Az új Windows féreg figyelmeztetés nem vicc

Microsoft, Windows

A Microsoft kedden 12 biztonsági figyelmeztetőt adott ki a Windows és Office termékekhez. Ezzel 23 hibát javított a redmondi cég. A 23-ból 16 kritikusnak mondható. Ezek közül egy kimondottan veszélyes lehet, egyes források szerint potenciálisan benne van egy olyan féreg elterjedésének veszélye, mint amilyen a MSBlast (Blaster) volt.

A szóban forgó hibát az MS06-040-es hibajegy írja le. Szerdán a Department of Homeland Defense (DHS) figyelmeztett a potenciális veszélyre, és a Microsoft megerősítette, hogy a patch-nek ott kell lennie minden számítógép admin tennivalólistájának első helyén.

Szóval aki nem patch-elt eddig, annak erősen javasolt. Bővebben itt. A helyzet komolyságát jelzi, hogy az eEye biztonságtechnikai cég egy ingyenes scanner-t (Retina MS06-040 NetApi32 Scanner) adott, ki, amellyel szűrni lehet a sebezhető rendszereket. Bővebben itt.

( gd | 2006. 08. 11., p – 09:44 )

"Szóval aki nem patch-elt eddig, annak erősen javasolt."
Mindjárt patchelem a Linuxot. :)

"Szerző: gd
Dátum: p, 2006-08-11 08:44

"Szóval aki nem patch-elt eddig, annak erősen javasolt."
Mindjárt patchelem a Linuxot. :)

Akkor gáz!!!
Mert én valamit nagyon, de nagyon elszúrtam! Ugyanis egy SuSE 7.1-és SuSE 8.1 "közti" rendszerem van amelyet biztonsági szempontból sosem frissítettem. Ami új rajta: az a glibc-2.2.2-154 és a KDE 2.2; az Opera 8.54; Audacity 1.2.4; az XMMS 1.2.10; 2.4.20-as kernel; XFree86 4.6 ...
Emellett tűzfal nélkül internetezem egy 56K-s Faxmodem-mel és zárt portokkal (wigwam.sztaki.hu lásd. /tuzfalteszt.php/) és biztosan nagyon nem értek hozzá, mert lassan 3 éve így internetezem és ugyanazzal a rendszerrel (ami 5éves elmúlt a "születése" /install/ óta) Töretlenül.

Tehát ezidáig a gépen a maximális támadási felület az, hogy ide mindezt leírtam.

És ugyebár ott követtem el a legnagyobb hibát, hogy nincs fix IP címem, nomeg, hogy sem web- sem FTP szervert nem üzemeltetek :(
De mindemellett volt, hogy éjjel 3-4-5 órán keresztül a weben lógtam (értsd. letöltés).

Persze ezek ismeretében Kabaré János megpróbált meggyőzni róla, hogy "Te csak nem veszed észre, hogy a gépeden áthalad a fél világ spamja és pornófilm letöltése."

És persze széles mosoly a válasz, mert ugyebár én meg közben még véletlenül sem veszem észre, hogy az 56K-s Faxmodemes kapcsolatom eközben 5.1KB/s-ről 1bájt/secundum-ra csökkent.
No ez az "urban legend".
(mármint ez a feltételezés) :-{)

Olyan mint a vicc, melyben az orvos megdícséri a beteget: Na, Kiss Úr ez szép! Néztem a röngtgenfelvételt és meg kell mondjam Önnek, a karja olyan szépen összeforrt, hogy ezzel maga zongorázni is fog tudni - így az orvos.
Igen? Zongorázni? - kérdi a beteg.
Persze - mondja az orvos.
Mire a beteg: Hát ez csodálatos doktor Úr, ugyanis azt eddíg még nem tudtam
_____________________________________________________
Tehát: hajrá! Lehet szétcincálni a hozzászólást, kiforgatni, összevissza másolni és körbemagyarázni
:-)))
Jelige: "Trollok előnyben"

Nem trollkodásképp, de azért lássuk be, nem ez a tipikus alkamazási területe egy linux-os, windows-os vagy bármilyen gépnek. Az általad leírt technika, hogy is mondjam, kissé idejétmúlt. Szerintem, de persze tévedhetek is.
Én speciel idejét nem tudom, mikor használtam modemet net-es kapcsolatra.

Ave, Saabi.
ps: a betörésekhez amúgy nem kell fix IP cím, és különböző server processzek se, legfeljebb segíthetik azt. A modem már jobban csökkenti a betörési lehetőségeket, de teljesen fel nem számolja azokat. Az automatizmusok, wormok nem mérlegelnek, hogy elég gyors-e a kapcsolat.

( ricsip v | 2006. 08. 11., p – 10:02 )

Ismét jó ingyen-reklám az eEye-nak :|

( flimo | 2006. 08. 11., p – 10:31 )

Közel egy hónap után ismét átbootoltam windowsba, mily' meglepő, ismét biztonsági frissíteni (de szép szó), hátha egyszer kell valamire, meg ha már legális..

( Polesz v | 2006. 08. 11., p – 11:46 )

De jó, hogy kiadták 12-én a javítást amit sokan fel se raknak, igaz a http://www.milw0rm.com/ oldalon már 10-én ott volt a Remote Overflow Exploit.

--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!

( toros | 2006. 08. 11., p – 16:15 )

Hát igen, az MSBlaster... régi szép idők. Milyen sok ismerősömnek megvolt az a játék. Ráadásul azt lányok is szívesen telepítették, nem úgy, mint a Quake-et. Egy időben az volt a microsoft-os rendszerek vi-je: szinte minden gépre fel volt installálva :)

"Szerző: toros új
Dátum: p, 2006-08-11 15:15

Hát igen, az MSBlaster... régi szép idők. Milyen sok ismerősömnek megvolt az a játék. Ráadásul azt lányok is szívesen telepítették, nem úgy, mint a Quake-et. Egy időben az volt a microsoft-os rendszerek vi-je: szinte minden gépre fel volt installálva :)"

Felidézted bennem azt az "élményt" amikor a saját két bogyó szememmel láttam egy WXP alá "települni" az MBlastert, ám a poén nem ez volt, még csak nem is az, hogy 2-3 perccel a netre való felcsatlakozás után már volt MBlaster az XP alatt. És még csak az sem volt poén, hogy itt a HUP-on leírtam az esetet.

A poén az volt, hogy megkaptam (és erre tisztán emlékszem), 1-2 személytől azt, hogy Áááá... mit regélek itt összevissza hiszen az MBlaster be sem jut a tűzfalon... És különben is...
Persze az egyikőjüket sem zavarta, hogy senki sem (!) beszélt arról , hogy tűzfal lett volna a PC-n, vagy a PC előtt.
És arról sem volt szó, hogy mondjuk a PC egy hálózatbeli kliensgép lett volna, ugyanis egy otthoni PC-ről volt szó.

Summa summárum azon egyikőjük sem gondolkodott el, hogy Ha nem tud bejutni az MBlaster a Windowsos gépekre, akkor, hogyan terjedt el az interneten? Lévén, hogy (tudtommal) a terjedéséhez windowsos PC kell.

Tehát mint ahogy az új féreg sem, úgy ez sem volt "urban legend"
-----------------------------------------------------------------------------------
No, persze lesz itt nemsokára legalább 1 "szakértő", aki nálam is jobban fogja tudni, hogy hogyan is írtam le ANNO az esetet és azt is, hogy tulajdonképpen hogyan is történt meg velem a "dolog".

Ja, és mégegy: Természetesen nem az "MBlaster MIDI and MP3 Player" -ről írtam.
http://www.ausmidi.com/mblaster.html

:)))) köszönöm a kellemes perceket.

"Felidézted bennem azt az "élményt" amikor a saját két bogyó szememmel láttam egy WXP alá "települni" az MBlastert, ám a poén nem ez volt, még csak nem is az, hogy 2-3 perccel a netre való felcsatlakozás után már volt MBlaster az XP alatt."

Tudod létezik egy bizonyos OKJ-s képzés, OKJ 33 4641 01 számmal, nevezetesen ez egy Számítógép-kezelő, -használó alaptanfolyam. előfeltétel: 8 általános, és még angolul sem kell (!) tudnod.
Javaslom egy ilyen tanfolyam meglátogatását, és akkor lehetséges hogy belédvernek annyi alapműveltséget, hogy egy winxpt fel tudj tenni úgy, hogy mielőtt netremész megteszed azokat az egyébként mindenki számára magától érthetődő kötelező lépéseket, hogy nem fertőződsz meg msblasterrel.
Érdekes módon az én ismerőseim között senkinek nem volt gondja, egyiküknek sem az msblasterből,
pedig ők is mezei otthoni szgép használók...

de azért kösz :))))

ui.: de ha igényt tartasz rá akkor szólj és leírom azt az idevágó 2-3 sort, lévén h én csak teljesen jószándékúan válaszoltam a hozzászólásodra :)

Monduk azt, hogy én "részt" is vettem egy ilyen tanfolyamon, ahol szó sincs Windows telepítésről. Nem hiszem, hogy user 1.0 dolga, hogy feltelepítsen egy operációs rendszert, majd az összes hotfxet, és beállítson egy személyi tűzfalat.

A fenti esetről szólva, ha van egy XP telepítőd és nulla offline javítókészleted, akkor elég nehéz kivédeni a támadást.

A fenti esetről szólva, ha van egy XP telepítőd és nulla offline javítókészleted, akkor elég nehéz kivédeni a támadást.

Rendkívűl nehéz a Windows XP beépített tűzfalát bekapcsolni a tárcsázón, hogy legalább az internetről érkező kapcsolódásokat blokkolja. Szinte a lehetetlen kategóriába tartozik egy checkbox bejelölése, valóban...

Mert az emberek 90%-nak fogalma sincs arról, hogy mi az a personal firewall, fogalma sincs mi az a port, fogalma sincs, hogy miért van. Vagy éppen van minimális fogalma, de kikapcsolja mert nem megy a WoW, mert nem tudja, hogyan kell beállítani. Továbbá vannak cégek, ahol policy, hogy a tűzfalon belül ki van kapcsolva a kliensek tűzfala, mert nem megy a mittoménmi (vagy csak lusták beállítani), de volt rá példa, hogy behurcolták mobil gépen, VPN-n, terítette le a céget, és nem volt VPN karantén. És még ezer millió okból. Ne kelljen felsorolnom. Ha ilyen egyszerű lenne, nem figyelmeztetnének, és nem szív(tak)nának vele világszerte. Ezért.

Azért mert te vagy én tudjuk mi a megoldás, még az emberek jelentős része nem tudja. És ők vannak többen.

--
trey @ gépház

Az idézett szövegben - melyre reagáltam - az az utalás hangzott el, hogy SP0-ás XP-vel nem lehet felmenni az internetre még frissítés céllal sem, mert egyből megtámad a féregnyavaja. Holott egy bekapcsolt tűzfallal az ember gond nélkül Windows Updatelhet vagy letöltheti a kívánt hiba javításokat az MS oldaláról manuálisan, nem fog megfertőződni addig semmivel. Persze ez kell hogy legyen az első, ha már régóta (vagy sosem) frissített rendszerről csatlakozik fel az internetre. A biztonsági frissítések fontosak hogy telepítve legyenek, de ez nem csak a Windowsra igaz, hanem bármely másik szoftverre is.

Azért mert te vagy én tudjuk mi a megoldás, még az emberek jelentős része nem tudja. És ők vannak többen.

A baj az, hogy ezek az emberek jönnek utána ide és szidják az MS-t meg a Windowst, amikor problémáik java része a tudatlanságukból fakad...

"A baj az, hogy ezek az emberek jönnek utána ide és szidják az MS-t meg a Windowst, amikor problémáik java része a tudatlanságukból fakad..."

Most nem értek valamit. Pistikének van egy ADSL modeme, és ha ő az internet connection wizard-al kreál hozzá egy PPPoE kapcsolatot, akkor az automatikusan firewalled lesz, nem? (Már nem emlékszem). Ha router mögül netezik... nem hiszem, hogy az adott port oda lenne forwardolva. Akkor van ezeik szerint gáz, ha olyan a kapcsolat, hogy magától "feláll" a telepítés után, nem kell internet connecction wizard-ot futtani. Ez viszont a Windows marhasága szerintem, de lehet, hogy rosszul látom, és a felhasználónak kéne lefuttani a varázslót, amikor már van működő kapcsolata? ;-)

Pistike a történetben egy 56K-s faxmodemet használt, nem ADSL-t, így nincs szó routerről se. SP0-ban pedig nem kerül bekapcsolásra alapértelmezetten a tűzfal tárcsázó létrehozásakor, ezért írtam, hogy kattintani kell egyet. Persze - ahogy mondta trey is - az egyszerű user úgy is kikapcsolja a tűzfalat az első alkalommal, amint nem megy valamelyik játék, ahelyett, hogy elgondolkozna mit is kellene beállítani, hogy a kecske is jól lakjon és a káposzta is megmaradjon...

"SP0-ban pedig nem kerül bekapcsolásra alapértelmezetten a tűzfal tárcsázó létrehozásakor, ezért írtam, hogy kattintani kell egyet"

Igaz, bocs, SP2-ből indultam ki.

"az egyszerű user úgy is kikapcsolja a tűzfalat az első alkalommal, amint nem megy valamelyik játék, ahelyett, hogy elgondolkozna mit is kellene beállítani, hogy a kecske is jól lakjon és a káposzta is megmaradjon..."

Gondolkozzunk... a legtöbb játék igényel egy inbound TCP portot (meg egy UDP-t is szoktak, de ezt most inkább ne). A játékokat ismerve, jön a hiba, hogy nem tudott kapcsolatot létesíteni, vagy valami hasonlóan verbose duma. Gémerkém elkezdi keresni a helpfile-ban (az egyszerűség kedvéért felteszem, hogy tud angolul, vagy van magyar leírás), akkor megtalálja, hogy a) az inbound xxxx portot kell kinyitni, b) kilőni a tűzfalat (ez a gyakoribb). a) esetben szerencsétlen valahogy megtudja, mi az az inbound, meg hogyan kell pre-SP2 tűzfalból ezt kihozni, addigra kb. 20x száll el az agya, és inkább lövi le a tűzfalat a p*csába, mert az csak egy checkbox, pedig ennyi lenne. Ja, még az előferdülhet, hogy feltesz valami jó kis 3rd party tűzfalat.
Még mielőtt valakinek eretnek gondolatai támadnának (lol), kijelentem: Linux alatt sem könnyebb, csak ott (még) kevesebb a threat (meg a játék :-P).
Ja, és akkor még nem is beszéltünk arról, hogy valaki Windows 2000-et tesz a gépére, amiben nincs tűzfal, de a Blaster ugyanúgy megfertőzi, s a Sasser is. ;-)

-- // EDIT

Újraolvasva, nagyon rózsaszínben látom a világot. :-)
Mindegy, azért nem egyértelműen PEBKAC az ilyesmi.

Mivel a Windows elég sok mindent felismer plug&play, gyakran odáig is eljut, hogy van net rögtön az első insulás után. Ha nem vagy chuk norris, kell kb 1 perc, hogy bechekkold a tűzfalat, amikor már blaster szépen ott csücsü a gépeden, és megy a verseny, hogy gyorsabban telepítsd a javítást, mint újraindítja a gépet. Nálad a labda!

Na szóval.
Nálunk a suliban anno tartottak órai kereteken belül ilyet, és egy vicc ezt el kell ismerni,de
közelező volt, mivel hogy órán tartották nekünk :D
Windows telepítés nem tartozott szorosan a témához, DE ha elmékeim nem csalnak, elmondták h ha az
ember windowst telepít akkor mégis mitévő legyen nagy vonalakban. És itt most az otthoni egérhuszár windows telepítésről beszélek, semmi nagyobb volumenű dologról.

Én a saját tapasztalataim alapján így csinálom:

1.) Hálózati kábel kihúz :)
2.) Lehetőleg legújabb sp2es winxp telepítő berak (a megúszható szívások elkerülése végett),
formáz, telepít.
2.a) tűzfal bekapcs, automatikus javítások bekapcs.
2.b) Nem egy bonyolult dolog manapság, amikor minden kenyérpiritóban van cd író,
kiírni egy cdre másik gépről az éppen aktuális _legfontosabb_ updateket. Nem baj ha
megvan offlineban is, később még jól jöhet. Ezután ugyanerre a cdre leszedem az ingyenes Antivir
telepítőjét, és a sajnos nem ingyenes ewido ani-malwaret. Azért írom ezt, mert ehhez jár naprakész up-to-date offline malware adatbázis, melyet egy exével könnyen felrakhatsz a még hálózaton se lévő gépedre. Nyújt real time monitoringos védelmet is. Akinek ingyenes kéne, az használjon ad-awaret, igaz nem ugyanezt tudja mint ewido, de azért ez is hasznos tud lenni.
Tehát Antiwir, ewido felrak.
3.) Ezután hálózatikábel vissza :DD és irány a windows update... amíg minden frissítés lent nincs, és nincs telepítve,
még véletlenül sem kezdek el kattogtatni mindenféle kétes siteok irányába.
4.) Firefox, Thunderbird, és máris kezdheti használni a tulajdonos az újdonsült gépét.

Röviden ennyi. Szívesen veszem ha valaki még ad ehhez pár tippet biztos lehet jobban, biztonságosabban is csinálni,
bár mondjuk én még egyszer sem szívtam be semmit ezzel a módszerrel szűzen telepített gépen.
Vagy csak nem tudok róla.

Ezt azért szeressem mert 100% Free és be van integrálva a ClamAV is ami cégeknél ahol kicsi a költségvetés egész jól jöhet, ráadásul magyarul is beszél a drága, legalább Gizike nem kap szívinfarktust.

--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!

Eléggé fogja a gépet, legalábbis a spywareterminatorhoz képest. Ez a fejlesztőinknek elég problémás amikor már lassan 2G memóriában alig férnek el és fut minden mi szem szájnak ingere. Ezenfelül elég macerás amikor közli, hogy ő bizony nem tudja frissíteni önmagát, etc. etc... Szóval ezért álltunk át céges szinten erre, bár a clamav helyett avg a használt víruskergető (kivéve engem mint oss fant ;-)).

--
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!

( BlinTux v | 2006. 08. 11., p – 19:15 )

De szeretem mikor egy uj virus jon ki windowsra:) Ebbol is latszik milyen egy szanalmas az egesz OS... Aki vedekezni akar ellene, az hasznaljon mas OS-t. Nem kifejezetten linuxot, mert a winnel mar minden biztonsagosabb es okosabb is...

Figyej, ha minden hülyegyerek azzal szórakozna, hogy az épp bejelentett kritikus hibára exploitot ír, akkor bármelyik OS ilyen "szánalmas" lehet... Az más kérdés, hogy egy ilyennel mennyi jogot lehet szerezni, de jócskán voltak már OSX-en is elég durva hibák (ha már nem a linuxról beszélünk ;) )