beskyttelse mod blaster (lidt mere tricky)

har du prøvet denne: http://download.microsoft.com/download/8/f/2/8f21131d-9df3-4530-802a-2780629390b9/WindowsServer2003-KB823980-x86-ENU.exe

fra http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/alerts/msblaster.asp

den er til 32bit versionen af 2003 server. Kører du 64bit versionen er det denne: http://download.microsoft.com/download/4/0/3/403d6631-9430-4ff6-a061-9072a4c50425/WindowsServer2003-KB823980-ia64-ENU.exe

Og lige en ekstra detalje... så vidt vides fungerer patchen IKKE til den gratis 180dages evalueringsversion.

1. The version of windows you have installed does not match the update you are trying to install..
2. update.exe is not an 32 bit application etc etc

har prøvet alle patch's så din sidste kommentar passer sgu nok.. hvilket er skod. og nok oz derfor der aldrig er opdateringer fra windows update..

Hvad med at gøre det næstbedste, fra:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

Reroute windowsupdate.com to 127.0.0.1.

og

Users are recommended to block access to TCP port 4444 at the firewall level, and then block the following ports, if they do not use the applications listed:

    * TCP Port 135, "DCOM RPC"
    * UDP Port 69, "TFTP"

soreno > rerouten er finno.. .:) men hvis der er den indbyggede firewall + en ekstra burde jeg vel være sikret?

http://a.mongers.org/diary/2003/august

rerouten sker vel med host filen eller?

Det tør jeg *ikke* lægge mit hovede på blokken og garantere... :-)

Principielt burde du være sikret ifølge dokumentet.

Du kan jo evt. teste om du allerede har ormen og fjerne den hvis du har den.

Derefter burde man kunne køre et program der sikrer at ormen ikke eksekverer. Ved f.eks. at lave et program der laver en Mutex der hedder "BILLY" og lade det sove indtil maskinen er patched - jvf. "Techinal details".

I Win2k er det "c:\WINNT\system32\drivers\etc\hosts" der skal rettes i - mon ikke det er det samme i win2k3 ?

eller bare blokere for port 135 i din firewall/adsl-router

Mon ikke også der er nogle (hardware) firewall der har mulighed for at reroute ?

Ellers er det da vist på tide at udvikle sådan en.. :-)

begge veje altså... (både så du ikke selv kan blive inficeret, men heller ikke kan inficere andre)

okay hostfilen er nu rettet..
ville man ikke bare kunne (i princippet omdøbe en fil man ved skal på nettet) og så denie access for denne fil? eller sker det hele pr fil således at hvis man har flere filer med samme navn så er firewallen ligeglad med om en anden fil med samme navn spørger om lov?

ahvad? filer og firewalls?

bare blokér port 135... så er du reddet... faktisk behøver du ikke bekymre dig om det nogensinde mere, da chancen for, at du overhovedet skal bruge denne port er ganske begrænset... endnu en "brugervenlig" ting, der viser sig at give bagslag...

blokerer 135 i router.. smid svar så vi kan komme videre :)

sådan her?

læste du en url, jeg smed? Den kære Alex har så ganske ret i sine synspunkter, om end han formidler dem en smule... nedladende... Man kan så vælge at have en vis forståelse for manden eller bare abstrahere over det... under alle omstændigheder har han et budskab, der ikke desto mindre er korrekt.

takker :)