Precedente :: Successivo |
Autore |
Messaggio |
pincopallino Dio maturo
Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli
|
Inviato: 17 Set 2003 11:42 Oggetto: Specie di virus invisibile |
|
|
Se sia Blaster trasformato o meno, ancora non si sa... Comunque ecco cosa succede.
Le macchine (Win2K, WinXP) sulle quali non è stato disattivato DCOM possono essere attaccate da un "qualcosa" che non è riconosciuto nemmeno dall'antivirus più aggiornato. Questo "qualcosa" modifica il services.exe di Win e poi comincia ad inviare pacchetti su pacchetti alla porta 135. La funziona copia-incolla risulta inattiva, ed Eudora non mostra più alcuna cartella. Disattivare DCOM una volta che il PC è stato infettato serve a ripristinare la funzionalità, ma non a bloccare l'infezione (chiudere la stalla dopo che i buoi son scappati...)
Qui abbiamo 6 macchine "infettate" che sparano pacchetti a tutto spiano, sempre sulla 135. Erano state aggiornate (Windows Update) prima dell'attacco. Addirittura, pare che comunichino fra di loro, sempre tramite quel services.exe modificato. I responsabili della piattaforma informatica (che copre università, istituti, biblioteche ecc. - immaginate quale estensione!) per il momento non hanno bloccato gl'IP delle macchine infettate, proprio per studiare il colpevole e cercare di trovare un rimedio.
Io non sono stato infettato, ma avevo disattivato il DCOM già da parecchio.
Se doveste trovarvi nella medesima situazione, consiglio un "repair" dell'installazione direttamente dal CD di Windows. Se non funziona, una sostituzione brutale del services.exe, e poi una visita a Windows Update. Ovviamente, un bel backup di tutti i dati prima di smanettare con il SO.
Questo è il caso più subdolo che abbia mai incontrato... Finora!
_________________________________
God saves, but Buddha makes incremental backups |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 17 Set 2003 12:42 Oggetto: Re: Specie di virus invisibile |
|
|
ma era stata installata la "seconda" patch rilasciata per i bachi di DCOM? Che dopo Blaster e la prima patch si sono resi conto che il problema era stato risolto solo in parte e che presto qualcuno avrebbe modificato un pochettino una copia di Blaster per sfruttare lo spiraglio ancora aperto... allora hanno rilasciato una seconda patch, cerca la fix "824146".
|
|
Top |
|
|
pincopallino Dio maturo
Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli
|
Inviato: 17 Set 2003 13:10 Oggetto: Re: Specie di virus invisibile |
|
|
Alcune delle macchine erano completamente pacchate. Eppure...
_________________________________
God saves, but Buddha makes incremental backups |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
|
Top |
|
|
pincopallino Dio maturo
Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli
|
Inviato: 17 Set 2003 18:52 Oggetto: 'spetta 'spetta.... |
|
|
.... che n'è saltata fuori una bella! Ci credi che sul Windows Update francese non c'è la patch 824146? Io non uso la versione francese, quindi non posso accertarmene direttamente, ma il nostro amministratore network, su mio consiglio, è andato a cercarsi la patch separatamente, e non solo l'ha trovata, ma installandola l'invio esterno si è fermato. A quel punto ha controllato le macchine che erano state aggiornate tramite WinUp e non ha trovato traccia della 824146, nemmeno nella cronologia delle installazioni. Quindi è andato su WinUp alla ricerca di tutte le patch, incluse le minori: niente!
Questo fa il pajo con un driver HP per una laser recto-verso. L'ultima versione francese non funziona, presenta una finestra proprietà completamente diversa dalla corrispondente versione inglese (che invece funziona).
Mah, fortunatamente io continuo con la mia versione giapponese, che non mi ha mai dato problemi
_________________________________
God saves, but Buddha makes incremental backups |
|
Top |
|
|
gieffeo Dio minore
Registrato: 17/07/03 14:37 Messaggi: 784
|
|
Top |
|
|
pincopallino Dio maturo
Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli
|
|
Top |
|
|
ioSOLOio Amministratore
Registrato: 12/09/03 18:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 18 Set 2003 08:09 Oggetto: articolo di Attivissimo |
|
|
nell'articolo di Paolo Attivissimo QUA' si parla del probabile Blaster2..
..oltre che del solito zio Bill !!
|
|
Top |
|
|
gieffeo Dio minore
Registrato: 17/07/03 14:37 Messaggi: 784
|
|
Top |
|
|
egosumquisum2 Dio minore
Registrato: 04/07/02 14:13 Messaggi: 885
|
Inviato: 18 Set 2003 09:24 Oggetto: ocio ocio ocio!!! |
|
|
deselezionato il servizio DCOM e puffete!!!
niente firewall, più un altro paio di problemini minori
quindi: riabilitato il servizio
There are 10 kinds of people Those who understand binaries and those who don't |
|
Top |
|
|
pincopallino Dio maturo
Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli
|
Inviato: 18 Set 2003 09:29 Oggetto: Re: ocio ocio ocio!!! |
|
|
mooolto strano! Che firewall usi? Con sygate e niente DCOM nessun problema qui
_________________________________
God saves, but Buddha makes incremental backups |
|
Top |
|
|
doctorK Dio minore
Registrato: 10/06/02 21:09 Messaggi: 874
|
|
Top |
|
|
egosumquisum2 Dio minore
Registrato: 04/07/02 14:13 Messaggi: 885
|
Inviato: 18 Set 2003 14:12 Oggetto: Re: ocio ocio ocio!!! |
|
|
proprio sygate e scm.exe ha fatto le bizze subito dopo aver disabilitato il dcom
There are 10 kinds of people Those who understand binaries and those who don't |
|
Top |
|
|
pincopallino Dio maturo
Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli
|
|
Top |
|
|
|