Ho fatto tutte le ricerche del caso e ho controllato il pc:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run è a posto
- non ho nessun file di tipo win.log o altri creati da sasser e relative varianti
- ho un firewall
- ho installato ieri le due patch
- ho fatto una scansione con l'antivirus ed è ok
eppure oggi mi ha dato la classica finestra di errore lsass.exe mentre navigavo tranquillo...
a cosa può essere dovuto? non so bene quale sia la funzione di lsass.exe
w la topa
dimenticavo: quando mi è successo avevo apache attivo sulla porta 80
può servire?
w la topa
Ciao,
purtroppo Sasser non è il solo a sfruttare tale vulnerabilità Cycle.a è uno di questi
http://www.alground.com/virus/scheda...p?cod_virus=78
in questi ultimi giorni sono state scoperte 4 varianti di un altro worm con le medesime caratteristiche, Bobax
questa la variante .A
http://securityresponse.symantec.com...2.bobax.a.html
fai uno Scan con HijackThis e posta il risultato, trivi tutto in -links utili-
Ciao
grazie... vado subito
w la topa
per quel che ho capito mi sembra di essere ok
[supersaibal]
Logfile of HijackThis v1.97.7
Scan saved at 20.28.47, on 20/05/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Sygate\SPF\Smc.exe
C:\Programmi\Trend Micro\PC-cillin 2003\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\Trend Micro\PC-cillin 2003\tmproxy.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\devldr32.exe
C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\WINNT\System32\GSICON.EXE
C:\WINNT\System32\dslagent.exe
C:\Programmi\RAM Idle\RAM_XP.exe
C:\Programmi\Trend Micro\PC-cillin 2003\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2003\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2003\Pop3trap.exe
C:\WINNT\system32\taskmgr.exe
C:\Programmi\Winamp\winamp.exe
C:\Documents and Settings\saibal\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programmi\RAM Idle\RAM_XP.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2003\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2003\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2003\Pop3trap.exe"
O4 - Startup: Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Broken Internet access because of LSP provider 'wps.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED0D28AD-C0F2-4F94-84CD-064AE511BE9C}: NameServer = 213.155.xxx.xxx 213.155.xxx.xxx
[/supersaibal]
è possibile che abbia avuto l'errore lsass.exe per puro caso?
w la topa
nel log non vedo valori sospetti, sembra essere tutto a posto; per quanto riguarda l'errore LSASS non credo possa essere arrivato per caso
dal sito Microsoft
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer che, se sfruttata, può consentire a un utente malintenzionato di assumere il controllo completo in remoto di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali sono le cause di questa vulnerabilità?
Un buffer non controllato nel servizio LSASS.
Che cos'è LSASS?
LSASS (Local Security Authority Subsystem Service) fornisce un'interfaccia per la gestione della protezione locale, dell'autenticazione di dominio e dei processi Active Directory. Gestisce l'autenticazione per il client e il server. Contiene funzionalità utilizzate per supportare utilità di Active Directory.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Se un hacker riesce a sfruttarla può assumere il controllo completo del sistema interessato.
Quali capacità sono necessarie per sfruttare questa vulnerabilità?
In Windows 2000 e Windows XP qualsiasi utente anonimo in grado di recapitare un messaggio appositamente predisposto può tentare di sfruttare la vulnerabilità.
In quale modo un hacker può sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, un utente malintenzionato può creare un messaggio appositamente predisposto e inviarlo a un sistema interessato, in modo da forzare il sistema ad eseguire codice.
Un hacker può, inoltre, accedere al componente interessato con un'altra strategia. Può, ad esempio, accedere al sistema in modo interattivo o utilizzando un programma che passa parametri al componente affetto dalla vulnerabilità (in locale o in remoto).
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi principalmente a rischio sono Windows 2000 e Windows XP.
Windows Server 2003 e Windows XP 64-Bit Edition versione 2003 prevedono un'ulteriore protezione, grazie alla quale, per sfruttare la vulnerabilità, un utente malintenzionato dovrebbe accedere al sistema come amministratore locale.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui il servizio LSASS convalida la lunghezza del messaggio prima di passarlo al buffer allocato.
L'aggiornamento rimuove, inoltre, il codice affetto dalla vulnerabilità da Windows 2000 Professional e Windows XP, poiché tali sistemi operativi non hanno bisogno dell'interfaccia vulnerabile. In questo modo si protegge il sistema da possibili vulnerabilità future del servizio in questione.
Saibal ti consiglio di aggiornare al piu presto win 2000 al service pack3(SP3):Platform: Windows 2000 SP2 (WinNT 5.00.2195)
Internet Explorer v5.51 SP2
http://www.microsoft.com/Windows2000...3/download.asp
Passando all'SP3 avrai i requisiti giusti e necessari per scaricare l'ultima patch microsoft molto importante che tappa una vulnerabilità molto grave dell'explorer (cws.search.x)
http://www.microsoft.com/downloads/d...4-CCEDCB8ADDBA
Sistemi operativi supportati:
Windows 2000 Service Pack 3,
Windows 2000 Service Pack 4,
Windows ME
Questo aggiornamento riguarda Outlook Express 5.5 Service Pack 2 eseguito nei seguenti sistemi operativi:
Windows Millennium Edition (Windows ME)
Windows 2000 SP3
Windows 2000 SP4
Anche l'explorer andrebbe aggiornato alla 6.0 sp1, ma se installi l'sp3 di win 2000 e fai un windowsupdate e già un ottimo passo....
Zoccola informatica in pensione
grazie amvinfe... provvederò a reinstallare tutto col ghost così ci metto meno
x cinder
avere il SP2 era una mia scelta perchè ritengo che tutti 'sti SP non fanno altro che rallentare il mio pc
ma a quanto pare ormai è diventato impossibile vivere senza patch
provvederò a mettere la 3 anche se non uso Outlook ma eudora
grazie
w la topa
Visti i tempi, prevenire è meglio che curare :quipy:
La patch Q837009( per outlook express) va scaricata anche se non usi lo stesso outlook express, altrimenti navigando con l'explorer rischi l'esecuzione in locale di file chm particolari che installano il trojan CWS nelle sue varianti, causa di parecchi malfunzionamenti sui pc di mezzo mondo
il fatto che si schianti uno dei servizi più vitali per Windows (infatti il sistema ti costringe al reboot) non è normale.Originariamente inviato da saibal
è possibile che abbia avuto l'errore lsass.exe per puro caso?
Non ti sei beccato il worm in quanto la configurazione della tua macchina non era tale da far eseguire la shellcode, percui l'unico risultato è stato quello del crash del servizio
Permessi di invio
Rispondi quotando