gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
DCOM worm
Contribuído por scorpio em 12-08-03 16:59
do departamento w32-party!
Microsoft Já anda a fazer estragos por essa Internet fora: o worm MS-Blast, que se aproveita das vulnerabilidades encontradas há dias na implementação RPC de várias colheitas dos Windows. Se lhe aparece um contador de 60 segundos quando liga o windows, ao fim dos quais a máquina faz reboot - parabéns, venha jogar connosco!
Para resolver o problema, descarregue e aplique este patch, e de seguida execute a ferramenta de remoção.
A worm contém o seguinte texto, que não é visualizado aquando da sua execução: "I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!"

Cursos (procuro opiniões) | Escutas GSM Chave-na-Mão  >

 

gildot Login
Login:

Password:

Referências
  • este patch
  • ferramenta de remoção
  • Mais acerca Microsoft
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Mais links e Removals :) (Pontos:2, Esclarecedor)
    por jamaica em 12-08-03 17:27 GMT (#1)
    (Utilizador Info) http://latencias.pt.vu
    Link directo para o ficheiro de actualização da Microsoft

    Link para o ficheiro de remoção da Symantec

    In -depth explanation da Symantec

    A nivel pessoal, passei o fim de semana no algarve com o pc ligado (Windows 2000), sem qualquer anti-vírus ou firewall e quando cheguei hoje a casa de manhã a maquina tava up, a transferir dados (no Direct Connect ;) e sem qualquer mensagem de erro :)
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti

    Re:Mais links e Removals :) (Pontos:2, Engraçado)
    por bracaman em 12-08-03 17:33 GMT (#2)
    (Utilizador Info) http://bracaman.netcanvas.net
    A nivel pessoal, passei o fim de semana no algarve com o pc ligado (Windows 2000), sem qualquer anti-vírus ou firewall e quando cheguei hoje a casa de manhã a maquina tava up, a transferir dados (no Direct Connect ;) e sem qualquer mensagem de erro :)

    O WORM deve-se ter assustado com o porno que tavas a tirar :P



    --
    "Muda, que quando a gente muda, o Mundo muda com a gente" -- Gabriel, o Pensador
    Re:Mais links e Removals :) (Pontos:1)
    por jcma em 12-08-03 17:58 GMT (#3)
    (Utilizador Info)
    A nivel pessoal, passei o fim de semana no algarve com o pc ligado (Windows 2000), sem qualquer anti-vírus ou firewall e quando cheguei hoje a casa de manhã a maquina tava up, a transferir dados (no Direct Connect ;) e sem qualquer mensagem de erro :)

    Tens mais sorte do que eu. Eu fiz boot para XP e mal acabou de arrancar ja tinha uma mensagem a dizer que se ia desligar... Por estas e por outras e que sao cada vez menos os boots para XP.
    I have a feeling. (Pontos:1)
    por jamaica em 12-08-03 18:12 GMT (#4)
    (Utilizador Info) http://latencias.pt.vu
    Call me paranoid, mas na semana passada, antes de ir para o Algarve, não sei porquê mas deu-me um feeling e fui actualizar o W2k com o SP4 e, depois disso, actualizar os ultimos patches, os quais me recordo que tinha algo a ver com o RPC.
    Porque fiz isso? Simples.. já tinha lido alguns advisories sobre isso, e sei que já havia pelo menos uma empresa de segurança informática que tinha já criado um xploit mas que devido à intervenção da M$, não tinha lançado qq código para fora.
    Até ontem.. claro. :)
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti
    Re:I have a feeling. (Pontos:1)
    por coder em 12-08-03 18:43 GMT (#7)
    (Utilizador Info)
    curioso referires-te à Microsoft como 'M$' e, no entanto, fartares-te de usares o S.O. deles...
    Re:I have a feeling. (Pontos:2)
    por Branc0 em 12-08-03 19:00 GMT (#8)
    (Utilizador Info) http://www.syners.org
    Ele escreve M$ porque pagou o S.O.

    Técnicamente tem mais direito a usar o $ do que quem usa software livre e/ou gratis :)


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:I have a feeling. (Pontos:1, Redundante)
    por jamaica em 12-08-03 20:08 GMT (#11)
    (Utilizador Info) http://latencias.pt.vu
    Uso o Windows.. porque:

    - Tenho uma webcam que requer drivers especificos.
    - Tenho um gamepad que requer drivers especificos.
    - Tenho familia e amigos. A minha sobrinha nao perceberia porque motivo não lhe iria instalar o Hugo no computador :)

    Neste momento uso o LinuxFromScratch.org 3.1, embora quando tiver algum tempo livre hei-de actualizar para o 4.0. E sim, comprei uma licença do Windows 2000 Professional, tal como já comprei o Slackware 4.0 em tempos. Neste momento ainda não encontrei a distro perfeita, Suse nem vê-la (bratwhurst sux), Mandrake 9.1 tá quase perfeita, e RH só pra servidores :>
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti

    Re:I have a feeling. (Pontos:2)
    por bgravato em 12-08-03 23:16 GMT (#19)
    (Utilizador Info)
    Path to the light :-)

    <flame>
    Se bem que para quem usa mandrake e perfeita na mesma frase, assim como RedHat e servidores, ainda lhe falta um bocadinho para ver a luz :-P
    </flame>

    Re:I have a feeling. (Pontos:1)
    por jamaica em 13-08-03 2:35 GMT (#24)
    (Utilizador Info) http://latencias.pt.vu
    ok, estou aberto a sugestões. como tava no trabalho nao tive tempo de formular melhor as minhas opiniões, mas cá vai:

    - Para Eye-candy, ou seja, o mercado residencial, o Mandrake está mesmo quase lá! Uso no meu portátil e além de belo, funciona (quase, claro) às mil maravilhas.
    - Para servidores, já percebi que aconselhas Debian, certo?! Já agora, qual a versão recomendada?! ;)
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti

    Re:I have a feeling. (Pontos:1)
    por jcma em 13-08-03 11:01 GMT (#31)
    (Utilizador Info)
    eu uso debian no portatil.. e tudo funciona (placa wireless,firewire(nunca testei mas detecta),irda,teclas especiais). Quer dizer, so nao "hiberna". Ainda nao tive tempo para ver isso.

    Instalei de novo a semana passada atraves do knoppix. Foi lindo... tudo detectado. Depois foi so copiar para o disco e fiquei com uma instalacao funcional e configurada.

    Ainda foi mais rapido que instalar o XP.

    O unico senao e ter que recompilar o kernel por causa do suporte para acpi.


    Re:I have a feeling. (Pontos:3, Informativo)
    por higuita em 13-08-03 11:22 GMT (#33)
    (Utilizador Info)
    o hibernar podes esquecer com os kernel 2.4

    pelos vistos existe uns problemas que ao fazer o restore fica mal inicializado...

    para o hibernar vais ter mesmo de esperar pelo 2.6
    poderias usar o "hibernar para o swap", software suspend acho, mas acho que no 2.4 tambem existem ainda problemas que corrompem as coisas...


    Higuita
    Re:I have a feeling. (Pontos:2)
    por higuita em 13-08-03 11:32 GMT (#34)
    (Utilizador Info)
    - Tenho uma webcam que requer drivers especificos.

    troca de webcam, ou melhor, chateia o fabricante a fazer drivers para ela...(sob a ameaca de nunca mais comprar nada deles)
    aos poucos a pressao aumenta tanto que eles acabam por fazer drivers ou ajudar quem os faz

    - Tenho um gamepad que requer drivers especificos.

    igualmente, mas segundo sei, a maioria das gamepads era suportada... posso estar enganado, ja' que nao tenho uma 8)

    - Tenho familia e amigos. A minha sobrinha nao perceberia porque motivo não lhe iria instalar o Hugo no computador :)

    wine ou winex?
    o resto do pessoal aprendia a usar linux, podem espernear um pouco no inicio por nao conhecerem, mas depois de "brincarem" com ele ate' acabam por gostar

    Higuita
    Re:I have a feeling. (Pontos:1)
    por jamaica em 14-08-03 16:16 GMT (#39)
    (Utilizador Info) http://latencias.pt.vu
    redudante? LoL :)

    nao sei porque, apenas dei as minhas razões pela qual uso windows, e pela qual nao posso deixar de usar! :(
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti

    Re:Mais links e Removals :) (Pontos:3, Esclarecedor)
    por [Cliff] em 12-08-03 19:49 GMT (#10)
    (Utilizador Info)
    Da próxima vez que te aparecer essa janelinha, abre a consola e escreve o comando shutdown /a.
    Isto cancela o shutdown à máquina, é o mesmo que o shutdown -c do linux.

    ----------
    Este post foi publicado segundo a licensa IDC (I Don't Care).
    Re:Mais links e Removals :) (Pontos:1, Redundante)
    por jamaica em 12-08-03 20:15 GMT (#12)
    (Utilizador Info) http://latencias.pt.vu
    Muito obrigado pela dica. Tenho muitos clientes satisfeitos que agradecem essa informação. :)
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti
    Re:Mais links e Removals :) (Pontos:2, Engraçado)
    por jamaica em 16-08-03 15:56 GMT (#42)
    (Utilizador Info) http://latencias.pt.vu
    ao bacano que gosta de me moderar como Redudante, por envia-me um email para esclarecermos esses (distorcidos) pontos-de-vista. :)
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti
    Re:Mais links e Removals :) (Pontos:2)
    por higuita em 13-08-03 11:19 GMT (#32)
    (Utilizador Info)
    eu em casa, tenho os logs do ipchains a bloquear tentativas de ligacao a porta 135 de 10 em 10 minutos... acho que tiveste sorte (ou entao o directconnect entupiu-te tanto a ligacao que os pacotes da worm acabavam por dar timeout 8)

    mas agora lembra-te... a worm e muitos script kids deixam reinicar a maquina, mas segundo sei, e' possivel bloquear o reinicio manualment e logo fazer com que o ataque seja mais discreto

    Higuita
    so um pekeno reparo (Pontos:1)
    por Uranus em 12-08-03 18:21 GMT (#5)
    (Utilizador Info) http://uranus.urbanterrorpt.net
    ... esta notícia foi literalmente traduzida do slashdot! Acho k a noticia em si é importante, mas porque nao reescreve-la?
    Re:so um pekeno reparo (Pontos:3, Esclarecedor)
    por Branc0 em 12-08-03 19:01 GMT (#9)
    (Utilizador Info) http://www.syners.org
    Claro... Porque é que não a reescreveste tu e não a submeteste?


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:so um pekeno reparo (Pontos:1)
    por being em 12-08-03 23:10 GMT (#18)
    (Utilizador Info)
    Ele perguntou porque nao submeter igual a do slashdot. Ja agora, penso que foi por nao estar em inglês. :)

    Be different, think for yourself.

    outro pequeno reparo (Pontos:2)
    por bgravato em 12-08-03 23:18 GMT (#20)
    (Utilizador Info)
    Já que estamos numa de "pequenos reparos"... pequeno escreve-se com "qu" e não com "k"


    Eu já tinha avisado... (Pontos:2)
    por jorgelaranjo em 12-08-03 18:27 GMT (#6)
    (Utilizador Info) http://lesi.host.sk/
    O artigo é que foi rejeitado...
    Mas eu já tinha dado conta do DCOM bug.
    Era uma questão de tempo sair o worm...


    Cumprimentos,
    Jorge Laranjo
    01100110 01110101 01100101 01100111 00110000
    http://pocketBlog
    Re:Eu já tinha avisado... (Pontos:3, Gozão)
    por ruben dig em 12-08-03 20:22 GMT (#13)
    (Utilizador Info) http://www.floppy.com.pt
    finalmente o nosso 245 vai aparecer na televisão por ter denunciado o bug à um mês e ninguém lhe ligar nenhuma :)

    i told you so....
    Re:Eu já tinha avisado... (Pontos:2)
    por jorgelaranjo em 13-08-03 0:33 GMT (#21)
    (Utilizador Info) http://lesi.host.sk/
    Pronto, ok!
    Foi uma boca foleira...
    Mas eu tinha avisado...
    Mas também, com uma discussão daquelas ja toda a gente sabe do BUG.

    Quanto ao Ruben Dig (585) ...
    Tens cá uma piada... só é pena que os teus posts, parecerem sempre uma SMS...



    Cumprimentos,
    Jorge Laranjo
    01100110 01110101 01100101 01100111 00110000
    http://pocketBlog
    Re:Eu já tinha avisado... (Pontos:2)
    por |The-Crow| em 13-08-03 13:43 GMT (#36)
    (Utilizador Info) http://trance.ebserver.org
    Agora comunicam-se por nºs? lol
    Curioso (Pontos:1)
    por BA em 13-08-03 9:20 GMT (#28)
    (Utilizador Info)
    Voltei de férias há pouco tempo e um dos artigos que estava na altura em discussão aqui era o motivo de muitos artigos não serem aprovados.
    Num dos posts (acho que precisamente do Jorge) o autor queixava-se de o artigo sobre este buraco não ter sido aprovado.
    Com as keywords indicadas, fui logo à procura de mais informação e concluí que o mais prudente era mesmo actualizar asap. Saiu logo um mail para o pessoal todo aqui da empresa, com o patch, pedindo para o aplicarem.

    Resultado: hoje não estou minimamente preocupado com o vírus!!!
    weird (Pontos:2)
    por vd em 12-08-03 21:22 GMT (#14)
    (Utilizador Info) http://paradigma.co.pt
    Merda esquesita esta :)

    A serio, li um advisory qualquer da MSFT que apenas recomendava o firewall activo, ou entao outro qualquer a bloquear as portas 135 e outras que agora nao me lembro.

    Li também que o patch apenas se aplicaria no XisPe com o SP1, o que muitos ainda não o têm.

    Por sinal e por causa das tosses, normalmente costumo remover tudo o que é "remote assistence", "remote desktop", "system restore", "automatic updates", "default shares" do windows, activo logo o firewall e sempre me dei bem.

    //vd
    Re:weird (Pontos:2)
    por vd em 12-08-03 21:31 GMT (#15)
    (Utilizador Info) http://paradigma.co.pt
    Ah sim!

    Fui agora ver os logs do firewall e tenho alguns drops na porta 135 :) ... 99 para ser preciso até ao momento.

    2003-08-10 01:01:03 DROP TCP 151.100.28.245 193.126.187.133 1031 135 40 S 757147 0 4096 - - -
    2003-08-10 11:54:54 DROP TCP 81.161.134.75 193.126.187.199 3153 135 48 S 3973410894 0 64240 - - -
    2003-08-11 22:55:45 DROP TCP 193.126.187.143 193.126.187.230 1871 135 48 S 1236228946 0 8160 - - -
    2003-08-11 22:55:48 DROP TCP 193.126.187.143 193.126.187.230 1871 135 48 S 1236228946 0 8160 - - -
    2003-08-11 22:55:50 DROP TCP 216.184.196.135 193.126.187.230 2660 139 48 S 3299476295 0 16384 - - -
    2003-08-11 22:55:53 DROP TCP 216.184.196.135 193.126.187.230 2660 139 48 S 3299476295 0 16384 - - -
    2003-08-11 22:55:54 DROP TCP 193.126.187.143 193.126.187.230 1871 135 48 S 1236228946 0 8160 - - -
    2003-08-12 22:05:04 DROP TCP 193.126.187.54 193.126.187.249 4891 135 48 S 3580236235 0 8760 - - -
    2003-08-12 22:05:39 DROP TCP 193.126.148.151 193.126.187.249 4704 135 48 S 1115051507 0 8760 - - -
    2003-08-12 22:05:42 DROP TCP 193.126.148.151 193.126.187.249 4704 135 48 S 1115051507 0 8760 - - -
    2003-08-12 22:05:48 DROP TCP 193.126.148.151 193.126.187.249 4704 135 48 S 1115051507 0 8760 - - -

    //vd
    Re:weird (Pontos:2)
    por spyder em 12-08-03 22:02 GMT (#16)
    (Utilizador Info)
    99? Wimp ;)
    # grep "Aug 12" /var/log/messages | grep "DPT=135 "| wc -l 1105
    Re:weird (Pontos:2)
    por vd em 12-08-03 22:15 GMT (#17)
    (Utilizador Info) http://paradigma.co.pt
    Num portatil pessoal ligado com dialup ? Onde cada ligação é novo ip ?

    São alguns ;)

    //vd
    Re:weird (Pontos:2)
    por racme em 13-08-03 2:32 GMT (#23)
    (Utilizador Info) http://www.linuxjournal.com/
    os logs q nao se enchem em apenas 3 horinhas na madrugada


    mounthyjal# date
    Wed Aug 13 03:25:55 WEST 2003
    mounthyjal# cat /var/log/security | egrep "Aug 13.*(135|139|445)" | wc -l
              222


    o engracado e' q 90% dos "ataques" sao dentro da propria netcabo
    nao somos so o pais das fatimas, fado, figos, fogos florestais, agora somos tambem o pais dos acaros =)


    Make World; Not War;
    Re:weird (Pontos:1)
    por mrmv em 13-08-03 9:36 GMT (#30)
    (Utilizador Info)
    "o engracado e' q 90% dos "ataques" sao dentro da propria netcabo
    nao somos so o pais das fatimas, fado, figos, fogos florestais, agora somos tambem o pais dos acaros =)"

    Precisas ler um pouco sobre o dito worm para perceber porque. Vai ao site da symantec por exemplo.
    "Never interrupt your enemy when he is making a mistake." Napoleon Bonaparte
    Re:weird (Pontos:2)
    por racme em 13-08-03 12:20 GMT (#35)
    (Utilizador Info) http://www.linuxjournal.com/
    "o engracado e' q 90% dos "ataques" sao dentro da propria netcabo
    nao somos so o pais das fatimas, fado, figos, fogos florestais, agora somos tambem o pais dos acaros =)"

    Precisas ler um pouco sobre o dito worm para perceber porque. Vai ao site da symantec por exemplo.


    percebo onde queres chegar.. mas nao vou ler nada :) felizmente nem um pocket pc aqui ha para updatar e acredita que o num de maquinas ainda e' consideravel :P
    O meu interesse e' puro academico, basta saber quais as portas o resto deixo pro ipfw. e esta 139 ja e' nossa velha conhecida

    como registei alguns ataques do UK, da holanda, da korea dos estados unidos, tirei essa conclusao premeditada, depois de ver o espectaculo de ips da gama netcabo. Claro esta que e' o worm e nao "ataques", mas pouco importa.

    Mas tens razao no alerta e e' capaz de ficar a questao, sendo a maioria, no meu caso, de "ataques" provenientes da netcabo era util saber o que raio faz esta empresa para proteger os seus clientes, para proteger a sua rede, para evitar a propagacao do virus?

    Seria assim tao dificil sabendo que existe um outbreak bloquear todo e qualquer trafego a nivel do rotedo para as portas 135/139 etc. Mesmo que os acessos legitimos,netbios over tcp, tenham de penar durante esse periodo, paciencia.

    Compreendo que para muitos possa ser util ou faca falta o seu uso, mas ninguem quer andar a deitar foguetes quando na localidade mais proxima lavra um incendio com 10 km de frente.

    Tiro o chapeu por terem enviado um email ontem, ou ha 2 dias a alertar pro patch e com os numeros de telefone da M$ portugal. Mas la esta', para uma empresa que se gaba de ter 400mil utilizadores do servico de acesso a internet, acho muito pouco, um simples email.
    Segundo sei choveu um sem numero de chamadas logo nesse instante para a linha de apoio da netcabo, tal era a agonia dos utilizadores que choravam de medo a ver o countdown a chegar a 0



    Make World; Not War;
    dcom (Pontos:0, Redundante)
    por nbk em 13-08-03 1:55 GMT (#22)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    "I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!"

    A frase é tão infeliz. O que ele fez qq gajo com dois dedos de testa faz... especialmente depois de ter saído o exploit á N tempo no sitio do costume...

    Mais um bug, mais um patch. Mais uma porrada de utilizadores inocentes que vão levar com o exploit... :-)

    @118, Nbk

    Re:dcom (Pontos:1)
    por trendy em 13-08-03 3:38 GMT (#25)
    (Utilizador Info)
    A frase é tão infeliz. O que ele fez qq gajo com dois dedos de testa faz... especialmente depois de ter saído o exploit á N tempo no sitio do costume...

    .. especialmente depois de ter saido o codigo que nao crasha o rpc, ah N tempo.

    Re:dcom (Pontos:1)
    por nbk em 13-08-03 5:29 GMT (#26)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    É questão da Microsoft no próximo Service Pack modificar o windows para executar updates automaticamente, sem intervenção do utilizador. :)

    Por acaso estive a reflectir ( leia-se, estive a cagar forte e duro, lols ) e até acho que o gajo/gaja do mblast até tem dois dedos de testa. Eu nos meus dias maus metia mas era aquilo a apagar discos inteiros, seguido de forte publicidade de um outro qq sistema operativo. :)

    @269, Nbk

    Re:dcom (Pontos:0, Despropositado)
    por tag em 13-08-03 9:03 GMT (#27)
    (Utilizador Info) http://taggat.no.sapo.pt
    Realmente es' muita mau.!. o mundo tremeu com as tuas minhacas! muahahahaha
    ja vem tarde... (Pontos:1)
    por polido em 13-08-03 9:35 GMT (#29)
    (Utilizador Info) http://yaba.homelinux.net
    Já veio tarde o MBlast... fiz o update a tempos e horas, os lazy sysadmins q se kuidem.
    Ya_Ba - I can take you where living can't...
    desinformaçao (Pontos:1)
    por trendy em 13-08-03 13:53 GMT (#37)
    (Utilizador Info)
    em http://www.sophos.com/su pport/disinfection/blastera.html#7 (a pagina da 'ferramenta de remoçao') pode-se ler:

    Often when a computer is infected with W32/Blaster-A it restarts every few minutes, usually with a message similar to "Windows must now restart because the Remote Procedure Call (RPC) Terminated Unexpectedly". This prevents the required patches and files from being downloaded.

    o worm nao reinicia a maquina para nao deixar que os 'patches e ficheiros necessarios sejam sacados'.
    simplesmente o que acontece eh, que quando um worm tenta infectar uma maquina, apos terminar a ligaçao com ela, o rpc crasha.
    isto deve-se ao tal bug no codigo do exploit.

    pode-se ler o seguinte, numa das versoes mais recentes do popular exploit:

    * - Shellcode has been modified to call ExitThread, rather than ExitProcess, thus
    * preventing crash of RPC service on remote machine thanks to the work of Drg-.

    se o rapazinho tem incluido o novo codigo no blaster...

    0day (Pontos:1)
    por striker em 14-08-03 1:13 GMT (#38)
    (Utilizador Info)
    head -n 13 badtimes.c
    /* badtimes.c
    *
    * ENGLISH VERSION
    *
    * WINDOWS NT/2000/XP NET TIME REQUEST REMOTE EXPLOIT
    * BY ASSASSIN [ www.netxeyes.com assassin@ynmail.com ]
    * CHINESE@HACKERS
    *
    * While working on fluxbay scanner, acidentaly i crash my win2000 lab box.
    * After some debugging to see what hapenned, i realize that i founded a big
    * serious bug in the net time request, you can provocate an integer overflow by * establishing a null session with the host and then sending an special crafted * time request.
    *
    * KEEP IT PRIVATE, DONT TRADE, THIS IS CHINESE UNDERGROUND !
    ./badtimes

    Windows NT/2000/XP remote net time exploit, system level access
    By Assassin www.netxeyes.com assassin@ynmail.com
    Chinese@Hackers

    Usage: First set up nc, then ./badtimes [options] hostname/ip...
    -c crash host only (this will only test if vuln works on that host
    -l local ip (reverse shell)
    -p local port (reverse shell)
    -v windows version (these are base adresses, we still have to brute force)
    Versions are :
    1 - windows nt 4.0 Workstation
    2 - windows nt 4.0 Server
    3 - windows 2000 professional
    4 - windows 2000 server
    5 - windows 2000 advanced server 3 - windows xp professional


    zone-h.org
    Congrats. to MS. Two critic remote vulns in one month. :X
    []
    Data de assinatura estranha!! (Pontos:1)
    por kaser em 14-08-03 20:14 GMT (#40)
    (Utilizador Info) http://kaser.nsk.yi.org
    Viva,

    Depois de sacar o patch , resolvi ver se estava assinado pela microsoft, e estava. Agora o problema que encontrei foi o seguinte: Signing data : sexta-feira, 8 de Novembro de 2002 20:41:07, isto significa que foi assinado naquela data ou que o certificado que foi usado para assinar foi gerado naquela data? imagem

    Ps. :
    # grep "Aug 12" /var/log/messages | grep "DPT=135 "| wc -l
    2543

    Hugs
    DCOM worm screenshot (Pontos:1)
    por Kmos@TNO em 16-08-03 12:55 GMT (#41)
    (Utilizador Info) http://Kmos.TondelaOnline.com
    Fica aqui uma imagem da mensagem do DCOM worm ;-)

    " I'm a lost soul in this lost world... "

     

     

    [ Topo | FAQ | Editores | Contacto ]