Masala chop etilishidan bir necha kun oldin Metasploit sotib oldi biz sizga aytib bera olmaydigan yangi modul. Rahmat yangi getsystem buyrug'i, buzilgan tizimda endi borish mumkin Foydalanuvchi darajasidan ring0 ga qadar NT AUTHORITY\SYSTEM huquqlarini qo'lga kiriting! Va bu - har qanday holatda Windows versiyalari.
2010-yil 19-yanvarda 0 kunlik zaiflik ommaga oshkor bo‘ldi, bu esa imkon berdi NT 3.1 dan boshlab Windows-ning istalgan versiyasida imtiyozlarni oshirish 1993 yilda va yangi "etti" bilan tugaydi. Tavis xakeri tomonidan exploit-db.com saytida Ormandy KiTrap0d ekspluatatsiyasi manbalarini ham, tuzilgan versiyasini ham nashr etdi ikkilik, foydalanishga tayyor. Har kim original ekspluatatsiyani sinab ko'rishi mumkin tayyor. Buning uchun vdmexploit.dll va vdmallowed.exe fayllarini arxivdan chiqarib olishingiz kifoya, qandaydir tarzda uni jabrlanuvchi mashinasiga o'tkazing va u erda exe faylini ishga tushiring. IN natija, qaysi foydalanuvchi hisobidan qat'i nazar ishga tushirilganda, tizim foydalanuvchisi imtiyozlari, ya'ni NT bilan konsol paydo bo'ladi AVTORITA\TIZIM. Tekshirish uchun siz Sploit-ni kompyuteringizda ishga tushirishingiz mumkin, avval tizimga oddiy foydalanuvchi sifatida kirgan. Ishga tushgandan keyin Sploit maksimal imtiyozlarga ega yangi cmd.exe oynasini ochadi. Bu nima beradi? Bir ekspluatatsiya ba'zi ilovalar orqali o'tib ketgan vaziyatni tasavvur qiling va qobiq oladi masofaviy kompyuter. Bu Internet uchun yig'ilish nuqtasi bo'lsin Explorer - bu holda, tajovuzkor tizimga huquqlarga ega bo'ladi hisob qaydnomasi ostida brauzer ishga tushirilgan foydalanuvchi. Men juda bahslashmayman ko'pincha bu administrator huquqlariga ega hisob bo'ladi (foydalanuvchi aybdor), lekin Agar yo "q bo" lsa? Bu erda siz imtiyozlaringizni oshirish uchun KiTrap0d dan foydalanishingiz mumkin NT AUTHORITY\SYSTEMga! Bundan tashqari, hatto guruh a'zolari bo'lgan foydalanuvchilar ham administrator tizimning ayrim sohalariga kira olmaydi, masalan, foydalanuvchi paroli xeshlarini o'qish (quyida bu haqda batafsilroq). Va NT tizimi hisobi - Balki! Bularning barchasi bilan, maqola chop etilganda, bitta yamoq yo'q edi Microsoft zaiflik uchun tuzatishni chiqarmadi.
Operatsion tizimni egallash
Biz asl ekspluatatsiyani amalda ko'rsatmaymiz, chunki 25 Yanvar oyida Metasploit-ga yangi skript qo'shildi, buning yordamida siz foydalanishingiz mumkin KiTrap0d yanada qulayroq bo'ldi. Dastlab modul ma'lumotlar bazalariga kiritilgan variant edi beqaror va har doim ham ishlamadi, lekin barcha xatolar paydo bo'lishidan oldin yarim kun ham o'tmadi bartaraf etildi. Endi modul boshqa barcha yangilanishlar bilan birga yuklab olindi, shuning uchun o'rnatish uchun "Metasploit update" menyu bandini tanlash kifoya. Endi masofaviy tizimga kirish imkoniga ega bo'lgan holda, siz "run kitrap0d" ni yozib, olib kelishingiz mumkin harakatga kirishadi. “Ammo shunday ichkilikbozlik bor ekan, keling, bu masalani amalga oshiraylik maxsus jamoa, - deb o'yladi Metasploit dasturchilari.Natijada Bu orqali kirish mumkin bo'lgan ajoyib "imtiyozlarni oshirish" buyrug'i meterpreter kengaytmasi - bizga juda yoqadi :).
Shunday qilib, biz masofaviy tizimga kirish imkoniga egamiz (tasviriy misol operatsiya "Aurora operatsiyasi" maqolasida keltirilgan) va biz konsoldamiz metasploit. Keling, huquqlar bilan qanday ishlayotganimizni ko'rib chiqaylik:
meterpreter > getuid
Ha, muntazam foydalanuvchi. Ehtimol, u hatto guruhning bir qismidir administratorlar, lekin bu biz uchun muhim emas. Biz u amalga oshirilgan modulni ulaymiz Bizni qiziqtirgan getsystem buyrug'i va uni ko'rsatish orqali yuklanganligini tekshiring yordam ekrani:
meterpreter > priv dan foydalaning Priv kengaytmasi yuklanmoqda... muvaffaqiyatli. meterpreter > getsystem -h Foydalanish: getsystem Imtiyozingizni mahalliy tizimga oshirishga harakat qiling. Variantlar:
H yordam banneri. -t Foydalanish texnikasi. (Birlamchi “0”). 0: Barcha texnikalar mavjud 1: Xizmat - Nomlangan quvur taqlid qilish (Xotirada/Administrator) 2: Xizmat - Quvur nomiga taqlid qilish (tomizgich/Administrator) 3: Xizmat - Tokenlarni takrorlash (Xotirada/Admin) 4: Exploit - KiTrap0D (xotirada/foydalanuvchida)
Ko'rib turganingizdek, KiTrap0D birlashmasi buyruq funksiyasining faqat bir qismini amalga oshiradi. Agar siz allaqachon huquqlarga ega bo'lgan foydalanuvchi bilan qobiqni olishga muvaffaq bo'lsangiz administrator, keyin NT AUTHORITY\SYSTEM darajasiga ko'tarish uchun foydalanishingiz mumkin uchta boshqa texnika (-t tugmasi sizga kerakli birini tanlash imkonini beradi). Qanday bo'lmasin, aniqlik kiritmasdan hech qanday parametr yo'q, biz metasploit nimadan foydalanishi mumkinligini aytib beramiz har qanday yondashuv. Shu jumladan KiTrap0D, bu bizning imtiyozlarimizni darajaga oshiradi "Tizim", biz hozir qanday huquqlarga ega bo'lishimizdan qat'iy nazar.
meterpreter > getsystem ... tizimi bor (4-texnika orqali).
Ha, biz imtiyozlar muvaffaqiyatli ko'tarilganligi va hujum haqida xabar oldik Bu KiTrap0D ishlatilgan - aftidan, u ustuvor ahamiyatga ega. Biz haqiqatan ham tizimda gul bormi? Keling, joriy UID (foydalanuvchi identifikatori) ni tekshiramiz:
meterpreter > getuid
Yemoq! Metasploit konsolida faqat bitta buyruq va NT AUTHORITY\SYSTEM huquqlari bizni cho'ntagingizda. Bundan tashqari, umuman olganda, hamma narsa mumkin. Sizga eslatib qo'yay, bittasini emas Jurnal chop etilgan paytda Microsoft tomonidan hech qanday yamoq yo'q edi.
Parollarni o'chirish
Chunki siz allaqachon kirish huquqiga egasiz tizim hisobi, keyin biz bundan chiqarib olishimiz kerak foydali narsa. Metasploit ajoyib hashdump buyrug'iga ega - taniqli pwdump yordam dasturining yanada rivojlangan versiyasi. Bundan tashqari, oxirgi marta metasploit versiyasi foydalanadigan skriptning qayta ko'rib chiqilgan versiyasini o'z ichiga oladi LANMAN/NTLM xeshlarini chiqarish uchun modernizatsiya qilingan printsip va hali aniqlanmagan antiviruslar. Lekin gap bu emas. Hashdump buyrug'ini bajarish muhimdir NT AUTHORITY\SYSTEM huquqlari talab qilinadi. Aks holda dastur xato qiladi "[-] priv_passwd_get_sam_hashes: Amaliyot muvaffaqiyatsiz tugadi: 87". Bu sodir bo'ladi, chunki foydalanuvchi parollarining LANMAN/NTLM xeshlari maxsus ro'yxatga olish bo'limlarida saqlanadi Hatto kirish imkoni bo'lmagan HKEY_LOCAL_MACHINE\SAM va HKEY_LOCAL_MACHINE\SECURITY ma'murlar. Ular faqat tizim hisobi imtiyozlari bilan o'qilishi mumkin. Umuman olganda, exploit va keyin hashdump buyrug'idan foydalaning registrdan xeshni mahalliy ravishda chiqarish umuman kerak emas. Ammo agar shunday bo'lsa Imkoniyat bor, nega yo'q?
meterpreter > getuid Server foydalanuvchi nomi: NT AUTHORITY\SYSTEM
meterpreter > hashdump-ni ishga tushiring [*] Yuklash kaliti olinmoqda... [*] SYSKEY 3ed7 yordamida hboot kalitini hisoblash[...] [*] Foydalanuvchilar roʻyxati va kalitlar olinmoqda... [*] Foydalanuvchi kalitlari shifrlanmoqda... [*] Parol xeshlarini tashlash...
Administrator:500:aad3b435b51404eeaad3b435b51404ee:... Mehmon:501:aad3b435b51404eeaad3b435b51404ee:... HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
Xeshlar qabul qilindi. Qolgan narsa ularni qo'pol kuchlardan biriga boqishdir, masalan, l0phtcrack.
Qanday qilib imtiyozlarimni qaytarib olishim mumkin?
Men huquqlarni normal holatga keltirmoqchi bo'lganimda kulgili holat yuz berdi foydalanuvchi orqaga. Men topgan rev2self buyrug'i ishlamadi va men hali ham "NT AUTHORITY\SYSTEM" qoldi: aftidan, u uchtasi bilan ishlashga mo'ljallangan getsystemda amalga oshirilgan boshqa yondashuvlar. Qaytganligi ma'lum bo'ldi imtiyozlar uchun siz jarayon tokenini "o'g'irlashingiz" kerak, ishlaydigan mavzular foydalanuvchi, bizga kerak bo'lgan. Shuning uchun biz barcha jarayonlarni ps buyrug'i bilan ko'rsatamiz va ulardan tanlaymiz mos:
meterpreter > ps Jarayon ro'yxati
============ PID nomi Arch foydalanuvchi yo'li
--- ---- ---- ---- ----
0 4 Tizim x86 NT AUTHORITY\SYSTEM 370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
... 1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...
Ko'rib turganimizdek, explorer.exe oddiy foydalanuvchi ostida ishga tushiriladi hisob va PID=1560 ga ega. Endi, aslida, foydalanib, siz "tokenni o'g'irlashingiz" mumkin steal_token buyrug'i. PID unga yagona parametr sifatida uzatiladi zarur jarayon:
meterpreter > steal_token 1558 Foydalanuvchi nomi bilan o'g'irlangan token: WINXPSP3\user meterpreter > getuid Server foydalanuvchi nomi: WINXPSP3\user
"Server foydalanuvchi nomi" maydoniga ko'ra, operatsiya muvaffaqiyatli bo'ldi.
U qanday ishlaydi?
Nihoyat, paydo bo'lishiga olib kelgan zaiflikning tabiati haqida gapirishga arziydi Sploit. Xavfsizlikning buzilishi tizim protsessoridagi xatolik tufayli yuzaga keladi #GP uzilishlari (bu nt!KiTrap deb ataladi). Chunki yadro imtiyozlari bilan ixtiyoriy kod bajarilishi mumkin. Bu tizim tufayli sodir bo'ladi 32-bitli x86 platformasida ba'zi BIOS qo'ng'iroqlarini noto'g'ri tekshiradi 16 bitli dastur ishlamoqda. Zaiflikdan foydalanish uchun ekspluatatsiya yaratadi 16-bitli dastur (%windir%\twunk_16.exe), ba'zilarini manipulyatsiya qiladi tizim tuzilmalarini yaratadi va ishga tushirish uchun NtVdmControl() funksiyasini chaqiradi Windows Virtual DOS mashinasi (aka NTVDM quyi tizimi), bu avvalgisining natijasidir manipulyatsiya #GP tizimi uzilish ishlovchisini chaqirishga olib keladi va ekspluatatsiya ishga tushirilganda. Aytgancha, bu yagona cheklovga olib keladi faqat 32-bitli tizimlarda ishlaydigan ekspluatatsiya. 64-bitda Operatsion tizimlarda oddiygina 16-bitli ilovalarni ishga tushirish uchun emulyator mavjud emas.
Nima uchun tayyor ekspluatatsiyaga ega ma'lumotlar ommaga ochiq bo'ldi? Mavjudligi haqida Ekspluit muallifi Microsoft korporatsiyasini zaiflik haqida o'tgan yilning boshida ma'lum qilgan va hatto uning hisoboti ko'rib chiqish uchun qabul qilinganligi haqidagi tasdiqni ham oldi. Faqat savat va hozir u erda. Bir yilda rasmiy patch kompaniyadan hech qanday javob bo'lmadi va muallif qaror qildi ishlar tezroq ketishiga umid qilib, ma'lumotni ommaga e'lon qiling. Ko'raylikchi, jurnal sotuvga chiqqach, yamoq mavjud bo'ladimi :)?
O'zingizni ekspluatatsiyalardan qanday himoya qilish kerak
Zaiflikni hal qilish uchun hali to'liq yangilanish mavjud emasligi sababli, vaqtinchalik echimlardan foydalanishingiz kerak bo'ladi. Eng ishonchli variant MSDOS va WOWEXEC quyi tizimlarini o'chirib qo'ying, bu darhol ekspluatatsiyadan mahrum bo'ladi funksionallik, chunki u endi NtVdmControl() funksiyasini chaqira olmaydi NTVDM tizimini ishga tushirish uchun. Windowsning eski versiyalarida bu orqali amalga oshiriladi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW filialini topishingiz kerak bo'lgan ro'yxatga olish kitobi va uning nomiga qandaydir belgi qo'shing. Zamonaviy OS uchun orqali 16-bitli ilovalarni ishga tushirishga cheklov o'rnatishingiz kerak
guruh siyosati. Buning uchun GPEDIT.MSC ga qo'ng'iroq qiling, so'ngra bo'limga o'ting "Foydalanuvchi konfiguratsiyasi/Ma'muriy shablonlar/Windows komponentlari/Moslik ilovalar" va "16-bitga kirishni taqiqlash" opsiyasini faollashtiring ilovalar".
WWW
Ekspluatatsiya muallifidan zaiflik tavsifi:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Microsoft-dan vaqtinchalik yechim:
http://support.microsoft.com/kb/979682
OGOHLANTIRISH
Ma'lumotlar ta'lim maqsadlarida taqdim etiladi. Uni ishlatish noqonuniy maqsadlarda jinoiy javobgarlikka olib kelishi mumkin.
O'rnatilgan loginlar SQL Server 2005, BUILTIN\Administratorlar, , NT AUTORITY\SYSTEM, sa
SQL Server 2005 ni konteynerga o'rnatgandan so'ng darhol Kirish avtomatik ravishda yaratilgan loginlar to'plami paydo bo'ladi. Katta ehtimol bilan siz ulardan foydalanuvchilarni ulash uchun foydalanmaysiz. Biroq, o'rnatilgan loginlarni bilish foydali bo'lishi mumkin bo'lgan holatlar mavjud (masalan, sizning ma'muriy loginingiz tasodifan bloklangan bo'lsa).
q BUILTIN\Administratorlar
(yoki BUILTIN\Administratorlar, operatsion tizim tiliga qarab) - ushbu Windows guruhi uchun login avtomatik ravishda huquqlarga ega bo'ladi tizim administratori SQL Server E'tibor bering, agar kompyuter domenning bir qismi bo'lsa, guruh avtomatik ravishda ushbu guruhga kiradi DomenAdminlar(Domen ma'murlari) va shuning uchun sukut bo'yicha domen administratorlari mavjud to'liq huquqlar SQL Serverda. Agar bu holat istalmagan bo'lsa, unda ushbu login o'chirilishi mumkin. Ammo bu holatda ham domen ma'murlari uchun SQL Server ma'lumotlariga kirish oson bo'ladi.
q Server_nomi
2005MSFTEUser$ Server_nomi$Instance_name
, Server_nomi
2005MSSQLUser$ Server_nomi$Instance_name
,Server_nomi
2005SQLAgentUser$ Server_nomi$Instance_name
- bu uchta login uchun Windows guruhlari tegishli xizmatlarni SQL Server 2005 ga ulash uchun ishlatiladi. SQL Server 2005 darajasida ular bilan hech qanday operatsiyalarni bajarishning hojati yo'q, chunki barcha kerakli huquqlar allaqachon berilgan. Kamdan kam hollarda, Windows darajasida ushbu guruhlarga SQL Server xizmatlarini ishlatadigan hisoblarni qo'shishingiz kerak bo'lishi mumkin.
q NT AUTORITY\NETWORK XIZMATI
- buning nomidan hisob Windows Server 2003 ASP .NET ilovalarini, shu jumladan Reporting Services (Windows 2000 da ASPNET). Ushbu Windows logini SQL Server Reporting Services-ga ulanish uchun ishlatiladi. Unga ma'lumotlar bazalariga avtomatik ravishda zarur huquqlar beriladi master, msdb va Reporting Services tomonidan foydalaniladigan ma'lumotlar bazalariga.
q NT AUTORITY\SYSTEM
operatsion tizimning mahalliy tizim hisobidir. Ushbu login o'rnatish vaqtida siz SQL Server xizmatini mahalliy tizim hisobi ostida ishlash uchun sozlagan bo'lsangiz paydo bo'ladi. Aytishimiz mumkinki, ushbu login bilan SQL Server o'ziga kirishi mumkin. Albatta, ushbu login SQL Server tizim administratori huquqlariga ega.
q sa
(dan TizimAdministrator) sukut bo'yicha yaratilgan yagona SQL Server tipidagi logindir. U SQL Server tizim administratori huquqlariga ega va bu huquqlarni undan tortib olish mumkin emas. Bu loginni ham oʻchira olmaysiz. Ammo uning nomini o'zgartirish yoki o'chirish mumkin. Agar SQL Server 2005 faqat autentifikatsiya qilish uchun tuzilgan bo'lsa Windows yordamida, keyin serverga ulanish uchun ushbu logindan foydalana olmaysiz.
Vazifa menejerida uning foydalanuvchisi administrator emasligini ko'rish uchun dasturni faqat "Administrator sifatida ishga tushirish" kerak va bu mo''jizaga SIDni almashtirish orqali emas, balki kirish tokenini o'zgartirish orqali erishiladi.
Ikkinchidan, NT-AUTHORITY va SYSTEM Boshqa manbalar (hatto Microsoft ichida ham) aytganlariga qaramay, na hisoblar, na guruhlar. SID odatda kerak bo'lganda ko'rsatiladigan nomga ega. Foydalanuvchi hisobi o'zining SID-ni asosiy SID sifatida kirish tokeniga qo'shadi, bu esa turli yordamchi dasturlar tomonidan ko'rsatiladigan nomni ham aniqlaydi. Ammo kirish tokeni qo'shimcha SID-larni o'z ichiga olishi mumkin, masalan, ushbu foydalanuvchi hisobiga tegishli bo'lgan barcha guruhlar uchun. Ruxsatlarni tekshirishda Windows kirish tokenida ushbu ruxsatga ega bo'lgan har qanday SIDni qidiradi.
Ba'zi taniqli Windows SIDlarida Windows tomonidan xabar qilingan nomlar bo'ladi, garchi ular hech qanday hisobga tegishli bo'lmasa ham.
LocalSystem hisobi - bu xizmatni boshqarish menejeri tomonidan ishlatiladigan oldindan belgilangan mahalliy hisob. [...] Uning tokeni NT AUTHORITY\SYSTEM va BUILTIN\Administrators SID-larini o'z ichiga oladi; bu hisoblar ko'pgina tizim ob'ektlariga kirish huquqiga ega.
Yuqoridagi matnda hatto Microsoft hujjatlarida ham tizimning SID-lari bilan bog'liq tartibsizlikni allaqachon ko'rish mumkin. emas aniq hisoblar yoki guruhlar - bu faqat ruxsatlar to'plami. Bu chalkashlik boshqa yordamchi dasturlar va maqolalarga ham taalluqlidir, shuning uchun qaytarilgan har qanday ma'lumotni diqqat bilan tekshirish kerak.
Microsoft maqolasida Windows operatsion tizimlarida taniqli xavfsizlik identifikatorlari barcha tizim SIDlari haqida batafsil ma'lumot beradi, ulardan ba'zilarini quyida keltiraman:
Xulosa: NT-AUTHORITY\SYSTEM - bu guruh ham, hisob ham bo'lmagan xavfsizlik identifikatorining nomi. Agar u dasturning asosiy SID bo'lsa, u Vazifa menejerida TIZIM sifatida ko'rsatiladi. Men buni eng ko'p "soxta hisob" deb atagan bo'lardim.
DIQQAT!!! DIQQAT!!! DIQQAT!!! XAVFLI CHURT!!!Alomatlar: Tarmoqda ishlayotganingizda, ma'lumotlarni saqlaydigan barcha dasturlarni to'xtatish zarurligi haqida xabar paydo bo'ladi, chunki ... 60 soniyadan keyin. qayta ishga tushirish sodir bo'ladi. Tashxis: Tarmoq qurti w32.Blaster.worm. Chuvalchang 16-iyulda RPC DCOM xizmatida topilgan zaiflikdan foydalanadi, bu barcha tarmoqlarda mavjud operatsion tizimlar Windows oilalari 2000, Windows XP va Windows 2003. Bu zaiflik hujum qilingan kompyuterning 135, 139 yoki 445 portiga to'g'ri ishlab chiqilgan TCP/IP paketi sabab bo'lgan bufer to'lib ketishidir. Bu, hech bo'lmaganda, DoS hujumini amalga oshirishga imkon beradi (DoS "Xizmat ko'rsatishni rad etish" yoki "xizmat ko'rsatishni rad etish" degan ma'noni anglatadi; bu holda, hujum qilingan kompyuter qayta ishga tushiriladi) va maksimal darajada har qanday kodni bajarishga imkon beradi. hujum qilingan kompyuter xotirasida. Yangi qurt tarqalgach, u 135-portga hujum qiladi va agar muvaffaqiyatli bo'lsa, TFTP.exe dasturini ishga tushiradi, shu orqali u o'zining bajariladigan faylini hujum qilingan kompyuterga yuklab oladi. Bunday holda, foydalanuvchiga RPC xizmatini to'xtatish va keyin qayta ishga tushirish haqida xabar beriladi. Qayta ishga tushirilgandan so'ng, qurt avtomatik ravishda ishga tushadi va ochiq port 135 bo'lgan kompyuterlar uchun kompyuterdan kirish mumkin bo'lgan tarmoqlarni skanerlashni boshlaydi. Agar ular aniqlansa, qurt hujumga o'tadi va hamma narsa yana takrorlanadi. Bundan tashqari, hozirgi vaqtda tarqalish tezligiga qarab, qurt tez orada antivirus kompaniyalari ro'yxatida birinchi o'rinni egallaydi. Dori: O'zingizni qurtdan himoya qilishning uchta usuli mavjud. Birinchidan, Microsoft byulleteni barcha zararlanganlar uchun yamoqlarga havolalar beradi Windows versiyalari, RPC bo'shlig'ini yopish (bu yamalar 16 iyulda chiqarilgan, shuning uchun tizimni muntazam yangilaydiganlar xavotirlanmasligi kerak). Ikkinchidan, agar 135-port xavfsizlik devori tomonidan yopilgan bo'lsa, qurt kompyuterga kira olmaydi. Uchinchidan, DCOM-ni o'chirib qo'yish oxirgi chora sifatida yordam beradi (bu protsedura Microsoft byulletenida batafsil tavsiflangan). Shunday qilib, agar siz hali qurt tomonidan hujumga uchramagan bo'lsangiz, Microsoft serveridan operatsion tizimingiz uchun yamoqni iloji boricha tezroq yuklab olish tavsiya etiladi (masalan, xizmatlardan foydalaning. Windows yangilash) yoki xavfsizlik devoridagi 135, 139 va 445 portlarni bloklashni sozlang. Agar sizning kompyuteringiz allaqachon zararlangan bo'lsa (va haqida xabar RPC xatosi aniq u infektsiyalanganligini anglatadi), keyin siz DCOM-ni o'chirib qo'yishingiz kerak (aks holda har bir keyingi hujum qayta ishga tushirishga olib keladi), so'ngra yamoqni yuklab oling va o'rnating. Qurtni yo'q qilish uchun siz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ro'yxatga olish kitobi kalitidan "windows auto update"="msblast.exe" yozuvini olib tashlashingiz kerak, so'ngra msblast.exe faylini toping va o'chiring - bu qurtning tanasi. Siz Symantec veb-saytida qurtlarni olib tashlash tartibi haqida ko'proq o'qishingiz mumkin. Ayni paytda barcha antiviruslar qurtni aniqlay olmaydi, siz faqat yangilanishlar chiqarilgandan so'ng ulardan himoyalanishga umid qilishingiz mumkin. Agar siz hali bunday xabarni olmagan bo'lsangiz, Bill amakidan yamoqlarni yuklab oling: Bu yerda NT 4.0 va 2000, 2003 Server uchun tibbiyotga havolalar mavjud
NT AUTORITY/TIZIM XATOSI, XP xabari - virusni qanday olib tashlash mumkin
Agar sizda ruscha versiya bo'lsa, yuklab olishdan oldin tilni o'zgartirishni unutmang. Virusning o'zi haqida bir oz:
Kecha kechqurun, Moskva vaqti bilan taxminan 23:00 dan so'ng, ko'plab forumlarda Windows 2000 va Windows XP ning tarmoqqa kirishda g'alati xatti-harakatlari haqida xabarlar paydo bo'la boshladi: tizim RPC xizmati xatosi va qayta ishga tushirish zarurligi haqida xabarni ko'rsatdi. Qayta ishga tushirilgandan so'ng, xabar ko'pi bilan bir necha daqiqadan so'ng takrorlandi va uning oxiri yo'q edi. Tekshiruv shuni ko'rsatdiki, bunga bugun boshlangan yangi tarmoq qurti w32.Blaster.worm epidemiyasi sabab bo'lgan.Gurt 16-iyulda Windows operatsion tizimining barcha operatsion tizimlarida mavjud bo'lgan RPC DCOM xizmatida topilgan zaiflikdan foydalanadi. 2000, Windows XP va Windows 2003 oilalari.Bu zaiflik hujum qilingan kompyuterning 135, 139 yoki 445 portiga kelgan tegishli tuzilgan TCP/IP paketi tomonidan chaqiriladigan bufer to'lib ketishi hisoblanadi. Bu, hech bo'lmaganda, DoS hujumini amalga oshirishga imkon beradi (DoS "Xizmat ko'rsatishni rad etish" yoki "xizmat ko'rsatishni rad etish" degan ma'noni anglatadi; bu holda, hujum qilingan kompyuter qayta ishga tushiriladi) va maksimal darajada har qanday kodni bajarishga imkon beradi. hujum qilingan kompyuter xotirasida. Tarmoq hamjamiyatini chuvalchang paydo bo'lishidan oldin tashvishga solgan birinchi narsa bu foydalanish uchun juda oson ekspluatatsiya (zaiflikdan foydalanish dasturi) mavjudligi edi, bu odatda har kim ushbu dasturni qabul qilishi mumkin bo'lgan vaziyatga olib keladi. va undan tinch bo'lmagan maqsadlarda foydalanishni boshlang. Biroq, bu gullar edi ... Yangi qurt tarqalgach, u 135-portga hujum qiladi va agar muvaffaqiyatli bo'lsa, TFTP.exe dasturini ishga tushiradi, shu orqali u o'zining bajariladigan faylini hujum qilingan kompyuterga yuklab oladi. Bunday holda, foydalanuvchiga RPC xizmatini to'xtatish va keyin qayta ishga tushirish haqida xabar beriladi. Qayta ishga tushirilgandan so'ng, qurt avtomatik ravishda ishga tushadi va ochiq port 135 bo'lgan kompyuterlar uchun kompyuterdan kirish mumkin bo'lgan tarmoqlarni skanerlashni boshlaydi. Agar ular aniqlansa, qurt hujumga o'tadi va hamma narsa yana takrorlanadi. Bundan tashqari, hozirgi vaqtda tarqalish tezligiga qarab, qurt tez orada antivirus kompaniyalari ro'yxatida birinchi o'rinni egallaydi. O'zingizni qurtdan himoya qilishning uchta usuli mavjud.
Birinchidan, Microsoft byulleteni Windowsning barcha zaif versiyalari uchun RPC nuqsonini yopuvchi yamoqlarga havolalarni o'z ichiga oladi (bu yamalar 16 iyulda chiqarilgan, shuning uchun o'z tizimini muntazam yangilayotganlar xavotirlanmasligi kerak).
Ikkinchidan, agar 135-port xavfsizlik devori tomonidan yopilgan bo'lsa, qurt kompyuterga kira olmaydi.
Uchinchidan, DCOM-ni o'chirib qo'yish oxirgi chora sifatida yordam beradi (bu protsedura Microsoft byulletenida batafsil tavsiflangan). Shunday qilib, agar sizga hali qurt hujum qilmagan bo'lsa, Microsoft serveridan operatsion tizimingiz uchun yamoqni iloji boricha tezroq yuklab olish tavsiya etiladi (masalan, Windows xizmatlari Yangilash) yoki xavfsizlik devoridagi 135, 139 va 445 portlarni bloklashni sozlang.
Agar sizning kompyuteringiz allaqachon zararlangan bo'lsa (va RPC xato xabarining paydo bo'lishi uning infektsiyalanganligini aniq bildiradi), u holda siz DCOM-ni o'chirib qo'yishingiz kerak (aks holda har bir keyingi hujum qayta ishga tushirishga olib keladi), so'ngra yamoqni yuklab oling va o'rnating.
Qurtni yo'q qilish uchun uni HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr ro'yxatga olish kitobi kalitidan olib tashlashingiz kerak. entVersion\Run yozuvi "windows auto update"="msblast.exe", keyin msblast.exe faylini toping va o'chiring - bu qurtning tanasi. Siz Symantec veb-saytida qurtlarni olib tashlash tartibi haqida ko'proq o'qishingiz mumkin. Ayni paytda barcha antiviruslar qurtni aniqlay olmaydi, siz faqat yangilanishlar chiqarilgandan so'ng ulardan himoyalanishga umid qilishingiz mumkin. AHTOH tomonidan 17.08.2003 23:29 da chop etilgan:
XAVFLI CHURT! Nt Authority/tizim xatosi
__________________ Men yaxshilik qilaman, yaxshilik qilaman ...
|