Kun avaan nettiyhteyden palomuuri ilmoittaa että koneelle olis tulossa paketteja C/WINDOWS/SYSTEM 32/SVCHOST.EXE tul kantsiiko antaa tulla ja mistä saisi tietoa mitä hyväksyä mitä kieltää ?
palomuurin säätö
8
609
Vastaukset
- huhuh
Älä missään tapauksessa päästä sitä koneellesi. Se yksi näistä tällä hetkellä liikkeellä olevista madoista. Kannattaisi kävästä vaikka f-securen sivuilta lukemassa niin tiedät mitkä vaarallisia.
- hannu
blaah, kerro mikä portti on kyseessä niin vois jotain apuja kertoakin. blokkaamalla scvhostin kokonaan et paljon netissä surffaa.
Yleensäkään tällä palstalla jengi ei tajua mistään mitään ja sortuu ylistämään mutua.- leila
Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!
- tietoja
leila kirjoitti:
Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!
Welchi
ALIAS: Nachi, Welchia, WORM_MSBLAST.D, Sachi
SIZE: 1240
TÄMÄ VIRUS ON LUOKITELTU 2-TASON
RADAR -HÄLYTYKSEKSI
Lisätietoja:
http://www.F-Secure.com/products/radar/
Tämä uusi RPC-mato löydettiin 18.8.2003. Se leviää turvareikien kautta, yrittää poistaa Lovsan-madon ja asentaen turvapäivityksiä. Se myös aikaansaa hurjasti turhaa verkkoliikennettä.
Tämä mato on toiminnallisuudeltaan hieman samanlainen kuin Lovsan-mato. Se käyttää tiedostoa DLLHOST.EXE (itse mato) ja SVCHOST.EXE (TFTP-palvelin). Huomioi, että DLLHOST.EXE ja SVCHOST.EXE tiedostot ovat tavallisten Windows-järjestelmän tiedostojen kanssa samannimisiä.
Nämä tiedostot voivat löytyä saastuneesta järjestelmästä seuraavista hakemistoista:
Mato:
%systemDir%winsDLLHOST.EXE
Uudelleennimetty TFTP-palvelin:
%systemDir%winsSVCHOST.EXE
Mato tartuttaa koneen käyttäen samaa tietoturva-aukkoa kuin Lovsan-mato. Lisätietoja aukon tukkimisesta Lovsan-madon kuvauksesta
http://www.f-secure.com/v-descs/msblast.shtml
Tämän lisäksi mato yrittää tartuttaa IIS 5.0 palvelimia WebDAV-tietoturva-aukkoa käyttäen. Lisätietoja maaliskuussa 2003 löytyneestä aukosta löytyy Microsoftin sivulta:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
Welchi-mato saastuttaa Windows XP -koneita käytttäen RPC-aukkoa sekä Windows 2000 ja XP -koneita käyttäen WebDAV-aukkoa.
Mato pyrkii myös poistamaan Lovsan.A-madon koneesta ja asentamaan Microsoftin korjauspaketit sulkeakseen RPC-aukon. Näin tehdäkseen, se yrittää kopioida korjauksen kahdeksasta eri osoitteesta kieliversiosta riippuen (Englanti, Kiina, Yksinkertaistettu Kiina ja Korea) sekä Windows XP ja Windows 2000 käyttöjärjestelmille. Virus ei paikkaa suomenkielisiä Windowseja.
Pyrkiessään poistamaan Lovsan.A-madon, se etsii prosesseja joissa on msblast-merkkijono nimessä ja lopettaa ne. Tämän jälkeen mato poistaa %systemdir%msblast.exe-tiedoston.
Welchi on siis anti-virus-virus.
Ajon yhteydessä mato luo "RpcPatch_Mutex"-nimisen muteksin, joten ainoastaan yksi kopio madosta on aktiivinen.
Mato sisältää seuraavanlaisen merkkijonon, jota ei koskaan näytetä:
I love my wife & baby :)
~~~ Welcome Chian~~~
Notice: 2004 will remove myself:)
~~ sorry zhongli~~~
Poistotyökalu
F-Secure on tehnyt työkalun, joka poistaa Welchi-tartunnan koneelta ja kaikki viruksen aiheuttamat jäljet. Poistotyökalu ja englanninkielinen käyttöohje löytyy osoitteesta
ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.zip
ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.txt
ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe
ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.jar
Ota huomioon että mato luo palvelun (Service) joka aktivoi normaalin TFTP-palvelimen. Tätä palvelua ei pysäytetä ja normaalia (mutta uudelleennimettyä) TFTP-palvelinta ei poisteta F-Secure Anti-Viruksen puhdistustoiminnolla. Palvelun poistamiseksi käytä poistotyökalua. Uudelleennimetty palvelin voidaan käsin poistaa koneelta. Tiedoston sijainti on aikasemmin mainittu tässä kuvauksessa.
Manuaalinen puhdistus
Kuten aikaisemmin mainittu, mato lopettaa toimintansa kun tietokoneen kello on asetettu vuoteen 2004. Tätä toiminnallisuutta voidaan käyttää myös järjestelmän puhdistukseen.
Automatisointi onnistuu järjestelmän date- ja shutdown-komentoja käyttäen:
DATE 01-01-2004
SHUTDOWN -r
Tunnistus
F-Secure Anti-Virus tunnistaa Welchi-madon päivityksillä, jotka on julkaistu 18. elokuuta 2003:
Version=2003-08-18_03
[Kuvaus: Mikko Hypponen ja Ero Carrera, 18.8.2003] - hannu
leila kirjoitti:
Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!
Scvhost.exe ajaa useita geneerisiä palveluita 2k/xp koneella, joista DNS (port53) ja DHCP (port67/68) jätetään auki. Tai sitten asettaa scvhost.exe:lle "severe rights" -asetus, riippuen mitä palomuuria käytät.
Viestistä ei käy edelleenkään ilmi käyttämäsi käyttöjärjestelmä, palomuuri tai yhteystyyppisi. Oletettavasti XP, bugiZA ja xDSL. Jos tuntuu tippuvan veneestä jo nyt niin hyvä vaihtoehto on ottaa Windowsin oma palomuuri käyttöön, se ajaa kyllä asiansa. - leila
hannu kirjoitti:
Scvhost.exe ajaa useita geneerisiä palveluita 2k/xp koneella, joista DNS (port53) ja DHCP (port67/68) jätetään auki. Tai sitten asettaa scvhost.exe:lle "severe rights" -asetus, riippuen mitä palomuuria käytät.
Viestistä ei käy edelleenkään ilmi käyttämäsi käyttöjärjestelmä, palomuuri tai yhteystyyppisi. Oletettavasti XP, bugiZA ja xDSL. Jos tuntuu tippuvan veneestä jo nyt niin hyvä vaihtoehto on ottaa Windowsin oma palomuuri käyttöön, se ajaa kyllä asiansa.Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .
- leila
leila kirjoitti:
Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .
Piti kirjoittaa.
- jani
leila kirjoitti:
Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .
Oletko varma ettei koneesi kysele jotain (normaalia toimintaa)? Esim. ping kyselyyn pitää tulla vastaus tai tulee tulokseksi "timeout". Nettisivutkin _haetaan_ kaukaiselta palvelimelta, eli sieltä pitääkin tulla sinua kohti tavraa. Oletko varma että ymmärrät homman jujun? Tässä pelataan nimenomaan porttien numeroilla, palomuuri tukkii ja valvoo koneesi portteja. ookke?
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Putin hoiti Suomen natoon ja myös Ruotsin
Iso kiitos Vladimir Putinille. Hänen ansiosta pääsemme nyt Natoon. Putin halusi Naton lähelle ja nyt sai. Voimme tästä kiittää vain Putinia.6578035Niinistö teki hetkessä Suomesta Venäjän ydinaseiden maalitaulun
Kaiken lisäksi mies vielä lällätteli Putinille eilisessä tiedotustilaisuudessa ja käski katsomaan itseään peiliin. Kyllä vähän asiallisempaa käytöstä4672310Voi Stefu ja sun kiivas luonteesi
Sielä lentelee ullakkohuoneiston ikkunasta daamin vaatteet ja matkalaukut pitkin pihaa. Toisaalta,en ihmettele yhtään että tämä suhde päättyi näin,kyl2332237- 1471809
Ohhoh! Martina Aitolehti ja seurapiirihurmuri-Jesper ekassa yhteiskuvassa - Sutinaa Mallorcalla!
Martina Aitolehti ja seurapiirijulkkis-Jesper nauttivat toisistaan varsin vauhdikkaissa merkeissä Mallorcalla. Aitolehti ei ole esitellyt rakastaan vi281315Veikkaus: Miten The Rasmus pärjää Euroviisuissa?
Euroviisuhuuma on ylimmillään, kun Suomi ja The Rasmus taistelee biisillään Jezebel. Bändi on tikissä, kunhan Lauri Ylösen ääni kantaa. Mitä veikka511245Stefanilta tuli taas karu totuus Sofiasta
Marokkolainen h*o*ra! Voi tsiisus kun mulla on hauskaa! Lumput lentää ikkunasta kun Stefu raivoaa h*uralleen🤣🤣🤣 Nyt ne popparit tulille, tästä tule1131195Ootko onnellinen kun ei tarvitse
nähdä tätä tyhmää naamaa enää koskaan? Multa se särkee sydämen, mutta minkäs teen. Vaikka olisi kuinka sinnikäs eikä hellittäisi, se ei aina auta.65856Steppuli veressä
Seiskan lööpissä Steppulilla naama ja nyrkit veressä. Ei tainnut ihan kamojen pihalle paiskominen riittää. Onkohan pistänyt kämpän tuusannuuskaks.60851Oletko nähnyt eroottiset kohuleffat? Fifty Shades Of Grey -trilogia tv:stä
Fifty Shades -trilogia starttaa, kun nuori opiskelijanainen Anastasia tapaa rikkaan liikemiehen. Seksisuhdehan siitä starttaa, höystettynä sadistisill7773