!!! PRVN═ RPC ╚ERV - OBROVSK┴ EPIDEMIE !!!

[14.8.2003 - 12:50] RozÜφ°eny informace o instalaci bezpeΦnostnφch zßplat.

[12.8.2003 - 0:30] OΦekßvßnφ n∞kter²ch odbornφk∙ se vyplnilo, na sv∞t∞ je nov², tentokrßt nefalÜovan² Φerv Win32/Blaster (nebo Win32/Lovsan). Vyu₧φvß bezpeΦnostnφ dφru v DCOM RPC rozhranφ (detailn∞ popsßno v MS Bulletinu MS03-26) a prvnφ odezvy ukazujφ, ₧e se vφce ne₧ ·sp∞Ün∞ Üφ°φ sv∞tem !!!

[13.8.2003 - 18:00] NovΘ varianty Φerva Win32/Blaster (Win32/Lovsan) jsou na sv∞t∞ ! Symantec informuje o variant∞, kterß mφsto MSBLAST.EXE vypouÜtφ PENIS32.EXE, Kaspersky Lab. pak o variant∞ se souborem TEEKIDS.EXE. Podrobnosti budou p°ineseny pozd∞ji.

VedlejÜφm efektem Φerva m∙₧e b²t nevyhnuteln² restart operaΦnφho systΘmu - netypick² tφm, ₧e je na n∞j upozorn∞no minutu p°ed jeho vykonßnφm a nßsledn∞ odpoΦφtßvßn Φas ! V zobrazenΘm textu je mimojinΘ k vid∞nφ °et∞zec "NT Authority\System".

NEJJEDNODUèè═ FORMA L╔╚EN═:

KROK PRVN═

  • Je NUTN╔ nainstalovat bezpeΦnostnφ zßplatu, pouhΘ odstran∞nφ Φerva antivirem NESTA╚═, v °ad∞ p°φpad∙ se toti₧ do n∞kolika minut vrßtφ a celß situace se opakuje ! BezpeΦnostnφ zßplatu lze stßhnout z tΘto adresy. Vyberte p°φsluÜn² operaΦnφ systΘm, kter² vlastnφte (v p°φpad∞ Windows XP volte 32-bit variantu) a potΘ v pravΘ Φßsti zvolte jazykovou verzi (change language) VaÜeho operaΦnφho systΘmu Windows - stiskn∞te GO ! Nßsledn∞ stßhn∞te vybranou zßplatu kliknutφm na odkaz, kter² se ve stejnΘ oblasti objevil.

    Nßsledujφ p°φmΘ odkazy na bezpeΦnostnφ zßplaty pro nejb∞₧n∞jÜφ operaΦnφ systΘmy:

    Windows XP Φeskß verze
    Windows 2000 Φeskß verze

    Windows 2000 anglickß verze
    Windows XP anglickß verze

    OperaΦnφch systΘm∙ Windows 9x (95, 98, ME) se problΘmy s tφmto Φervem net²kajφ !!!

    Mo₧n² problΘm

    Velk² problΘm m∙₧e p°edstavovat skuteΦnost, ₧e v²Üe uvedenΘ zßplaty nelze aplikovat na vÜechny verze Windows 2000 a XP, kterΘ se odvozujφ z p°φtomnosti "Service Pack∙" - SP (velk² balφk oprav a vylepÜenφ). V p°φpad∞ Windows 2000 je pro instalaci zßplat pot°eba nejmΘn∞ Service Pack 2, u Windows XP Service Pack 1. Pokud mßte Windows s ni₧Üφm Service Packem (tj. Windows 2000 SP1 nebo zcela bez SP - nejstarÜφ verze, nebo Windows XP bez SP - rovn∞₧ ·pln∞ nejstarÜφ verze XP), pak budete na tuto skuteΦnost upozorn∞ni b∞hem instalace v²Üe uveden²ch zßplat.

    V takovΘm p°φpad∞ je nutno nainstalovat i poslednφ Service Pack (SP) a potΘ se znovu pokusit o instalaci v²Üe uveden²ch bezpeΦnostnφch zßplat.

    Na instalaci "Service Pack∙" nenφ nic slo₧itΘho, op∞t v pravΘ Φßsti vyberete jazykovou verzi VaÜich Windows, potvrdφte a potΘ na stejnΘm mφst∞ (Φßst "Download") vyberete "Network Installation". Hlavnφ problΘm je ale v tom, ₧e Service Pack je ve vÜech p°φpadech p°es 100 MB velik²...

    Service Pack 4 pro Windows 2000
    Service Pack 1a Pro Windows XP

    Pokud nenφ mo₧nΘ momentßln∞ takovΘ mno₧stvφ dat stßhnout, pak m∙₧e b²t doΦasnou zßchranou instalace osobnφho firewallu (viz. dole), ka₧dopadn∞ do budoucna je urΦit∞ vhodnΘ poslednφ Service Pack i zßplatu nainstalovat !!!

    (tento krok je zßrove≥ prevencφ p°ed budoucφ infekcφ tφmto Φervem)

    KROK DRUH▌

  • Odstran∞nφ samotnΘho Φerva lze provΘst pomocφ jedno·ΦelovΘho antiviru McAfee Stinger, kter² lze stßhnout odsud.
    Druhou variantou m∙₧e b²t jedno·Φelov² antivirus spoleΦnosti Symantec - FixBlast.exe.
    P°ed pou₧itφm v²Üe uveden²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a deaktivovat funkci Restore / Obnova systΘmu, pokud jde o operaΦnφ systΘm Windows XP (tady je napsßno jak to provΘst).

    Tφmto je lΘΦenφ a prevence dokonΦeno/a :-)

    CO D╠LAT, KDYÄ NEST═H┴M ST┴HNOUT Z┴PLATU NEBO ANTIVIRUS ?

  • K odpoΦφtßvßnφ do restartu m∙₧e dochßzet okam₧it∞ po p°ipojenφ se k Internetu (jakmile se n∞jak² poΦφtaΦ ve sv∞t∞ "trefφ" zrovna do VaÜeho "nezßplatovanΘho" PC - p°esn∞ji IP adresy). Pokud to p°edstavuje problΘm pro ·sp∞ÜnΘ dokonΦenφ stahovßnφ zßplaty Φi antiviru, existuje nßsledujφcφ °eÜenφ:

  • Stiskn∞te tlaΦφtko START ve Windows na liÜt∞, zvolte NASTAVEN═ / OVL┴DAC═ PANELY (u XP vynechßme krok NASTAVEN═). Zvolte ikonu N┴STROJE PRO SPR┴VU, potom SLUÄBY a vyhledejte slu₧bu "VzdßlenΘ volßnφ procedur" (Remote Procedure Call). Dvakrßt na ni poklepejte myÜφ a v zßlo₧ce ZOTAVEN═ zm∞nte vÜechna SELH┴N═ na Ä┴DN┴ AKCE.
    MajitelΘ anglick²ch verzφ snad odpustφ :-)

  • Pokud u₧ dochßzφ k samotnΘmu odpoΦtu, lze pou₧φt p°φkaz: SHUTDOWN -A
    StaΦφ ho spustit p°es nabφdku START / SPUSTIT a tφm dojde k p°eruÜenφ vypφnßnφ Windows.

  • Infekci a p°φpadn²m restart∙m m∙₧e zabrßnit i funkΦnφ firewall. Ve Windows XP je internφ firewall, kter² je dobrΘ zapnout p°es tlaΦφtko START / OVL┴DAC═ PANELY / ikona S═ìOV┴ P╪IPOJEN═. Tam klikn∞te prav²m tlaΦφtkem myÜi na p°ipojenφ, kterΘ pou₧φvate na Internet, zvolte VLASTNOSTI a v zßlo₧ce UP╪ESNIT povolte Firewall.

  • PlnohodnotnΘ osobnφ firewally s mo₧nostφ filtrace i odchozφch paket∙ mohou b²t nap°φklad tyto:

    ZoneAlarm
    Kerio Personal Firewall

    Oba produkty jsou pro domßcφ pou₧itφ zdarma.

    ╚erv "bombarduje" nßhodnΘ IP adresy daty (TCP, na portu 135) a pokud jde naneÜt∞stφ zrovna o IP adresu stanice, kterß nenφ oÜet°ena p°φsluÜnou bezpeΦnostφ zßplatou, m∙₧e dojφt ke zneu₧φtφ v²Üe uvedenΘ bezpeΦnostnφ dφry. Takovß situace vede k tomu, ₧e Φerv se za vyu₧itφ TFTP na takovΘ stanici tiÜe usadφ !!! (Φerv nedokß₧e touto cestou infikovat PC s Windows °ady 9x/Me)

    Narozdφl od v∞tÜiny ostatnφch se tak neÜφ°φ e-mailem, n²br₧ na ·rovni sφ¥ov²ch paket∙. ╚ervu Win32/Blaster nahrßvß do karet skuteΦnost, ₧e jde o nov∞ objevenou bezpeΦnostnφ dφru, pro kterou se zßplaty objevily a₧ v polovin∞ Φervence 2003 !

    PoΦφnaje 16.srpnem se vÜechny infikovanΘ stanice pokusφ o hromadn² DDoS ·tok na server windowsupdate.com a masivnφm "bombardovßnφm" pakety (o dΘlce 40 bajt∙, ka₧d²ch 20 milisekund na port 80) se pokusφ o jeho doΦasnou likvidaci - zahlcenφ.

    PREVENCE DO BUDOUCNA:

    Blokovat TCP port 135 na p°φpadnΘm firewallu a stßhnout si bezpeΦnostnφ zßplatu - odtud, pop°φpad∞ vyu₧φt "aktualizaΦnφ automat" - zde.

    MANU┴LN═ ODSTRAN╠N═:

    Odmazat soubor MSBLAST.EXE z WINDOWS\SYSTEM32 adresß°e, vΦetn∞ odkazu na n∞j, kter² je k vid∞nφ v klφΦi registr∙ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run. Krom∞ toho je NUTN╔ nainstalovat p°φsluÜnou bezpeΦnostnφ zßplatu (odkaz v²Üe).