به معنای واقعی کلمه چند روز قبل از انتشار این شماره، Metasploit خریداری کرد
یک ماژول جدید که ما به سادگی نتوانستیم در مورد آن به شما بگوییم. با تشکر از
دستور جدید getsystem، در یک سیستم در معرض خطر اکنون امکان رفتن وجود دارد
از سطح کاربر به ring0، به دست آوردن حقوق NT AUTHORITY\SYSTEM! و این - در هر
نسخه های ویندوز

در 19 ژانویه 2010، یک آسیب‌پذیری 0 روزه عمومی شد و اجازه داد
افزایش امتیازات در هر نسخه از ویندوز، با شروع از NT 3.1، منتشر شده در
در سال 1993، و با "هفت" جدید به پایان رسید. در exploit-db.com توسط هکر Tavis
Ormandy هم منابع بهره برداری KiTrap0d و هم نسخه کامپایل شده را منتشر کرد
باینری، آماده استفاده هر کسی می تواند اکسپلویت اصلی را امتحان کند
مایل بودن. برای انجام این کار، فقط باید vdmexploit.dll و vdmallowed.exe را از آرشیو استخراج کنید،
به نوعی آن را به دستگاه قربانی منتقل کنید و فایل exe را در آنجا اجرا کنید. که در
نتیجه، صرف نظر از اینکه کدام حساب کاربری است
راه اندازی، یک کنسول با امتیازات کاربر سیستم، یعنی NT ظاهر می شود
AUTHORITY\SYSTEM. برای بررسی، می توانید Sploit را روی دستگاه خود اجرا کنید،
قبلاً به عنوان یک کاربر معمولی وارد سیستم شده باشید. پس از راه اندازی
Sploit یک پنجره cmd.exe جدید با حداکثر امتیاز باز می کند.

این چه می دهد؟ موقعیتی را تصور کنید که در آن یک اکسپلویت از طریق برخی از برنامه ها و
پوسته می شود کامپیوتر از راه دور. بگذارید این یک نقطه تجمع برای اینترنت باشد
Explorer - در این صورت، مهاجم با حقوق به سیستم دسترسی خواهد داشت
کاربری که مرورگر تحت حساب او راه اندازی شده است. من بحث نمی کنم، خیلی
اغلب این یک حساب کاربری با حقوق مدیر خواهد بود (کاربر مقصر است)، اما
اگر نه؟ اینجاست که می توانید از KiTrap0d برای افزایش امتیازات خود استفاده کنید
به NT AUTHORITY\SYSTEM! علاوه بر این، حتی آن دسته از کاربرانی که عضو گروه هستند
مدیر، نمی تواند به مناطق خاصی از سیستم دسترسی داشته باشد، به عنوان مثال،
خواندن هش گذرواژه کاربر (در ادامه در این مورد بیشتر توضیح می دهیم). و حساب سیستم NT -
شاید! با تمام این اوصاف، در زمان انتشار مقاله حتی یک پچ از آن وجود نداشت
مایکروسافت اصلاحیه ای برای این آسیب پذیری منتشر نکرده است.

تصاحب سیستم عامل

ما اکسپلویت اصلی را در عمل نشان نخواهیم داد، زیرا 25
ژانویه یک اسکریپت جدید به Metasploit اضافه شد که به لطف آن می توانید از آن استفاده کنید
KiTrap0d حتی راحت تر شده است. گزینه ای که ابتدا در پایگاه داده های ماژول گنجانده شده بود
ناپایدار بود و همیشه کار نمی کرد، اما حتی نیم روز قبل از ظاهر شدن همه خطاها نگذشت
حذف شده است. اکنون ماژول به همراه سایر به روز رسانی ها دانلود می شود،
بنابراین برای نصب، فقط آیتم "Metasploit update" را انتخاب کنید.
اکنون با دسترسی به سیستم از راه دور می توانید عبارت run kitrap0d را تایپ کرده و بیاورید
به عمل خواهد آمد. "اما از آنجایی که چنین شرابخواری وجود دارد، بیایید این موضوع را اجرا کنیم
یک تیم ویژه،" توسعه دهندگان Metasploit فکر کردند
این یک دستور فوق العاده "بالا بردن امتیازات" است که از طریق آن قابل دسترسی است
پسوند meterpreter - ما واقعاً آن را دوست داریم :).

بنابراین، ما به سیستم راه دور دسترسی داریم (مثال گویا
عملیات در مقاله "عملیات شفق قطبی" آمده است) و ما در کنسول هستیم
متاسپلویت بیایید ببینیم که در مورد حقوق چگونه عمل می کنیم:

مترپرتر > getuid

آره کاربر معمولی. شاید او حتی بخشی از گروه باشد
مدیران، اما این برای ما مهم نیست. ماژولی را که در آن پیاده سازی شده است وصل می کنیم
دستور getsystem مورد نظر ما است و با نمایش آن بررسی کنید که آیا بارگذاری شده است یا خیر
صفحه راهنما:

meterpreter > استفاده از priv
بارگیری برنامه افزودنی خصوصی...موفقیت داشت.
meterpreter > getsystem -h
استفاده: getsystem
سعی کنید امتیاز خود را به سیستم محلی ارتقا دهید.
گزینه ها:

بنر راهنما H.
-t تکنیک مورد استفاده. (پیش‌فرض "0" است).
0: همه تکنیک ها موجود است
1: سرویس - جعل هویت لوله با نام (در حافظه/سرپرست)
2: سرویس - جعل هویت به نام Pipe (Dropper/Admin)
3: سرویس - تکرار توکن (در حافظه/ادمین)
4: اکسپلویت - KiTrap0D (در حافظه/کاربر)

همانطور که می بینید، ادغام KiTrap0D تنها بخشی از عملکرد دستور را پیاده سازی می کند.
اگر موفق به گرفتن پوسته با کاربری که از قبل حقوقی دارد
مدیر، سپس برای بالا بردن سطح NT AUTHORITY\SYSTEM می توانید از آن استفاده کنید
سه تکنیک دیگر (کلید -t به شما امکان می‌دهد تکنیک مورد نیاز خود را انتخاب کنید). به هر حال بدون اینکه مشخص کنم
هیچ پارامتری وجود ندارد، ما به metasploit خواهیم گفت که از چه چیزی می تواند استفاده کند
هر یک از رویکردها از جمله KiTrap0D، که امتیازات ما را به سطح افزایش می دهد
"سیستم"، مهم نیست که در حال حاضر چه حقوقی داریم.

meterpreter > getsystem
... سیستم دریافت (از طریق تکنیک 4).

بله، ما پیامی در مورد ارتقای موفقیت آمیز امتیازات و حمله دریافت کردیم
این KiTrap0D بود که استفاده شد - ظاهراً اولویت دارد. واقعا ما هستیم
در سیستم افزایش یافت؟ بیایید UID فعلی خود (شناسه کاربر) را بررسی کنیم:

مترپرتر > getuid

بخور! فقط یک دستور در کنسول metasploit و حقوق NT AUTHORITY\SYSTEM
ما در جیب شما علاوه بر این، به طور کلی، هر چیزی ممکن است. بگذارید یادآوری کنم، نه یک مورد
در زمان انتشار مجله هیچ وصله ای از سوی مایکروسافت وجود نداشت.

حذف رمزهای عبور

از آنجایی که قبلاً به آن دسترسی دارید حساب سیستم، سپس باید از این استخراج کنیم
چیزی مفید Metasploit یک دستور hashdump فوق العاده دارد -
یک نسخه پیشرفته تر از ابزار معروف pwdump. علاوه بر این، در آخرین
نسخه metasploit شامل یک نسخه اصلاح شده از اسکریپت است که استفاده می کند
یک اصل مدرن برای استخراج هش های LANMAN/NTLM و هنوز شناسایی نشده است
آنتی ویروس ها اما موضوع این نیست. اجرای دستور hashdump بسیار مهم است
حقوق NT AUTHORITY\SYSTEM مورد نیاز است. در غیر این صورت برنامه با خطا مواجه می شود
"[-] priv_passwd_get_sam_hashes: عملیات ناموفق بود: 87". این اتفاق می افتد زیرا
که هش های LANMAN/NTLM رمزهای عبور کاربر در شعبه های رجیستری ویژه ذخیره می شوند
HKEY_LOCAL_MACHINE\SAM و HKEY_LOCAL_MACHINE\SECURITY که حتی در دسترس نیستند
مدیران آنها را فقط می توان با امتیازات حساب سیستم خواند.
به طور کلی، از exploit و سپس دستور hashdump استفاده کنید
استخراج محلی هش از رجیستری اصلا ضروری نیست. اما اگر چنین است
فرصت وجود دارد، چرا که نه؟

مترپرتر > getuid
نام کاربری سرور: NT AUTHORITY\SYSTEM

meterpreter > hashdump را اجرا کنید
[*] دریافت کلید بوت...
[*] محاسبه کلید hboot با استفاده از SYSKEY 3ed7[...]
[*] دریافت لیست کاربران و کلیدهای...
[*] رمزگشایی کلیدهای کاربر...
[*] درهم‌سازی رمز عبور...

مدیر:500:aad3b435b51404eeaad3b435b51404ee:...
مهمان:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...

هش ها دریافت شده است. تنها چیزی که باقی می ماند این است که آنها را به یکی از زورگیران بی رحم بخورانید، برای مثال،
l0phtcrack.

چگونه می توانم امتیازات خود را پس بگیرم؟

زمانی که سعی کردم حقوق را به حالت عادی برگردانم، موقعیت خنده‌داری رخ داد
بازگشت کاربر دستور rev2self که پیدا کردم جواب نداد و من هنوز
"NT AUTHORITY\SYSTEM" باقی مانده است: ظاهراً برای کار با سه مورد طراحی شده است
سایر رویکردهای پیاده سازی شده در Getsystem معلوم شد برمی گردد
امتیازات، شما باید رمز فرآیند را «دزدید»، تم های در حال اجراکاربر،
که ما نیاز داریم بنابراین با دستور ps تمامی پردازش ها را نمایش داده و از بین آنها انتخاب می کنیم
مناسب:

مترپرتر > ps
لیست فرآیند
============
مسیر کاربری Arch Name PID
--- ---- ---- ---- ----
0
4 سیستم x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...

همانطور که می بینیم، explorer.exe درست تحت کاربر عادی راه اندازی می شود
اکانت و دارای PID=1560 است. اکنون، در واقع، می‌توانید با استفاده از آن «یک نشانه بدزدید».
دستور steal_token. PID به عنوان تنها پارامتر به آن ارسال می شود
فرآیند مورد نیاز:

meterpreter > steal_token 1558
رمز دزدیده شده با نام کاربری: WINXPSP3\user
مترپرتر > getuid
نام کاربری سرور: WINXPSP3\user

با قضاوت در قسمت "نام کاربری سرور"، عملیات موفقیت آمیز بود.

چگونه کار می کند؟

در نهایت، شایسته است در مورد ماهیت آسیب پذیری که منجر به ظهور شد صحبت کنیم
شکاف. نقض امنیتی به دلیل خطا در پردازنده سیستم رخ می دهد
#GP قطع می کند (که nt!KiTrap نامیده می شود). به خاطر آن با امتیازات هسته
کد دلخواه را می توان اجرا کرد. این اتفاق می افتد زیرا سیستم
برخی از تماس‌های BIOS را هنگام روی پلتفرم 32 بیتی x86 به اشتباه بررسی می‌کند
یک برنامه 16 بیتی در حال اجرا است. برای بهره برداری از آسیب پذیری، اکسپلویت ایجاد می کند
برنامه 16 بیتی (%windir%\twunk_16.exe)، برخی را دستکاری می کند
سیستم را ساختار می دهد و تابع NtVdmControl() را برای شروع فراخوانی می کند
Windows Virtual DOS Machine (معروف به زیرسیستم NTVDM)، که در نتیجه قبلی
دستکاری منجر به فراخوانی کنترل کننده وقفه سیستم #GP و
زمانی که اکسپلویت راه اندازی می شود. به هر حال، این منجر به تنها محدودیت می شود
اکسپلویتی که فقط روی سیستم های 32 بیتی کار می کند. در 64 بیت
سیستم عامل ها به سادگی شبیه ساز برای اجرای برنامه های 16 بیتی ندارند.

چرا اطلاعات با بهره برداری آماده در دسترس عموم قرار گرفت؟ درباره در دسترس بودن
نویسنده این اکسپلویت در ابتدای سال گذشته مایکروسافت را از این آسیب‌پذیری مطلع کرد
حتی تاییدی دریافت کرد که گزارش او برای بررسی پذیرفته شده است. فقط سبد خرید
و در حال حاضر وجود دارد. در یک سال پچ رسمیهیچ پاسخی از سوی شرکت دریافت نشد و نویسنده تصمیم گرفت
اطلاعات را به صورت عمومی منتشر کنید، به این امید که همه چیز سریعتر پیش رود. اجازه بدید ببینم،
آیا پچ تا زمانی که مجله به فروش می رسد در دسترس خواهد بود :)؟

چگونه از خود در برابر سوء استفاده ها محافظت کنید

از آنجایی که هنوز به روز رسانی کاملی برای حل این آسیب پذیری وجود ندارد،
شما باید از راه حل استفاده کنید. مطمئن ترین گزینه این است
زیرسیستم های MSDOS و WOWEXEC را غیرفعال کنید که بلافاصله اکسپلویت را از بین می برد
عملکرد، زیرا دیگر نمی تواند تابع NtVdmControl() را فراخوانی کند
برای راه اندازی سیستم NTVDM. در نسخه های قدیمی ویندوز این کار از طریق انجام می شود
رجیستری که در آن باید شاخه HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW را پیدا کنید
و نمادی به نام آن اضافه کنید. برای سیستم عامل مدرن
شما باید محدودیتی برای اجرای برنامه های 16 بیتی تعیین کنید
سیاست های گروه. برای این کار با GPEDIT.MSC تماس بگیرید سپس به بخش بروید
"پیکربندی کاربر/الگوهای مدیریتی/کامپوننت های ویندوز/سازگاری
برنامه ها" و گزینه "ممنوع کردن دسترسی به 16 بیت" را فعال کنید
برنامه های کاربردی".

WWW

شرح آسیب پذیری از نویسنده اکسپلویت:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

راه حل از مایکروسافت:

http://support.microsoft.com/kb/979682

هشدار

اطلاعات برای اهداف آموزشی ارائه شده است. استفاده از آن در
برای اهداف غیرقانونی ممکن است منجر به مسئولیت کیفری شود.

لاگین های داخلی SQL Server 2005, BUILTIN\Administrators, , NT AUTHORITY\SYSTEM, sa

بلافاصله پس از نصب SQL Server 2005 در یک ظرف ورود به سیستممجموعه ای از ورود به سیستم ظاهر می شود که به طور خودکار ایجاد می شوند. به احتمال زیاد، شما از آنها برای اتصال کاربران استفاده نخواهید کرد. با این حال، شرایطی وجود دارد که در آن دانستن لاگین های داخلی می تواند مفید باشد (به عنوان مثال، اگر ورود به سیستم مدیریتی شما به طور تصادفی مسدود شود).

q BUILTIN\Administrators (یا BUILTIN\Administrators، بسته به زبان سیستم عامل) - برای ورود به این گروه ویندوز به طور خودکار حقوق اعطا می شود مدیر سیستم SQL Server لطفاً توجه داشته باشید که اگر رایانه بخشی از یک دامنه باشد، گروه به طور خودکار در این گروه قرار می گیرد دامنهادمین ها(Domain Admins)، و بنابراین Domain Admins به طور پیش فرض دارند حقوق کاملدر SQL Server اگر این وضعیت نامطلوب باشد، می توان این ورود را حذف کرد. اما حتی در این حالت نیز دسترسی مدیران دامنه به داده های SQL Server آسان خواهد بود.

q نام ارائهکننده 2005MSFTEUser$ نام ارائهکننده$Instance_name , نام ارائهکننده 2005MSSQLUser$ نام ارائهکننده$Instance_name ,نام ارائهکننده 2005SQLAgentUser$ نام ارائهکننده$Instance_name - این سه لاگین برای گروه های ویندوزبرای اتصال سرویس های مربوطه به SQL Server 2005 استفاده می شود. در سطح SQL Server 2005، نیازی به انجام هیچ عملیاتی با آنها نیست، زیرا تمام حقوق لازم قبلاً اعطا شده است. در شرایط نادر، ممکن است لازم باشد حساب‌هایی را که سرویس‌های SQL Server را اجرا می‌کنند به این گروه‌ها در سطح ویندوز اضافه کنید.

q NT AUTHORITY\SERVIS شبکه - از طرف این حساب Windows Server 2003 برنامه های ASP.NET از جمله خدمات گزارش را اجرا می کند (ویندوز 2000 از ASPNET). این لاگین ویندوز برای اتصال به SQL Server Reporting Services استفاده می شود. به طور خودکار به او حقوق لازم برای پایگاه داده ها داده می شود مترستاره, مترsdbو به پایگاه های اطلاعاتی مورد استفاده توسط خدمات گزارش دهی.

q NT AUTHORITY\SYSTEM حساب سیستم محلی سیستم عامل است. این ورود در شرایطی ظاهر می شود که در حین نصب، سرویس SQL Server را برای اجرا در حساب سیستم محلی پیکربندی کرده اید. می توان گفت که با این ورود SQL Server به خود دسترسی دارد. البته این لاگین دارای حقوق مدیر سیستم SQL Server است.

q sa (از جانب سیستممدیر) تنها ورود از نوع SQL Server است که به طور پیش فرض ایجاد می شود. او دارای حقوق مدیر سیستم SQL Server است و نمی توان این حقوق را از او سلب کرد. شما نمی توانید این ورود را نیز حذف کنید. اما می توان آن را تغییر نام داد یا غیرفعال کرد. اگر SQL Server 2005 فقط برای احراز هویت پیکربندی شده باشد با استفاده از ویندوز، پس نمی توانید از این ورود برای اتصال به سرور استفاده کنید.

فقط باید یک برنامه را "Run as administrator" اجرا کرد تا در Task Manager ببیند که کاربر آن خودش است نه Administrator، و این معجزه فقط با اصلاح توکن دسترسی به دست می آید نه با جایگزینی SID.

دوم، NT-AUTHORITY و سیستمعلی رغم آنچه که منابع مختلف دیگر می گویند (حتی در داخل مایکروسافت) نه حساب هستند و نه گروه. یک SID معمولاً یک نام دارد که هر زمان که لازم باشد نمایش داده می شود. یک حساب کاربری، SID خود را به عنوان SID اصلی به توکن دسترسی می‌دهد، که نام نمایش داده شده توسط ابزارهای مختلف را نیز تعیین می‌کند. اما نشانه دسترسی ممکن است حاوی SID های اضافی باشد، به عنوان مثال برای همه گروه هایی که آن حساب کاربری به آنها تعلق دارد. هنگام بررسی مجوزها، ویندوز به دنبال هر SID در نشانه دسترسی که دارای آن مجوز است می‌گردد.

برخی از SIDهای معروف ویندوز دارای نام هایی هستند که توسط ویندوز گزارش شده است، اگرچه آنها واقعاً به هیچ حسابی تعلق ندارند.

حساب LocalSystem یک حساب محلی از پیش تعریف شده است که توسط مدیر کنترل سرویس استفاده می شود. [...] توکن آن شامل NT AUTHORITY\SYSTEM و BUILTIN\Administrators SID است. این حساب هابه اکثر اشیاء سیستم دسترسی دارند.

در متن بالا می توان سردرگمی را که حتی در اسناد مایکروسافت در مورد SID های سیستم حاکم است، مشاهده کرد. نیستنددقیقاً حساب‌ها و گروه‌ها - که فقط مجموعه‌ای از مجوزها هستند. این سردرگمی بیشتر به سایر ابزارها و مقالات گسترش می یابد، بنابراین هر گونه اطلاعات بازگشتی باید به دقت بررسی شود.

مقاله مایکروسافت شناسه‌های امنیتی شناخته شده در سیستم‌عامل‌های ویندوز همه SID‌های سیستم را توضیح می‌دهد که در زیر به برخی از آنها اشاره می‌کنم:

نتیجه: NT-AUTHORITY\SYSTEM نام یک شناسه امنیتی است که نه گروه است و نه حساب. زمانی که SID اصلی یک برنامه باشد در Task Manager به عنوان SYSTEM نمایش داده می شود. بیشترین چیزی که من آن را "یک شبه حساب" می نامم.

توجه!!! توجه!!! توجه!!!
کرم خطرناک!!!

علائم:هنگام کار بر روی شبکه، ناگهان پیامی ظاهر می شود که به شما اطلاع می دهد که باید تمام برنامه هایی که داده ها را ذخیره می کنند پایان دهید زیرا ... بعد از 60 ثانیه راه اندازی مجدد رخ خواهد داد.

تشخیص:کرم شبکه w32.Blaster.worm. این کرم از یک آسیب پذیری که در 16 ژوئیه در سرویس RPC DCOM یافت شد، سوء استفاده می کند که در همه موارد موجود است. سیستم های عامل خانواده های ویندوز 2000، Windows XP و Windows 2003. این آسیب‌پذیری یک سرریز بافر است که توسط بسته TCP/IP به درستی ساخته شده به پورت 135، 139 یا 445 رایانه مورد حمله ایجاد می‌شود. حداقل اجازه انجام یک حمله DoS را می دهد (DoS به معنای "انکار سرویس" یا "انکار سرویس" است؛ در این مورد، رایانه مورد حمله مجدد راه اندازی می شود)، و حداکثر، هر کدی را اجرا می کند. در حافظه کامپیوتر مورد حمله قرار گرفته است. هنگامی که کرم جدید گسترش می یابد، به پورت 135 حمله می کند و در صورت موفقیت، برنامه TFTP.exe را اجرا می کند و با استفاده از آن فایل اجرایی خود را در رایانه مورد حمله دانلود می کند. در این حالت به کاربر پیامی مبنی بر توقف سرویس RPC و سپس راه اندازی مجدد داده می شود. پس از راه اندازی مجدد، کرم به طور خودکار شروع به کار می کند و شروع به اسکن شبکه های قابل دسترسی از رایانه برای رایانه هایی با پورت 135 باز می کند. اگر موردی شناسایی شود، کرم حمله ای را آغاز می کند و همه چیز دوباره تکرار می شود. علاوه بر این، با قضاوت بر اساس میزان انتشار در حال حاضر، این کرم به زودی جایگاه اول را در لیست شرکت های آنتی ویروس خواهد گرفت.

دارو:سه راه برای محافظت از خود در برابر کرم وجود دارد. ابتدا، بولتن مایکروسافت پیوندهایی به وصله‌ها را برای همه آسیب‌دیدگان فراهم می‌کند نسخه های ویندوز، از بین بردن شکاف RPC (این وصله ها در 16 جولای منتشر شدند، بنابراین کسانی که به طور منظم سیستم را به روز می کنند نگران نباشند). ثانیاً اگر پورت 135 توسط فایروال بسته شود، کرم نمی تواند به کامپیوتر نفوذ کند. ثالثاً، غیرفعال کردن DCOM به عنوان آخرین راه حل کمک می کند (این روش به طور مفصل در بولتن مایکروسافت توضیح داده شده است). بنابراین، اگر هنوز توسط یک کرم مورد حمله قرار نگرفته اید، اکیداً توصیه می شود در اسرع وقت یک پچ برای سیستم عامل خود از سرور مایکروسافت دانلود کنید (به عنوان مثال، از خدمات استفاده کنید. به روز رسانی ویندوز، یا مسدود کردن پورت های 135، 139 و 445 را در فایروال پیکربندی کنید. اگر رایانه شما قبلاً آلوده شده است (و یک پیام در مورد خطای RPCبه وضوح به این معنی است که آلوده است)، سپس باید DCOM را خاموش کنید (در غیر این صورت هر حمله بعدی باعث راه اندازی مجدد می شود)، سپس پچ را دانلود و نصب کنید. برای از بین بردن کرم، باید ورودی "windows auto update"="msblast.exe" را از کلید رجیستری HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run حذف کنید، سپس فایل msblast.exe را پیدا کرده و پاک کنید - این بدن کرم می توانید اطلاعات بیشتری در مورد روش حذف کرم در وب سایت سیمانتک بخوانید.

در حال حاضر، همه آنتی‌ویروس‌ها کرم را شناسایی نمی‌کنند، فقط می‌توانید پس از انتشار به‌روزرسانی‌ها، به محافظت از آنها امیدوار باشید.

اگر هنوز چنین پیامی دریافت نکرده اید، پچ ها را از Uncle Bill دانلود کنید:

در اینجا پیوندهایی به پزشکی برای سرور NT 4.0 و 2000، 2003 وجود دارد

خطای مرجع NT/سیستم،
پیام XP - نحوه حذف ویروس

اگر نسخه روسی دارید، قبل از دانلود حتما زبان آن را تغییر دهید.

کمی در مورد خود ویروس:

دیروز عصر، تقریباً بعد از ساعت 23:00 به وقت مسکو، پیام هایی در بسیاری از انجمن ها در مورد رفتار عجیب ویندوز 2000 و ویندوز XP هنگام دسترسی به شبکه ظاهر شد: سیستم پیامی در مورد خطای سرویس RPC و نیاز به راه اندازی مجدد نمایش داد. پس از راه اندازی مجدد، پیام حداکثر بعد از چند دقیقه تکرار می شد و پایانی برای آن وجود نداشت.

بررسی ها نشان داد که اپیدمی کرم شبکه جدید w32.Blaster.worm که امروز آغاز شد مقصر است.این کرم از آسیب پذیری موجود در 16 جولای در سرویس RPC DCOM که در تمام سیستم عامل های ویندوز وجود دارد سوء استفاده می کند. خانواده 2000، Windows XP و Windows 2003. این آسیب پذیری یک سرریز بافر است که توسط یک بسته TCP/IP با ترکیب مناسب که به پورت 135، 139 یا 445 رایانه مورد حمله می رسد فراخوانی می شود. حداقل اجازه انجام یک حمله DoS را می دهد (DoS به معنای "انکار سرویس" یا "انکار سرویس" است؛ در این مورد، رایانه مورد حمله مجدد راه اندازی می شود)، و حداکثر، هر کدی را اجرا می کند. در حافظه کامپیوتر مورد حمله قرار گرفته است.

اولین چیزی که حتی قبل از ظهور کرم باعث نگرانی جامعه شبکه شد وجود یک اکسپلویت بسیار آسان (برنامه ای برای بهره برداری از یک آسیب پذیری) بود که معمولاً به موقعیتی منجر می شود که هر کسی می تواند این برنامه را بگیرد. و شروع به استفاده از آن برای مقاصد غیر صلح آمیز کنید. به هر حال اینها گل بودند...

هنگامی که کرم جدید گسترش می یابد، به پورت 135 حمله می کند و در صورت موفقیت، برنامه TFTP.exe را اجرا می کند و با استفاده از آن فایل اجرایی خود را در رایانه مورد حمله دانلود می کند. در این حالت به کاربر پیامی مبنی بر توقف سرویس RPC و سپس راه اندازی مجدد داده می شود. پس از راه اندازی مجدد، کرم به طور خودکار شروع به کار می کند و شروع به اسکن شبکه های قابل دسترسی از رایانه برای رایانه هایی با پورت 135 باز می کند. اگر موردی شناسایی شود، کرم حمله ای را آغاز می کند و همه چیز دوباره تکرار می شود. علاوه بر این، با قضاوت بر اساس میزان انتشار در حال حاضر، این کرم به زودی جایگاه اول را در لیست شرکت های آنتی ویروس خواهد گرفت.

سه راه برای محافظت از خود در برابر کرم وجود دارد.

ابتدا، بولتن مایکروسافت حاوی پیوندهایی به وصله‌های مربوط به تمام نسخه‌های آسیب‌پذیر ویندوز است که نقص RPC را می‌بندد (این وصله‌ها در 16 جولای منتشر شدند، بنابراین کسانی که به طور منظم سیستم خود را به روز می‌کنند نگران نباشند).

ثانیاً اگر پورت 135 توسط فایروال بسته شود، کرم نمی تواند به کامپیوتر نفوذ کند.

ثالثاً، غیرفعال کردن DCOM به عنوان آخرین راه حل کمک می کند (این روش به طور مفصل در بولتن مایکروسافت توضیح داده شده است). بنابراین، اگر هنوز توسط یک کرم مورد حمله قرار نگرفته اید، اکیداً توصیه می شود در اسرع وقت یک پچ برای سیستم عامل خود از سرور مایکروسافت دانلود کنید (به عنوان مثال، از خدمات ویندوزبه روز رسانی)، یا مسدود کردن پورت های 135، 139 و 445 در فایروال را پیکربندی کنید.

اگر رایانه شما قبلاً آلوده شده است (و ظاهر یک پیغام خطای RPC به وضوح به این معنی است که آلوده شده است)، باید DCOM را خاموش کنید (در غیر این صورت هر حمله بعدی باعث راه اندازی مجدد می شود)، سپس وصله را دانلود و نصب کنید.

برای از بین بردن کرم، باید آن را از کلید رجیستری HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr حذف کنید.
entVersion\Run "windows auto update"="msblast.exe"، سپس فایل msblast.exe را پیدا کرده و پاک کنید - این بدنه کرم است. می توانید اطلاعات بیشتری در مورد روش حذف کرم در وب سایت سیمانتک بخوانید.

در حال حاضر، همه آنتی‌ویروس‌ها کرم را شناسایی نمی‌کنند، فقط می‌توانید پس از انتشار به‌روزرسانی‌ها، به محافظت از آنها امیدوار باشید.
ارسال شده توسط AHTOH 08/17/2003 در 23:29:

کرم خطرناک! Nt مرجع / خطای سیستم

__________________
خوب می کنم، خوب می کنم...