Ο τερματισμός λειτουργίας προκαλείται από το σύστημα εξουσίας nt. Προσοχή!!! Το Nt Authority\system είναι σκουλήκι!!! Τι γίνεται με άλλους τοπικούς λογαριασμούς;

Κυριολεκτικά λίγες μέρες πριν το θέμα βγει στον Τύπο, η Metasploit απέκτησε
μια νέα ενότητα για την οποία απλά δεν θα μπορούσαμε να μην σας πούμε. Χάρη σε
νέα εντολή getsystem, σε ένα παραβιασμένο σύστημα είναι πλέον δυνατή η μετάβαση
από το επίπεδο χρήστη στο ring0, κερδίζοντας δικαιώματα NT AUTHORITY\SYSTEM! Και αυτό - σε οποιαδήποτε
εκδόσεις των Windows.

Στις 19 Ιανουαρίου 2010, μια ευπάθεια 0 ημερών έγινε δημόσια, επιτρέποντας
αύξηση των προνομίων σε οποιαδήποτε έκδοση των Windows, ξεκινώντας από το NT 3.1, που κυκλοφόρησε στο
το 1993, και τελειώνοντας με το νέο "επτά". Στο exploit-db.com από τον χάκερ Tavis
Η Ormandy δημοσίευσε τόσο τις πηγές του εκμεταλλεύματος KiTrap0d όσο και τη μεταγλωττισμένη έκδοση
δυαδικό, έτοιμο για χρήση. Οποιοσδήποτε μπορεί να δοκιμάσει το αρχικό exploit
πρόθυμος. Για να το κάνετε αυτό, πρέπει απλώς να εξαγάγετε το vdmexploit.dll και το vdmallowed.exe από το αρχείο,
μεταφέρετέ το με κάποιο τρόπο στο μηχάνημα-θύμα και ξεκινήστε το αρχείο exe εκεί. ΣΕ
αποτέλεσμα, ανεξάρτητα από τον λογαριασμό χρήστη
εκκίνηση, θα εμφανιστεί μια κονσόλα με δικαιώματα χρήστη συστήματος, δηλαδή NT
ΑΡΧΗ\ΣΥΣΤΗΜΑ. Για έλεγχο, μπορείτε να εκτελέσετε το Sploit στον υπολογιστή σας,
έχοντας προηγουμένως συνδεθεί στο σύστημα ως τακτικός χρήστης. Μετά την εκτόξευση
Το Sploit θα ανοίξει ένα νέο παράθυρο cmd.exe με μέγιστα δικαιώματα.

Τι δίνει αυτό; Φανταστείτε μια κατάσταση όπου το exploit διαπερνά κάποια εφαρμογή και
λαμβάνει ένα κέλυφος σε έναν απομακρυσμένο υπολογιστή. Ας είναι αυτό ένα σημείο συγκέντρωσης για το Διαδίκτυο
Explorer - σε αυτήν την περίπτωση, ο εισβολέας θα έχει πρόσβαση στο σύστημα με τα δικαιώματα
ο χρήστης στον λογαριασμό του οποίου ξεκίνησε το πρόγραμμα περιήγησης. Δεν διαφωνώ, πολύ
συχνά αυτός θα είναι ένας λογαριασμός με δικαιώματα διαχειριστή (ο χρήστης φταίει), αλλά
αν όχι; Εδώ μπορείτε να χρησιμοποιήσετε το KiTrap0d για να αυξήσετε τα προνόμιά σας
προς NT AUTHORITY\SYSTEM! Επιπλέον, ακόμη και οι χρήστες που είναι μέλη της ομάδας
διαχειριστής, δεν μπορεί να έχει πρόσβαση σε ορισμένες περιοχές του συστήματος, για παράδειγμα,
ανάγνωση κατακερματισμών κωδικού πρόσβασης χρήστη (περισσότερα για αυτό παρακάτω). Και ο λογαριασμός συστήματος NT -
Μπορεί! Με όλα αυτά, τη στιγμή της δημοσίευσης του άρθρου δεν υπήρχε ούτε ένα patch από
Η Microsoft δεν έχει κυκλοφορήσει μια επιδιόρθωση για την ευπάθεια.

Εξαγορά λειτουργικού συστήματος

Δεν θα δείξουμε το αρχικό exploit στην πράξη, γιατί 25
Ιανουάριο προστέθηκε ένα νέο σενάριο στο Metasploit, χάρη στο οποίο μπορείτε να χρησιμοποιήσετε
Το KiTrap0d έχει γίνει ακόμα πιο βολικό. Η επιλογή που περιλαμβανόταν αρχικά στις βάσεις δεδομένων της ενότητας ήταν
ασταθής και δεν λειτουργούσε πάντα, αλλά δεν πέρασε ούτε μισή μέρα πριν εμφανιστούν όλα τα λάθη
εξαλειφθεί. Τώρα γίνεται λήψη της ενότητας μαζί με όλες τις άλλες ενημερώσεις,
οπότε για εγκατάσταση, απλώς επιλέξτε το στοιχείο μενού "ενημέρωση Metasploit".
Τώρα, έχοντας πρόσβαση στο απομακρυσμένο σύστημα, μπορείτε να πληκτρολογήσετε "run kitrap0d" και να φέρετε
θα συσπειρωθεί σε δράση. «Αλλά επειδή υπάρχει τέτοιο ξεφάντωμα αλκοόλ, ας εφαρμόσουμε αυτό το θέμα
μια ειδική ομάδα», σκέφτηκαν οι προγραμματιστές του Metasploit
Αυτή είναι μια υπέροχη εντολή "ανύψωση προνομίων", προσβάσιμη μέσω
επέκταση μετρητή - μας αρέσει πολύ :).

Έτσι, έχουμε πρόσβαση στο απομακρυσμένο σύστημα (ενδεικτικό παράδειγμα
η λειτουργία δίνεται στο άρθρο "Επιχείρηση Aurora") και είμαστε στην κονσόλα
metasploit. Ας δούμε πώς τα πάμε με τα δικαιώματα:

μετρητής > getuid

Ναι, απλά ένας τακτικός χρήστης. Ίσως είναι και μέλος της ομάδας
διαχειριστές, αλλά αυτό δεν μας ενδιαφέρει. Συνδέουμε το module στο οποίο υλοποιείται
την εντολή getsystem που μας ενδιαφέρει και ελέγξτε αν έχει φορτωθεί εμφανίζοντας
οθόνη βοήθειας:

μετρητής > χρήση priv
Η φόρτωση της επέκτασης priv...επιτυχία.
meterpreter > getsystem -η
Χρήση: getsystem
Προσπαθήστε να αναβαθμίσετε το προνόμιό σας σε αυτό του τοπικού συστήματος.
ΕΠΙΛΟΓΕΣ:

H Banner βοήθειας.
-t Η τεχνική που πρέπει να χρησιμοποιήσετε. (Η προεπιλογή είναι "0").
0: Όλες οι τεχνικές διαθέσιμες
1: Υπηρεσία - Απομίμηση με όνομα Pipe (Σε μνήμη/Διαχειριστή)
2: Υπηρεσία - Απομίμηση με όνομα Pipe (Dropper/Διαχειριστής)
3: Υπηρεσία - Αντιγραφή διακριτικών (Στη μνήμη/Διαχειριστής)
4: Exploit - KiTrap0D (σε μνήμη/χρήστη)

Όπως μπορείτε να δείτε, η συγχώνευση KiTrap0D υλοποιεί μόνο μέρος της λειτουργικότητας της εντολής.
Εάν καταφέρατε να αρπάξετε ένα κέλυφος με έναν χρήστη που έχει ήδη δικαιώματα
διαχειριστή και, στη συνέχεια, για να ανεβάσετε στο επίπεδο NT AUTHORITY\SYSTEM μπορείτε να χρησιμοποιήσετε
τρεις άλλες τεχνικές (το πλήκτρο -t σας επιτρέπει να επιλέξετε αυτή που χρειάζεστε). Τέλος πάντων, χωρίς να διευκρινίσουμε
δεν υπάρχουν καθόλου παράμετροι, λέμε στο metasploit τι μπορεί να χρησιμοποιήσει
οποιαδήποτε από τις προσεγγίσεις. Συμπεριλαμβανομένου του KiTrap0D, το οποίο θα αυξήσει τα προνόμιά μας στο επίπεδο
«Το σύστημα», ανεξάρτητα από τα δικαιώματα που έχουμε αυτή τη στιγμή.

μετρητής > getsystem
... πήρε σύστημα (μέσω της τεχνικής 4).

Ναι, λάβαμε ένα μήνυμα για επιτυχή αύξηση των προνομίων και για επίθεση
Ήταν το KiTrap0D που χρησιμοποιήθηκε - προφανώς έχει προτεραιότητα. Είμαστε πραγματικά
αυξήθηκε στο σύστημα; Ας ελέγξουμε το τρέχον UID (αναγνωριστικό χρήστη):

μετρητής > getuid

Τρώω! Μόνο μία εντολή στην κονσόλα metasploit και δικαιώματα NT AUTHORITY\SYSTEM
μας στην τσέπη σας. Επιπλέον, σε γενικές γραμμές, όλα είναι πιθανά. Να σας θυμίσω, ούτε ένα
Δεν υπήρχε ενημέρωση κώδικα από τη Microsoft τη στιγμή που κυκλοφόρησε το περιοδικό.

Ντάμπινγκ κωδικών πρόσβασης

Εφόσον έχετε ήδη πρόσβαση στον λογαριασμό συστήματος, πρέπει να κάνετε εξαγωγή από αυτό
κάτι χρήσιμο. Το Metasploit έχει μια υπέροχη εντολή hashdump -
μια πιο προηγμένη έκδοση του γνωστού βοηθητικού προγράμματος pwdump. Επιπλέον, στο τελευταίο
Η έκδοση του metasploit περιλαμβάνει μια αναθεωρημένη έκδοση του σεναρίου που χρησιμοποιεί
μια εκσυγχρονισμένη αρχή για την εξαγωγή κατακερματισμών LANMAN/NTLM και δεν έχει ακόμη εντοπιστεί
αντιιούς. Αλλά δεν είναι αυτό το θέμα. Είναι σημαντικό να εκτελέσετε την εντολή hashdump
Απαιτούνται δικαιώματα NT AUTHORITY\SYSTEM. Διαφορετικά, το πρόγραμμα θα παρουσιάσει σφάλμα
"[-] priv_passwd_get_sam_hashes: Η λειτουργία απέτυχε: 87". Αυτό συμβαίνει διότι
ότι οι κατακερματισμοί των κωδικών πρόσβασης χρήστη LANMAN/NTLM αποθηκεύονται σε ειδικούς κλάδους μητρώου
HKEY_LOCAL_MACHINE\SAM και HKEY_LOCAL_MACHINE\SECURITY, τα οποία δεν είναι προσβάσιμα ακόμη και
διαχειριστές. Μπορούν να διαβαστούν μόνο με δικαιώματα λογαριασμού συστήματος.
Σε γενικές γραμμές, χρησιμοποιήστε το exploit και μετά την εντολή hashdump to
Η τοπική εξαγωγή του κατακερματισμού από το μητρώο δεν είναι καθόλου απαραίτητη. Αλλά αν ναι
Υπάρχει η ευκαιρία, γιατί όχι;

μετρητής > getuid
Όνομα χρήστη διακομιστή: NT AUTHORITY\SYSTEM

meterpreter > εκτέλεση hashdump
[*] Λήψη του κλειδιού εκκίνησης...
[*] Υπολογισμός του κλειδιού hboot χρησιμοποιώντας το SYSKEY 3ed7[...]
[*] Λήψη της λίστας χρηστών και των κλειδιών...
[*] Αποκρυπτογράφηση κλειδιών χρήστη...
[*] Απόρριψη κατακερματισμών κωδικού πρόσβασης...

Διαχειριστής:500:aad3b435b51404eeaad3b435b51404ee:...
Επισκέπτης:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...

Οι κατακερματισμοί έχουν ληφθεί. Το μόνο που μένει είναι να τα ταΐσουμε σε έναν από τους βάναυσους εξαναγκασμούς, για παράδειγμα,
l0phtcrack.

Πώς μπορώ να ανακτήσω τα προνόμιά μου;

Μια αστεία κατάσταση συνέβη όταν προσπάθησα να επαναφέρω τα δικαιώματα στο κανονικό
πίσω χρήστη. Η εντολή rev2self που βρήκα δεν δούλεψε και συνεχίζω
παρέμεινε "NT AUTHORITY\SYSTEM": προφανώς, έχει σχεδιαστεί για να λειτουργεί με τρεις
άλλες προσεγγίσεις που εφαρμόζονται στο getsystem. Αποδείχθηκε ότι επέστρεψε
προνόμια, είναι απαραίτητο να "κλέψετε" το διακριτικό της διαδικασίας που ξεκίνησε από αυτόν τον χρήστη,
που χρειαζόμαστε. Επομένως, εμφανίζουμε όλες τις διεργασίες με την εντολή ps και επιλέγουμε από αυτές
κατάλληλος:

μετρεπεξηγητής > ps
Λίστα διαδικασιών
============
Διαδρομή χρήστη Arch Name PID
--- ---- ---- ---- ----
0
4 Σύστημα x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...

Όπως μπορούμε να δούμε, το explorer.exe εκκινείται ακριβώς κάτω από τον κανονικό χρήστη
λογαριασμό και έχει PID=1560. Τώρα, στην πραγματικότητα, μπορείτε να "κλέψετε ένα διακριτικό" χρησιμοποιώντας
εντολή steal_token. Το PID μεταβιβάζεται σε αυτό ως η μόνη παράμετρος
απαιτούμενη διαδικασία:

μετρητής > steal_token 1558
Κλεμμένο διακριτικό με όνομα χρήστη: WINXPSP3\user
μετρητής > getuid
Όνομα χρήστη διακομιστή: WINXPSP3\user

Κρίνοντας από το πεδίο "Όνομα χρήστη διακομιστή", η λειτουργία ήταν επιτυχής.

Πως δουλεύει;

Τέλος, αξίζει να μιλήσουμε για τη φύση της ευπάθειας που οδήγησε στην εμφάνιση
Sploit. Η παραβίαση ασφαλείας συμβαίνει λόγω σφάλματος στον επεξεργαστή του συστήματος
Το #GP διακόπτει (που ονομάζεται nt!KiTrap). Εξαιτίας αυτού με προνόμια πυρήνα
μπορεί να εκτελεστεί αυθαίρετος κώδικας. Αυτό συμβαίνει επειδή το σύστημα
ελέγχει εσφαλμένα ορισμένες κλήσεις BIOS όταν βρίσκεται σε πλατφόρμα x86 32 bit
εκτελείται μια εφαρμογή 16 bit. Για την εκμετάλλευση της ευπάθειας, η εκμετάλλευση δημιουργεί
Εφαρμογή 16-bit (%windir%\twunk_16.exe), χειρίζεται μερικά
δομεί το σύστημα και καλεί τη συνάρτηση NtVdmControl() για να ξεκινήσει
Windows Virtual DOS Machine (γνωστός και ως υποσύστημα NTVDM), το οποίο ως αποτέλεσμα του προηγούμενου
ο χειρισμός οδηγεί στην κλήση του χειριστή διακοπής συστήματος #GP και
όταν ενεργοποιείται το exploit. Παρεμπιπτόντως, αυτό οδηγεί στον μόνο περιορισμό
εκμετάλλευση που λειτουργεί μόνο σε συστήματα 32-bit. Σε 64-bit
Τα λειτουργικά συστήματα απλά δεν διαθέτουν εξομοιωτή για την εκτέλεση εφαρμογών 16 bit.

Γιατί οι πληροφορίες με έτοιμο exploit έγιναν δημόσια διαθέσιμες; Σχετικά με τη διαθεσιμότητα
Ο συγγραφέας του exploit ενημέρωσε τη Microsoft για την ευπάθεια στις αρχές του περασμένου έτους και
έλαβε μάλιστα επιβεβαίωση ότι η έκθεσή του είχε γίνει δεκτή για εξέταση. Μόνο καλάθι
και τώρα εκεί. Για ένα χρόνο δεν υπήρχε επίσημη ενημέρωση κώδικα από την εταιρεία και ο συγγραφέας αποφάσισε
δημοσιεύει πληροφορίες δημόσια, ελπίζοντας ότι τα πράγματα θα εξελιχθούν πιο γρήγορα. Ας δούμε,
θα είναι διαθέσιμο το έμπλαστρο μέχρι να κυκλοφορήσει το περιοδικό :);

Πώς να προστατευτείτε από τα κατορθώματα

Δεδομένου ότι δεν υπάρχει ακόμη πλήρης ενημέρωση για την επίλυση της ευπάθειας,
θα πρέπει να χρησιμοποιήσετε λύσεις. Η πιο αξιόπιστη επιλογή είναι
απενεργοποιήστε τα υποσυστήματα MSDOS και WOWEXEC, τα οποία θα στερήσουν αμέσως την εκμετάλλευση
λειτουργικότητα, γιατί δεν θα μπορεί πλέον να καλεί τη συνάρτηση NtVdmControl().
για να ξεκινήσετε το σύστημα NTVDM. Σε παλαιότερες εκδόσεις των Windows αυτό υλοποιείται μέσω
το μητρώο στο οποίο πρέπει να βρείτε τον κλάδο HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
και προσθέστε κάποιο σύμβολο στο όνομά του. Για σύγχρονο λειτουργικό σύστημα
πρέπει να ορίσετε έναν περιορισμό στην εκτέλεση εφαρμογών 16-bit μέσω
πολιτικές ομάδας. Για να το κάνετε αυτό, καλέστε το GPEDIT.MSC και μετά μεταβείτε στην ενότητα
"Διαμόρφωση χρήστη/Πρότυπα διαχείρισης/Στοιχεία Windows/Συμβατότητα
εφαρμογές» και ενεργοποιήστε την επιλογή «Απαγόρευση πρόσβασης σε 16-bit
εφαρμογές».

WWW

Περιγραφή της ευπάθειας από τον συγγραφέα του exploit:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Λύση από τη Microsoft:

http://support.microsoft.com/kb/979682

ΠΡΟΕΙΔΟΠΟΙΗΣΗ

Οι πληροφορίες παρουσιάζονται για εκπαιδευτικούς σκοπούς. Χρησιμοποιώντας το σε
για παράνομους σκοπούς μπορεί να οδηγήσει σε ποινική ευθύνη.

Αρκεί κανείς να "Εκτέλεση ως διαχειριστής" ένα πρόγραμμα για να δει στο Task Manager ότι ο χρήστης του είναι ο εαυτός του και όχι Διαχειριστής, και αυτό το θαύμα επιτυγχάνεται μόνο με την τροποποίηση του διακριτικού πρόσβασης, όχι με την αντικατάσταση του SID.

Δεύτερον, το NT-AUTHORITY και το SYSTEM δεν είναι ούτε λογαριασμοί ούτε ομάδες, παρά τα όσα λένε διάφορες άλλες πηγές (ακόμα και μέσα στη Microsoft). Ένα SID έχει συνήθως ένα όνομα που εμφανίζεται όποτε απαιτείται. Ένας λογαριασμός χρήστη θα συνεισφέρει το SID του ως κύριο SID στο διακριτικό πρόσβασης, το οποίο θα καθορίσει επίσης το όνομα που εμφανίζεται από διάφορα βοηθητικά προγράμματα. Ωστόσο, το διακριτικό πρόσβασης μπορεί να περιέχει επιπλέον SID, για παράδειγμα για όλες τις ομάδες στις οποίες ανήκει αυτός ο λογαριασμός χρήστη. Κατά τον έλεγχο των δικαιωμάτων, τα Windows θα αναζητήσουν οποιοδήποτε SID στο διακριτικό πρόσβασης που έχει αυτό το δικαίωμα.

Ορισμένα γνωστά SID των Windows θα έχουν ονόματα που αναφέρονται από τα Windows, αν και στην πραγματικότητα δεν ανήκουν σε κανένα λογαριασμό.

Ο λογαριασμός LocalSystem είναι ένας προκαθορισμένος τοπικός λογαριασμός που χρησιμοποιείται από τον διαχειριστή ελέγχου υπηρεσίας. [...] Το διακριτικό του περιλαμβάνει τα SID AUTHORITY\SYSTEM και BUILTIN\Administrators. αυτούς τους λογαριασμούςέχουν πρόσβαση στα περισσότερα αντικείμενα του συστήματος.

Κάποιος μπορεί ήδη να δει στο παραπάνω κείμενο τη σύγχυση που επικρατεί ακόμη και στην τεκμηρίωση της Microsoft σχετικά με τα SID συστήματος, τα οποία δεν είναι ακριβώς λογαριασμοί ούτε ομάδες - που είναι απλώς ένα σύνολο δικαιωμάτων. Αυτή η σύγχυση επεκτείνεται περαιτέρω σε άλλα βοηθητικά προγράμματα και άρθρα, επομένως κάθε επιστρεφόμενη πληροφορία θα πρέπει να εξεταστεί προσεκτικά.

Το άρθρο της Microsoft Γνωστά αναγνωριστικά ασφαλείας στα λειτουργικά συστήματα Windows περιγράφει λεπτομερώς όλα τα SID συστήματος, μερικά από τα οποία συμπεριλαμβάνω παρακάτω:

συμπέρασμα: NT-AUTHORITY\SYSTEM είναι το όνομα ενός αναγνωριστικού ασφαλείας, το οποίο δεν είναι ούτε ομάδα ούτε λογαριασμός. Εμφανίζεται στη Διαχείριση εργασιών ως SYSTEM όταν είναι το κύριο SID ενός προγράμματος. Το πιο πολύ που θα το έλεγα είναι "ψευδολογαριασμός".

NT ΣΦΑΛΜΑ ΑΡΧΗΣ/ΣΥΣΤΗΜΑΤΟΣ,
Μήνυμα XP - πώς να αφαιρέσετε έναν ιό

Εάν έχετε ρωσική έκδοση, φροντίστε να αλλάξετε τη γλώσσα πριν τη λήψη.

Λίγα λόγια για τον ίδιο τον ιό:

Χθες το απόγευμα, περίπου μετά τις 23:00 ώρα Μόσχας, άρχισαν να εμφανίζονται μηνύματα σε πολλά φόρουμ σχετικά με την παράξενη συμπεριφορά των Windows 2000 και των Windows XP κατά την πρόσβαση στο Δίκτυο: το σύστημα εμφάνισε ένα μήνυμα σχετικά με ένα σφάλμα υπηρεσίας RPC και την ανάγκη επανεκκίνησης. Μετά την επανεκκίνηση, το μήνυμα επαναλήφθηκε μετά από λίγα λεπτά το πολύ και δεν είχε τέλος.

Η έρευνα έδειξε ότι η επιδημία του νέου τύπου ιού τύπου worm w32.Blaster.worm, που ξεκίνησε σήμερα, ευθύνεται για την ευπάθεια που εντοπίστηκε στις 16 Ιουλίου στην υπηρεσία RPC DCOM, η οποία είναι παρούσα σε όλα τα λειτουργικά συστήματα των Windows. 2000, οικογένειες Windows XP και Windows 2003 Αυτή η ευπάθεια είναι μια υπερχείλιση buffer , η οποία καλείται από ένα κατάλληλα σύνθετο πακέτο TCP/IP που φτάνει στη θύρα 135, 139 ή 445 του υπολογιστή που δέχεται επίθεση. Επιτρέπει, τουλάχιστον, τη διεξαγωγή μιας επίθεσης DoS (DoS σημαίνει "άρνηση υπηρεσίας" ή "άρνηση υπηρεσίας", σε αυτήν την περίπτωση, ο υπολογιστής που δέχεται επίθεση γίνεται επανεκκίνηση) και, κατ' ανώτατο όριο, την εκτέλεση οποιουδήποτε κώδικα στη μνήμη του υπολογιστή που επιτέθηκε.

Το πρώτο πράγμα που προκάλεσε ανησυχία στην κοινότητα του δικτύου ακόμη και πριν από την εμφάνιση του τύπου worm ήταν η παρουσία ενός πολύ εύχρηστου exploit (ένα πρόγραμμα για την εκμετάλλευση μιας ευπάθειας), το οποίο συνήθως οδηγεί σε μια κατάσταση όπου ο καθένας μπορεί να λάβει αυτό το πρόγραμμα και αρχίστε να το χρησιμοποιείτε για μη ειρηνικούς σκοπούς. Ωστόσο, αυτά ήταν λουλούδια...

Όταν ο νέος ιός τύπου worm εξαπλώνεται, επιτίθεται στη θύρα 135 και, εάν είναι επιτυχής, εκκινεί το πρόγραμμα TFTP.exe, χρησιμοποιώντας το οποίο κατεβάζει το εκτελέσιμο αρχείο του στον υπολογιστή που δέχεται επίθεση. Σε αυτήν την περίπτωση, ο χρήστης λαμβάνει ένα μήνυμα σχετικά με τη διακοπή της υπηρεσίας RPC και, στη συνέχεια, την επανεκκίνηση. Μετά από μια επανεκκίνηση, το worm ξεκινά αυτόματα και αρχίζει να σαρώνει δίκτυα προσβάσιμα από τον υπολογιστή για υπολογιστές με ανοιχτή θύρα 135. Εάν εντοπιστεί κάποιο, το σκουλήκι ξεκινά μια επίθεση και όλα επαναλαμβάνονται από την αρχή. Επιπλέον, αν κρίνουμε από το ρυθμό εξάπλωσης αυτή τη στιγμή, το worm θα πάρει σύντομα την πρώτη θέση στις λίστες των εταιρειών προστασίας από ιούς.

Υπάρχουν τρεις τρόποι για να προστατευτείτε από το σκουλήκι.

Πρώτον, το ενημερωτικό δελτίο της Microsoft περιέχει συνδέσμους για ενημερώσεις κώδικα για όλες τις ευάλωτες εκδόσεις των Windows που κλείνουν το ελάττωμα RPC (αυτές οι ενημερώσεις κώδικα κυκλοφόρησαν στις 16 Ιουλίου, επομένως όσοι ενημερώνουν τακτικά το σύστημά τους δεν πρέπει να ανησυχούν).

Δεύτερον, εάν η θύρα 135 είναι κλειστή από ένα τείχος προστασίας, το worm δεν θα μπορεί να διεισδύσει στον υπολογιστή.

Τρίτον, η απενεργοποίηση του DCOM βοηθά ως έσχατη λύση (αυτή η διαδικασία περιγράφεται λεπτομερώς στο ενημερωτικό δελτίο της Microsoft). Επομένως, εάν δεν έχετε δεχτεί ακόμη επίθεση από σκουλήκι, συνιστάται ανεπιφύλακτα να κάνετε λήψη μιας ενημέρωσης κώδικα για το λειτουργικό σας σύστημα από έναν διακομιστή της Microsoft το συντομότερο δυνατό (για παράδειγμα, χρησιμοποιήστε υπηρεσίες Windows Update) ή να ρυθμίσετε τον αποκλεισμό των θυρών 135, 139 και 445 στο τείχος προστασίας.

Εάν ο υπολογιστής σας είναι ήδη μολυσμένος (και η εμφάνιση ενός μηνύματος σφάλματος RPC σημαίνει ξεκάθαρα ότι έχει μολυνθεί), τότε πρέπει να απενεργοποιήσετε το DCOM (διαφορετικά κάθε επόμενη επίθεση θα προκαλέσει επανεκκίνηση) και στη συνέχεια να πραγματοποιήσετε λήψη και εγκατάσταση της ενημέρωσης κώδικα.

Για να καταστρέψετε το σκουλήκι, πρέπει να το αφαιρέσετε από το κλειδί μητρώου HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run entry "windows auto update"="msblast.exe", στη συνέχεια βρείτε και διαγράψτε το αρχείο msblast.exe - αυτό είναι το σώμα του ιού τύπου worm. Μπορείτε να διαβάσετε περισσότερα σχετικά με τη διαδικασία αφαίρεσης σκουληκιών στον ιστότοπο της Symantec.

Προς το παρόν, δεν εντοπίζουν όλα τα προγράμματα προστασίας από ιούς, μπορείτε μόνο να ελπίζετε σε προστασία από αυτά μετά την κυκλοφορία των ενημερώσεων.
Αναρτήθηκε από AHTOH 17/08/2003 στις 23:29:

ΕΠΙΚΙΝΔΥΝΟ ΣΚΟΥΛΗΚΙ! Nt Σφάλμα αρχής/συστήματος

__________________
κάνω καλό, κάνω καλό...

Ενσωματωμένες συνδέσεις SQL Server 2005, BUILTIN\Διαχειριστές, , NT ΑΡΧΗ\ΣΥΣΤΗΜΑ, ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ

Αμέσως μετά την εγκατάσταση του SQL Server 2005 σε ένα κοντέινερ Συνδέσειςεμφανίζεται ένα σύνολο συνδέσεων που δημιουργούνται αυτόματα. Πιθανότατα, δεν θα τα χρησιμοποιήσετε για να συνδέσετε χρήστες. Ωστόσο, υπάρχουν περιπτώσεις στις οποίες η γνώση των ενσωματωμένων συνδέσεων μπορεί να είναι χρήσιμη (για παράδειγμα, εάν η σύνδεσή σας διαχειριστή έχει αποκλειστεί κατά λάθος).

q BUILTIN\Διαχειριστές (ή BUILTIN\Διαχειριστές, ανάλογα με τη γλώσσα του λειτουργικού συστήματος) - τα δικαιώματα σύνδεσης για αυτήν την ομάδα Windows εκχωρούνται αυτόματα δικαιώματα διαχειριστή συστήματος SQL Server. Λάβετε υπόψη ότι εάν ο υπολογιστής είναι μέρος ενός τομέα, η ομάδα εμπίπτει αυτόματα σε αυτήν την ομάδα ΤομέαΔιαχειριστές(Διαχειριστές τομέα), και επομένως οι Διαχειριστές τομέα έχουν πλήρη δικαιώματα στον SQL Server από προεπιλογή. Εάν αυτή η κατάσταση είναι ανεπιθύμητη, τότε αυτή η σύνδεση μπορεί να διαγραφεί. Αλλά ακόμα και σε αυτήν την περίπτωση, οι διαχειριστές τομέα θα έχουν εύκολη πρόσβαση στα δεδομένα του SQL Server.

q Ονομα διακομιστή 2005MSFTEUser$ Ονομα διακομιστή$Όνομα_παρουσίας , Ονομα διακομιστή 2005MSSQLUser$ Ονομα διακομιστή$Όνομα_παρουσίας ,Ονομα διακομιστή 2005SQLAgentUser$ Ονομα διακομιστή$Όνομα_παρουσίας - αυτές οι τρεις συνδέσεις για ομάδες Windows χρησιμοποιούνται για τη σύνδεση των αντίστοιχων υπηρεσιών με τον SQL Server 2005. Σε επίπεδο SQL Server 2005, δεν χρειάζεται να εκτελεστούν λειτουργίες με αυτές, καθώς έχουν ήδη παραχωρηθεί όλα τα απαραίτητα δικαιώματα. Σε σπάνιες περιπτώσεις, μπορεί να χρειαστεί να προσθέσετε λογαριασμούς που εκτελούν υπηρεσίες SQL Server σε αυτές τις ομάδες σε επίπεδο Windows.

q NT ΑΡΧΗ\ΥΠΗΡΕΣΙΑ ΔΙΚΤΥΟΥ - Οι εφαρμογές ASP .NET εκτελούνται με αυτόν τον λογαριασμό στον Windows Server 2003, συμπεριλαμβανομένων των Υπηρεσιών Αναφοράς (στα Windows 2000 ο λογαριασμός χρησιμοποιείται για αυτόν τον σκοπό ASPNET). Αυτή η σύνδεση των Windows χρησιμοποιείται για σύνδεση με τις Υπηρεσίες αναφοράς του SQL Server. Του παραχωρούνται αυτόματα τα απαραίτητα δικαιώματα στις βάσεις δεδομένων Μαστήρ, Μsdbκαι σε βάσεις δεδομένων που χρησιμοποιούνται από τις Υπηρεσίες Αναφοράς.

q NT ΑΡΧΗ\ΣΥΣΤΗΜΑ είναι ο τοπικός λογαριασμός συστήματος του λειτουργικού συστήματος. Αυτή η σύνδεση εμφανίζεται σε περιπτώσεις όπου κατά την εγκατάσταση ρυθμίσατε τις παραμέτρους της υπηρεσίας SQL Server ώστε να εκτελείται στον τοπικό λογαριασμό συστήματος. Μπορούμε να πούμε ότι με αυτήν τη σύνδεση ο SQL Server έχει πρόσβαση στον εαυτό του. Φυσικά, αυτή η σύνδεση έχει δικαιώματα διαχειριστή συστήματος SQL Server.

q ΑΝΩΝΥΜΗ ΕΤΑΙΡΙΑ (από ΣύστημαΔιαχειριστής) είναι η μόνη σύνδεση τύπου SQL Server που δημιουργείται από προεπιλογή. Έχει δικαιώματα διαχειριστή συστήματος SQL Server και αυτά τα δικαιώματα δεν μπορούν να αφαιρεθούν από αυτόν. Δεν θα μπορείτε να διαγράψετε ούτε αυτή τη σύνδεση. Αλλά μπορεί να μετονομαστεί ή να απενεργοποιηθεί. Εάν ο SQL Server 2005 έχει ρυθμιστεί για έλεγχο ταυτότητας χρησιμοποιώντας μόνο Windows, τότε δεν θα μπορείτε να χρησιμοποιήσετε αυτήν τη σύνδεση για να συνδεθείτε στο διακομιστή.

Πρόσφατα, πιο συγκεκριμένα πριν από μια εβδομάδα, άρπαξα ένα σκουλήκι και αυτό δεν συνέβη ποτέ σε όλη μου την παρασκευή τσαγιού! Είναι νύχτα - δεν μπορείτε να καλέσετε έναν τεχνικό και τα χρήματα είναι μόνο στην κάρτα - 200 ρούβλια στην τσέπη Τι να κάνω, χρειάζομαι απεγνωσμένα έναν υπολογιστή!

Μέσω του τηλεφώνου μπαίνω στις μηχανές αναζήτησης και πληκτρολογώ το όνομα που είναι γραμμένο στον τίτλο του θέματος - μητέρα μου, τι μαθαίνω - αυτό το πλάσμα ζει στο Διαδίκτυο από το 1993 και η Microsoft Corporation το γνωρίζει, τους ενημέρωσε ο δημιουργός ΕΙΔΙΚΑ. Σήμερα, όταν αυτό το σκουλήκι μπαίνει στον υπολογιστή σας, αποκτά δικαιώματα διαχειριστή και είναι σε θέση να εκτελέσει οποιαδήποτε κόλπα.

Έχοντας εξερευνήσει πολλές δεκάδες φόρουμ, έχοντας διαβάσει εκατοντάδες συμβουλές σε μια μέρα, χωρίς να ξέρω πώς να κοιμηθώ, σκαρφαλώνω στα βάθη του συστήματός μου και, με χειραψία, αρχίζω να ανοίγω τους φακέλους και τα αρχεία για τα οποία διάβασα ενός πεινασμένου λύκου, ψάχνω τον λόγο, αλλά... Είμαι πολύ άπειρος για αυτό, πάλι, μέσω τηλεφώνου, πηγαίνω στον ιστότοπό μας και γράφω σε έναν από τους συντονιστές μας... Το πρόβλημα είναι πολύ δύσκολο και. Για να μην με βασανίζει, το άτομο με συμβουλεύει να καταστρέψω το σύστημα και να εγκαταστήσω ένα νέο, αλλά δεν το έχω κάνει ποτέ! Μου λέει από το τηλέφωνο (χωρίς έξοδα για υπεραστικές κλήσεις) πώς να το κάνω βήμα-βήμα και κάθομαι και το γράφω. Μετά περιμένει το αποτέλεσμα, και κάθομαι και καταλαβαίνω ότι λυπάμαι πολύ για τις συσσωρευμένες πληροφορίες... και το παίρνω απόφαση, αν το κατεδαφίσω, θα έχω πάντα χρόνο, αλλά τώρα θα παλέψω στο δικό μου τα δικά.

Σε κάθε περίπτωση, ήξερα ότι οι γκουρού μας ήταν δίπλα μου και θα συμβουλεύονταν τι να κάνω και πώς. Στο μεταξύ, με δικό μου κίνδυνο και κίνδυνο, κάνω τα εξής:

1) Το banner απενεργοποιεί τον υπολογιστή για επανεκκίνηση μετά από 60 δευτερόλεπτα - αυτό σημαίνει ότι αυτός ο χρόνος πρέπει να αυξηθεί και με τη συμβουλή ενός μέλους του φόρουμ Καταφέρνω να βάλω το ρολόι ένα χρόνο πίσω!

2) Κοιτάζω ήδη ήρεμα και αργά ολόκληρο το μητρώο και τα προγράμματα μέσω του AnvirTaskManager - ήταν ο μόνος που ρώτησε για την εμφάνιση ενός νέου προγράμματος, αλλά σαν κορόιδο το επέτρεψα να περάσει.

3) χωρίς να καταλαβαίνω τίποτα εκεί, ξεκινώ μια πλήρη σάρωση με AVAST, έχοντας προηγουμένως εγκαταστήσει όλες τις επεκτάσεις στις ρυθμίσεις.

μετά από 3,5 ώρες μου έδωσε 6 μολυσμένα αρχεία - ορίστε

win32 malware-gen (2 τεμάχια)

Fakeinst-T (2 τεμ.)

Απλώς αφαιρώ αυτά τα παράσιτα χωρίς καν να προσπαθήσω να τα αντιμετωπίσω.

4) Μετά πηγαίνω στο Revo Unystailer και διαγράφω όλα όσα εγκατέστησα τις τελευταίες ημέρες, μαζί με το AnvirTaskManager και το Reg Organizier.

5) Φορτώνω το AVZ και το εκκινώ.

Και εδώ προκύπτει ένα πρόβλημα - ο δίσκος μου χωρίζεται σε δύο C και το N. Το C σαρώνεται κανονικά και δεν βρίσκει τίποτα, μόλις αρχίσει να σαρώνει το N ολόκληρος ο υπολογιστής μπαίνει σε λήθαργο. Κάνω επανεκκίνηση - το banner δεν εμφανίζεται πλέον και ηρεμώ, το Διαδίκτυο λειτουργεί, αλλά το mozilla δεν ανοίγει, περνάω από το Google Chrome.

Ελέγχω το N σε λειτουργία on-line. Καθαρώς! Ανοίγω το N, προσπαθώ να επιλέξω φάκελο - και πάλι ο υπολογιστής παγώνει! Μετά από αρκετές προσπάθειες να το ανοίξω, το σαρώνω ξανά με AVAST και, μη βρίσκοντας τίποτα, αποφασίζω να αντιγράψω τα πάντα στο C.

Μετά την αντιγραφή στο C, καθαρίζω όλα τα N και μπαίνω στο αντίγραφο - όλα λειτουργούν!!!

Πριν από μια ώρα κατέβασα και ενημέρωσα το Mozilla και τώρα απολαμβάνω τη ζωή. Έλεγξα τα πάντα και τώρα θα ενημερώσω τον Dr. W curellt και θα το βάλω στη διάρκεια της νύχτας - για να απαλύνω τη συνείδησή μου! Λάβετε λοιπόν υπόψη σας, αγαπητοί συνάδελφοι, δεν είναι όλα τόσο τρομακτικά. Για την ασφάλεια των υπολογιστών σας, κάντε όπως υποδεικνύεται στο συνημμένο αρχείο!!!

Να είναι υγιείς οι υπολογιστές μας!!!

Με σεβασμό σε όλους τους αναγνώστες Alexey!