Narode, sve mi se čini da sam malopre kod prijatelja naleteo na nešto revolucionarno. Pošto je moje znanje ograničeno, evo vam malo materijala pa da vidimo šta će biti...
1. sigurno je nešto iz RPC DCOM porodice (klasika, imam samo 60 sekundi...)
2. Ne dozvoljava da se instalita q823980
3. ne dozvoljava da se instalira bilo koji firewall (srećom, ovo kroz servise može da se zaobiđe)
4. Baš kao što Welchia crv ubija Blastera, ovaj ubija i njega i Blastera...(!)
5. ... ali je 'malo mudriji': nekako premapira 135. port, pa kad skenirate 135 (recimo sa ShieldsUp), firewall vidi pokušaj upada na 137. portu!!!!!!! Ovo verovatno sprečava upade budućih RPC crva pošto je konkurencija trenutno vrlo jaka!
Kad odes na
https://grc.com/x/portprobe=135
firewall (kad se posle puno muka podigne) vidi ovo:
[26/Aug/2003 22:11:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:137, flags: SYN , seq:46542599 ack:0, win:8192, tcplen:0
dok, verovatno, pravi potpis crva izgleda ovako:
[26/Aug/2003 22:53:32] DROP "Default traffic rule" packet from Dial-Up, proto:UDP, len:78, ip/port:64.32.95.212:61249 -> 195.252.84.144:137, udplen:50
bez obzira što je paket najverovatnije došao na 135. port!!!
Pogledajte ovaj filter.log posle redom skeniranih portova:
...
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:132, flags: SYN , seq:942885913 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:133, flags: SYN , seq:3618945222 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:134, flags: SYN , seq:1100580514 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:136, flags: SYN , seq:1803804537 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:137, flags: SYN , seq:4221705909 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:138, flags: SYN , seq:46542599 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:139, flags: SYN , seq:3848466283 ack:0, win:8192, tcplen:0
[26/Aug/2003 23:14:53] DROP "Default traffic rule" packet from Dial-Up, proto:TCP, len:40, ip/port:204.1.226.228:62311 -> 195.252.84.144:140, flags: SYN
...
204.1.226.228 je grc.com, a skenirani su:
...
132
133
134
135
136
137
138
139
140
...
Ima li iko od vas slično iskustvo ili (još bolje) neko uputstvo?
[
Ovu poruku je menjao DjordjeRd dana 27.08.2003. u 03:10 GMT]
[
Ovu poruku je menjao DjordjeRd dana 27.08.2003. u 03:14 GMT]
c000 lda #$33
c002 sta $0400
c005 lda #$37
c007 sta $0401
c00a lda #$21
c00c sta $0402
c00f rts
sys 49152