---

Hejsa.

Undskyld jeg smider et indlæg her, men jeg er sikker på at mange er ramt.
Jeg kender 4 allerede.

Jeg snipper lige mit indlæg fra sikkerhed.virus gruppen;

Hejsa.

Har lige fået en fejl rapport på min XP maskine.
Her efter kommer der en boks frem som ikke kan lukkes ned, hvor der står at
XP genstarter efter 1 min.

Sjovt nok så skriver en af mine venner, han har samme problem.
Min storebror har samme problem, og min far.

Jeg kører med router, hvor alt er NAT til min pc. Dvs åben til min pc, uden
firewall som software.
Min storebror har også router med NAT til sin pc. Min ven kører med
løsningen uden router og har også en hel åben forbindelse, ligeledes min
far.

Da jeg så gik ind i routeren og slog NAT fra kom fejlen ikke mere.
Så NAT'ede jeg routeren over på min PC nr. 2 som slet ikke har fået denne
fejl. Nu fik den også denne System Shutdown fejl.

Jeg har ikke meget forstand på virus men den her ser ud til at nå mange
computere.

Hvis du oplever den så har det i hvert fald hjulpet her ved at slå enten
routerens firewall til eller en software firewall ville nok også hjælpe.

Mvh
FB
--------

Kort og godt; At lukke for porte på min computer hjalp i hvert fald.

Mvh
FB
--
Gratis SMS? Gratis Unlock? Gratis Java spil til din mobil?
--> http://mobil.dontdoit.dk <-- Lidt af hvert til din mobil

---

"FB" <.> skrev i en meddelelse
news:3f37f676$0$48909$edfadb0f@dtext02.news.tele.dk...
> Hejsa.
>
> Undskyld jeg smider et indlæg her, men jeg er sikker på at mange er ramt.
> Jeg kender 4 allerede.
>
> Jeg snipper lige mit indlæg fra sikkerhed.virus gruppen;
>
> Hejsa.
>
> Har lige fået en fejl rapport på min XP maskine.
> Her efter kommer der en boks frem som ikke kan lukkes ned, hvor der står
at
> XP genstarter efter 1 min.
>
> Sjovt nok så skriver en af mine venner, han har samme problem.
> Min storebror har samme problem, og min far.
>
> Jeg kører med router, hvor alt er NAT til min pc. Dvs åben til min pc,
uden
> firewall som software.
> Min storebror har også router med NAT til sin pc. Min ven kører med
> løsningen uden router og har også en hel åben forbindelse, ligeledes min
> far.
>
> Da jeg så gik ind i routeren og slog NAT fra kom fejlen ikke mere.
> Så NAT'ede jeg routeren over på min PC nr. 2 som slet ikke har fået denne
> fejl. Nu fik den også denne System Shutdown fejl.
>
> Jeg har ikke meget forstand på virus men den her ser ud til at nå mange
> computere.
>
> Hvis du oplever den så har det i hvert fald hjulpet her ved at slå enten
> routerens firewall til eller en software firewall ville nok også hjælpe.
>
> Mvh
> FB
> --------
>
> Kort og godt; At lukke for porte på min computer hjalp i hvert fald.
>

Kig evt på Emnet "Windows Xp lukker ned"
Der er også en løsning som har hjulpet mig. En simpel opdatering af
windows...

Venligst

---

"Søren Christensen" <master.clioÅL@12move.dk> wrote in message
news:fMSZa.49416$Kb2.2177936@news010.worldonline.dk...
> Kig evt på Emnet "Windows Xp lukker ned"
> Der er også en løsning som har hjulpet mig. En simpel opdatering af
> windows...

Så godt tråden. Jeg er dog ikke tilhænger til at installere fixes.
Nu var det også mere fordi hvis folk ville have mere end 1 minut til at
downloade fixen i

mvh
FB
--
Gratis SMS? Gratis Unlock? Gratis Java spil til din mobil?
--> http://mobil.dontdoit.dk <-- Lidt af hvert til din mobil

---

In dk.edb.system.ms-windows, FB wrote:

>Jeg er dog ikke tilhænger til at installere fixes.

Det lyder interessant. Kan du forsvare den holdning med fornuftige
argumenter? Det er nemlig en _ekstremt_ dårlig idé ikke at holde sit
system opdateret. Se bare hvordan det nu gik dig.

Jeg har, længe inden alt det her postyr, lukket for port 135, som er
den port RPC udnyttes på. Jeg har derfor aldrig været i farezonen.
Alligevel installerede jeg rettelsen, så snart jeg blev opmærksom på
problemet. Alene tanken om at der er et sikkershul på mit system, kan
jeg ikke holde ud.

--
Lars Stokholm

Tell me what you're letting in, say what we're gonna let in.
We let the weirdness in. - Kate Bush (Leave It Open)

---

"Lars Stokholm" <monospam@mail.dk> wrote in message
news:ol1gjvo8imlrmbi7ujn1q7pg6kbudc2h40@4ax.com...
> >Jeg er dog ikke tilhænger til at installere fixes.
>
> Det lyder interessant. Kan du forsvare den holdning med fornuftige
> argumenter? Det er nemlig en _ekstremt_ dårlig idé ikke at holde sit
> system opdateret. Se bare hvordan det nu gik dig.

Det kommer nok fra omkring 2001. For 1½ år siden opdaterede jeg også med det
samme osv. Servicepacks 47 forskellige hotfix osv. Jeg synes computeren blev
væsentlige langsommere og flere fejl fremkom lige efter opdatering af
Windows og hotfix.

> Jeg har, længe inden alt det her postyr, lukket for port 135, som er
> den port RPC udnyttes på. Jeg har derfor aldrig været i farezonen.
> Alligevel installerede jeg rettelsen, så snart jeg blev opmærksom på
> problemet. Alene tanken om at der er et sikkershul på mit system, kan
> jeg ikke holde ud.

Her er vi alle forskellige. Men jeg er nok ene om mit synspunkt.
Fixen for den port RPC udnyttes på har jeg dog lige installeret. Men sådan
en total update hvor 47 fixes installeres kommer jeg aldrig til at gøre.

Det afhænger nok også af at jeg ikke har haft én eneste virus i over 1½ år.
Cirka hver halve år får jeg lyst til at lægge Windows XP ind på ny, lige
inden installere jeg lige et antivirus program for at se om der er nogle
virusser. Det har jeg ikke haft i de 1½ år.

Nok derfor jeg ikke tager det så hårdt.

Håber du synes det var fornuftige argumenter, selvom du nok ikke vil godtage
mit svar ;)

Men kort og godt, de gange jeg har lavet en komplet update af Windows og
fixes bliver min computer ikke min længere. Den bliver langsommere og flere
fejl fremkommer.

Mvh
FB
--
Gratis SMS? Gratis Unlock? Gratis Java spil til din mobil?
--> http://mobil.dontdoit.dk <-- Lidt af hvert til din mobil

---

In dk.edb.system.ms-windows, FB wrote:

>Det afhænger nok også af at jeg ikke har haft én eneste virus i over 1½ år.
>Cirka hver halve år får jeg lyst til at lægge Windows XP ind på ny, lige
>inden installere jeg lige et antivirus program for at se om der er nogle
>virusser. Det har jeg ikke haft i de 1½ år.

Det er 2-3 år siden at jeg havde min sidste virus og jeg har aldrig
oplevet (alvorlige) tab på grund af sådan en fætter.

>Nok derfor jeg ikke tager det så hårdt.

Ja, så beder du også selv om det. ;) Det er ikke alt der umiddelbart
kan sikres gennem fornuftig brugeropførsel.

>Men kort og godt, de gange jeg har lavet en komplet update af Windows og
>fixes bliver min computer ikke min længere. Den bliver langsommere og flere
>fejl fremkommer.

Hmm, jeg har kun hørt om én enkelt WU-opdatering der har gjort
computere langsommere og jeg har aldrig hørt om direkte fejl i
forbindelse med disse (tror jeg).

--
Lars Stokholm

Tell me what you're letting in, say what we're gonna let in.
We let the weirdness in. - Kate Bush (Leave It Open)

---

Det skal lige siges at selvom denne specifikke orm kun benytter port
135 TCP er der også andre porte der er potentielle angrebspunkter:
135 UDP, 139 TCP, 445 TCP og 593 TCP. Også port 69 UDP og port 4444
TCP kan eventuelt misbruges.

Jeg vil råde alle til straks at installere patchen hvis de ikke har
gjort det, installere en Firewall (Sygate Personal firewall er gratis)
og holde deres antivirus program opdateret.

Her er en nærmere analyse:
FYI:

The ISS X-Force info on the worm is at:
http://xforce.iss.net/xforce/alerts/id/150

The ISS X-Force info on the vuln is at:
http://xforce.iss.net/xforce/alerts/id/147

Our X-Force guys think that the percentages mentioned in Symantec's
advisory are reversed. We think the worm targets 80% WinXP, 20% Win2k
(rather than the other way around). Not that this matters a lot, but I
thought I'd mention it.

Note that the worm has done a lot to severely slow down its progress:

1. it DoSes lots of potential victims (because of the WinXP vs. Win2k
problem); other exploits exist that do some fingeprinting of the MSRPC
stack before attacking

2. it does sequential scans, which is actually a lot worse than random
scans for fast propagation

3. it only has 20 "threads" of execution -- taking advantage of raw
sockets would have been much worse (the Internet would have been
"slammed")

4. it only uses the ISystemActivator interface on port 135; my scans
show a lot of vulnerable systems still out there that have other ports
or other DCOM interfaces exposed

5. it uses two separate connections (4444/tcp and 69/udp) to
completely
break into the target system, which is blocked by lots of firewalls,
which means the service is DoSed without getting infected. If the
hacker
had used a trick like CodeRed to combine everything in the original
connection, things would have been much worse.

In other words, this is pretty much a "best-case-scenario" worm --
many
of us had expected much worse.

Symantec includes a Snort-like signature for their IDS in their
advisory. I'd like to point out that the RealSecure/BlackICE signature
for this vuln is "MSRPC_RemoteActivate_BO". We've had this deployed in
our MSS operations for since July 17th, and haven't found any
false-positives. The sig is based on a full protocol-analysis, so
there
shouldn't be any false-negatives, either.

Regards Jens Peter Karlsen. Microsoft MVP - Frontpage.

On Mon, 11 Aug 2003 23:23:50 +0200, Lars Stokholm <monospam@mail.dk>
wrote:

>Jeg har, længe inden alt det her postyr, lukket for port 135, som er
>den port RPC udnyttes på. Jeg har derfor aldrig været i farezonen.