Remotepr.(RPC) RE:Virus

O

Odin

0
Hi , Leute !

Ich habe eine wichtige Frage : Vor 10 Minuten hatte ich einen Fehler der mir sagte
mein Pc würde in 1ner Minute neugestartet werden ! Nach dem neustart kam der gleiche Fehler wieder und wieder und weider ! Ich weiss leider nicht genau was das für ein fehler war , aber der fehler kam relativ gleichzeitig auf allen Rechnern in unserem LAN .

Ich habe nur Stichpunkte beim Abschreiben des Fehlers machen können , weil der Pc ja heruntefuhr : - NT-Autoritäts/system
- Remoteprozeduraufruf (RPC) wurde unerwaret beendet

Diesen Fehler konnten wir an den Pcs nur beheben , als wir auf anfrrage beim den tipp bekamen die Datei Msblast.exe zu löschen . Ich erzählte ihn alle meine laufenden Prozesse und Msblast hatte er halt nich/kannte er nicht .Ich beendete den Prozess und habe alle Dateien die mit msblast zu tun hatten geloscght.

Ok , bin wieda da . Ja Fehler kam halt wieder .
Kurz danach kamen auch Freunde vorbei und haben mir von dem genau gleichen Fehler erzählt der eben im Internecafe auf allen Rechnern kam . Sind das nu alles Zufällele oder wie ?
 
@Odin

Ich denke mal, das eventuell auch jemand einfach versucht,
per RPC-Exploit versucht, die Rechner einfach immer wieder
zu rebooten. Wenn man dort die falsche Windows-Version
angibt, dann wird der Rechner rebootet an Stelle, das er eine
Remote-Shell gibt. Wäre mal meine Idee, ansonsten beschreibe
mal noch genauer, was Du liest bei Dir! Weiterhin mal die Frage, ob
Dein Rechner schon gegen RPC-Bug gepatcht ist?

MfG Rushjo
 
moinmoin,

also Rushjo liegt mal wieda richtig mit dem RPC-Exploit.
Wir hatten das heute mal ausgetestet, ein guter Kumpel einer anderen Crew testete das mal bei einem nicht ordentlichem gepachten sys bei mia uf der Platte und sie da, nach dem oder dem DL war der Bug gefixt.

MfG Stefan
 
Hah , es ist ein Virus ! Ich hab mir mal im Hexeditor die Msblast.exe angeschaut...lol ich zitiere mal was ausm editor :


....................................!..L.!This program cannot be run in DOS mode....$.......PE..L...*|7?...............7. .......P...q...`........@.............................................................................H...................................................................................................................UPX0.....P..............................UPX1..... ...`......................@...UPX2................................@...1.22.UPX!......F_...t0T...... ,..&..=....1.@.L$..A...t..D$..T$.......w...SVW..Pj.h..@.d.5.......%. .X/p....t ;t....$$t..4v...T.H|...u.w....T....d..5..._^[.U..\Uj....n.h.Z.u.....@]...]..{... ...#.]..E..0@%..4.{k?..@.ur.E...E....w.....C..s-{..b..v....e.t:VU.k...]^M[.....t(x1%Sr.v....e.V...6....C.0...\.%.4...,.qGj.v..a*.....z..j.s...@.._u!.........;..'...*P....P$.....!..(..=,......>...r..X..d.....]5.h..U...f.P.I.#....e.P.<$f..$...,$c.(^{.}.$. ~.........$.H...P...o7.1..M.P*.....e.7...~...:l1.j.....P_?..fj]He.......?.j2h<...IH....{..|hCH..L......=........`.k..v.PQR..../.-.%....L...a.".....lh.'.7.6.0ig....c[..D...NG.X....;.%,1@.4!.0Y.....{a.......G.=.J..85>...A......O.;.........\..>..w..C9.....6.E..@.0,T..[a.....7x.@+I....=W}$h>.Z.H.{..X9..(.!.......0.Jxs.<.<..~.......).#.e.....8|R...F5...~...}. 94(.s.!g...~...S.Jx..u<|(1...[...j.......6<...(T..,....:/..o#.Y.....}.W..~..f..4/..8.p.z....s..?.@.......N%,U..8@8...2.....$`A....E.j..........wf....E0T...9w.f........203;.._J#.S..:.F.f....P..&........8.N.w....../1.h7.+.|.........C....7....%..L.....V...(.........l........W........|"h..........s.V..Y:...:....H.t........\.8@J.B......[...=....~"~..-.0...,.l.,G"0;0....^..0"!.#r.0.1(..?..(..........E..v..Np....h..?.. ._u.1.%..D.....5..&X...Z./~f..W.3`G.......|...5.0.c.#.0.+.... H#....l.5..Y......`.m....a.... |.h...k.e.........x..t..........\89..|.t.......;.(9.r..u.|@-vr.s.9..#.>"...P..w....!l}....9E..\G....|;.8... _.9..%..K..:...1.Y?<...4)....^37...S.v.....u...n.A8h............u.2...5..4..n......D..A..4....hD..<.y..x.....|......G.... 8..:5.m.....'.b%.w..`..!....~.......fc....|]....h.r`o.9..>p.{..V..&p..tH<..<#......<.x0...B.Kx.H&..............d......KF.....d...............i0...H....O.k..!.....`......h...).\...r...!t...!..B.B\.........Z.El..b.!......^.MO.i... cn.$l....O...._..B...I,..A.........(.Y..h..0T..K.....@...^.sv.=.;[...Xaor..Kh....WF..m....@.<.WO,..........$h......h.F....C...}..8..d..r.m..<[.|R[L.Gvx/[G...A....M..t..3.D@.)db5.\6.;.%(.....S..L$.1.........................t................X...............$.(...V...:.8.......]CM........F..G....8...]5QD........G@..Y0,...{.\7..4..X...u..4..>....fa.......WV..2j..H$...!.)...Q.......G..MIw~f#n#F.|.h..}rF..R....Zd.d..83...$..n...w..n.... .8I.Bnn.}..._.....E.Ej(../..u.....j............0.I..[....*.P..A..2G...:..m..@...%.-..<..v5&..]....e.........W).....$d..la.......,.[..../.j.........z... ...b..<c...L..........+;;..{=..x..~*.>. T...%.Q/.................................... .....R.2 .2...J2 .. ...p.....?"u#j".&.j.@.<0E}r...).G..G. t...G...../s_.. u...t.....t..W.D.L__....Y...-...$=.s.....).....,0.....48....<@D....HLP....TX....\`l....pt..................................E.6......@.....0@.<1@.....msblast.exe.I ju. wan.....to say LOVE YOU SAN!!.bill...m.gates&h.d%you make..~.1hi.possiQ.?1[{..Bp.ing.one-Wd.... fix2r] oftireU..=o......H.................F..*..]..........+.H`KG.........?...._..K.2$X..EdI.p..t,..`.>7.^..p.G|...........*M...j. .nr..MA..~.RB3............36..EOW...`...8..0.(..f.........C...@.A....(..6d_.d)....s..C2$C...$C2$...i./s`.X.@.... x...P....O.. ......._H.f.........+.x......d.p....O...=.W.W2.1'l......C..s@....1@...;a...........J....Poz...l....0_n#l.'y... /....c...F.?....6S.Gh...h...e..w_.\..o..C.$.1-3.4.5.6..~.d.sd.o.c.1,e.N.B.......'.........w...^1......6..2.................S..tWu......Z....|......&..:k...M.q...6...Z..............A......6t.3.~.$|..#.."LLb.........y|...........u..j...GF....x.z.9.V.J...g......Z...F......*..k.S..f.....*.......b...bk...L..Z...n.L.$..@d......}..c.'..P.W...Z........x.2.t.......].~'?bB....vj......z.~]^..b..."...c......."....[.k...wes._..d.!....o..:...4r...9..:&.............Q......g..4^..4w...7......j..h..b...4..J.|......8.{F.Ap?.xT....&.a#.T..............41Qk..T.jm...W/...id.W -..*....{..(......D..wNtwsupd......com.%s...Q.+QI..tU.c..u-i. GET.%d..S.C~.%i..rb...6.\.A|IGY\.....u.b.SOFTW.....E\Micro.\W&[.(.\C..+V.^..er..\Ru..I...^Y/".V.\V.W.JxV.V.....U.R..l..i.....S.4M...,8HM.4MP`p......4..SW...3.f..O.T.0..i.@Xl|..w..i...T?...; M...UK.$4M.4,8@HT.4M.`hp|....M..U...9A.P@...-[.(......G<.%l..r....T.`......./..,B.ExitProcessK...Thread.GetComm.L.K4.ineA.D.For.t.n.g.L.Er=r.....Modul.i.Nam1....MHEl.Clos......Tickeunt.RtlUn.n..M%.hMu.x3....S+ep.Tew...f.a.%...7{..lRegeKey.&.[...EL.SvValue...i66..__.aaA3.7.rg.2oi.e....wfcO.open.~.....mcpy..%r;.m..$..sig.l.prQX{0wtf..trc......`k~. I%.m...nGun.c.dS.f..t.#..Ah2n..P..i.*s.kui...u3_.dr.Foa.nWh.?v..helK...{.~. .t@.m....Ig.h.tb....y.m.bi..s..a..WSA....6vup.Cf..c...Bl:..:g..7.p.:EA*?..<PEL...*|7?....8......7........;!`0!@.....$..<`.O,;s.4......r P...!....t.....,{..?`.g...b.G.0K.Ru....|a.\..d....'@.do.i(..$'F|.\`...O.....@.............`..`@.......W.............F..G..u........r........u............s.u........s.1....r......F...tt....u............u..........u A..u............s.u........s.............../...v...B..GIu..c.................w....L...^.........G,.<.w..?.u...._.f........)..................P......t<._...0.p....P.....xp.....G..t...WH..U..|p....t...........p..a.................................................................................................................................................................................................................x.......................................................................................................................................$.......@.......KERNEL32.DLL.ADVAPI32.DLL.CRTDLL.DLL.WININET.DLL.WS2_32.DLL...LoadLibraryA..GetProcAddress..ExitProcess...RegCloseKey...atoi..InternetGetConnectedState...send....................................................................................... ....................................................................................................... ....... ........&...0...B..


lol oder ? Is kein krasser Virus , aberwir basteln grad n Antiprogramm , weil bei uns halb Berlin und alle von unseren bekanntenbefallen sind !
 
hi ich bin jetzt nicht odin sondern der kumpel von ihm der das antiprogramm baut der virus ist echt billig wir werden zuerst auf simpler php basis (hilft bei manchen viren) den virus zu blockieren dass er sich in die win reg einträgt wenn dass nicht funzt werd ich via linux (redhat ka version neuste) mit c eine blockierung und löschung aus allen win dateien (kernel32.dll, advapi32.dll, crtdll.dll, win_inet.dll, ws2_32.dll) versuchen wenn der virus das ignoriert werd ich mit c++ rangehen wenn jemand den virus hat wer es nett zu posten was er anrichtet denn momentan hab ich keine ahnung was er alles macht auch wär es nett den standort zu posten wo der virus alles auftritt


btw hiermit wird der virus msblast getauft

und den programmierer des virus richte ich mein respekt aus den soviele probleme mit dem hex code hatt ich nicht mal mit i love you usw...

cya fidel (manche kennen mich manche nicht schönen guten TAG)
 
Dein Engagement in allen Ehren, aber man würde es trotzdem begüßen, wenn du den Virus mal einem Antivirenhersteller oder so schickst, bist bestimmt nicht der einzige mit dem Virus.
Wenn es so einfach währe...
Hast du den Virus schonmal auf ein dump-system los gelassen?
Woher weist du das er sich nicht auch an anderer Stelle einnistet, z.B. im Speicher?
oder polimorph ist?
oder auf Antivirenprogs ausgelegt ist, stealthroutinen besitzt und etwas gegen seine vollständige Löschung hat?
Du schreibst schließlich das du nicht einmal weisst, was der Virus genau macht.
 
erstmal antwort zu deinem punkt2 sicherlich wäres besser aber ich wüsste bei witem nicht was ich heute nacht machen würde außerdem bin ich u.a in der softwarebranche tätig und finde das man bei so einenem virus der das potential hat wie "i love you" zu finden btw ich hab grad wieder den fehlern muss deswegen aufhören bis dann
 
Also, dein Virus scannt alle Computer eines netzwerkes nach dem RPC-Bug durch, findet er einen Pc, kopiert er sich per TFTP darauf.
Übrigens, hast noch zeit bis zum 15 August... :D
ich brauchte 15 Min um den Virus zu bestimmen(W32/Blaster), 15 Min um den Source zu finden. Bin gerade auf einer Seite zufällig darauf gestosen.
 
JO , thnx fürn tipp , konnten ja selber nicht im Netz loaden da er immer vorher den Pc heruntergefahren hat beim Patch loaden . Und der der das Antiprogramm gebaut hat wollte auf keine Fremde hilfe annehmen , da er lange weile hatte und selber machn wollte....Sturkopf ....
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben