mboost-dp1

unknown

Ormen begynder sit DDoS

- , redigeret af Pernicious

Windows update vil snart være utilgængelig hvis det står til MSBLAST virusen. Den begynder nemlig sit angreb i nat. Microsoft er naturligvis opmærksomme på situationen, og prøver at forberede sig så godt som muligt. Allerede i dag har microsoft.com og windowsupdate været nede, men dette skyldtes det store stømsvigt, som ramte store dele af USA i morges.

Flere store virksomheder er også ramt af virusen, værst så det ud for TeliaSonera hvor 40 af deres servere var ramt, som medførte nedetid for deres kunder. I Tyskland blev også BMW ramt, mens i England, på Cambridge universitet, blev 2.500 maskiner ramt af virusen.

De første varianter af virusen er også begyndt at dukke op. Det anbefales derfor at få opdateret sin computer hurtigst muligt.





Gå til bund
Gravatar #1 - west
15. aug. 2003 13:25
Heh ... såkandelæredet ;)

Nej, seriøst .. så vidt jeg husker ligger Microsoft i Redmond, Washington .. Strømsvigtet ramte kun dele af vestkysten, korrekt ?
Gravatar #2 - The-Lone-Gunman
15. aug. 2003 13:26
Den orm må da være en af de største nogensinde...

Jeg har fjernet den for 3 venner, men har ikke selv fået den, vi er jo nogle der opdaterer vores OS!

Det kunne være I skulle prøve det? Og hvad med at få firewall og antivirus...

Arrgh!
Gravatar #3 - Fjolle
15. aug. 2003 13:30
hmm.. man skulle lave en orm der hentede opdateringen for folk...
Gravatar #4 - suntr!p
15. aug. 2003 13:35
#1: Ifølge en nyhed fra TV 2 skulle det være østkysten af USA og Canada, så det kunne godt være det der har ramt Microsoft.

#3: En kollega og jeg drøftede om Microsoft selv skulle udnytte hullet til at lægge en patch ind for folk, men blev enige om at det nok ville koste dem en del retsager ;)
Gravatar #5 - TullejR
15. aug. 2003 13:36
#2: End firewall er altid rar at have, ligesom et OS der ikke er udsat for diverse vira. så jeg er ligesom dobbel sikret :D
Gravatar #6 - UraniumDeer
15. aug. 2003 13:37
Det var sq nok MSBlaster der inficerede kraftværkerne :P
Gravatar #7 - Cosine
15. aug. 2003 13:38
Hehe, det er utvivlsomt at hele denne her affære vil bringe nye brugere herover i Linux-lejren... ;-)

Go Blaster! :D

- Simon
Gravatar #8 - sKIDROw
15. aug. 2003 13:42
Der er SATME nogle admins der burde søge mere passende jobs..
Gravatar #9 - TullejR
15. aug. 2003 13:48
Gravatar #10 - Shiyee
15. aug. 2003 13:50
Tjah... Windowsupdate går nu ikke ned pga. den originale MSBlast... Windows Update kører normalt fra siden http://windowsupdate.microsoft.com, mens ormen DDoS'er http://windowsupdate.com ... Og det er så ikke den eneste stupide del af den orm....

Microsoft har så gjort det smarte at undlade at have en A-record for windowsupdate.com - Hvilket resulterer i at ormen slet ikke vil starte sin DDoS-rutine...
Gravatar #11 - west
15. aug. 2003 13:51
#1 - D'oh --- mente ØSTkysten. Gah.
Gravatar #12 - Deternal
15. aug. 2003 13:54
http://www.it-avisen.dk/nyheder.asp?id=5367&ap...

Nordea.fi kunne heller ikke helt tage det - skræmmende at tænke på at jeg som sys.admin på en videregående udd. med ressourcer der er mus i forhold til de her firmaers sagtens kan håndtere sådan en orm [nu skal jeg så krydse fingre I guess - er ved at opdatere klienternes virusprogram].
Gravatar #13 - Shiyee
15. aug. 2003 13:56
Btw. Hører man om ret store spekulationer om at MSBlast skulle være skyld i det store strømsvigt - De skulle eftersigende køre med Win2k/XP maskiner...
Gravatar #14 - Miwer
15. aug. 2003 14:11
#7 - jeg hentede Gentoo så sent som i går :) Det er satme en bitch af en orm. Fik den på min test installation af Win XP inden jeg nåede at opdatere den.

... men nu går linux altså ikke helt fri af virus - jeg har oplevet at have virus på min Red Hat server (den var hullet som en si). Så lærte jeg om up2date og siden har jeg ikke haft problemer.

Ja, det er ulempen ved computere i det hele taget, hvis man ikke holder den opdateret, så bliver sådanne huller udnyttet.
Gravatar #15 - FISKER_Q
15. aug. 2003 14:22
Washington ligger i nordvest af USA :D

Problemet kan vel løses ved at udsende en patch der sørger for at man får fat i windows update via en anden adresse.

Medmindre deres program er skrevet til at åbne windows update.
Gravatar #16 - TullejR
15. aug. 2003 14:25
#15: Det hjælper jo ikke hvis update serveren er nede...
Gravatar #17 - FISKER_Q
15. aug. 2003 14:27
Er den skam heller ikke(endnu)
Gravatar #18 - sKIDROw
15. aug. 2003 14:37
@ fiskeren

Den har været særdeles upålidelig i dag ihvertfald.
Så må de selv om hvilken undskyldning de vil bruge.. ;)
Gravatar #19 - SKPFræser
15. aug. 2003 14:44
er man sikret hvis man henter SP4 til 2000?
Gravatar #20 - FISKER_Q
15. aug. 2003 14:52
#18 Jeg har været inde på den flere gange i dag.

Har vist været på den 30-50 gange i formiddags og så en 5 gange i eftermiddags.

Den har dog kørt langsomt. Tog normalt 20 sekunder at få den til at vise noget af siden.
Gravatar #21 - Lester
15. aug. 2003 15:08
I kan finde de nødvendige filer via mit firmas hjemmeside www.mentor-it.dk

Hoster dem på deres FTP.
Gravatar #22 - jeppelykke
15. aug. 2003 15:14
Jeg har ikke oplevet de helt store problemer hos MS, kun at starte siden til update tog 10sek isted for de normal 2-3, Jeg har reinstalleret 4 computer idag for noget venner og alle samme har brugt windows update uden problemer.

Guess i was lucky ;)
Gravatar #23 - bitnissen
15. aug. 2003 15:55
Jeg troede ellers ms var stoppet med at sende patches ud til nt 4 (klik) ;-)

[edit] #10: (klik her)

Lloyd Taylor, vice president of technology and operations at Keynote Systems, which evaluates network performance, said that Microsoft's service will likely fall victim to the attack.

"I don't think any network in the world would be accessible with the amount of traffic that is going to be thrown at it," Taylor said.



Desuden har news.com en hel sektion om denne virus. Go læsning (klik)
Gravatar #24 - TullejR
15. aug. 2003 15:59
#22:

hvis du reinstallerede dem pga. ormen, så skal du da lige vide at reinstall ikke skulle være nødvendigt..... :(
Gravatar #25 - Shiyee
15. aug. 2003 16:16
#23
Ideen er netop at ormen ikke sender noget trafik... Går ud fra du ved lidt om DNS osv. Ormen prøver at resolve "windowsupdate.com"... Microsoft har sat deres DNS-server til ikke at give noget svar, alias ormen får ingen IP den kan sende til, hvilket meget smart medfører at ormen ingen trafik kan sende! "windowsupdate.microsoft.com" er et helt andet domæne, og det resolver fint til en ip (Faktisk flere, de bruger Akamai, ligesom kazaa er på vej til at blive hostet på)... Derfor er det eneste der er sket sådan set at man ikke længere kan gå til windowsupdate ved at skrive "windowsupdate.com" i sin adresselinje... På en lille sidenote kan det nævnes at "www.windowsupdate.com" stadig vil kunne bruges (Ser dog ud til at den er nede i øjeblikket, får en "Invalid URL" side smidt i hovedet... Det beviser dog fint at siden stadig virker, kan ikke se hvorfor MS har valgt at tage den ned).

Men ja, hvis det var sådan at ormen kunne få en ip ud fra "windowsupdate.com" ville den begynde på sit DDoS, og så ville MS's servere næppe kunne holde til trykket...

Nedsiden ved det er blot at ormen så vil fortsætte med at sprede sig, istedet for at DDoS'e Microsoft... "Hellere dem end os" må de nok tænke...
Gravatar #26 - Scavy
15. aug. 2003 16:34
Hmm.. et andet problem er at ormen først vil stoppe med at DOS'e windowsupdate.com enten når den er udryddet eller efter den 31. december......
Så for mig at se vil windowsupdate.com være udbrugeligt i laaang tid fremover... med mindre de finder en smartere løsning..;)
Gravatar #27 - FISKER_Q
15. aug. 2003 16:37
Til nyheden kan jeg lige sige at Microsoft.com har sagt at nedetiden på Windows Update hverken er Blaster ormen eller strømsvigt, men et andet DDoS angreb.

http://www.pcadvisor.co.uk/index.cfm?go=news.view&...
Gravatar #28 - Shiyee
15. aug. 2003 16:38
#26
NEEEEEEEEEEEJ!!! Der er ikke noget DDoS... Ormen vil fortsætte med at sprede sig, men fordi den ikke kan gå fra "windowsupdate.com"->en ip kan den ikke DoS'e (Læs evt #25)... Og faktisk vil den bare holde pause fra 1. januar til d. 16. januar...
Så de har fundet en smart løsning på DDoS'et, men bagsiden er at den vil fortsætte med at sprede sig!

Tænkte på om vi ik kunne få rettet nyheden... Alle siger lige i kor: There is no sp... DDoS!
Gravatar #29 - elvin
15. aug. 2003 18:07
Istedet for at rette nyheden, hvorfor så ikke samle lidt sammen til en stor belønning til den gut som først flår armene af gutten/gruppen, som laver den her slags.

Og til linux brugere som synes denne her tur er så morsom, bliv endelig ved. Det ville jo aldrig kunne ske på linux :)
(alle desktop linux brugere tilsammen, ville jo ikke kunne Ddos'e noget ;p)
Gravatar #30 - Shiyee
15. aug. 2003 18:13
#29 elvin:
Det kunne være MEGET værre... Værktøjerne til at inficere en computer i første forsøg, og uden at den nogensinde crasher pga. det findes allerede public... Ormen bruger det allerførste exploit til bug'en (Stort set uændret), og ville kunne gøres både bedre (Ingen crash, ingen filoverførsel) og hurtigere (Scan-teknik). Desuden kunne payloaden være langt værre - f.x. sende alle dine dokumenter til fremmede / folk i din adressebog, tilmelde dig alle kendte spam-lister, automatisk finde kontonumre + koder, whatever - Måske endda en orm der patcher systemer?

Forestil dig nu den orm: Ingen tegn på infektion, og uanede onde muligheder...

MSBlast er langt fra den værste orm der kunne komme først... Så selvom ham der har lavet den er en slemmer fyr, så hjælper han alligevel med at sætte fokus på et meget følsomt område (Intet så dårligt at det ikke er godt for noget)...
Gravatar #31 - elvin
15. aug. 2003 18:25
Det er jeg klar over. + Der skulle allerede være en ny på vej.

Det underligt ved situationen er, at umiddelbart synes folk ikke at se seriøst på det, fordi det er microsoft det går ud over.

Som du selv siger, det kan gå meget mere galt, næste gang ddos'er den ikke update, men hygger sig med dit filsystem.
Det er ikke patcher/update/OS vi skal bekymre os om, det er dem som laver vira.

intet er 100% Nej heller ikke linux ;>
Gravatar #32 - elvin
15. aug. 2003 18:29
#30

Det øjeblik han/hun sender den ud, er han med til at skade.
Hvis han vil hjælpe skulle han istedet sende koden til dem som kan fixe det.
Gravatar #33 - Shiyee
15. aug. 2003 18:37
#32 elvin:
Ja, han er med til at skade... Mener bare at skaden kunne være langt større...

Og mht. til at sende koden til "folk der kan fixe det", var der intet nyt i denne orm... Det er stort set bare det allerførste exploit + en tftp server + den sender kommandoer til det shell der spawner...

Var det moralsk forkert at løslade denne orm: Ja
Var der folk der mistede penge / informationer på grund af at crackere udnyttede denne bug: Ja
Var der mere Microsoft kunne gøre: Nej, de lavede deres patch og frigav den
Folk + admins havde over en måned til at patche i... Skete det? Nej
Skete det efter ormen kom? Ja
Var alt denne patchen med til at crackere ikke længere kunne udnytte buggen uden at blive opdaget? JA!
Lige for en god ordens skyld: Intet er så dårligt at det ikke er godt for noget...
Gravatar #34 - Wulff
15. aug. 2003 18:39
#29 din kritik af linux desktops er jo fuldstændig ubegrundet, bare fordi der ikke er ret mange der bruger det betyder jo ikke at det ikke er godt og bare fordi der er mange der bruger windows betyder jo heller ikke at det er godt. det er jo heller ikek godt at have gæld, bare fordi der er mange der har det, eller at der er få rige betyder jo heller ikke at det er dårligt.
Gravatar #35 - elvin
15. aug. 2003 18:51
#34
1) Det var et forsøg på en god joke :)
2) Ville gøre de folk som "gemmer" sig bag en linux opmærksom på at det også kunne skade dem :)
Gravatar #36 - Scavy
15. aug. 2003 18:52
#28
Ja det er jeg udemærket klar over.. Det jeg egentligt ville sige var at den vil fortsætte med at forsøge at DoS'e.. det vil sige at domænet windowsupdate.com vil være mere eller mindre ubrugelig, for lige så snart de sætter det i brug igen, så er ormen klar til at angribe..etc..
Det var noget i den retning at jeg hentydede til.
Gravatar #37 - Shiyee
15. aug. 2003 19:01
#36 Scavenger:
Ja okay :-)
Tror der er nogen der kan købe domænet "windowsupdate.com" meget billigt :-)
Gravatar #38 - Fjolle
15. aug. 2003 19:23
#37 jeg tror at suse vil byde 100$ ;)
Gravatar #39 - SmackedFly
15. aug. 2003 19:32
Hvis Microsoft's servere gik ned pga. det strømsvigt, så er de da de største spassere på den her side af jorden. Ord som reserveregenerator og UPS, er åbenbart ikke nået til USA endnu.

Håber ikke det er den rigtige forklaring, for så er der da noget galt.
Gravatar #40 - sKIDROw
15. aug. 2003 19:37
#35 elvin

[1) Det var et forsøg på en god joke :)]

Det mislykkede kraftigt.. :P
Det lignede mere flamebait.. ;)

[2) Ville gøre de folk som "gemmer" sig bag en linux opmærksom på at det også kunne skade dem :)]

Nu er problemmet her jo ikke så meget Microsoft, som det er de clueless kraftidioter der ikke fatter en bønne IT sikkerhed.
Opdater, Opdater, Opdater!!!.. :)
Meget kan man kritisere Microsoft for, men ikke at folk ikke kan stave sig igennem W-I-N-D-O-W-S-U-P-D-A-T-E.... Daaaah!
Ynkeligt at se at der også er firmaer blandt de ramte, måske de skulle finde sig nogle kompetente administratore?....
Gravatar #41 - dnv
15. aug. 2003 19:50
Er det ikke lidt flovt at nordea i finland fik den...
Og mange andre "store" firmaer også var ramt.
man skulle tro de havde styr på sikkerheden...men nej!
og et næste 2 mrd. gamle hul....puha!
Håber der er nogen sikkerhedsfolk der få
røde øre..og måske et hak i tuden over der mangler updates.
BTW:
Nu bruger Nordea i Danmark sjovt nok OS/2.
--
Linux vs. Windows ?
Der findes også *BSD og Solaris.
Så bred jeres syn lidt ud ;-)
Gravatar #42 - Dan
15. aug. 2003 20:10
"eller at der er få rige betyder jo heller ikke at det er dårligt."
Hmm...


PS. Hvorfor bliver < filtreret fra?
Gravatar #43 - Erroneus
15. aug. 2003 20:52
http://uptime.netcraft.com/up/graph?site=www.windo... The site www.windowsupdate.com is running Microsoft-IIS/6.0 on Linux. .. linux.. :D

O_o
Gravatar #44 - Anitaviz
15. aug. 2003 21:22
En god ting ved denne orm må da være at den "lukker" hullet efter sig :)
Gravatar #45 - TullejR
15. aug. 2003 21:33
#43:

Det må da være en fejl, IIS kan jo ikke køre på linux... jo mindre M$ har compilet en udgave til *nix hehe :)
Gravatar #46 - SmackedFly
15. aug. 2003 21:35
#43 #45

Er sandsynligvis en linux maskine der er proxy for en windows maskine.
Gravatar #47 - Wulff
15. aug. 2003 22:22
#36 folk vil nok opdatere deres windows når virusen begynder at lukke deres computer ned, så virusen vil jo nok uddø om et par måneder, derfor varer det jo nok ikke så længe før windowsupdate.com er på benene igen.

vil gerne høre om andre viruser af lignende art som har overlevet(altså viruser der generer brugeren og gør opmærksom på sin tilstedeværelse).
Gravatar #48 - C#
15. aug. 2003 22:57
#43 / #45

Why do you report impossible operating system/server combinations ?

Webservers that operate behind a caching system, load balancer, reverse proxy server or a firewall may sometimes report the operating system of the intermediate machine. Hence reports of 'Microsoft/IIS on Linux' may indicate that either the web server is behind a Linux server that is acting as a reverse proxy, or has configured the Akamai caching system such that the first request to the site goes to one of Akamai's servers [which run Linux], or as in the case of www.walmart.com has been configured to send a misleading signature.


Microsoft er fornyligt gået over til at distribuere via Akamai så forklarer hvor der står iis6 on linux.
Gravatar #49 - Romeo
15. aug. 2003 23:16
Har lige fjernet den fra min PC'er
Gravatar #50 - Morris
16. aug. 2003 06:01
Fik den aldrig på min PC'er

Edit: Btw stadig masser af båndbredde ledig hos MS. Suger pt med 220KB.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login