Blaster virus

Snurre Sprett · 15. august 2003

As expected, Microsoft has shut down the "windowsupdate.com" domain at which the MSBlast worm's forthcoming attack was aimed. Since the Windows operating systems use the domain "windowsupdate.microsoft.com" rather than simply "windowsupdate.com", Microsoft has been able to preempt the worm's intended Distributed Denial of Service (DDoS) attack merely by abandoning the "windowsupdate.com" domain.

Analysis of the worm's attack code suggests that its use of the "wrong" domain may have been deliberate: The worm uses Windows' Raw Sockets to generate a spoofed source IP SYN flood attack, but it does so with deliberate gentleness. Each instance of the worm emits only 50 SYN packets per second, deliberately and significantly throttling each machine's contribution to the attack.

We can only speculate what was in the mind of the worm's author(s). But if the 200,000 instances of this worm had chosen to target "windowsupdate.microsoft.com" or even "microsoft.com" with an unthrottled Raw Socket SYN flood, a very different scenario would be playing out today and tomorrow: Microsoft.com would be gone.

But the worm's originator(s) appear to have been more interested in making a point, than in taking Microsoft.com permanently off the Internet — which they could have easily done

Prelude · 15. august 2003

www.norman.com

Destructivity and Payload

The worm checks the time on the infected computer. If the date is the 16th or higher of any month; or if the date is lower than 16th, but month is higher than August, the worm will initiate an attack on Windowsupdate.com, sending a lot of packets on port 80.

This attack takes place in a separate thread; the worm's original infection routine is still running as well

www.symantec.com

If the current date is the 16th through the end of the month for the months of January to August, or if the current month is September through December, the worm will attempt to perform a DoS on Windows Update. However, the attempt to perform the DoS will succeed only if one the following conditions is true:

The worm runs on a Windows XP computer that was either infected or rebooted during the payload period.

The worm runs on a Windows 2000 computer that was infected during the payload period and has not been restarted since it was infected.

The worm runs on a Windows 2000 computer that has been restarted since it was infected, during the payload period, and the currently logged in user is Administrator.

hverken norman eller symantec sier noe om at skal viruset starte med DDoS klokken 00.00 'seattle' tid (ITavisen burde lære seg begrepet GMT btw. (Seattle tid er forresten GMT -08.00)).

Snurre Sprett · 15. august 2003

Yepp, klokken er vanskelig..'

http://zdnet.com.com/2100-1105_2-5063592.h...html?tag=fdfeed :

Computers infected with the worm will start sending connection requests to the Windows Update service at midnight Friday, according to the clock on a given user's computer

cof · 15. august 2003

er dette viruse så mye å whine om?

Snurre Sprett · 15. august 2003

egentlig ikke, den tar bare å stenger microsoft.com en stund... so what, ingen får oppdatert PC'ene sine på en stund . Mange (flertallet) har aldri gjort det..

Znoken · 15. august 2003

er dette viruse så mye å whine om?

Jaaaaaaaaaaaaaaaaaaaa :yes: , det er noe og whine om så lenge folk får føkka opp maskinene sine p.g.a viruset.

cof · 15. august 2003

er bare å fjerne det sto i sa en kamerat av meg fikk fjernet det på den måten

her er link http://aftenbladet.no/nyheter/monitor/arti...rticleID=169476

abene · 15. august 2003

Angrepet starter 0900 lørdag morgen norsk tid.
Huske på tidssonen.......

Det er feil. Ormen er programmert til å starte angrep ifølge klokkeslett på brukerens PC. Når dette er skrevet er det kun ca. 5 minutt unna fra Norge.

Hmm. Er du expert? http://www.itavisen.no/art/1301703.html

Sitat fra News.com

Computers infected with the worm will start sending connection requests to the Windows Update service at midnight Friday, according to the clock on a given user's computer.

Dette er ikke første gangen IT-avisen tar feil. Skulle vise frem en URL hvor IT-avisen tok feil i en sensasjons-artikkel om et "dyrt" kamera fra Elkjøp. De har i ettertid beklaget saken med overskriften "Elkjøp-pris med 1 GB minne".

http://www.itavisen.no/art/1301680.html

Det virker som de har fjernet denne artikkelen. Finner den heller ikke når jeg søker etter "elkjøp". Det virker ikke som IT-avisen er helt til å stole på.

tigerdip · 15. august 2003

Hvis ingen har lagt merke til det; Ad-aware har fått lagt inn mulighet for å ta blaster på siste oppdatering. Litt mer praktisk på den måten 8)

Slartibartfast · 15. august 2003

Har fikset en del maskiner denne uka med dette viruset.. er relativt enkelt å fjerne.. eneste som trengs er fjerningsfilen og å så laste ned fixen fra microsoft:)

Gef · 17. august 2003

Noen som har hørt eller lest noe om angrepet på microsoft, eller har det ikke begynnt? hvis jeg forstod riktig begynnte det kl. 09:00 lørdagsmorgen, finner ingenting nytt jeg...bare lurer på om dere vet noe mer?

abene · 17. august 2003

hvis jeg forstod riktig begynnte det kl. 09:00 lørdagsmorgen

Angrepene begynte faktisk allerede fredag norsk tid. Det er klokkeslettet på brukerens PC som bestemte tidspunktet, mao angrepene skjedde på ulike tider, avhengig av hvor i verden PC-en befant seg

Litt informasjon på Windows.no

Logg inn

Blaster virus

Anbefalte innlegg

Snurre Sprett

Lenke til kommentar

Videoannonse

Prelude

Lenke til kommentar

Snurre Sprett

Lenke til kommentar

cof

Lenke til kommentar

Snurre Sprett

Lenke til kommentar

Znoken

Lenke til kommentar

cof

Lenke til kommentar

abene

Lenke til kommentar

tigerdip

Lenke til kommentar

Slartibartfast

Lenke til kommentar

Gef

Lenke til kommentar

abene

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Opprett konto

Logg inn

Populær nå

Trump 2025 1 2 3 4 50

Hvem er aktive 0 medlemmer