W32.Sasser.B.Worm

[popey7 0]

Jak to badziewie usunąć --- W32.Sasser.B.Worm

[rafaello 0]

info na windows update

[Galaktyczny Edek 0]

Glowna strona PClaba z wczoraj sie klania - czytanie nie boli!

[pisarz 0]

http://pclab.pl/art9902.html

[if22 0]

Tutaj możesz poczytać

 

http://www.nod32.pl/virenc/techdescribe.php?id=212

[cOijN 0]

oki, wbrew pozorom problem bedzie sie nasilal, bo ludzie nie przywykli to uzywania... FIREWALLI!!!

w newsie pclaba jest to relatywnie pogladowo opisane, ale dostajac z mejlingu sirius.pl dokladne info, dowiedzialem sie troche wiecej.

calosc opisana tutaj: http://www.sirius.pl/news.php?id=3438

uzywajacym firewalli zalecam stworzenie reguly blokujacej dostepu do porty TCP/UDP 445 i logowanie kazdego ruchu wychodzacego w portach 5554 i 9996, choc zablokowanie 445 powinno juz nas zabezpieczyc. w przypadku takich walli jak kerio ktory jako usluga stoi ponad wszystkimi innymi, majac nad nimi calkowita kontrole, nie powinno byc problemu z zablokowaniem nawet jesli spis otwartych portow zawiera port 445- jest on widziany przez system i tcp/ip kernel driver, ale w pelni kontrolowany i blokowany/ukrywany przez firewall'a.

jak pewnie wiecie sasser nie rozsyla sie poczta ale nawiazuje sam polaczenia wykozystujac luki w windzie- to jest moj podstawowy argument dla firewallo-sceptykow ktorzy usilnie twierdza ze im antywir wystarczy lub calkiem z takich rzeczy rezygnuja i powinno to zainteresowac szczegolnie tych z publicznym [niewazne czy dynamicznym czy stalym] IP zewnetrznym.

dla nadal nie przekonanych pozostaje ciagle szukanie w windows update

w tym wypadku tu: http://www.microsoft.com/poland/security/b...21_windows.mspx

dodatkowo polecam removal toolkit do sassera

lub bardzo proste i skuteczne narzedzie mcafee Stinger polecane przez Galaktycznego Edka

 

na koniec chcialbym dodac ze ten post wcale nie jest bez sensu i uprzedzam o nie wyzywaniu sie na forumowiczach nie czytajacych newsow pclab'a- sam do niedawna czytywalem newsy dosc rzadko. teraz czytam codziennie i musze sie przyznac ze tez mi umknol news o sasserze.

pozatym dobrze ze jest dodatkowy topic na forum poza newsem, bo do komentarzy do newsa sprzed x tygodni nikt nie bedzie zagladal!

zakazonym wspolczuje i zycze udanych polowan

pozdrawiam

 

[Edytowane: 4/5/2004 przez cOijN]

[@lien 0]

http://pclab.pl/art26726.html

 

niestety mi rozjechał całego XP'ka, a tyle pracy w niego włożyłem. Na szczęście mam 2-gi w postaci 2000. Najgorsza jest tylko świadomość, iż żeby grało mniej więcej wszystko tak jak wtedy to musze poświęcić całe 2 dni , a nie mam czasu, a chęci to już wogóle ehh..

[Galaktyczny Edek 0]

Dla dociekliwych dodalbym jeszcze jedno narzedze. Malutkie, darmowe, niestety, trzeba sie zarejestrowac, aby je sciagnac. Nazywa sie Retina Sasser i jest dostepne tu: http://www.eeye.com/html/Research/Tools/re...le=RetinaSasser W opisie narzedzia jest opis: "How It Works

The Sasser scanner first sends a request to port 445 in order to verify if the system is patched. If port 445 is closed, the scanner will try port 139. The scan does not requeuire administrative priviledges and does not disrupt normal operation of the scanned computers". Polecam to narzedzie, warto je miec na dysku.

[xpablox 1]

W związku z tym co napisał (zacytował) Edek - do czego jest port 139 i 445 (nie chodzi o samą nazwę, a do czego jest używany).

 

No i tak jak mowił cOijN. Jak nie macie jeszcze firewalla to instalujcie Kerio. Chwila na konfigurację i działa naprawdę dobrze (jak ktoś nie lubi firewalla bo wyskakują zapytania o uprawnienia programów, to niech sobie ustawia przepuszczanie nieznanych, a ewentualne blokowanie wg. zadanych reguł).

[cOijN 0]

No i tak jak mowił cOijN. Jak nie macie jeszcze firewalla to instalujcie Kerio. Chwila na konfigurację i działa naprawdę dobrze

o, pablo cos tu rzadko zagladasz do nas

jesli chodzi o kerio, to faktycznie chyba najlepsza pora, a o konfiguracji juz tyle napisalem ze moglbym ksiazke napisac :D

pozatym sa tez reguly uproszczone ktore sie ustawia jednym kliknieciem

pzdr.

[VG1 0]

linki do łatek http://www.mks.com.pl/baza.html?show=description&id=2777

[molek 0]

Ja uzywam Sygate Personal Firewall i podoba mi sie bardziej niz Kerio. A tak w/g was ktory jest lepszy? Kerio czy Sygate?

 

[Edytowane: 5/5/2004 przez molek]

[if22 0]

W związku z tym co napisał (zacytował) Edek - do czego jest port 139 i 445 (nie chodzi o samą nazwę, a do czego jest używany).

 

Port 139/TCP na mnin ma miejsce komunikacja w protokole SMB służącym do dzielenia zasobów w sieci lokalnej (NetBIOS lub NetBEUI), oraz do utworzenia tzw. null-session - czyli, zalogowania użytkownika bez nazwy i bez żadnego hasła.

 

Port 445/TCP w Windows 2000, Windows XP i Windows Server 2003 jest używany także to do komunikacji w protolole SMB.

 

Tutaj są opissane porty

 

http://www.iss.net/security_center/advice/...Exploits/Ports/

[dedo 0]

cOijN: "a o konfiguracji juz tyle napisalem ze moglbym ksiazke napisac" no wlasnie, obiecales ze spiszesz swoje uwagi w jedno kompendium, remember? i miales tez dac uargumentowana odpowiedz czy lepsze stare kerio czy nowe ja tak tylko przypominam, wiesz, zero presji

 

pozdrawiam

[popey7 0]

dzieki za pomoc

nie pisałem bo to był ostatni tekst jaki zdązyłem przed zablokowaniem kompa

teraz juz jestem uwolniony od saseera

[xpablox 1]

cOijN: tak jakoś wyszło że nie mam czasu na przeglądanie forum i udział w nim (praca, szkoła, 150 osób z dziwnymi problemami), ale czasami (raz na 2 miesiące) napisze jakiś mały post;

 

dedo: obie wersje maja w zasadzie to samo, ale w roznych miejscach. Dokładnie nie przyglądałem się wersji 2.x, a jeśli chodzi o 4.0.16 to ma naprawdę sporo opcji (które trzeba najpierw znaleźć, bo z nimi nie tak łatwo od razu). Starsza wersja miała jakoś tak wszystko powyciągane (jak przykładowo stawienie domyślnych reguł dla nieznanego ruchu, w 4.x jest to trochę inaczej rozwiązane).

Do starszej wersji masz całkiem spory "manual" po polsku na stronie www.kerio.tk (przydał by się odpowiednik dla 4.x);

 

if22: dzięki za informacje i link do opisu portów.

[teg 0]

Ja uzywam Sygate Personal Firewall i podoba mi sie bardziej niz Kerio. A tak w/g was ktory jest lepszy? Kerio czy Sygate?

Sygate, ale nie jestem przekonany do niego (Kerio np. nie przepuszczał mułka - i nie dało się go skonfigurować nawet na full accesie do netu mułek ciągnął 100 razy wolniej niż normalnie i kupę połączeń było odrzucanych)

 

natomiast w Sygacie wypatrzyłem ciekawą rzecz: popróbuj bawić się kolumnami w oknie głównym (tam gdzie wyświetla aplikacje albo połączenia) i spróbuj zrobić tak aby ostatnia kolumna miała zniknąć - i co i znika właśnie tylko nie da się jej nigdzie przywrócić

[cOijN 0]

swojego czasu mialem testowo sygate, zreszta testowalem wiecej firewalli, ale jednak wtedy mis ie najbardziej spodobal kerio 2, a teraz uzywam 4 z przyzwyczajenia

 

dedo: wiem, wiem... w zasadzie mam polowe artykuliku, screenshoty i linki przygotowane, ale toboty mam sporo z szkola i w zwiazku z tym jakos ciagle to odsuwam

jeszcze jesli chodzi o roznice miedzy kerio 2.1.5 a 4.0.16 napisalem o tym kilka slow na forum kerio.tk

 

pablo: no szkoda, a z drugiej strony milo ze pomagasz tym 150... heheh skad ja to znam

 

aha teg- ciekawe ze miales z mulem problemy, jak narazie u siebie od wersji 4.0.13 nie zauwazylem wiekszych niedogodnosci, chociaz na oficjalnym forum kerio sa wzmianki o tym ze sie zapycha

jednak na polskim forum [kerio.tk] mozna znalezc rady jak usprawnic dzialanie kerio przez edytowanie odpowiednich wpisow w rejestrze. dla chcacego- jak sie mowi- nic trudnego

inna sprawa ze kerio praktycznie na bierzaco ulepszaja, co rusz wychodza nowe wersje, az sam sie juz w nich nie lapie

pzdr.