# Software > Ασφάλεια >  W32.Sasser.Worm

## ablaz3r

Νέο worm τύπου blaster εξαπλώνεται... Κάνει ότι ακριβώς και ο blaster, εμφανίζει ένα μήνυμα λάθους και κλείνει τον υπολογιστή μετά από 1 λεπτό. Για να μην έχουμε πάλι τα ίδια προβλήματα που δημιούργησε ο προκάτοχος του όσοι έχουν windows ας κατεβάσουν αυτό το patch:
http://www.microsoft.com/technet/securi ... 4-011.mspx

Αν πάλι προλάβατε και κολλήσατε, πρώτον μουντζώστε άλλη μια φορά τον εαυτό σας που δεν κάνατε windows update και μετά καθαρίστε το με αυτό:
http://download.nai.com/products/mcafee ... tinger.exe


Επίσης μπορείτε να το αφαιρέσετε και χειροκίνητα:
Όταν σας εμφανιστεί μήνυμα για restart πηγαίνετε στο Start -> Run -> και γράψτε "shutdown -a",
Κατεβάστε και εγκαταστήστε το patch, πηγαίνεται στο task manager (ctrl+alt+del) και πατήστε πάνω στο Processes και εκει διαλέξτε το "avserve.exε" και κάντε end process. Τέλος κάνετε ένα reboot. Ξαναμουτζωθείτε και καλό σας βραδύ  ::

----------


## bakolaz

::   ::   ::  Ο πίθηκας ο ξάδερφος μου τον έφαγε χτες και με πήρε τηλέφωνο και μου κλαιγότανε. Μαζεύω τις μούντζες μου μαζί με τα σχετικά patches και πάω από εκεί....  ::   :: 

Ξέχασα να πω ότι όσοι δεν θέλετε να ταλαιπωρήστε και έχετε wireless πρόσβαση , επισκεφθείτε το δεύτερο link της σελίδας στην υπογραφή μου για να μην την ξαναπατήσετε  ::

----------


## koki

http://www.microsoft.com/security/incident/sasser.asp 
http://isc.sans.org/diary.php?date=2004-04-30 Επίσης.

----------


## ocean

Για όσους έχουν Firewall, μπλοκάρετε τις πόρτες TCP 5554,9996 και 445

----------


## jungle traveller

Εγω γιατι ειχα βαλει το patch αλλα για τον προηγουμενο worm και παλι πηγα να κολλησω?  ::  ::  ?Να'ναι καλα ο nortonas!!!  :: 






Φιλικα Βαγγελης

----------


## nicolouris

Γιατί είσαι λίγο άτυχος.......!!!!!!!  ::   ::

----------


## LeChuck

> Για όσους έχουν Firewall, μπλοκάρετε τις πόρτες TCP 5554,9996 και 445



Να σημειωθει οτι οι 2 πρωτες πορτες ανοιγοντε μονο εαν κολλησετε τον ιο. Γενικα εαν μπλοκαρετε τις σχετικες με RPC/Netbios πορτες (135,139,UDP/137 και 445 για > WinNT) ειστε ασφαλης απο τον ιο ακομα και χωρις το Patch.

----------


## Mick Flemm

Όταν εγώ μιλάω...

Τέσπα ελπίζω να μπούν firewalls κάποια στιγμή...

----------


## ablaz3r

Εγώ από την άλλη δεν μπορώ να καταλάβω τι ζόρι τραβάνε μερικοί με το windows update. Από την πρώτη στιγμή φρόντισα να κάνω block την πόρτα 445 στούς 2 routers που έχω πρόσβαση, και έτσι γλίτωσαν 3-4 clients του Stardust που δεν είχαν βάλει το patch αλλά δεν είναι δυνατόν να τρέχουν πάντα οι admin επειδή κάποιοι βαριούνται να βάλουν τα security patches  ::  
Στο κάτω κάτω αν δεν γουστάρουν, ας βάλουν linux  ::

----------


## racer

Δεν έχουνε χρόνο να κάνουνε update, διαβάζουνε RAM!!

----------


## Ad-Hoc

BLOCKED_PORTS="445,5554,9996"

iptables -A INPUT -p tcp -m multiport --dports $BLOCKED_PORTS -j REJECT

Για όσους έχουν Linux, διαβάζουν RAM και ρωτήσουν πως  ::

----------


## Achille

> BLOCKED_PORTS="445,5554,9996"
> 
> iptables -A INPUT -p tcp -m multiport --dports $BLOCKED_PORTS -j REJECT
> 
> Για όσους έχουν Linux, διαβάζουν RAM και ρωτήσουν πως


Για ξαναδιάβασέ το και πες μου τι λάθος έχεις κάνει  ::

----------


## Ad-Hoc

Αχιλλέα...δεν βλέπω κάτι λάθος....ας το πάρει το ποτάμι παρακαλώ  ::

----------


## nicolouris

> Δεν έχουνε χρόνο να κάνουνε update, διαβάζουνε RAM!!





 ::   ::   ::   ::

----------


## Achille

> Αχιλλέα...δεν βλέπω κάτι λάθος....ας το πάρει το ποτάμι παρακαλώ


Είσαι σε λάθος ουρά. Η εντολή σου κόβει τα πακέτα που πηγαίνουν στο Linux box, και όχι σε κάποιο δικό σου LAN Windows PC.

Πρέπει να βάλεις -I FORWARD (για να πάει στην αρχή και όχι στο τέλος της λίστας με τους κανόνες) και -ο ethX, ώστε να τα κόβεις για το interface που δείχνει στο internal LAN σου.

----------


## Ad-Hoc

Ουσιαστικά εγώ πάνω στο NAT/Firewall box μου το έχω έτσι που έχει το modem (ppp0), την eth0 και το wlan0.
Με αυτήν την εντολή και δίνοντας INPUT χωρίς -i interface και -o interface το firewall πιάνει από default από οποιοδήποτε interface σε οποιοδήποτε interface....έτσι δεν είναι?

Εγώ δεν θέλω να εισέλθουν σε κανένα interface πακέτα σε αυτές τις πόρτες...ούτε καν να περάσουν δηλαδή στο forward chain...ή κάνω λάθος?

----------

