gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Code Rainbow ?
Contribuído por scorpio em 19-09-01 9:13
do departamento bichezas...
Microsoft xeon escreve "Ca' esta' outro bicho dos maus, este capaz de nos dar mais dores de cabeca que o nosso ja' conhecido Code Red.
Excerto de um mail da NTbugtraq:
There have been numerous reports of IIS attacks being generated by machines over a broad range of IP addresses. These "infected" machines are using a wide variety of attacks which attempt to exploit already known and patched vulnerabilities against IIS. It appears that the attacks can come both from email and from the network. "
[continua...]
A new worm, being called w32.nimda.amm, is being sent around. The attachment is called README.EXE and comes as a MIME-type of "audio/x-wav" together with some html parts. There appears to be no text in this message when it is displayed by Outlook when in Auto-Preview mode (always a good indication there's something not quite right with an email.)

The network attacks against IIS boxes are a wide variety of attacks. Amongst them appear to be several attacks that assume the machine is compromised by Code Red II (looking for ROOT.EXE in the /scripts and /msadc directory, as well as an attempt to use the /c and /d virtual roots to get to CMD.EXE). Further, it attempts to exploit numerous other known IIS vulnerabilities.

One thing to note is the attempt to execute TFTP.EXE to download a file called ADMIN.DLL from (presumably) some previously compromised box.

O 'pattern' do ataque e' mais ou menos isto:
_vti_bin/..%255c../..%255c../
/scripts/..%255c../winnt/syste
/d/winnt/system32/cmd.exe?/c+d
/c/winnt/system32/cmd.exe?/c+d
/MSADC/root.exe?/c+dir HTTP/1.
/scripts/root.exe?/c+dir HTTP/

Algumas coisas interessantes no binario:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security share c$=c:\
user guest ""
localgroup Administrators guest /add
localgroup Guests guest /add
user guest /active
open
user guest /add
net
A CNN ja' vai 'sabendo' alguma coisa tambem ...

Alguem com mais informacao sobre isto ?
Parece-me que vai ser pior que o Code Red ...

scorpio: Na mailing-list focus-ids@securityfocus.com já sairam regras para o snort detectar este bicho. Se não estão inscritos, deviam!

Sai um Outlook clone para Linux | Portugal no espaco com Linux  >

 

gildot Login
Login:

Password:

Referências
  • CNN
  • CNN
  • xeon
  • Mais acerca Microsoft
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Nos dar???????? (Pontos:1)
    por mlopes em 19-09-01 9:45 GMT (#1)
    (Utilizador Info)
    A mim provavelmente não vai dar dor de cabeça nenhuma, Linux no desktop, Linux e Solaris nos servidores. Não me parece que um virus chamado w32.nimda.amm me venha a fazer dores de cabeça!!!!
    Re:Nos dar???????? (Pontos:4, Interessante)
    por Dehumanizer em 19-09-01 10:24 GMT (#4)
    (Utilizador Info)
    Infelizmente, também somos indirectamente afectados.

    1- logs de apache crescem exageradamente

    2- mailboxes cheias de lixo

    3- internet em geral mais lenta, por causa do tráfego gerado pelos milhões de servidores IIS.


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3
    Re:Nos dar???????? (Pontos:2)
    por Gimp em 19-09-01 17:06 GMT (#9)
    (Utilizador Info)
    Milhões de IIS? Alguém tem dados concretos disto?


    "Os meus 2 caragos" Ferrenho Gomes zZzZz

    Re:Nos dar???????? (Pontos:2)
    por Dehumanizer em 19-09-01 18:25 GMT (#10)
    (Utilizador Info)
    Não estou a falar apenas de "*verdadeiros" servidores, mas também (e talvez sobretudo) dos utilizadores domésticos que instalam o NT/2000 Server ("Server deve ser melhor que Workstation, carago!") e não fazem sequer ideia de que têm um servidor de Web a correr (foi instalado por default), assim como não fazem ideia do que é um patch...

    Tenho um servidor em OpenBSD em casa (acesso pela Netcabo) e desde ontem já recebi centenas de ataques deste vírus (e continuo a receber uns CodeReds também, para o Nimda não se sentir sozinho). 99% vêm da minha classe A (213) e um número substancial vem da minha classe B, também. Ou seja, Netcabos.

    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3
    Re:Nos dar???????? (Pontos:1)
    por AliAli em 20-09-01 8:17 GMT (#15)
    (Utilizador Info)
    Deh: Classe "A" ? Pensava que a tua experiencia pelo Maior Isp privado de Portugal te tinha ensinado que isso ja nao se usa! Agora é tudo classless.... ;-) ps: que fazes agora?
    Re:Nos dar???????? (Pontos:2)
    por Dehumanizer em 20-09-01 8:52 GMT (#16)
    (Utilizador Info)
    É classless nos routers. Mas para nós ainda é mais fácil dizer "classe A" do que "com o mesmo primeiro byte do endereço". :)

    Quanto a agora, passei de 2 letras para 3. :)


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3
    Re:Nos dar???????? (Pontos:2, Esclarecedor)
    por zaroastra em 20-09-01 9:23 GMT (#17)
    (Utilizador Info)
    Clase A, B, C, D nao tem nada a ver com o que tu dizes.
    Se a memoria nao me falha (e provavelmente ate falha), clase 'a sao enderecos com o primeiro byte vai de 1 ate 72 (- o 10 que e reservado para redes internas), e 3 bytes para maquinas, classe b vai prai de 73 ate 128 (- o 127) e utiliza os dois primeiros bytes para a rede e os outros dois para maquinas, o C com 3 bytes para rede e um para maquinas e o D para broadcast.

    Re:Nos dar???????? (Pontos:2)
    por Dehumanizer em 20-09-01 11:02 GMT (#19)
    (Utilizador Info)
    Ok. Tens razão. Mas hoje em dia é comum fazer o que entendeste que eu fiz: classe A é X.*.*.*, classe B é X.Y.*.*, etc..


    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3
    Re:Nos dar???????? (Pontos:2, Informativo)
    por Airegin em 19-09-01 16:03 GMT (#8)
    (Utilizador Info)
    Eu ontem, por volta das 17:30h, queria não conseguia aceder a quase nada que estivesse no estrangeiro. Mesmo que as nossas máquinas Linux não possam ser infectadas também fomos afectados. :-(
    Airegin
    Mais info (Pontos:2, Informativo)
    por PR em 19-09-01 9:55 GMT (#2)
    (Utilizador Info)
    Mais info aqui.
    Alerta (Pontos:2)
    por Lamego em 19-09-01 21:11 GMT (#12)
    (Utilizador Info)
    Na empresa onde trabalho (uma multinacional da qual não foi referir o nome para evitar precalços :P) esta manhã recebemos um email a indicar que os serviços de partilha de ficheiros e impressoras tinha sido desligado devido a problemas causados por um novo virus, durante a tarde recebemos ordem para desligar o cabo de rede do único servidor NT que temos :), é de notar que se trata duma intranet bem protegida por firewalls com autentificação para tudo o que é protocolo

    Eles andem aí...
    Nimda também nos infectou (Pontos:1)
    por Confidencial Souce em 19-09-01 21:43 GMT (#13)
    (Utilizador Info) http://www.zdnet.pt
    Apesar dos estragos serem mínimos(pelo menos é o que acreditamos), o vírus conseguiu passar os nossos filtros. Mas aconteceu-nos uma coisa curiosa: ontem quando a propagação estava no auge, os nossos sistemas ficaram quase nocauteados por tanta informação vinda ao mesmo tempo. Depois a pouco e pouco os sistemas voltaram ao normal e começámos a visualizar o bicho a tentar passar pelos filtros, milhares deles a tentarem passar. Apesar de tudo, existe sempre uma probalidade de 3% conseguirem passar a defesa e foi o que se verificou. Agora é arregaçar as mangas e verificar se existem danos :)


    "I don't even know the lady and she calls me a son of a bitch! I DON'T NEED THIS SHIT"

    Re:Nimda também nos infectou (Pontos:2)
    por Eraser em 20-09-01 10:42 GMT (#18)
    (Utilizador Info)
    Será que podes dar informação de como o vírus passou as firewalls? Vocês tinham a porta 80 aberta sem filtragem? Ou então foi por mail que o vírus entrou? Obviamente, não quero que digas nada que comprometa a segurança da rede mas que ajudes a levantar o veu sobre o funcionamento do vírus.

    Fica bem. Espero que os estragos não tenham sido muitos. :)

    JP
    Re:Nimda também nos infectou (Pontos:1)
    por Confidencial Souce em 20-09-01 20:01 GMT (#21)
    (Utilizador Info) http://www.zdnet.pt
    Através do mail, mas já está ultrapassado.


    "I don't even know the lady and she calls me a son of a bitch! I DON'T NEED THIS SHIT"

    Bandwidth? (Pontos:1)
    por japc em 19-09-01 23:58 GMT (#14)
    (Utilizador Info) http://xpto.org/~japc
    Claro que da nao tens largura de banda para isto "mamar"? Logs?
    japc.
    Quando é que proibem a instalação IIS nos PCs (Pontos:2, Engraçado)
    por sab em 20-09-01 16:15 GMT (#20)
    (Utilizador Info)
    Quem utiliza o IIS tem o que merece, mas nós que somos afectados indirectamente também nos "lixamos".

    Tem que se começar a pensar seriamente em proibir o uso do IIS em qualquer máquina na Internet.


    Re:Quando é que proibem a instalação IIS nos PCs (Pontos:1)
    por mlopes em 21-09-01 11:05 GMT (#22)
    (Utilizador Info)
    Não sei porquê que este comentário foi classificado como engraçado!
    Até nas estradas os carros estão sujeitos a inspeções para garantir que não constituem perigo para os outros condutores, porquê que quando alguêm diz uma coisa como esta em relação à informática, que deveria ser levado a sério aparece logo um ignorante ofuscado pela M$ a classificar como engraçado, "Interessante" talvez ou "Importante", mas "engraçado"!!!!
    Re:Quando é que proibem a instalação IIS nos PCs (Pontos:1)
    por Vampiro em 21-09-01 11:06 GMT (#23)
    (Utilizador Info) http://www.abelha.net
    Como diria o "mlopes" defensor da religião Linux: "...palavras para quê? este homem disse tudo!..." Filipe Eusébio
    Filipe Eusébio
    Re:report (Pontos:0, Esclarecedor)
    por Anonimo Cobarde em 19-09-01 13:47 GMT (#6)
    egrep "root.exe|cmd.exe" access_log | egrep "18/Sep|19/Sep" | wc
    6121

    Weeeeee... Nimda Rocks... Long live M$
    Re:eh xato como tudo! (Pontos:2)
    por Dehumanizer em 19-09-01 18:27 GMT (#11)
    (Utilizador Info)
    O chato é que se isto continua assim, os operadores ainda se lembram de filtrar a porta 80 para os clientes... :(

    "Prepare to be seduced by my Psycho-Power!"
    - M. Bison, Street Fighter Alpha 3

     

     

    [ Topo | FAQ | Editores | Contacto ]