AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme 2 neue Varianten von MS-Blaster aufgetaucht!
Thema durchsuchen
Ansicht
Themen-Optionen

2 neue Varianten von MS-Blaster aufgetaucht!

Ein Thema von Assarbad · begonnen am 13. Aug 2003 · letzter Beitrag vom 14. Aug 2003
Antwort Antwort
Seite 2 von 2     12   
Benutzerbild von kaemmi
kaemmi

Registriert seit: 9. Mai 2003
55 Beiträge
 
Delphi 7 Enterprise
 
#11

Re: 2 neue Varianten von MS-Blaster aufgetaucht!

  Alt 14. Aug 2003, 17:47
wie vielleicht einige von euch wissen, gibt es solche und solche virenprogger und hacker und cracker ...
Also die Guten und die Bösen.
Was aber nicht heißt, dass die guten bei Norton, F-Secure und Symantec arbeiten und die Bösen die Viren schreiben. Nein.
Ich denke/weiß, dass viele Hacker und Virenprogger einfach die Probleme der Software aufzeigen wollen - und natürlich die Bug-Politik von großen, mächtigen Softwarefirmen.
Denn eine Firma, die einen Bug in einem ihrer Programme entdeckt oder zugeschickt bekommt, hat eigentlich 2 Möglichkeiten.
1. Patch erstellen und Bug veröffentlichen.
2. Bug geheimhalten und drauf hoffen, dass kein anderer ihn findet und ausnutzt.

So, was ist jetzt teurer??? Genau die 1 Variante. Und da es unumstriten ist, dass alle großen Firmen nur GELD haben wollen, wählen sie halt den 2. Weg der geheimhaltung.
Auch wenn der erste teurer ist, gibt es hier trozdem noch ein paar Probleme. Denn auch wenn der Patch für diese aktuelle Sicherheitsloch (also MS Blaster) schon vor Monaten rausgekommen währe, hätten ihn trozdem längst nicht alle gefährdeten installiert! Denn viele Admins oder auch nur Privatleute bekommen von diesem Patch nichts mit - bis es dann zuspät ist.

Nicht umsonst steht im aktuellen MS-Blaster:
Zitat:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Deshalb bin ich der Meinung, dass die Autoren des Blast in den Augen der Gesellschaft die Bösen sind, in wirklichkeit aber nur Schwachstellen der Software zeigen wollen, was sie in der Viren-Progger-Szene wieder zu den Guten macht.

Wobei ihr mich bitte nicht falsch verstehen dürft, mich nervt es auch wenn ich am Tag 10 anrufe von Freunden bekomme, bei denen sich neuerdings der PC alleine runterfährt und ich denen dann helfen soll

Tschüss und ein fröhliches
Zitat:
Durchsuche Festplatten nach Viren. Bitte warten...
Life is too short to hate people you never met before.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#12

Re: 2 neue Varianten von MS-Blaster aufgetaucht!

  Alt 14. Aug 2003, 18:21
Zitat von kaemmi:
Denn viele Admins oder auch nur Privatleute bekommen von diesem Patch nichts mit - bis es dann zuspät ist.
Bei privat Leuten kann ich es noch verstehen, dann sind sie aber auch selber Schuld, wenn es dann mal passiert. Aber einem Admin, der sich nicht regelmäßig mindestens einmal die Woche informiert, wäre bei mir die längste Zeit Admin gewesen.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
CalganX

Registriert seit: 21. Jul 2002
Ort: Bonn
5.403 Beiträge
 
Turbo Delphi für Win32
 
#13

Re: 2 neue Varianten von MS-Blaster aufgetaucht!

  Alt 14. Aug 2003, 18:36
Hi,
den Link von merlin sollten sich einige mal ansehen (ich denke da an Assarbad, Luckie, usw.; wenn ihr das nicht bereits getan habt). Die haben den Virus anscheinend de-compiliert.

Ist wirklich interessant, was sie da alles herausgefunden haben...

Chris
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#14

Re: 2 neue Varianten von MS-Blaster aufgetaucht!

  Alt 14. Aug 2003, 18:46
Ich zweifele das etwas an, was die da als original Code posten. Man kann ihn zwar disassemblieren aber den eigentlichen Code der Hochsprache inklusive der Variablennamen wird man nie bekommen. Wo auch immer das herkommt:
Code:
char dateBufferMonth[4];
char dateBufferDay[4];
DWORD locale = MAKELANGID(LANG_ENGLISH, SUBLANG_DEFAULT);

  GetDateFormat(locale, 0, 0, "d", dateBufferDay, 3);
  GetDateFormat(locale, 0, 0, "M". dateBufferMonth, 3);

if ( atoi(dateBufferDay) > 15 || atoi(dateBufferMonth) > 8 ) {
  launch_windowsupdate_attack_thread();
}
start_RPC_infection();
aus dem original ASM Code bestimmt nicht. Und wenn es der original Code ist, dann hatte ihn diese Person als Quellcode vorliegen.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Assarbad
(Gast)

n/a Beiträge
 
#15

Re: 2 neue Varianten von MS-Blaster aufgetaucht!

  Alt 14. Aug 2003, 20:10
@Chakotay: Hatte mich auch mal kurz rangesetzt, aber noch nicht viel gemacht.
Zitat:
Re: MSBLAST analysis thread
The thing I don't understand is if this worm is such an inconvience or a security risk why dosn't Symantec or better yet Microsoft create a seek and destroy worm you know a little code that infects the computers then cures there illness?
Es scheint noch andere zu geben ...

@Luckie: Du magst einerseits recht haben, aber hast du jemals aus einem disassembleten Code nen Code in einer Hochsprache geschrieben? Ist kein Problem. Und interessanterweise werden sich, wenn das 2 Leute machen auch die Namen der Strukturen und Prozeduren ähneln ... denn wenn du was reverst, dann "mußt" du quasi vielsagende Namen wählen, denn sonst siehst du nciht mehr durch. Im Thread wo es ums Programm knacken ging, hat man schon gesehen, daß es insbesondere hilfreich ist, wenn man Strings als Orientierung beim reversen hat
  Mit Zitat antworten Zitat
MathiasSimmack
(Gast)

n/a Beiträge
 
#16

Re: 2 neue Varianten von MS-Blaster aufgetaucht!

  Alt 14. Aug 2003, 21:47
Mal zum Thema zurück: MS-Blaster. @Assa, du hast dich kürzlich beschwert, dass das Tool Microsoft Baseline Security Analyzer dich nicht gewarnt hätte. Dann war wahrscheinlich deine Signaturendatei veraltet. Ich habe heute einen Win2000-Rechner aufgesetzt, und da ich Admin-Rechte hatte (und habe ), habe ich natürlich auch das Tool installiert und eine "mssecure.cab" benutzt, die ich gestern runtergeladen habe.
Nun mag das zwar nicht zwangsläufig ein guter Beweis sein, aber das Tool hat die Lücke im RPC als kritisch bemängelt und mich auf den entsprechenden Patch verwiesen.

Wenn ich davon ausgehe, dass diese Lücke seit 4 Wochen bekannt ist, und dass seit dieser Zeit auch ein Patch existiert, vermute ich, dass die "mssecure.xml" (in der CAB drin) auch seit dieser Zeit einen Hinweis enthält.

Ich finde das Tool ganz gut, und kann´s nur empfehlen. Man muss halt nur (wie bei AntiViren-Scannern) auf dem neusten Stand bleiben. Am einfachsten geht das mit dem CMD-Aufruf
Code:
mbsacli /hf
Das löst die Kommandozeilenversion aus, die sich gleich noch die aktuelle Sig-Datei aus dem Netz holt (INet-Verbindung vorausgesetzt). Da aber das Interface des Programms auch bloß HTML ist ("toolbar.html"), kann man sich auch einen direkten Download-Link für die CAB-Datei einbauen.

PS: Ich vermute mal, die GUI-Version wird sich wohl auch immer die aktuelle Sig holen, aber da der Scan Admin-Rechte erfordert und mein Admin nicht ins INet gehen darf, klappt das bei mir nicht mit dem automatischen Download.
  Mit Zitat antworten Zitat
Assarbad
(Gast)

n/a Beiträge
 
#17

Re: 2 neue Varianten von MS-Blaster aufgetaucht!

  Alt 14. Aug 2003, 23:02
Also bei mir hat MBSA es nicht gemeldet ... vermutlich veraltete Sigs, kann sein ... aber ich benutze das visuelle Tool (zumindest am Server) und da wird normalerweise die Sig automatisch geupdatet!
Leider habe ich aus NTBUGTRAQ schon die Info, daß Windows-Update und auch sie Sig-Files und die Notwendigkeit zum Update nicht immer korrekt anzeigen. Das wird wohl auch das Problem gewesen sein. Und wie gesagt, da verlasse ich mich dann auf so ein Tool (zumal es nicht von MS entwickelt wurde ). Habe die alte Version runtergeschmissen und die neue raufgetan ... mal sehen, die nächste Gelegenheit kommt sicher
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:29 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz