05. august 2003 - 18:14Der er
31 kommentarer og 1 løsning
Uhyggelig virus lukker alle PCer på Netcafe ned samtidig
Hej
Har nogen nogensinde hørt om noget lignende ?
Bedst som vi kører i fuld drift på vores Netcafe (vi har ialt 32 klient pc'er - ca 10 var tændt) så popper der en besked op:
Gem og luk alle åbne programmer ned.
Remote Protocol (Rpc - nogeti den retning) afsluttede uventet !
Og så er der en tæller der står og tæller et minut ned - hvorefter alle Pc'er slukkes samtidig ! (og der var virkelig tale om alt hvad der overhoved var opkoblet på nettet af server og administrator og client pc'er)
jeg ved det af erfaring (fra et lukket netværk). Da det er en buffer overflow vi snakker om, er det netop også typisk at systemet crasher, hvis exploiten ikke går med listesko.
Noget tyder på at det faktisk er en standard cmd shutdown funktion der er brugt til at slukke maskinerne. Firewall's er ikke så enkelt som det lyder på en NetCafe - koster ping tid - og blokerer samtidig for at mange spil kan bruges OnLine. Ok - man kan så starte det store portåbner show - men så er man jo i realiteten lige vidt idet alle disse porte er almindeligt tilgængelige på nettet.
Jeg er absolut ikke expert i virus. De exploits du taler om vil de ikke bliver fanget af et almindeligt anerkendt Virusprogram som Penicilin eller Norton Antivirus ? Og det næste har du noget kendskab til at de skulle kunne "ligge alle Pc'er ne samtidig på et netværk" - som det er sket her ?
hvis det er dcom exploitet som har været hos dig .. så er det ikke et virus men et hul som burde være lappet med windows update engang i april det bliver vist lavet på port 135 hvis jeg husker rigtigt.
JEg tror at du vil kunne få en del ud af at besøge www.spywarefri.dk På denne side kan du læse lidt om det hele, og der er en masse gode forslag til programmer du kan hente.
Dine svar fra igår er accepterede - grunden til først nu - ar at vi har arbejdet lige siden på at installere patch - og køre viruscheck m.v
Specielt dit link i starten hjalp os meget - ad den vej fandt vi hurttigt frem til patch som Microsoft har udsendt - og der er nu installeret på alle 37 Pc'er på Cafe'en + på 4 privat - så nu sover vi roligt igen - indtil næste gang !
Tja, jeg har....... næh ikke helt, men mine alm. arbejdsPC´er er ikke ramt, det er en maskine der står for sig selv uden for netværk, med alm. modemopkobling, forsøgte så at downloade på den, men den genstartede hele tiden, downloadede så patch på en af de andre hvor sproget var forkert, gemte på disk og prøvede den ramte PC, sprog forkert, fjerenede så "næsten" alt msblast.exe både fra windows/system32 og fra regedit, men der er også en msblast på windows.0/system32 ???? og den er ikke fjernet (endnu) prøver igen
Jeg tror at det kan være i selve download proceduren du går forkert - den lavede jeg også første gang. Det er noget med at nårt du vælger dansk skal du trykke på "GO" (1 cm tilhøjre for 'Danish') Går du istedet op og trykker på download så er det stadig den engelske version der downloades !
man kan ikke gå fejl af windows update ... man skal ikke kun patche mod den ene exploit .. der er 200 andre som folk kan udnytte på dig.. og så var det måske en idea at stoppe den fra at komme ind inden du fjerner den(disable dcom/firewall) .. for ellers kommer den bare igen inden for et par min. derefter lukker du hullet med windows update! og så fjerner du den med fixblast eller lign
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
