palomuurin säätö

Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!

leila kirjoitti:

Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!

Welchi
ALIAS: Nachi, Welchia, WORM_MSBLAST.D, Sachi
SIZE: 1240


TÄMÄ VIRUS ON LUOKITELTU 2-TASON
RADAR -HÄLYTYKSEKSI
Lisätietoja:
http://www.F-Secure.com/products/radar/




Tämä uusi RPC-mato löydettiin 18.8.2003. Se leviää turvareikien kautta, yrittää poistaa Lovsan-madon ja asentaen turvapäivityksiä. Se myös aikaansaa hurjasti turhaa verkkoliikennettä.

Tämä mato on toiminnallisuudeltaan hieman samanlainen kuin Lovsan-mato. Se käyttää tiedostoa DLLHOST.EXE (itse mato) ja SVCHOST.EXE (TFTP-palvelin). Huomioi, että DLLHOST.EXE ja SVCHOST.EXE tiedostot ovat tavallisten Windows-järjestelmän tiedostojen kanssa samannimisiä.

Nämä tiedostot voivat löytyä saastuneesta järjestelmästä seuraavista hakemistoista:

Mato:


%systemDir%winsDLLHOST.EXE

Uudelleennimetty TFTP-palvelin:


%systemDir%winsSVCHOST.EXE

Mato tartuttaa koneen käyttäen samaa tietoturva-aukkoa kuin Lovsan-mato. Lisätietoja aukon tukkimisesta Lovsan-madon kuvauksesta
http://www.f-secure.com/v-descs/msblast.shtml

Tämän lisäksi mato yrittää tartuttaa IIS 5.0 palvelimia WebDAV-tietoturva-aukkoa käyttäen. Lisätietoja maaliskuussa 2003 löytyneestä aukosta löytyy Microsoftin sivulta:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp

Welchi-mato saastuttaa Windows XP -koneita käytttäen RPC-aukkoa sekä Windows 2000 ja XP -koneita käyttäen WebDAV-aukkoa.

Mato pyrkii myös poistamaan Lovsan.A-madon koneesta ja asentamaan Microsoftin korjauspaketit sulkeakseen RPC-aukon. Näin tehdäkseen, se yrittää kopioida korjauksen kahdeksasta eri osoitteesta kieliversiosta riippuen (Englanti, Kiina, Yksinkertaistettu Kiina ja Korea) sekä Windows XP ja Windows 2000 käyttöjärjestelmille. Virus ei paikkaa suomenkielisiä Windowseja.

Pyrkiessään poistamaan Lovsan.A-madon, se etsii prosesseja joissa on msblast-merkkijono nimessä ja lopettaa ne. Tämän jälkeen mato poistaa %systemdir%msblast.exe-tiedoston.

Welchi on siis anti-virus-virus.

Ajon yhteydessä mato luo "RpcPatch_Mutex"-nimisen muteksin, joten ainoastaan yksi kopio madosta on aktiivinen.


Mato sisältää seuraavanlaisen merkkijonon, jota ei koskaan näytetä:


I love my wife & baby :)
~~~ Welcome Chian~~~
Notice: 2004 will remove myself:)
~~ sorry zhongli~~~




Poistotyökalu

F-Secure on tehnyt työkalun, joka poistaa Welchi-tartunnan koneelta ja kaikki viruksen aiheuttamat jäljet. Poistotyökalu ja englanninkielinen käyttöohje löytyy osoitteesta

ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.zip
ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.txt
ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe
ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.jar

Ota huomioon että mato luo palvelun (Service) joka aktivoi normaalin TFTP-palvelimen. Tätä palvelua ei pysäytetä ja normaalia (mutta uudelleennimettyä) TFTP-palvelinta ei poisteta F-Secure Anti-Viruksen puhdistustoiminnolla. Palvelun poistamiseksi käytä poistotyökalua. Uudelleennimetty palvelin voidaan käsin poistaa koneelta. Tiedoston sijainti on aikasemmin mainittu tässä kuvauksessa.


Manuaalinen puhdistus

Kuten aikaisemmin mainittu, mato lopettaa toimintansa kun tietokoneen kello on asetettu vuoteen 2004. Tätä toiminnallisuutta voidaan käyttää myös järjestelmän puhdistukseen.

Automatisointi onnistuu järjestelmän date- ja shutdown-komentoja käyttäen:


DATE 01-01-2004
SHUTDOWN -r

Tunnistus

F-Secure Anti-Virus tunnistaa Welchi-madon päivityksillä, jotka on julkaistu 18. elokuuta 2003:

Version=2003-08-18_03

[Kuvaus: Mikko Hypponen ja Ero Carrera, 18.8.2003]

leila kirjoitti:

Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!

Scvhost.exe ajaa useita geneerisiä palveluita 2k/xp koneella, joista DNS (port53) ja DHCP (port67/68) jätetään auki. Tai sitten asettaa scvhost.exe:lle "severe rights" -asetus, riippuen mitä palomuuria käytät.
Viestistä ei käy edelleenkään ilmi käyttämäsi käyttöjärjestelmä, palomuuri tai yhteystyyppisi. Oletettavasti XP, bugiZA ja xDSL. Jos tuntuu tippuvan veneestä jo nyt niin hyvä vaihtoehto on ottaa Windowsin oma palomuuri käyttöön, se ajaa kyllä asiansa.

hannu kirjoitti:

Scvhost.exe ajaa useita geneerisiä palveluita 2k/xp koneella, joista DNS (port53) ja DHCP (port67/68) jätetään auki. Tai sitten asettaa scvhost.exe:lle "severe rights" -asetus, riippuen mitä palomuuria käytät.
Viestistä ei käy edelleenkään ilmi käyttämäsi käyttöjärjestelmä, palomuuri tai yhteystyyppisi. Oletettavasti XP, bugiZA ja xDSL. Jos tuntuu tippuvan veneestä jo nyt niin hyvä vaihtoehto on ottaa Windowsin oma palomuuri käyttöön, se ajaa kyllä asiansa.

Lue lisää

Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .

leila kirjoitti:

Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .

Lue lisää

Piti kirjoittaa.

leila kirjoitti:

Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .

Lue lisää

Oletko varma ettei koneesi kysele jotain (normaalia toimintaa)? Esim. ping kyselyyn pitää tulla vastaus tai tulee tulokseksi "timeout". Nettisivutkin _haetaan_ kaukaiselta palvelimelta, eli sieltä pitääkin tulla sinua kohti tavraa. Oletko varma että ymmärrät homman jujun? Tässä pelataan nimenomaan porttien numeroilla, palomuuri tukkii ja valvoo koneesi portteja. ookke?