di ben 2000 pc !!!

anche qui!
Purtroppo AFAIK e' prassi dare diritti di local_admin agli utenti Win32.


Di chi e' la colpa?
Dei sysadmin MCSE o del sw di Redmond?

Quote:

[cut]

Quello che volevo cmq dire è che spesso la troppa paura di certe aziende nell'aggiornare porta poi più danni che benefici (leggasi chiama il povero tecnico di turno a staccare tutti i pc dalla rete e togliere a manina i vari virus... ).

[cut]

Capitato anche a me!

[vale56]

Quote:

Originariamente inviato da 12pippopluto34

Di chi e' la colpa?
Dei sysadmin MCSE o del sw di Redmond?

direi al 90% del s.o. di MS, che non è nato e non è capace di lavorare bene come normal user, al 10% del sysadmin.

Nell'azieda in cui lavoro abbiamo provato a portare gli utenti a lavorare come normal user, ma poi non funzionava nulla, a partire dalle applicazioni Web che richiedono di aggiornare degli ocx, alla possibilità di installare stampanti... (nota che il PnP le installa, ma l'utente no!)

[canislupus]

@vale56

Beh se hai delle persone che sanno lavorare bene, ti assicuro che anche un utente blindato riesce tranquillamente ad usare i sw aziendali. Le installazioni di tutto quello che serve per lavorare vengono fatte in laboratorio dal tecnico (qualcuno mi ha chiamato ? ) e l'utente ha solo la possibilità di lavorare. Non sai quante volte mi sono sentito dire: "Senta mi puoi installare il programmino per vedere i divx e sentire gli mp3"...
In questo modo ti assicuro che i danni diminuiscono esponenzialmente (noi addirittura bloccavamo l'accesso a c, al pannello di controllo, al registro di sistema, alla funzione esegui, alla modifica delle impostazioni dello schermo...).
Non dico che non ci siano stati problemi anche particolari, ma in questo modo sicuramente gli interventi sono stati minori e spesso si riducevano a installazioni o aggiornamenti del pacchetto sw.

[12pippopluto34]

Quote:

Originariamente inviato da canislupus

@vale56

Beh se hai delle persone che sanno lavorare bene, ti assicuro che anche un utente blindato riesce tranquillamente ad usare i sw aziendali. Le installazioni di tutto quello che serve per lavorare vengono fatte in laboratorio dal tecnico (qualcuno mi ha chiamato ? ) e l'utente ha solo la possibilità di lavorare.

[cut]

Esatto!


Difatti tutto si puo' fare, bene o male.
Purtroppo pero' bisogna scontrarsi col budget che la gente e' disposta a spendere in assistenza, dunque nel tempo-denaro che occorre per porre in essere una struttura di rete quotidianamente efficiente e sicura.

La sicurezza sinora non viene vista dai piu' come un passaggio obbligatorio per un'infrastruttura informatica, probabilmente anche perche' non hanno assolutamente le basi per comprenderne l'importanza.

E nemmeno si rendono conto che una rete ben progettata e configurata, nel tempo ripaga e fa spendere di meno.
Per dirla con un vecchio adagio pubblicitario: prevenire e' meglio che curare!

Ma vaglielo tu a spiegare!


Tutti vogliono tutto e subito!
Poi, finche' non si andra' in galera per la diffusione di dati personali a causa di epidemie informatiche, nessuno si ricredera'; ed anche allora le prime teste a cadere saranno quelle dei tecnici di turno, a cui purtroppo non e' stata data carta bianca per mettere in sicurezza la rete anzitempo!

[samuelx]

Quote:

Originariamente inviato da NoX83

Direi di no, le patch critiche solitamente non vengono implementate fino al riavvio. Ma non è nemmeno detto che il tuo pc debba per forza di cose essere stato infettato anche se privo di aggiornamenti. Come c'è la sfiga, esiste anche il deretano

hum ma non posso riavviarlo. si può installare il sp1 senza riavviare e non si possono installare le patch

[corgiov]

Veramente, colpisce anche Windows XP Professional SP2. Finalmente ho capito perché il sistema spesso mi si riavvia. Le patch non servono a niente!

Ho in ogni caso messo a monitorare la porta 455 dal Firewall. Speriamo che finalmente mi si lasci stare.