به معنای واقعی کلمه چند روز قبل از انتشار این شماره، Metasploit خریداری کرد یک ماژول جدید که ما به سادگی نتوانستیم در مورد آن به شما بگوییم. با تشکر از دستور جدید getsystem، در یک سیستم در معرض خطر اکنون امکان رفتن وجود دارد از سطح کاربر به ring0، به دست آوردن حقوق NT AUTHORITY\SYSTEM! و این - در هر نسخه های ویندوز
در 19 ژانویه 2010، یک آسیبپذیری 0 روزه عمومی شد و اجازه داد افزایش امتیازات در هر نسخه از ویندوز، با شروع از NT 3.1، منتشر شده در در سال 1993، و با "هفت" جدید به پایان رسید. در exploit-db.com توسط هکر Tavis Ormandy هم منابع بهره برداری KiTrap0d و هم نسخه کامپایل شده را منتشر کرد باینری، آماده استفاده هر کسی می تواند اکسپلویت اصلی را امتحان کند مایل بودن. برای انجام این کار، فقط باید vdmexploit.dll و vdmallowed.exe را از آرشیو استخراج کنید، به نوعی آن را به دستگاه قربانی منتقل کنید و فایل exe را در آنجا اجرا کنید. که در نتیجه، صرف نظر از اینکه کدام حساب کاربری است راه اندازی، یک کنسول با امتیازات کاربر سیستم، یعنی NT ظاهر می شود AUTHORITY\SYSTEM. برای بررسی، می توانید Sploit را روی دستگاه خود اجرا کنید، قبلاً به عنوان یک کاربر معمولی وارد سیستم شده باشید. پس از راه اندازی Sploit یک پنجره cmd.exe جدید با حداکثر امتیاز باز می کند. این چه می دهد؟ موقعیتی را تصور کنید که در آن یک اکسپلویت از طریق برخی از برنامه ها و پوسته می شود کامپیوتر از راه دور. بگذارید این یک نقطه تجمع برای اینترنت باشد Explorer - در این صورت، مهاجم با حقوق به سیستم دسترسی خواهد داشت کاربری که مرورگر تحت حساب او راه اندازی شده است. من بحث نمی کنم، خیلی اغلب این یک حساب کاربری با حقوق مدیر خواهد بود (کاربر مقصر است)، اما اگر نه؟ اینجاست که می توانید از KiTrap0d برای افزایش امتیازات خود استفاده کنید به NT AUTHORITY\SYSTEM! علاوه بر این، حتی آن دسته از کاربرانی که عضو گروه هستند مدیر، نمی تواند به مناطق خاصی از سیستم دسترسی داشته باشد، به عنوان مثال، خواندن هش گذرواژه کاربر (در ادامه در این مورد بیشتر توضیح می دهیم). و حساب سیستم NT - شاید! با تمام این اوصاف، در زمان انتشار مقاله حتی یک پچ از آن وجود نداشت مایکروسافت اصلاحیه ای برای این آسیب پذیری منتشر نکرده است.
تصاحب سیستم عامل
ما اکسپلویت اصلی را در عمل نشان نخواهیم داد، زیرا 25 ژانویه یک اسکریپت جدید به Metasploit اضافه شد که به لطف آن می توانید از آن استفاده کنید KiTrap0d حتی راحت تر شده است. گزینه ای که ابتدا در پایگاه داده های ماژول گنجانده شده بود ناپایدار بود و همیشه کار نمی کرد، اما حتی نیم روز قبل از ظاهر شدن همه خطاها نگذشت حذف شده است. اکنون ماژول به همراه سایر به روز رسانی ها دانلود می شود، بنابراین برای نصب، فقط آیتم "Metasploit update" را انتخاب کنید. اکنون با دسترسی به سیستم از راه دور می توانید عبارت run kitrap0d را تایپ کرده و بیاورید به عمل خواهد آمد. "اما از آنجایی که چنین شرابخواری وجود دارد، بیایید این موضوع را اجرا کنیم یک تیم ویژه،" توسعه دهندگان Metasploit فکر کردند این یک دستور فوق العاده "بالا بردن امتیازات" است که از طریق آن قابل دسترسی است پسوند meterpreter - ما واقعاً آن را دوست داریم :).
بنابراین، ما به سیستم راه دور دسترسی داریم (مثال گویا عملیات در مقاله "عملیات شفق قطبی" آمده است) و ما در کنسول هستیم متاسپلویت بیایید ببینیم که در مورد حقوق چگونه عمل می کنیم:
مترپرتر > getuid
آره کاربر معمولی. شاید او حتی بخشی از گروه باشد مدیران، اما این برای ما مهم نیست. ماژولی را که در آن پیاده سازی شده است وصل می کنیم دستور getsystem مورد نظر ما است و با نمایش آن بررسی کنید که آیا بارگذاری شده است یا خیر صفحه راهنما:
meterpreter > استفاده از priv بارگیری برنامه افزودنی خصوصی...موفقیت داشت. meterpreter > getsystem -h استفاده: getsystem سعی کنید امتیاز خود را به سیستم محلی ارتقا دهید. گزینه ها:
بنر راهنما H. -t تکنیک مورد استفاده. (پیشفرض "0" است). 0: همه تکنیک ها موجود است 1: سرویس - جعل هویت لوله با نام (در حافظه/سرپرست) 2: سرویس - جعل هویت به نام Pipe (Dropper/Admin) 3: سرویس - تکرار توکن (در حافظه/ادمین) 4: اکسپلویت - KiTrap0D (در حافظه/کاربر)
همانطور که می بینید، ادغام KiTrap0D تنها بخشی از عملکرد دستور را پیاده سازی می کند. اگر موفق به گرفتن پوسته با کاربری که از قبل حقوقی دارد مدیر، سپس برای بالا بردن سطح NT AUTHORITY\SYSTEM می توانید از آن استفاده کنید سه تکنیک دیگر (کلید -t به شما امکان میدهد تکنیک مورد نیاز خود را انتخاب کنید). به هر حال بدون اینکه مشخص کنم هیچ پارامتری وجود ندارد، ما به metasploit خواهیم گفت که از چه چیزی می تواند استفاده کند هر یک از رویکردها از جمله KiTrap0D، که امتیازات ما را به سطح افزایش می دهد "سیستم"، مهم نیست که در حال حاضر چه حقوقی داریم.
meterpreter > getsystem ... سیستم دریافت (از طریق تکنیک 4).
بله، ما پیامی در مورد ارتقای موفقیت آمیز امتیازات و حمله دریافت کردیم این KiTrap0D بود که استفاده شد - ظاهراً اولویت دارد. واقعا ما هستیم در سیستم افزایش یافت؟ بیایید UID فعلی خود (شناسه کاربر) را بررسی کنیم:
مترپرتر > getuid
بخور! فقط یک دستور در کنسول metasploit و حقوق NT AUTHORITY\SYSTEM ما در جیب شما علاوه بر این، به طور کلی، هر چیزی ممکن است. بگذارید یادآوری کنم، نه یک مورد در زمان انتشار مجله هیچ وصله ای از سوی مایکروسافت وجود نداشت.
حذف رمزهای عبور
از آنجایی که قبلاً به آن دسترسی دارید حساب سیستم، سپس باید از این استخراج کنیم چیزی مفید Metasploit یک دستور hashdump فوق العاده دارد - یک نسخه پیشرفته تر از ابزار معروف pwdump. علاوه بر این، در آخرین نسخه metasploit شامل یک نسخه اصلاح شده از اسکریپت است که استفاده می کند یک اصل مدرن برای استخراج هش های LANMAN/NTLM و هنوز شناسایی نشده است آنتی ویروس ها اما موضوع این نیست. اجرای دستور hashdump بسیار مهم است حقوق NT AUTHORITY\SYSTEM مورد نیاز است. در غیر این صورت برنامه با خطا مواجه می شود "[-] priv_passwd_get_sam_hashes: عملیات ناموفق بود: 87". این اتفاق می افتد زیرا که هش های LANMAN/NTLM رمزهای عبور کاربر در شعبه های رجیستری ویژه ذخیره می شوند HKEY_LOCAL_MACHINE\SAM و HKEY_LOCAL_MACHINE\SECURITY که حتی در دسترس نیستند مدیران آنها را فقط می توان با امتیازات حساب سیستم خواند. به طور کلی، از exploit و سپس دستور hashdump استفاده کنید استخراج محلی هش از رجیستری اصلا ضروری نیست. اما اگر چنین است فرصت وجود دارد، چرا که نه؟
مترپرتر > getuid نام کاربری سرور: NT AUTHORITY\SYSTEM
meterpreter > hashdump را اجرا کنید [*] دریافت کلید بوت... [*] محاسبه کلید hboot با استفاده از SYSKEY 3ed7[...] [*] دریافت لیست کاربران و کلیدهای... [*] رمزگشایی کلیدهای کاربر... [*] درهمسازی رمز عبور...
مدیر:500:aad3b435b51404eeaad3b435b51404ee:... مهمان:501:aad3b435b51404eeaad3b435b51404ee:... HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
هش ها دریافت شده است. تنها چیزی که باقی می ماند این است که آنها را به یکی از زورگیران بی رحم بخورانید، برای مثال، l0phtcrack.
چگونه می توانم امتیازات خود را پس بگیرم؟
زمانی که سعی کردم حقوق را به حالت عادی برگردانم، موقعیت خندهداری رخ داد بازگشت کاربر دستور rev2self که پیدا کردم جواب نداد و من هنوز "NT AUTHORITY\SYSTEM" باقی مانده است: ظاهراً برای کار با سه مورد طراحی شده است سایر رویکردهای پیاده سازی شده در Getsystem معلوم شد برمی گردد امتیازات، شما باید رمز فرآیند را «دزدید»، تم های در حال اجراکاربر، که ما نیاز داریم بنابراین با دستور ps تمامی پردازش ها را نمایش داده و از بین آنها انتخاب می کنیم مناسب:
مترپرتر > ps لیست فرآیند
============ مسیر کاربری Arch Name PID
--- ---- ---- ---- ----
0 4 سیستم x86 NT AUTHORITY\SYSTEM 370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
... 1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...
همانطور که می بینیم، explorer.exe درست تحت کاربر عادی راه اندازی می شود اکانت و دارای PID=1560 است. اکنون، در واقع، میتوانید با استفاده از آن «یک نشانه بدزدید». دستور steal_token. PID به عنوان تنها پارامتر به آن ارسال می شود فرآیند مورد نیاز:
meterpreter > steal_token 1558 رمز دزدیده شده با نام کاربری: WINXPSP3\user مترپرتر > getuid نام کاربری سرور: WINXPSP3\user
با قضاوت در قسمت "نام کاربری سرور"، عملیات موفقیت آمیز بود.
چگونه کار می کند؟
در نهایت، شایسته است در مورد ماهیت آسیب پذیری که منجر به ظهور شد صحبت کنیم شکاف. نقض امنیتی به دلیل خطا در پردازنده سیستم رخ می دهد #GP قطع می کند (که nt!KiTrap نامیده می شود). به خاطر آن با امتیازات هسته کد دلخواه را می توان اجرا کرد. این اتفاق می افتد زیرا سیستم برخی از تماسهای BIOS را هنگام روی پلتفرم 32 بیتی x86 به اشتباه بررسی میکند یک برنامه 16 بیتی در حال اجرا است. برای بهره برداری از آسیب پذیری، اکسپلویت ایجاد می کند برنامه 16 بیتی (%windir%\twunk_16.exe)، برخی را دستکاری می کند سیستم را ساختار می دهد و تابع NtVdmControl() را برای شروع فراخوانی می کند Windows Virtual DOS Machine (معروف به زیرسیستم NTVDM)، که در نتیجه قبلی دستکاری منجر به فراخوانی کنترل کننده وقفه سیستم #GP و زمانی که اکسپلویت راه اندازی می شود. به هر حال، این منجر به تنها محدودیت می شود اکسپلویتی که فقط روی سیستم های 32 بیتی کار می کند. در 64 بیت سیستم عامل ها به سادگی شبیه ساز برای اجرای برنامه های 16 بیتی ندارند.
چرا اطلاعات با بهره برداری آماده در دسترس عموم قرار گرفت؟ درباره در دسترس بودن نویسنده این اکسپلویت در ابتدای سال گذشته مایکروسافت را از این آسیبپذیری مطلع کرد حتی تاییدی دریافت کرد که گزارش او برای بررسی پذیرفته شده است. فقط سبد خرید و در حال حاضر وجود دارد. در یک سال پچ رسمیهیچ پاسخی از سوی شرکت دریافت نشد و نویسنده تصمیم گرفت اطلاعات را به صورت عمومی منتشر کنید، به این امید که همه چیز سریعتر پیش رود. اجازه بدید ببینم، آیا پچ تا زمانی که مجله به فروش می رسد در دسترس خواهد بود :)؟
چگونه از خود در برابر سوء استفاده ها محافظت کنید
از آنجایی که هنوز به روز رسانی کاملی برای حل این آسیب پذیری وجود ندارد، شما باید از راه حل استفاده کنید. مطمئن ترین گزینه این است زیرسیستم های MSDOS و WOWEXEC را غیرفعال کنید که بلافاصله اکسپلویت را از بین می برد عملکرد، زیرا دیگر نمی تواند تابع NtVdmControl() را فراخوانی کند برای راه اندازی سیستم NTVDM. در نسخه های قدیمی ویندوز این کار از طریق انجام می شود رجیستری که در آن باید شاخه HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW را پیدا کنید و نمادی به نام آن اضافه کنید. برای سیستم عامل مدرن شما باید محدودیتی برای اجرای برنامه های 16 بیتی تعیین کنید
سیاست های گروه. برای این کار با GPEDIT.MSC تماس بگیرید سپس به بخش بروید "پیکربندی کاربر/الگوهای مدیریتی/کامپوننت های ویندوز/سازگاری برنامه ها" و گزینه "ممنوع کردن دسترسی به 16 بیت" را فعال کنید برنامه های کاربردی".
WWW
شرح آسیب پذیری از نویسنده اکسپلویت:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
راه حل از مایکروسافت:
http://support.microsoft.com/kb/979682
هشدار
اطلاعات برای اهداف آموزشی ارائه شده است. استفاده از آن در برای اهداف غیرقانونی ممکن است منجر به مسئولیت کیفری شود.
لاگین های داخلی SQL Server 2005, BUILTIN\Administrators, , NT AUTHORITY\SYSTEM, sa
بلافاصله پس از نصب SQL Server 2005 در یک ظرف ورود به سیستممجموعه ای از ورود به سیستم ظاهر می شود که به طور خودکار ایجاد می شوند. به احتمال زیاد، شما از آنها برای اتصال کاربران استفاده نخواهید کرد. با این حال، شرایطی وجود دارد که در آن دانستن لاگین های داخلی می تواند مفید باشد (به عنوان مثال، اگر ورود به سیستم مدیریتی شما به طور تصادفی مسدود شود).
q BUILTIN\Administrators
(یا BUILTIN\Administrators، بسته به زبان سیستم عامل) - برای ورود به این گروه ویندوز به طور خودکار حقوق اعطا می شود مدیر سیستم SQL Server لطفاً توجه داشته باشید که اگر رایانه بخشی از یک دامنه باشد، گروه به طور خودکار در این گروه قرار می گیرد دامنهادمین ها(Domain Admins)، و بنابراین Domain Admins به طور پیش فرض دارند حقوق کاملدر SQL Server اگر این وضعیت نامطلوب باشد، می توان این ورود را حذف کرد. اما حتی در این حالت نیز دسترسی مدیران دامنه به داده های SQL Server آسان خواهد بود.
q نام ارائهکننده
2005MSFTEUser$ نام ارائهکننده$Instance_name
, نام ارائهکننده
2005MSSQLUser$ نام ارائهکننده$Instance_name
,نام ارائهکننده
2005SQLAgentUser$ نام ارائهکننده$Instance_name
- این سه لاگین برای گروه های ویندوزبرای اتصال سرویس های مربوطه به SQL Server 2005 استفاده می شود. در سطح SQL Server 2005، نیازی به انجام هیچ عملیاتی با آنها نیست، زیرا تمام حقوق لازم قبلاً اعطا شده است. در شرایط نادر، ممکن است لازم باشد حسابهایی را که سرویسهای SQL Server را اجرا میکنند به این گروهها در سطح ویندوز اضافه کنید.
q NT AUTHORITY\SERVIS شبکه
- از طرف این حساب Windows Server 2003 برنامه های ASP.NET از جمله خدمات گزارش را اجرا می کند (ویندوز 2000 از ASPNET). این لاگین ویندوز برای اتصال به SQL Server Reporting Services استفاده می شود. به طور خودکار به او حقوق لازم برای پایگاه داده ها داده می شود مترستاره, مترsdbو به پایگاه های اطلاعاتی مورد استفاده توسط خدمات گزارش دهی.
q NT AUTHORITY\SYSTEM
حساب سیستم محلی سیستم عامل است. این ورود در شرایطی ظاهر می شود که در حین نصب، سرویس SQL Server را برای اجرا در حساب سیستم محلی پیکربندی کرده اید. می توان گفت که با این ورود SQL Server به خود دسترسی دارد. البته این لاگین دارای حقوق مدیر سیستم SQL Server است.
q sa
(از جانب سیستممدیر) تنها ورود از نوع SQL Server است که به طور پیش فرض ایجاد می شود. او دارای حقوق مدیر سیستم SQL Server است و نمی توان این حقوق را از او سلب کرد. شما نمی توانید این ورود را نیز حذف کنید. اما می توان آن را تغییر نام داد یا غیرفعال کرد. اگر SQL Server 2005 فقط برای احراز هویت پیکربندی شده باشد با استفاده از ویندوز، پس نمی توانید از این ورود برای اتصال به سرور استفاده کنید.
فقط باید یک برنامه را "Run as administrator" اجرا کرد تا در Task Manager ببیند که کاربر آن خودش است نه Administrator، و این معجزه فقط با اصلاح توکن دسترسی به دست می آید نه با جایگزینی SID.
دوم، NT-AUTHORITY و سیستمعلی رغم آنچه که منابع مختلف دیگر می گویند (حتی در داخل مایکروسافت) نه حساب هستند و نه گروه. یک SID معمولاً یک نام دارد که هر زمان که لازم باشد نمایش داده می شود. یک حساب کاربری، SID خود را به عنوان SID اصلی به توکن دسترسی میدهد، که نام نمایش داده شده توسط ابزارهای مختلف را نیز تعیین میکند. اما نشانه دسترسی ممکن است حاوی SID های اضافی باشد، به عنوان مثال برای همه گروه هایی که آن حساب کاربری به آنها تعلق دارد. هنگام بررسی مجوزها، ویندوز به دنبال هر SID در نشانه دسترسی که دارای آن مجوز است میگردد.
برخی از SIDهای معروف ویندوز دارای نام هایی هستند که توسط ویندوز گزارش شده است، اگرچه آنها واقعاً به هیچ حسابی تعلق ندارند.
حساب LocalSystem یک حساب محلی از پیش تعریف شده است که توسط مدیر کنترل سرویس استفاده می شود. [...] توکن آن شامل NT AUTHORITY\SYSTEM و BUILTIN\Administrators SID است. این حساب هابه اکثر اشیاء سیستم دسترسی دارند.
در متن بالا می توان سردرگمی را که حتی در اسناد مایکروسافت در مورد SID های سیستم حاکم است، مشاهده کرد. نیستنددقیقاً حسابها و گروهها - که فقط مجموعهای از مجوزها هستند. این سردرگمی بیشتر به سایر ابزارها و مقالات گسترش می یابد، بنابراین هر گونه اطلاعات بازگشتی باید به دقت بررسی شود.
مقاله مایکروسافت شناسههای امنیتی شناخته شده در سیستمعاملهای ویندوز همه SIDهای سیستم را توضیح میدهد که در زیر به برخی از آنها اشاره میکنم:
نتیجه: NT-AUTHORITY\SYSTEM نام یک شناسه امنیتی است که نه گروه است و نه حساب. زمانی که SID اصلی یک برنامه باشد در Task Manager به عنوان SYSTEM نمایش داده می شود. بیشترین چیزی که من آن را "یک شبه حساب" می نامم.
توجه!!! توجه!!! توجه!!! کرم خطرناک!!!علائم:هنگام کار بر روی شبکه، ناگهان پیامی ظاهر می شود که به شما اطلاع می دهد که باید تمام برنامه هایی که داده ها را ذخیره می کنند پایان دهید زیرا ... بعد از 60 ثانیه راه اندازی مجدد رخ خواهد داد. تشخیص:کرم شبکه w32.Blaster.worm. این کرم از یک آسیب پذیری که در 16 ژوئیه در سرویس RPC DCOM یافت شد، سوء استفاده می کند که در همه موارد موجود است. سیستم های عامل خانواده های ویندوز 2000، Windows XP و Windows 2003. این آسیبپذیری یک سرریز بافر است که توسط بسته TCP/IP به درستی ساخته شده به پورت 135، 139 یا 445 رایانه مورد حمله ایجاد میشود. حداقل اجازه انجام یک حمله DoS را می دهد (DoS به معنای "انکار سرویس" یا "انکار سرویس" است؛ در این مورد، رایانه مورد حمله مجدد راه اندازی می شود)، و حداکثر، هر کدی را اجرا می کند. در حافظه کامپیوتر مورد حمله قرار گرفته است. هنگامی که کرم جدید گسترش می یابد، به پورت 135 حمله می کند و در صورت موفقیت، برنامه TFTP.exe را اجرا می کند و با استفاده از آن فایل اجرایی خود را در رایانه مورد حمله دانلود می کند. در این حالت به کاربر پیامی مبنی بر توقف سرویس RPC و سپس راه اندازی مجدد داده می شود. پس از راه اندازی مجدد، کرم به طور خودکار شروع به کار می کند و شروع به اسکن شبکه های قابل دسترسی از رایانه برای رایانه هایی با پورت 135 باز می کند. اگر موردی شناسایی شود، کرم حمله ای را آغاز می کند و همه چیز دوباره تکرار می شود. علاوه بر این، با قضاوت بر اساس میزان انتشار در حال حاضر، این کرم به زودی جایگاه اول را در لیست شرکت های آنتی ویروس خواهد گرفت. دارو:سه راه برای محافظت از خود در برابر کرم وجود دارد. ابتدا، بولتن مایکروسافت پیوندهایی به وصلهها را برای همه آسیبدیدگان فراهم میکند نسخه های ویندوز، از بین بردن شکاف RPC (این وصله ها در 16 جولای منتشر شدند، بنابراین کسانی که به طور منظم سیستم را به روز می کنند نگران نباشند). ثانیاً اگر پورت 135 توسط فایروال بسته شود، کرم نمی تواند به کامپیوتر نفوذ کند. ثالثاً، غیرفعال کردن DCOM به عنوان آخرین راه حل کمک می کند (این روش به طور مفصل در بولتن مایکروسافت توضیح داده شده است). بنابراین، اگر هنوز توسط یک کرم مورد حمله قرار نگرفته اید، اکیداً توصیه می شود در اسرع وقت یک پچ برای سیستم عامل خود از سرور مایکروسافت دانلود کنید (به عنوان مثال، از خدمات استفاده کنید. به روز رسانی ویندوز، یا مسدود کردن پورت های 135، 139 و 445 را در فایروال پیکربندی کنید. اگر رایانه شما قبلاً آلوده شده است (و یک پیام در مورد خطای RPCبه وضوح به این معنی است که آلوده است)، سپس باید DCOM را خاموش کنید (در غیر این صورت هر حمله بعدی باعث راه اندازی مجدد می شود)، سپس پچ را دانلود و نصب کنید. برای از بین بردن کرم، باید ورودی "windows auto update"="msblast.exe" را از کلید رجیستری HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run حذف کنید، سپس فایل msblast.exe را پیدا کرده و پاک کنید - این بدن کرم می توانید اطلاعات بیشتری در مورد روش حذف کرم در وب سایت سیمانتک بخوانید. در حال حاضر، همه آنتیویروسها کرم را شناسایی نمیکنند، فقط میتوانید پس از انتشار بهروزرسانیها، به محافظت از آنها امیدوار باشید. اگر هنوز چنین پیامی دریافت نکرده اید، پچ ها را از Uncle Bill دانلود کنید: در اینجا پیوندهایی به پزشکی برای سرور NT 4.0 و 2000، 2003 وجود دارد
خطای مرجع NT/سیستم، پیام XP - نحوه حذف ویروس
اگر نسخه روسی دارید، قبل از دانلود حتما زبان آن را تغییر دهید. کمی در مورد خود ویروس:
دیروز عصر، تقریباً بعد از ساعت 23:00 به وقت مسکو، پیام هایی در بسیاری از انجمن ها در مورد رفتار عجیب ویندوز 2000 و ویندوز XP هنگام دسترسی به شبکه ظاهر شد: سیستم پیامی در مورد خطای سرویس RPC و نیاز به راه اندازی مجدد نمایش داد. پس از راه اندازی مجدد، پیام حداکثر بعد از چند دقیقه تکرار می شد و پایانی برای آن وجود نداشت. بررسی ها نشان داد که اپیدمی کرم شبکه جدید w32.Blaster.worm که امروز آغاز شد مقصر است.این کرم از آسیب پذیری موجود در 16 جولای در سرویس RPC DCOM که در تمام سیستم عامل های ویندوز وجود دارد سوء استفاده می کند. خانواده 2000، Windows XP و Windows 2003. این آسیب پذیری یک سرریز بافر است که توسط یک بسته TCP/IP با ترکیب مناسب که به پورت 135، 139 یا 445 رایانه مورد حمله می رسد فراخوانی می شود. حداقل اجازه انجام یک حمله DoS را می دهد (DoS به معنای "انکار سرویس" یا "انکار سرویس" است؛ در این مورد، رایانه مورد حمله مجدد راه اندازی می شود)، و حداکثر، هر کدی را اجرا می کند. در حافظه کامپیوتر مورد حمله قرار گرفته است. اولین چیزی که حتی قبل از ظهور کرم باعث نگرانی جامعه شبکه شد وجود یک اکسپلویت بسیار آسان (برنامه ای برای بهره برداری از یک آسیب پذیری) بود که معمولاً به موقعیتی منجر می شود که هر کسی می تواند این برنامه را بگیرد. و شروع به استفاده از آن برای مقاصد غیر صلح آمیز کنید. به هر حال اینها گل بودند... هنگامی که کرم جدید گسترش می یابد، به پورت 135 حمله می کند و در صورت موفقیت، برنامه TFTP.exe را اجرا می کند و با استفاده از آن فایل اجرایی خود را در رایانه مورد حمله دانلود می کند. در این حالت به کاربر پیامی مبنی بر توقف سرویس RPC و سپس راه اندازی مجدد داده می شود. پس از راه اندازی مجدد، کرم به طور خودکار شروع به کار می کند و شروع به اسکن شبکه های قابل دسترسی از رایانه برای رایانه هایی با پورت 135 باز می کند. اگر موردی شناسایی شود، کرم حمله ای را آغاز می کند و همه چیز دوباره تکرار می شود. علاوه بر این، با قضاوت بر اساس میزان انتشار در حال حاضر، این کرم به زودی جایگاه اول را در لیست شرکت های آنتی ویروس خواهد گرفت. سه راه برای محافظت از خود در برابر کرم وجود دارد.
ابتدا، بولتن مایکروسافت حاوی پیوندهایی به وصلههای مربوط به تمام نسخههای آسیبپذیر ویندوز است که نقص RPC را میبندد (این وصلهها در 16 جولای منتشر شدند، بنابراین کسانی که به طور منظم سیستم خود را به روز میکنند نگران نباشند).
ثانیاً اگر پورت 135 توسط فایروال بسته شود، کرم نمی تواند به کامپیوتر نفوذ کند.
ثالثاً، غیرفعال کردن DCOM به عنوان آخرین راه حل کمک می کند (این روش به طور مفصل در بولتن مایکروسافت توضیح داده شده است). بنابراین، اگر هنوز توسط یک کرم مورد حمله قرار نگرفته اید، اکیداً توصیه می شود در اسرع وقت یک پچ برای سیستم عامل خود از سرور مایکروسافت دانلود کنید (به عنوان مثال، از خدمات ویندوزبه روز رسانی)، یا مسدود کردن پورت های 135، 139 و 445 در فایروال را پیکربندی کنید.
اگر رایانه شما قبلاً آلوده شده است (و ظاهر یک پیغام خطای RPC به وضوح به این معنی است که آلوده شده است)، باید DCOM را خاموش کنید (در غیر این صورت هر حمله بعدی باعث راه اندازی مجدد می شود)، سپس وصله را دانلود و نصب کنید.
برای از بین بردن کرم، باید آن را از کلید رجیستری HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr حذف کنید. entVersion\Run "windows auto update"="msblast.exe"، سپس فایل msblast.exe را پیدا کرده و پاک کنید - این بدنه کرم است. می توانید اطلاعات بیشتری در مورد روش حذف کرم در وب سایت سیمانتک بخوانید. در حال حاضر، همه آنتیویروسها کرم را شناسایی نمیکنند، فقط میتوانید پس از انتشار بهروزرسانیها، به محافظت از آنها امیدوار باشید. ارسال شده توسط AHTOH 08/17/2003 در 23:29:
کرم خطرناک! Nt مرجع / خطای سیستم
__________________ خوب می کنم، خوب می کنم...
|