Ormen ramte ved siden af
-
af
Shiyee
, redigeret af Pernicious
mboost-dp1
unknown
#3
Det ka der være noget om, Akamai er lidt svære at komme uden om...
Synes iøvrigt de har været med i en del nyheder for tiden...
Det ka der være noget om, Akamai er lidt svære at komme uden om...
Synes iøvrigt de har været med i en del nyheder for tiden...
Hvordan kan de sige at angrebet har været mislykket? Ormen har da tvunget ms til at lægge windowsupdate.com ned...
"Et opslag hos server-tjenesten Netcraft bekræfter, at Windows Update siden den 15. august er kørt på servere med operativsystemet Linux."
LOL comon er nu altid sjove i deres artikler :)
Windows update kører nu altså IIS 6.0, at MS måske lagde windowsupdate.com adressen som blot er en redir adresse ud i hele verden via Akamai er nu ikke ensbetydende med at windowsupdate nu kører på linux.
Looking up IP address for domain: windowsupdate.microsoft.com
The IP address for the domain is: 213.161.66.146
Connecting to the server on standard HTTP port: 80
[Connected] Requesting the server's default page.
The server returned the following response headers:
HTTP/1.1 200 OK
Content-Length: 5405
Content-Type: text/html
Content-Location: http://windowsupdate.microsoft.com/Default.htm
Last-Modified: Wed, 05 Feb 2003 02:26:29 GMT
Accept-Ranges: bytes
ETag: "a157afdbdccc21:107a"
Server: Microsoft-IIS/6.0
Date: Sun, 17 Aug 2003 19:35:23 GMT
Connection: close
Query complete.
&
Looking up IP address for domain: v4.windowsupdate.microsoft.com
The IP address for the domain is: 213.161.66.160
Connecting to the server on standard HTTP port: 80
[Connected] Requesting the server's default page.
The server returned the following response headers:
HTTP/1.1 302 Moved Temporarily
Server: Microsoft-IIS/6.0
Location: /en/default.asp
Content-Length: 136
Content-Type: text/html
Cache-Control: private
Date: Sun, 17 Aug 2003 19:37:28 GMT
Connection: close
Query complete.
Men ok det andet er nok en bedre historie, de fleste IT nyheds sites overgår snart BT & EB i sentations nyheder ;)
LOL comon er nu altid sjove i deres artikler :)
Windows update kører nu altså IIS 6.0, at MS måske lagde windowsupdate.com adressen som blot er en redir adresse ud i hele verden via Akamai er nu ikke ensbetydende med at windowsupdate nu kører på linux.
Looking up IP address for domain: windowsupdate.microsoft.com
The IP address for the domain is: 213.161.66.146
Connecting to the server on standard HTTP port: 80
[Connected] Requesting the server's default page.
The server returned the following response headers:
HTTP/1.1 200 OK
Content-Length: 5405
Content-Type: text/html
Content-Location: http://windowsupdate.microsoft.com/Default.htm
Last-Modified: Wed, 05 Feb 2003 02:26:29 GMT
Accept-Ranges: bytes
ETag: "a157afdbdccc21:107a"
Server: Microsoft-IIS/6.0
Date: Sun, 17 Aug 2003 19:35:23 GMT
Connection: close
Query complete.
&
Looking up IP address for domain: v4.windowsupdate.microsoft.com
The IP address for the domain is: 213.161.66.160
Connecting to the server on standard HTTP port: 80
[Connected] Requesting the server's default page.
The server returned the following response headers:
HTTP/1.1 302 Moved Temporarily
Server: Microsoft-IIS/6.0
Location: /en/default.asp
Content-Length: 136
Content-Type: text/html
Cache-Control: private
Date: Sun, 17 Aug 2003 19:37:28 GMT
Connection: close
Query complete.
Men ok det andet er nok en bedre historie, de fleste IT nyheds sites overgår snart BT & EB i sentations nyheder ;)
Bare tænk hvad kapitalist svin kunne gøre med den bug.
Kunne du have set hvis den fil den sendte over, istedet for var spyware som de fik penge for. Avs, de ville have tjent millioner.
Kunne du have set hvis den fil den sendte over, istedet for var spyware som de fik penge for. Avs, de ville have tjent millioner.
Jeg tror at virusprogrammørerne med vilje har valgt at lave adressen forkert. Hvis de havde stoppet windowsupdate.microsoft.com som er den rigtige adresse, havde der virkelig været problemer, og jeg tror at programmørerne bare har villet gøre opmærksom på problemet inden nogen rigtige blackhats vil udnytte hullet.
#14-#15: Hvis den kun var ment som en lille påmindelse kan man jo undre sig over den er programmeret til at udføre et DDoS angreb på Windows Update :)
Og jaja, at de ikke har valgt den "heldigste" url, skyldes nok snarere de ikke har været klar over forskellen.
Ormen er generelt ikke specielt godt kodet, så at de ikke har undersøgt deres target bedre undrer mig ikke :)
Men en reminder, tror jeg næppe man kan betegne den som med det formål den trodsalt har.
Og jaja, at de ikke har valgt den "heldigste" url, skyldes nok snarere de ikke har været klar over forskellen.
Ormen er generelt ikke specielt godt kodet, så at de ikke har undersøgt deres target bedre undrer mig ikke :)
Men en reminder, tror jeg næppe man kan betegne den som med det formål den trodsalt har.
#14 lean:
Der har været et exploit ude i ~3-4 uger nu, så blackhatsene har haft masser af tid...
#17 TullejR:
For at det exploit ormen bruger kan virke, skal den finde ud af om det er en Win2k eller en WinXP maskine den angriber - ormen er så lavet sådan, at den 40% af tiden prøver med Win2k og 60% af tiden prøver med WinXP (Hæng mig ikke op på de procenter...)
Problemet er så hvis den vælger det forkerte crasher servicen med fejlen i på den maskine den angriber, og XP er som standard sat til at genstarte hvis den service crasher - derfor den shutdown efter 60 sekunder.
Der har været et exploit ude i ~3-4 uger nu, så blackhatsene har haft masser af tid...
#17 TullejR:
For at det exploit ormen bruger kan virke, skal den finde ud af om det er en Win2k eller en WinXP maskine den angriber - ormen er så lavet sådan, at den 40% af tiden prøver med Win2k og 60% af tiden prøver med WinXP (Hæng mig ikke op på de procenter...)
Problemet er så hvis den vælger det forkerte crasher servicen med fejlen i på den maskine den angriber, og XP er som standard sat til at genstarte hvis den service crasher - derfor den shutdown efter 60 sekunder.
Er jeg den eneste der får spat af diverse mainstream mediers omtale af Microsofts behandling af sagen? Både TV2 og vist også Jyllandsposten siger at "Microsoft har uskadeliggjort ormen" uden videre dokumentation, og får derved Bills firma til at fremgå som en sekt af genier.
Hvis man skulle følge den tankegang, så kan man sige at :
"Dronning Margrethe har uskadeliggjort det planlagte terrorist angreb på Amalienborg. Hun er simpelt hen flyttet til Malmö."
Hvis man skulle følge den tankegang, så kan man sige at :
"Dronning Margrethe har uskadeliggjort det planlagte terrorist angreb på Amalienborg. Hun er simpelt hen flyttet til Malmö."
#9 .net
man kan så gå videre og prøve at fetche de ips den resolver direkte;
213.161.66.146:
HTTP/1.0 400 Bad Request
Server: AkamaiGHost
Mime-Version: 1.0
Content-Type: text/html
Content-Length: 132
Expires: Sun, 17 Aug 2003 22:00:11 GMT
Date: Sun, 17 Aug 2003 22:00:11 GMT
Connection: close
hvilket så stemmer overens med det netcraft siger, samt hvad microsoft selv har sagt om de distribuerer via Akamai (der kører linux)
:)
man kan så gå videre og prøve at fetche de ips den resolver direkte;
213.161.66.146:
HTTP/1.0 400 Bad Request
Server: AkamaiGHost
Mime-Version: 1.0
Content-Type: text/html
Content-Length: 132
Expires: Sun, 17 Aug 2003 22:00:11 GMT
Date: Sun, 17 Aug 2003 22:00:11 GMT
Connection: close
hvilket så stemmer overens med det netcraft siger, samt hvad microsoft selv har sagt om de distribuerer via Akamai (der kører linux)
:)
#21 Hmm.. kigger man på din "politiske" diskussioner der har været her på newz, må det da efterhånden stå klart at nørder ikke skal diskutere politik.
Ikke at jeg selv ved specielt meget om det, men mange folks kommentater af så unuancerede at det er til at til at grine over. Det kan godt være at i har det store kørekort til computeren, men mange bør altså starte forfra med politiktingen.
Og nej det var ikke en grov generalisering, det var "konklussionen på en længere og satans omfattende analyse af en tilstand".
"en postrød kommunist kunne ALDRIG finde på sådan noget."
en post rød kommunist? mener du post stalinistisk kommunisme?
Gåde:Hvad kommer efter rød? blå...
Ikke at jeg selv ved specielt meget om det, men mange folks kommentater af så unuancerede at det er til at til at grine over. Det kan godt være at i har det store kørekort til computeren, men mange bør altså starte forfra med politiktingen.
Og nej det var ikke en grov generalisering, det var "konklussionen på en længere og satans omfattende analyse af en tilstand".
"en postrød kommunist kunne ALDRIG finde på sådan noget."
en post rød kommunist? mener du post stalinistisk kommunisme?
Gåde:Hvad kommer efter rød? blå...
Penge burde ikke være et objekt for kommunister. At det så er for nogle der ikke fatter hvad det er, er ikke mit problem.
Dermed ikke ment at kun kapitalister kunne gøre sådan noget.
Men jeg har aldrig ment dette i politisk sammenhæng, men er man ikke kapitalist så er det fandme ikke sig selv man prøver at tjene penge til.
Dermed ikke ment at kun kapitalister kunne gøre sådan noget.
Men jeg har aldrig ment dette i politisk sammenhæng, men er man ikke kapitalist så er det fandme ikke sig selv man prøver at tjene penge til.
-> FISKER_Q...
Ville bare lige kommentere på din ide om at virussens forfattere kunne have udnyttet virussen til at indsamle bankkonti, pinkoder osv..
Hvis jeg endelig havde sat mig for at jeg ville stjæle, så ville jeg da bestemt ikke gøre det med noget så der ender så meget i rampelyset som blaster er gjort det. Hvor godt et udgangspunkt mener du det ville være, hvis omkring 100 eller flere antivirus software fabrikanter sad og debuggede din viruskode, for at se hvor virussen skulle sende alle informationerne hen. Hvor lang tid tror du man ville have inden de stod og bankede på uden for ens dør?
Hvis man endelig vil stjæle, så handler det da om at gøre det udetekteret i stedet for at havne i nyhederne i samtlige vestlige lande flere aftener i træk, tror du ikke?
Just a thought ;o)
Ville bare lige kommentere på din ide om at virussens forfattere kunne have udnyttet virussen til at indsamle bankkonti, pinkoder osv..
Hvis jeg endelig havde sat mig for at jeg ville stjæle, så ville jeg da bestemt ikke gøre det med noget så der ender så meget i rampelyset som blaster er gjort det. Hvor godt et udgangspunkt mener du det ville være, hvis omkring 100 eller flere antivirus software fabrikanter sad og debuggede din viruskode, for at se hvor virussen skulle sende alle informationerne hen. Hvor lang tid tror du man ville have inden de stod og bankede på uden for ens dør?
Hvis man endelig vil stjæle, så handler det da om at gøre det udetekteret i stedet for at havne i nyhederne i samtlige vestlige lande flere aftener i træk, tror du ikke?
Just a thought ;o)
#25
Jeg har aldrig ment den skulle indsamle bankkonti, pinkoder osv. Hvad jeg mente var at den ligesom fx nogle xbox "emulatorer" havde på et tidspunkt, programmet besøger simpelthen nogle links, og du får penge pr. besøg. Og hvis man hurtigt har sådan ca. 100 i et program. og man får fx 25 øre pr. besøg, dvs at han tjener 25kr pr. program, pr. dag. Og der er hvertfald nok en base på omkring 250000 der har den virus.
En månedsløn på 187500000 kr.
Men nu når man tænker over det, så ville hans konto nok blive suspenderet når det var en del for meget de skulle op med :P(ca. 60000kr i reklame om dagen)
Snakker vi bankkontier kunne det gøre anderledes.
Han kunne sætte den til at sende det til en bibliotekscomputer, og så kunne han pakke den med en komprimering som ikke kan udpakkes(Den findes). Den kan godt udpakkes, men det meste af dataen kan ikke læses rigtigt. Og så virker programmet heller ikke længere.
Så er det bare et spørgsmål om tid, på en dag kunne han såmænd sagtens have en del kreditkort, og bankkonti informationer, hæve fra hele lortet, overtrække det, og så bagefter smutter man til et land uden udleveringsaftale.
Jeg har aldrig ment den skulle indsamle bankkonti, pinkoder osv. Hvad jeg mente var at den ligesom fx nogle xbox "emulatorer" havde på et tidspunkt, programmet besøger simpelthen nogle links, og du får penge pr. besøg. Og hvis man hurtigt har sådan ca. 100 i et program. og man får fx 25 øre pr. besøg, dvs at han tjener 25kr pr. program, pr. dag. Og der er hvertfald nok en base på omkring 250000 der har den virus.
En månedsløn på 187500000 kr.
Men nu når man tænker over det, så ville hans konto nok blive suspenderet når det var en del for meget de skulle op med :P(ca. 60000kr i reklame om dagen)
Snakker vi bankkontier kunne det gøre anderledes.
Han kunne sætte den til at sende det til en bibliotekscomputer, og så kunne han pakke den med en komprimering som ikke kan udpakkes(Den findes). Den kan godt udpakkes, men det meste af dataen kan ikke læses rigtigt. Og så virker programmet heller ikke længere.
Så er det bare et spørgsmål om tid, på en dag kunne han såmænd sagtens have en del kreditkort, og bankkonti informationer, hæve fra hele lortet, overtrække det, og så bagefter smutter man til et land uden udleveringsaftale.
#5> Så skulle du prøve at være ham der har kodet ormen ;)
Ej, men har da lov til at tænke sig om. Så dum kan man umuligt være. At DDoS'e windowsupdate.com. Tsk tsk. Jeg ville have valgt windowsupdate.microsoft.com, vidste ikke engang at den anden eksisterede. Og hvis Microsoft nu tog den ned for at slippe for angrebet, så ville jeg prøve mig med microsoft.com. Heldigvis er det ikke mig der har lavet den.
Virussen er jo ikke engang specielt banebrydende. Den er ikke særligt avanceret, og udnytter et allerede kendt hul i Windows. DCOM RPC hullet var på www.securityfocus.com d. 16. juli ( http://www.securityfocus.com/bid/8205 ), og virussen dukkede ikke op før august (?). Den udnytter bare hullet og bruger TFTP til at hente MSBLAST.exe...
Ej, men har da lov til at tænke sig om. Så dum kan man umuligt være. At DDoS'e windowsupdate.com. Tsk tsk. Jeg ville have valgt windowsupdate.microsoft.com, vidste ikke engang at den anden eksisterede. Og hvis Microsoft nu tog den ned for at slippe for angrebet, så ville jeg prøve mig med microsoft.com. Heldigvis er det ikke mig der har lavet den.
Virussen er jo ikke engang specielt banebrydende. Den er ikke særligt avanceret, og udnytter et allerede kendt hul i Windows. DCOM RPC hullet var på www.securityfocus.com d. 16. juli ( http://www.securityfocus.com/bid/8205 ), og virussen dukkede ikke op før august (?). Den udnytter bare hullet og bruger TFTP til at hente MSBLAST.exe...
I godt råd...DL fixen og Service packs og hav dem liggende lokalt.
I får problemer når windows skal geninstallers og I skal ud og hente windowsupdate.
I får problemer når windows skal geninstallers og I skal ud og hente windowsupdate.
#32 ja midlertidigt. Og så har det ingen effekt for forbrugeren, og microsoft har det nok heller ikke den store effekt for.
Nok det eneste der er vellykket i angrebet var at de brugte lidt resourcer på at få et størrere netværk op at køre hvilket kun er bedre.
Nej fejlen kommer nok til at være her i et stykke tid endnu, men det tal er vil drastisk falde over den næste måned, og så er antallet sikkert så lavt at domænet kan bruges igen.
Hvad jeg nok er mest bekymret for vil være når folk skal reinstalle.
Nok det eneste der er vellykket i angrebet var at de brugte lidt resourcer på at få et størrere netværk op at køre hvilket kun er bedre.
Nej fejlen kommer nok til at være her i et stykke tid endnu, men det tal er vil drastisk falde over den næste måned, og så er antallet sikkert så lavt at domænet kan bruges igen.
Hvad jeg nok er mest bekymret for vil være når folk skal reinstalle.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund