---

Der er lige kommet (inden for mindre end 24 timer) en virus der angriber et
nyeligt (16. Juli) fundet hul i Windows RPC interface.

Symptomerne er at Windows meddeler at RPC er stoppet og system vil lukke ned
... computeren lukker derefter ned indenfor 1 minut.

En nyopdukket fil : c:\windows\system32\msblast.exe synes at spille en stor
rolle i dette.

Jeg har kort skimmet filen og det ser klart ud som om at det er kode til at
sprede sig yderligere via mail.

Jeg vil gætte på at den læser adressebogen til Outlook (Express) og sender
virusmail til alle i den .. Jeg er ikke så bekymret for det selv da jeg ikke
har installeret OE men istedet bruger Mozilla Thunderbird som er immun over
de fleste virus der spreder sig på denne måde.


"Buffer Overrun In RPC Interface Could Allow Code Execution (823980)"

Oplysninger og bud på løsninger her :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Sikkerhedsfix her :
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

Hvorfor den ikke er på Windows Update må guderne vide..

Selv blokerede jeg alle porte undtagen port 80 så jeg fik tid nok til at
hente patchen som fungerer fint.


*** ENGLISH ***
In case you're searching google groups for solution to the msblast.exe
problem and only speak english, try reading

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

It explains the securityflaw and provides solutions.



- Mvh / Kind Regards
Christian 'CeeJay' Jensen

---

Christian 'CeeJay' Jensen skrev:

> Der er lige kommet (inden for mindre end 24 timer) en virus der
> angriber et nyeligt (16. Juli) fundet hul i Windows RPC interface.

Tina Bird har skrevet en pæn slat om de forskellige former for udnyt-
telse hun har set på de 2400+ maskiner der er blevet "inficeret" på
Stanford universitet:

<URL:
http://securecomputing.stanford.edu/alerts/windows-rpc-update-5aug2003.html
>

Ormen betegnes, af InternetStormCenter, som tæt på dcom.c (find koden
på Full Disclosure mailinglisten, der er forskellige udgaver):

<URL: http://isc.sans.org/diary.html?date=2003-08-11 >

> Jeg vil gætte på at den læser adressebogen til Outlook (Express) og
> sender virusmail til alle i den .. Jeg er ikke så bekymret for det
> selv da jeg ikke har installeret OE men istedet bruger Mozilla
> Thunderbird som er immun over de fleste virus der spreder sig på
> denne måde.

Hvis Thunderbird bliver udbredt, er det jo forholdsvis nemt at finde ud
af hvordan man fisker mailadresser ud af adressebogen, koden er jo til-
gængelige for alle der gider kigge.

Ormen er åbenbart ret aktiv i Asien pt. (ifølge
<URL: http://isc.sans.org >).

---

Peder Vendelbo Mikkelsen wrote:
>
> Hvis Thunderbird bliver udbredt, er det jo forholdsvis nemt at finde ud
> af hvordan man fisker mailadresser ud af adressebogen, koden er jo til-
> gængelige for alle der gider kigge.

Hvis ormen først er kommet ind kan den selvfølgelig sprede sig
på den måde. Men det er nok ikke så nemt at få den ind gennem
Thunderbird som gennem OE. Nu er der så vidt jeg har forstået
endnu ikke set noget bevis for, at den konkrete orm spreder sig
gennem email. Den spreder sig primært gennem hullet i RPC.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

Kasper Dupont skrev:

> Hvis ormen først er kommet ind kan den selvfølgelig sprede sig på den
> måde.

Det giver dog ikke rigtig mening, at den skulle bruge et mail-program
til at sprede sig, der findes jo andre udmærkede orme som inkluderer
små mailservere (hvor koden er tilgængelig).

Strøtanke: Hvis ikke RPC-DCOM-fejlen kan få folk til at patche, folk
bliver nok hurtigt træt af at maskinen har lyst til at genstarte [1],
kan intet få dem til det.

[1] Man kan afbryde genstarten, ved at afvikle shutdown -a.

> Men det er nok ikke så nemt at få den ind gennem Thunderbird som
> gennem OE.

Jeg har ikke brugt Thunderbird ret meget, eller læst ret meget af
dokumentationen, og aner derfor ikke hvilke muligheder der findes i
programmet.

> Nu er der så vidt jeg har forstået endnu ikke set noget bevis
> for, at den konkrete orm spreder sig gennem email. Den spreder sig
> primært gennem hullet i RPC.

Det har jeg heller ikke set, men der kommer sikkert en variant som gør,
når ISPerne får iværksat filtrering på de anvendte porte (på indlæg
sendt til diverse ISP-mailinglister, f.eks. NANOG, virker det som om
mange nordamerikanske ISPere ikke filtrerer. Jeg har ikke fundet infor-
mationer om hvad ISPerne i EU-land gør).

---

Peder Vendelbo Mikkelsen wrote:
>
> Kasper Dupont skrev:
>
> > Hvis ormen først er kommet ind kan den selvfølgelig sprede sig på den
> > måde.
>
> Det giver dog ikke rigtig mening, at den skulle bruge et mail-program
> til at sprede sig, der findes jo andre udmærkede orme som inkluderer
> små mailservere (hvor koden er tilgængelig).

Det var jo heller ikke et spørgsmål om, hvordan man sender mailen, men
derimod, hvordan man fik fat i nogle adresser. Det kræver ikke noget
særligt at sende en mail. Det lyder som en tåbelig idé at inkludere en
mailserver. Man har brug for en mailserver for at modtage email, ikke
for at sende dem.

>
> Det har jeg heller ikke set, men der kommer sikkert en variant som gør,
> når ISPerne får iværksat filtrering på de anvendte porte (på indlæg
> sendt til diverse ISP-mailinglister, f.eks. NANOG, virker det som om
> mange nordamerikanske ISPere ikke filtrerer. Jeg har ikke fundet infor-
> mationer om hvad ISPerne i EU-land gør).

Da slammer brød ud konstaterede jeg, at der blev iværksat filtrering
ca. otte timer efter udbrudet. Filtret har sandsynligvis været hos min
egen ISP. Det er dog blevet fjernet igen sidenhen. Da min ISP allerede
filtrerer pakker med forged source IP, vil det beskrevne DoS angreb
dog ikke have megen effekt.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

Kasper Dupont wrote:
> Peder Vendelbo Mikkelsen wrote:
>
>>Kasper Dupont skrev:
>>
>>
>>>Hvis ormen først er kommet ind kan den selvfølgelig sprede sig på den
>>>måde.
>>
>>Det giver dog ikke rigtig mening, at den skulle bruge et mail-program
>>til at sprede sig, der findes jo andre udmærkede orme som inkluderer
>>små mailservere (hvor koden er tilgængelig).
>
>
> Det var jo heller ikke et spørgsmål om, hvordan man sender mailen, men
> derimod, hvordan man fik fat i nogle adresser. Det kræver ikke noget
> særligt at sende en mail. Det lyder som en tåbelig idé at inkludere en
> mailserver. Man har brug for en mailserver for at modtage email, ikke
> for at sende dem.
>

MDA delen (TCP/IP delivery)? det er da en forholdsvis væsentlig del af
en mailserver (så mon ikke det er det der menes ...) - hvilket jo set
fra en orms side vil være ganske praktisk at inkludere, da det jo så
ikke er nødvendigt at benytte sig af brugerens udgående mailserver!

--
Med Venlig Hilsen / Regards

Kim Petersen - Kyborg A/S (Udvikling)
IT - Innovationshuset
Havneparken 2
7100 Vejle
Tlf. +4576408183 || Fax. +4576408188

---

Kasper Dupont skrev:

> Da slammer brød ud konstaterede jeg, at der blev iværksat filtrering
> ca. otte timer efter udbrudet.

Jeg kan kun huske det svagt, men mener at det var på grund af at an-
tallet af forbindelseforsøg lagde visse hukommelsesfattige routere ned.

> Filtret har sandsynligvis været hos min egen ISP.

Samme ISP, går jeg ud fra, filtrerer også nu:

<URL: https://fenris.sektornet.dk/drift/ >

<URL: http://kundeservice.tdc.dk/erhverv/driftsinformation/ > (hmm,
blank webside)

Kopieret fra <URL: news:tele.internet.info >

Message-ID: <URL: news:bhjmv4$9il$1@newsman.news.tele.dk >

"Subject: Hele landet d. 16/08-2003 kl. 21:39

For at imødekomme inficeret trafik har TDC i dag ændret ca. 300.000
kunders adgang til Internettet i form af et filter.

Filteret bevirker at inficeret trafik fra ADSL-kunder, Sektornetkunder
samt modempuljekunder ikke kommer ud på Internettet.

Filtrene kan genere nogle af kunderne, f.eks de kunder der
benytter Microsoft Exchance over Internettet.

Vi beklager de gener dette kan medføre for vore kunder.

Venlig hilsen
TDC Kundeservice"

TDC må dog spærre for mere end Sektornet gør, da problemet med Exchange
opstår hvis man anvender NT-validering (som skulle anvende enten port
135, 137-139 eller 445 (porten er afhængig af klient og server OS))
over internettet (imod MSs anbefalinger).

Bemærk venligst at jeg ikke ved andet om det ovenstående, omkring Ex-
change, end hvad jeg har læst på diverse mailinglister.

Forhåbentlig kommer der noget opdateret teknisk information på
www.csirt.dk inden alt for længe, når nu det ser ud til at TDC drift-
websider ikke opdateres og drift-mailinglisten ikke længere anvendes.

---

Christian 'CeeJay' Jensen skrev:

> Hvorfor den ikke er på Windows Update må guderne vide..

Det har den nu været her (WinXP Pro SP1 US).
<http://home.worldonline.dk/hijklm/winxp/823980.png>

--
Med venlig hilsen
Madsen.

---

Thomas Madsen skrev bl.a.:
> Christian 'CeeJay' Jensen skrev:
>
>> Hvorfor den ikke er på Windows Update må guderne vide..
>
> Det har den nu været her (WinXP Pro SP1 US).
> <http://home.worldonline.dk/hijklm/winxp/823980.png>

Den findes også på WinXP SP1 DA

/Lars
--
Mød SHU BI DUA til
Rødkjærsbro Open Air
www.8840.dk

---

"Christian 'CeeJay' Jensen" <news2003-4@ceejay.cjb.REMOVE_TO_REPLYnet> wrote in
message news:3f381198$0$48907$edfadb0f@dtext02.news.tele.dk...
> Jeg vil gætte på at den læser adressebogen til Outlook (Express) og sender
> virusmail til alle i den .. Jeg er ikke så bekymret for det selv da jeg ikke
> har installeret OE men istedet bruger Mozilla Thunderbird som er immun over
> de fleste virus der spreder sig på denne måde.

Der er en stor forskel på immun og overset.

Addressebogen i Mozilla kan tilgåes programmatisk gennem dens script interfaces,
akkurat som i Outlook/OE/WAB.


--
Thor Larholm
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities
<URL: http://spamfighter.com/> Fight back at spam
<URL: http://jibbering.com/faq/> FAQ for comp.lang.javascript

---

Christian 'CeeJay' Jensen <news2003-4@ceejay.cjb.remove_to_replynet> wrote:
> Jeg har kort skimmet filen og det ser klart ud som om at det er kode til at
> sprede sig yderligere via mail.

Er du sikker paa det? Hverken Symantec, Trend Micro, F-Secure eller
folkene paa incidents listen har naevnt at den kan sprede sig via email.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Christian 'CeeJay' Jensen"
<news2003-4@ceejay.cjb.REMOVE_TO_REPLYnet> skrev i en
meddelelse
news:3f381198$0$48907$edfadb0f@dtext02.news.tele.dk...

Hej Christian,

> Symptomerne er at Windows meddeler at RPC er stoppet og
system vil lukke ned
> .. computeren lukker derefter ned indenfor 1 minut.

Det er ikke nødvendigvis et tegn på, at man er blevet
inficeret. Når en host modtager en forespøgsel på TCP port
135 ledsages den af RPC DCom exploitet. W32.Blast.worm (oh
ja, den har allerede mange navne) anvender, som det
tidligere er anført, kildekode fra dcom.c (universel W2K)
offsets, som kan bevirke at windows XP og sandsynligvis
opdaterede systemer fejler SVCHOST processen.

> En nyopdukket fil : c:\windows\system32\msblast.exe synes
at spille en stor
> rolle i dette.

Ja, når ormen er blevet droppet lander den præcis der.

> Jeg har kort skimmet filen og det ser klart ud som om at
det er kode til at
> sprede sig yderligere via mail.

Nej, det gør den ikke. Der er intet i koden, som
tilnærmelsesvis minder om spredning via e-mail. Forfatteren
har dog massemailet den til tilfældige e-mail adresser i
løbet af formiddagen/eftermiddagen, mandag d. 16.8.2003.
Dette angiveligt for at sikre større effekt.

Yderligere info:
http://www.krusesecurity.dk/advisories/blastworm.txt

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

Peter Kruse <kruse@_nospam_railroad.dk> wrote:
> http://www.krusesecurity.dk/advisories/blastworm.txt

Flot oversat! Du har dog overset at det er meget mere sandsynligt at der
bruges en return code der virker paa XP fremfor en der virker paa W2K.

Du tager ogsaa fejl mht. dens scanning metode: Det er tilfaeldigt om der
scannes paa det lokale subnet eller der genereres en IP adresse.
(F-Secure og X-Force har indtil videre den bedste analyse af ormen. Du
linker selv til dem. Fatter ikke hvordan du saa kan klokke i din
beskrivelse. Saa svaert er engelsk heller ikke.)

Der er flere forkerte aspekter i din advisory, men givet din fortid med
at tilrette dine advisories uden at foere en revisionshistorie eller
kreditere kilder, ser jeg ingen grund til at hjaelpe dig yderligere.

Var vi ikke igennem samme moelle sidste gang der blev postet et link til
en af Kruse's advisories?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

On Tue, 12 Aug 2003 09:24:05 +0100, Alex Holst <a@mongers.org>
wrote:

> Var vi ikke igennem samme moelle sidste gang der blev postet et link til
> en af Kruse's advisories?

Jo. Gaab.

-A

---

Hvordan sletter jeg MSblast.exe, Norton har fundet den, men jeg kan ikke få
den ud!

es

---

"es" <nospam@nospam.dk> skrev i en meddelelse
news:al1_a.49537$Kb2.2194059@news010.worldonline.dk...

Hej,

> Hvordan sletter jeg MSblast.exe, Norton har fundet den,
men jeg kan ikke få
> den ud!

Der findes gratis værktøjer fra både Symantec og CA, men du
skal opdatere dit system først ellers er det spild af tid.

Du kan også gøre det manuelt.

1. Opdater maskinen med ovenstående patch fra Microsoft
2. Fjern værdien i registreringsdatabasen, som peger på
"msblast.exe"
3. Genstart maskinen
4. Slet herefter msblast.exe fra windows system mappen
(system32)

Venligst
Peter Kruse

---

Hej

Hurtigste metode - hvis du vil undgå at skulle nå at stoppe den
nedlukning når du går på nettet:

- Gå i start - vælg kør og skriv "regedit" og tryk enter.
- Gå i
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run og
fjern "windows auto update"="msblast.exe"
Filen behøver vist ikke at hedde msblast men kan også hedde noget
med "penis32.exe".
- Genstart computer
- Fjern filen msblast.exe/penis32.exe fra c:\windows\system32
- Genstart computer
- Start antivirus scanning


Så burde virus'en forsvinde fra din computer!!!

Hvis nedlukning begynder:
- Gå i start, kør, skriv "cmd" og tryk OK
- skriv "shutdown -a" og tryk enter
- Så stopper computeren med at lukke ned.


Btw. den blev opdaget af symantec allerede den 13. august :) Så den er
altså blevet spredt før den 18. som nogen herinde snakkede om. Den er
garanteret også blevet spredt mere og mere som tiden er gået!


Mvh / Preben


--
If your Dell laptop is unstable, try change the power supply - it works!
But the Dell will still stink! Nothing can change that!!!

---

On Mon, 18 Aug 2003 09:03:54 +0200, Preben <64bit@mailme.dk> wrote:

> Hurtigste metode - hvis du vil undgå at skulle nå at stoppe den
> nedlukning når du går på nettet:
>
> - Gå i start - vælg kør og skriv "regedit" og tryk enter.

[...]

> Så burde virus'en forsvinde fra din computer!!!

NEJ! Du har _ikke_ patchet dit system mod ormen. Den kan komme igen i
værre udgave, hvor ovenstående ikke vil fungere. For helvede! Hvor svært
kan det være? Man tager et smut forbi Windowsupdate, eller Windows
errata-sider og så patcher man sit system, når der er problemer med det.
Så får man slet ikke orme i første omgang.

Det er væsentligt at give korrekte råd frem for at give halve råd.


--
Jesper

---

>>Hurtigste metode - hvis du vil undgå at skulle nå at stoppe den
>>nedlukning når du går på nettet:
>>
>> - Gå i start - vælg kør og skriv "regedit" og tryk enter.
>
>
> [...]
>
>
>>Så burde virus'en forsvinde fra din computer!!!
>
>
> NEJ! Du har _ikke_ patchet dit system mod ormen. Den kan komme igen i
> værre udgave, hvor ovenstående ikke vil fungere. For helvede! Hvor svært
> kan det være? Man tager et smut forbi Windowsupdate, eller Windows
> errata-sider og så patcher man sit system, når der er problemer med det.
> Så får man slet ikke orme i første omgang.

Ja, men der ligesom ikke særlig meget ved at patche et inficeret system
når ormen ligesom ER på computeren i forvejen - det var for helvede en
guide TIL at FJERNE en ALLEREDE inficeret computer. Og det er en ret
VÆSENTLIG guide at have når ormen nu laver en fejl i RPC'en og lukker
ens net-forbindelse ned (eller kan gøre det) og så lukker computeren
indenfor et minut.

Derfor - fjern den på ovenstående måde eller hent program fra f.eks.
symantec (på en anden computer) og kør det uden at koble på nettet -
derefter kan man aktivere firewalling og så opdatere/patche sin computer.

Btw. en patch er jo ligesom ikke nødvendig hvis du kører på et system
med firewall - vel? Og dernæst tror jeg ligesom det ER gået op for folk
at de skal opdatere deres computer, da det har været i radioen, aviser
(selv børsen) og andre. Helt ærligt!! Hvis du kun er herinde for at
brokke dig, så gå dog ad h***** til. Jeg kommer med en løsning til at
fjerne en inficeret computer hvis man ikke kan nå at komme ind på siden
inden ens (måske dial-up) forbindelse er smadret pga. ormen.

Spørgsmålet er så om man kan komme herind og læse om at få den fjernet,
men der er jo mange måder at komme online - biblioteker, venner, arbejde
osv.


> Det er væsentligt at give korrekte råd frem for at give halve råd.

Well, det er et KORREKT råd. Og der er ikke noget FORKERT i det.
Selvfølgelig skal man patche sin computer, men det stopper altså ikke
ormen i at sprede sig og det fjerner heller ikke ormen fra computeren.
Og som sagt - det er nok gået op for de fleste!


Mvh / Preben


--
If your Dell laptop is unstable, try change the power supply - it works!
But the Dell will still stink! Nothing can change that!!!

---

In article <3f424016$0$13209$edfadb0f@dread15.news.tele.dk>, Preben wrote:

> Og dernæst tror jeg ligesom det ER gået op for folk
> at de skal opdatere deres computer, da det har været i radioen, aviser
> (selv børsen) og andre. Helt ærligt!!

Det kan jeg saa fortaelle dig at det ikke er. Folk forstaar ikke sikkerhed,
men render rundt smaaparanoide og ved ikke hvad de skal foretage sig. Du
kan vaere temmeligt sikker paa at folk med viden nok skal loese det,
men der findes mange der ikke engang ved noget saa basalt som at der findes
en RPC service og at denne er vejen de er blevet inficeret. Jeg har hoert
om masser af tilfaelde hvor folk spurgte til hvilken mail der havde indeholdt
ormen, eller hvilken film de havde downloadet der havde inficeret deres
maskine!

> Hvis du kun er herinde for at
> brokke dig, så gå dog ad h***** til. Jeg kommer med en løsning til at
> fjerne en inficeret computer hvis man ikke kan nå at komme ind på siden
> inden ens (måske dial-up) forbindelse er smadret pga. ormen.

Hint: Havde folk opdateret i tide var ormen aldrig blevet et problem.

Der er en raekke forhold jeg finder problematisk ved din vejledning:

1. Kildeangivelse af hvor denne kommer fra
2. Beskrivelse af hvilke former for ormen den kan fjerne. Der udvikles
jaevnligt nye varianter og jeg tror i det tilfaelde at Symantec og
venners cleanup-program er noget staerkere til at fange special-
tilfaeldene.

> Og som sagt - det er nok gået op for de fleste!

Der er vi saa uenige.

--
j.

---

>>Og dernæst tror jeg ligesom det ER gået op for folk
>>at de skal opdatere deres computer, da det har været i radioen, aviser
>>(selv børsen) og andre. Helt ærligt!!
>
>
> Det kan jeg saa fortaelle dig at det ikke er. Folk forstaar ikke sikkerhed,
> men render rundt smaaparanoide og ved ikke hvad de skal foretage sig. Du
> kan vaere temmeligt sikker paa at folk med viden nok skal loese det,
> men der findes mange der ikke engang ved noget saa basalt som at der findes
> en RPC service og at denne er vejen de er blevet inficeret. Jeg har hoert
> om masser af tilfaelde hvor folk spurgte til hvilken mail der havde indeholdt
> ormen, eller hvilken film de havde downloadet der havde inficeret deres
> maskine!

Tja.. hvem ved..
Men som sagt - det var kun mine intentioner om at fortælle hvordan man
fjernede den :)


>>Hvis du kun er herinde for at
>>brokke dig, så gå dog ad h***** til. Jeg kommer med en løsning til at
>>fjerne en inficeret computer hvis man ikke kan nå at komme ind på siden
>>inden ens (måske dial-up) forbindelse er smadret pga. ormen.
>
>
> Hint: Havde folk opdateret i tide var ormen aldrig blevet et problem.

Ja, men hvor mange gør det *gg*
Og mange tror måske efter radioen at det kun er nødvendigt at opdatere
fra windowsupdate.microsoft.com men det er det altså ikke. Btw. en
firewall yder ligeså god beskyttelse.


> Der er en raekke forhold jeg finder problematisk ved din vejledning:
>
> 1. Kildeangivelse af hvor denne kommer fra

Mig og alene mig... og den er tjekket op på symantec's hjemmeside... Og
den dækker både B og C varianten, som hhv. har forsk. filnavn
penis32.exe og msblast.exe


> 2. Beskrivelse af hvilke former for ormen den kan fjerne. Der udvikles
> jaevnligt nye varianter og jeg tror i det tilfaelde at Symantec og
> venners cleanup-program er noget staerkere til at fange special-
> tilfaeldene.

Jep, men som sagt, hvis folk ikke kan komme ind på siden og få det hentet..


Mvh / Preben


--
If your Dell laptop is unstable, try change the power supply - it works!
But the Dell will still stink! Nothing can change that!!!

---

Er der nogen der gider sende mig et eksemplar af msblast.exe til analyse?

Den kan mailes på:
Wf2rw3dDuyeDQ@antispam.dk

- Dan

---

"Dan Faerch -> AntiSpam.dk" <Wf2rw3dDuyeDQ@antispam.dk> wrote in message
news:3f38ca54$0$26581$d40e179e@nntp04.dk.telia.net

> Er der nogen der gider sende mig et eksemplar af msblast.exe til analyse?

sæt en maskine på nettet upatchet og du har en om et par timer.

---

> Sikkerhedsfix her :
>
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
>
> Hvorfor den ikke er på Windows Update må guderne vide..

Er der nogen der ved om WindowsUpdate er nok (Win2K Pro DK)?


mvh
Thomas

---

"Christian 'CeeJay' Jensen" <news2003-4@ceejay.cjb.REMOVE_TO_REPLYnet>
wrote in message news:3f381198$0$48907$edfadb0f@dtext02.news.tele.dk...
> Der er lige kommet (inden for mindre end 24 timer) en virus der
angriber et
> nyeligt (16. Juli) fundet hul i Windows RPC interface.
>
> Symptomerne er at Windows meddeler at RPC er stoppet og system vil
lukke ned
> .. computeren lukker derefter ned indenfor 1 minut.
>

HVIS du er inficeret med MSBlaster så skyldes nedlukningen en BUG i
ormen da den tilsyneladende har problemer i visse tilfælde med at skelne
mellem XP og 2K, de to systemer skal behandles forskelligt..

Fundet her..
http://www.dslreports.com/forum/remark,7652257~root=security,1~mode=flat

-- Soren