NT認証システムによるシステムをオフにします。 注意！！！ NT局\\システムはワームです！ NetworkServiceのアカウントで他のコンピュータへのアクセスを有効にする方法

NT権限/システムエラー、
メッセージXP - ウイルスを削除する方法

ロシアのバージョンがある場合 - ダウンロードする前に、必ず言語を変更してください。

ウイルス自体について少し：

昨日、モスクワで約23時間、多くのフォーラムで、Windows 2000とWindows XPの奇妙な動作についてのメッセージがネットワークに入ると表示され始めました。システムはRPCサービスエラーメッセージと再起動の必要性を発行しました。 再起動後、メッセージは数分で最大値を繰り返し、終わりはありませんでした。

調査では、今日始まった新しいネットワークワームのw32.blaster.wormの流行を示しています。Highは、Windows 2000、Windows XP、およびWindows 2003ファミリのすべてのオペレーティングシステムに掲載されているRPC DCOMサービスが7月16日に発見されたこの脆弱性を悪用しています。この脆弱性はバッファオーバーフローで、攻撃されたコンピュータのポート135,139または445に入ったTCP / IPパケットによって適切にコンパイルされた呼び出されます。 これは、少なくともDOS攻撃（DOSは「サービス拒否」、または「メンテナンスの拒否」、この場合、攻撃されたコンピュータの再起動）、および攻撃されたコンピュータのメモリ内のコードを実行することができます。

ワームの出現前でさえ、ネットワークコミュニティの関心を引き起こした最初の事は、悪用の使用（脆弱性の利用のためのプログラム）の使用において非常に単純な方法の存在です。これは通常誰かが取ることができる状況につながりますこのプログラムと静かな目的のためにそれを使い始める。 しかし、これらは花でした...

配信中の新しいワームが135番目のポートで攻撃を行い、成功した場合はTFTP.EXEプログラムを起動し、それは実行可能ファイルを攻撃されたコンピュータにダウンロードします。 同時に、ユーザーはRPCサービスの停止とその後の再起動に関するメッセージを発行されます。 再起動後、ワームは自動的に開始され、コンピュータの件名のコンピュータから入手可能なネットワークのスキャンを開始して開始します。 ワームが検出されると、ワームが攻撃され、最初にすべてが繰り返されます。 また、現時点での流通のペースで判断すると、ウォームはまもなくウイルス対策会社のリストの中で最初にリリースされます。

ワームから保護する方法は3つあります。

まず、Microsoftの掲示板では、すべての脆弱なバージョンのWindowsのパッチリンクがRPCでの違反を閉じます（これらのパッチは7月16日にリリースされているため、定期的に更新する人は心配しないでください）。

第二に、135番目のポートがファイアウォールによって閉じられている場合、ワームはコンピュータを貫通することはできません。

第3に、DCOMのシャットダウン（この手順で詳しく説明されています）はMicrosoft Bulletinで詳しく説明されています。 したがって、まだワーム攻撃を攻撃していない場合 - MicrosoftサーバーからのOSのパッチをダウンロードすること、またはポートブロッキング135,139を設定するために、できるだけ早くお勧めします。ファイアウォールで445。

コンピュータがすでに感染している場合（そしてRPCエラーメッセージの外観が明当的に感染していることを意味している場合）、DCOMをオフにする必要があります（それぞれの攻撃はそれぞれの攻撃は再起動を呼び出します）、次にパッチをダウンロードしてインストールします。

ワームを破壊するには、レジストリキーHKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Currから削除する必要があります。
entversion \\ Runレコード "Windows Auto Update" \u003d "msblast.exe"を実行し、MSBLAST.EXEファイルを見つけて消去します - これはワームの本文です。 ワーム削除手順について詳しくは、Symantec Webサイトで読むことができます。

現時点では、すべてのアンチウイルスがワームを検出するわけではありません - 更新が解除された後にのみ自分の部分を保護することを望むことが可能です。
Ahtoh 2008-08-25が23:29に投稿されました：

危険なワーム！ NT権限/システムエラー

__________________
私は善を傷つけ、私は使うためにうなずいています...

最近、より正確には、ワームは週につかみました、そしてこれは私のすべてのお茶のためにそうではありませんでした！ 時間の夜 - あなたが電話しないウィザード、そしてお金はカードの上にのみ - ルーブルのコルマンの中で、私は何をすべきか、コンピュータはせん断の前に必要です！

携帯電話を通して検索エンジンに登ってタイトルのタイトル名を獲得しました - 私の母、私が見つけたもの - このクリーチャーは1993年以来インターネットに住んでおり、マイクロソフトの企業はそれについて知っている、創造者は具体的に知っています。 今日まで、このワームはあなたのコンピュータに入るこのワ\u200b\u200bームは管理者の権利を取得し、トリックを発揮することができます。

数十のフォーラムを調べることで、何百ものソビエトを再生することによって、私は私のシステムの腸で睡眠の眠りを知り、私はそれを読むフォルダとファイルを開き始めます。空腹のオオカミの持続的な、i ' Mを探していますが、...私はこれにはあまりにも深刻です。もう一度私は私達のウェブサイトに登り、私たちのモデレータのうちの1つに書き込む...問題は非常に残っていて私を苦しめないために人はシステムを解体して新しいものをインストールすることをお勧めしますが、私は自分でそれをやったことがない！ 彼は電話で私に話します（私は長距離交渉のためにお金を後悔していません）ステップバイステップの方法で、そして私は座って書き留める。 その後、彼は結果を待っています、そして私は蓄積された情報を非常に残念に思っていることを座って理解しています...あなたが解体した場合は決断を下します - 私はいつも時間を過ごします、そして今私は自分で競争します。

いずれにせよ、私は私のGuruの隣に私と一緒にして、彼らは何をすべきか、そしてどうやって助言することを知っていました。 私はあなた自身の危険とリスクでやっています。

1）バナーは60秒後にコンピュータを再起動するにはコンピュータを無効にします - これを増やす必要があることを意味し、私は1つのフォルムチャニンのアドバイスにあります 私は1年前に時計を翻訳することを管理します!

2）すでに急いでいて、急いではなく、AnvirtaskManagerを通して登録とプログラム全体を通して見ていませんでした - 彼は新しいプログラムの外観について尋ねられましたが、私はスキップすることが許可されていました。

3）私はそこに何も理解していませんでした、私は設定内のすべての拡張子を設定した後、私はAvastのフルスキャンを開始します。

3.5時間後、彼は私に6人の感染ファイルを与えました - ここで彼らは

win32マルウェア - GEN（2個）

FakeInst-T（2pcs）

私はただこれらの害虫を削除し、治療しようとしていません。

4）その後、Revo Unistailerに行き、AnvirtaskManagerとReg Organizierとともに、過去数日間にインストールされているすべてを削除します。

5）Avzを撮影して起動します。

そして、問題がある - 私のディスクは2つのCとN. Cに分けられ、N. Cは正常にスキャンされ、何も見つけませんでした、それはただコンピュータ全体の流れのスキャンを始めます。 バナーを再起動しなくなりましたが、私は落ち着いて、インターネットはうまくいきますが、Mozilを開けません、私はGooglchを通過します。

オンラインモードの確認 純粋に！ 私はそれを開く、私はフォルダを強調しようとしました - そしてコンピュータがしっかりとハングします！ いくつかの試みを試みた後、私は再び飛行していて、何も決定しないことを見つけていない - Sのすべてをコピーする。

全体を掃除してコピーに登ってコピーした後 - すべてがうまくいきます！

1時間前私は今私は人生について満足しています。 私はすべてをチェックしました、そして今、私は医者のw curelltを更新し、夜に置く - あなたは良心を和らしたいです！ だから高価な同僚のために続けてください - すべてがとても怖いのではありません。 コンピュータを安全に作成するには、添付ファイルに指定されているようにします。

はい、私たちのピアコフからの健康があるでしょう！

すべての読者Alexeyについて！

プリント中の数字を降伏する前に文字通り
新鮮なモジュール、それについて私たちが言うことができなかった。 感謝します
新しいGetSystemチーム、妥協システムに移動可能になりました
Ring0のユーザーレベルから、NT Authority \\ Systemの権利を受け取りました！ そしてそれはいずれかです
Windowsのバージョン。

2010年1月19日、0日の脆弱性が公開され、実行が可能になりました
NT 3.1から開始された、Windowsの任意のバージョンでの特権を増やし、別のバージョンでリリースされました。
1993年に、新人「7」で終わる。 Exploit-db.comハッカーTavis
OrmandyはKITRAP0Dソリッドの両方のソースを公開してコンパイルしました
Binarnikの使用の準備ができています。 元の孤独を試してみてください
願い。 これを行うには、アーカイブからvdmexploit.dllとvdmallowed.exeを抽出するだけです。
車の犠牲を渡すために、そしてexe-shnikを始めるためにそこにいます。 に
その結果、ユーザーアカウントが作成されていることに関係なく
実行中、コンソールはシステムユーザーの権限、つまりNTです。
権限\\システム。 あなたの車の上で始めることができるために、
以前は通常のユーザーの下でシステムにログインしました。 起動後
分割は最大限の特権を持つ新しいcmd.exeウィンドウを開きます。

それは何を与えますか？ ソリッドが何らかのアプリケーションを貫通しているという状況を想像してみてください
リモートコンピュータでシェルを取得します。 インターネットのための堅実になるようにしましょう
Explorer - この場合、ハッカーは権利を持つシステムにアクセスできます
そのユーザーは、ブラウザが起動されたアカウントの下にあります。 私は議論しません
多くの場合、管理者権限（ユーザーは非難すること）を持つアカウントになりますが、
そうでなければ？ ここにあなたはあなたの特権を提起するためにKitrap0dをズームしました
NT Authority \\ Systemに！ また、グループに参入したユーザーでさえ
管理者、システムのいくつかのサイトを参照することはできません。
謙虚なユーザーパスワードを読む（下記について）。 とNTシステムアカウント -
できる！ これまでに、記事の出版時には単一のパッチではありません
マイクロソフトの閉鎖の脆弱性は解放されませんでした。

操作「キャプチャシステム」

アクションでは、私たちがそうではない元の切り替えは、25
1月のメタスプロイトの新しいスクリプトが追加されました。
KITRAP0Dはさらに便利になっています。 最初はモジュールデータベースオプションであった
不安定で常に働かなかったが、午後は午後、すべての間違いがあったので
削除されました。 今すぐモジュールは他のすべての更新と一緒に汲み上げられています。
そのため、Metasploit Updateメニューの項目を選択するのに十分です。
さて、リモートシステムにアクセスするには、「KIRAP0Dを実行する」をダイヤルしてもたらすことができます
行動中のスリム。 「しかし、私がそんなブーズに行ったら、私たちは実現しています、私たちはこれです
特別チーム、「Metasploit開発者が考えました。結果として
それは手頃な価格の「特権を増やす」ために素晴らしいそのようなチームを判明しました
メトプレーターの拡大 - 私たちはそれがとても好きです:)。

だから、私たちはリモートシステムにアクセスできます（視覚的な例
搾取は記事「操作「オーロラ」）で行われ、私たちはコンソールにいます
メタスプリ 私たちが権利を扱っている方法を見てみましょう。

メトレーター\u003e getuid。

ええ、通常のユーザー。 おそらく彼もグループに入る
管理者、しかしそれは私たちには関係ありません。 実装されているモジュールを接続してください
あなたが興味を持っているGetSystemチーム、そしてそれが展示によって急落したかどうかをチェックしてください
画面ヘルプ：

メトプレーター\u003e PRIVを使う
拡張PRIVをロードする...成功しました。
MeterPreter\u003e GetSystem -H
使用法：getSystem.
ローカルシステムのそれに対する特権を高めるために試みます。
オプション：

hヘルプバナー。
- 使用する技術。 （デフォルトは "0"です）。
0：利用可能なすべてのテクニック
1：サービス - パイプの偽装（メモリ/管理者）
2：サービス - パイプの偽装（Dropper / Admin）
3：サービス - トークンの重複（メモリ/管理者）
4：エクスプロイト - KITRAP0D（メモリ/ユーザー）

分かるように、Rollet Kitrap0dはチームの機能の一部だけを実装しています。
あなたがすでに権利を持っているユーザーでシェルをつかむことに成功した場合
管理者、次にNT Authority \\ Systemに上げて、使用できます。
他の3つのテクニック（あなたがキー-tを必要とするキーを選択してください）。 指定なしに1つの方法で
一般に、パラメータはありません、私たちは彼が使用できるメタリックを指定します
どのアプローチのいずれかです。 kirap0dを含め、それはレベルへの特権を増やすでしょう
「システム」、私たちが所有している権利であれ。

meterPreter\u003e GetSystem.
...手法（技術4を介して）。

ええ、特権の増加の成功、および攻撃のためのメッセージを受け取りました
それは使用されたKITRAP0Dでした - 明らかに彼は優先しています。 私たちがいるかどうか
システムでバラ？ 現在のUID（ユーザーID）を確認してください。

メトレーター\u003e getuid。

有る！ コンソールメタスプレイおよびNT局\\システムのチームのみ
私たちはあなたのポケットの中にいます。 次に、一般的に言って、あなたはすべてできます。 同時にあなたには誰も思い出させます
マガジンのリリース時のマイクロソフトからのパッチはまだ行っていません。

パスワードをダンプする

手にシステムアカウントへのアクセスがある場合は、これから学ぶ必要があります。
何かが役に立ちます。 アーセナルメタスプロイトでは素晴らしいハッシュドンプチームがあります -
よく知られているPWDUMPユーティリティのより高度なバージョン。 また、最後に
Metaspleバージョンには、使用するリサイクルスクリプトバージョンが含まれていました
Lanman / NTLM HESYを抽出し、まだ検出されていない原則
ウイルスウイルス しかし意味はこれにはありません。 hashdumpコマンドを実行することが重要です
NT局\\システムの権利が必要です。 そうでなければ、プログラムはエラーを出すでしょう
"[ - ] priv_presswd_get_sam_hashes：操作に失敗しました：87"。 だから起こります
Lanman / NTLM-HASHパスワードは特別なレジストリブランチに保存されています
HKEY_LOCAL_MACHINE \\ SAMおよびHKEY_LOCAL_MACHINE \\ Security。
管理者 システムアカウントの権限でのみ読み取ることができます。
一般的に言って、しっかりとした後にhashdumpコマンドを使用してください。
必ずしもそうではなく、ヘシュレジストリからローカルに削除されます。 しかし、そうであれば
可能性は、なぜ違いますか？

メトレーター\u003e getuid。
サーバーのユーザー名：NT Authority \\ System.

meterpreter\u003e Hashdumpを実行します
[*]ブートキーを取得する...
[*] SYSKEY 3D7を使用したHBootキーの計算[...]
[*]ユーザーリストとキーを取得する...
[*]ユーザーキーを復号化する...
[*]パスワードハッシュをダンプする...

管理者：500：AAD3B435B51404EEAD3B435B51404EE：...
ゲスト：501：AAD3B435B51404EEAAD3B435B51404EE：...
HelpAssistant：1000：CE909BD50F46021BF4AA40680422F646：...

HECIが受信しました。 たとえば、たくさんの頭痛者の一部を雨が降っています。
l0phtcrack。

特権を返す方法？

私が普通の権利を返しようとしたときに楽しい状況が起こった
ユーザーバック REV2SEFFコマンドが見つかりませんでしたが、私はまだ
「NT Authority \\ System」と滞在しました：どうやら、それは3人で動作するように設計されています
GetSystemに実装されている他のアプローチ。 返品されることがわかりました
特権、そのユーザーを実行しているプロセスのトークンを「盗む」必要があります。
必要なもの。 したがって、PSコマンドですべてのプロセスを表示してから選択します。
適切な：

メトプレーター\u003e PS。
プロセスリスト。
============
PID名アーチユーザーパス
--- ---- ---- ---- ----
0
4システムX86 NT Authority \\ System.
370 SMS.exe x86 NT ortical \\ System \\ SystemRoot \\ System32 \\ SMS.exe
...
1558 Explorer.exe x86 WinXPSP3 \\ユーザーC：\\ Windows \\ Explorer.exe
...

私たちが見るように、Explorer.exeは通常のユーザーの下で稼働しています
アカウントとPID \u003d 1560。 現在、実際には、「ストリームトークン」が可能です。
steal_tokenコマンド PIDは唯一のパラメータとして送信されます
希望のプロセス

meterpreter\u003e STEAL_TOKEN 1558
winxpsp3 \\ user
メトレーター\u003e getuid。
サーバーのユーザー名：WinXPSP3 \\ユーザー

「サーバーのユーザー名」フィールドで判断し、操作が成功しました。

使い方？

最後に、外観に与えられた脆弱性の性質について話す価値があります
石造。 システムハンドラのエラーの障害により防御の破損が発生します
割り込み#gp（呼び出された、NT！KiTrap）。 彼女のために核の特権を持っているため
任意のコードを実行することができる。 これはシステムのために起こります
32ビットx86プラットフォームでは、いくつかのBIOS呼び出しをチェックしてください。
16ビットアプリケーションが実行されます。 脆弱性を利用するために、分割は作成されます
16ビットアプリケーション（％Windir％\\ Twunk_16.exe）、いくつかの操作
システム構造とNTVDMControl（）関数を起動させる
以前の結果として、Windows仮想DOSマシン（AKAサブシステムNTVDM）。
操作は#GPシステム割り込みハンドラへの呼び出しにつながります
警告ソリッド。 ところで、唯一の制限は限定しています
32ビットシステムでのみ機能するSplot。 64ビットで
操作トライト16ビットアプリケーションを起動するエミュレータはありません。

完成した分割で情報が公共のアクセスになるのはなぜですか？ 可用性について
脆弱性SplotOの著者は昨年の初めにマイクロソフトに通知した
検討のために彼の報告が採択されたという確認を受けたことさえ。 のみ
そして今そこに。 会社からの公式パッチの年は続かなかった、そして作者は決定しました
公開情報を公開して、事件が速くなることを願っています。 見る、
パッチは雑誌の瞬間に販売されていますか:)？

分割から自分を守る方法

脆弱性を解決するための本格的なアップデートがないので
バイパストラックを利用する必要があります。 最も信頼できるオプションです
すぐに奪われるMSDOSおよびWowExecサブシステムを無効にする
なぜならそれだから NTVDMControl（）関数を呼び出すことができなくなりました
NTVDMシステムを起動する。 Windowsの旧バージョンでは、それは通って実装されています
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CURRENTCONTROLSET \\ Control \\ WOWブランチを見つける必要があるレジストリ
そしてその名前にシンボルを追加します。 現代のOSのために。
16ビットアプリケーションの起動に制限をインストールする必要があります
グループポリシー これを行うには、gpedit.mscを呼び出してからセクションに移動します
「ユーザー設定/管理用テンプレート/ Windowsコンポーネント/互換性
アプリケーション「16ビットへのアクセスの禁止」
アプリケーション。」

www。

著者Splotからの脆弱性の説明：

http://archives.neohapsis.com/archives/fulldisclosure / 2010-01/0346.html.

マイクロソフトから問題を解消するための一時的な解決策：

http://support.microsoft.com/kb/979682。

警告

情報は教育目的で提示されています。 それを使用してください。
違法な目的は刑事責任を伴う可能性があります。

組み込みログインSQL Server 2005、 組み込み\\管理者, , NT Authority \\ System., sa

SQL Server 2005をコンテナにインストールした直後 ログイン 作成された一連のログインが表示されます。 ほとんどの場合、あなたはユーザーを接続するためにそれらを使うことはできません。 それにもかかわらず、埋め込みログインの知識が有用である可能性がある状況があります（たとえば、管理ログインが誤ってブロックされている場合）。

q. 組み込み\\管理者 （または又は 組み込み\\管理者。オペレーティングシステムの言語に応じて - このWindowsグループのログインは、SQL Serverシステム管理者によって自動的に提供されます。 コンピュータがドメインに入った場合、グループは自動的にこのグループに分類されます。 ドメイン。管理者（ドメイン管理者）、したがって、デフォルトのドメイン管理者はSQL Serverの完全な権限を持ちます。 この状況が望ましくない場合、このログインは削除できます。 しかし、この場合、ドメイン管理者はSQL Serverデータへのアクセスを取得するでしょう。

q. サーバー名 2005MSFTEUUSER $。 サーバー名$name_expublic. , サーバー名 2005MSSQLUSER $。 サーバー名$name_expublic. ,サーバー名 2005SQLAgentUser $。 サーバー名$name_expublic. - これら3つのログインのWindowsグループは、該当サービスをSQL Server 2005に接続するために使用されます.SQL Server 2005レベルでは、必要な権限がすでに提供されているため、操作を作成する必要はありません。 まれな状況では、SQL Serverサービスを代表して、Windowsレベルでこれらのグループにアカウントを追加する必要があります。

q. NT認証局\\ネットワークサービス - Windows Server 2003でこのアカウントを代表して、Reporting Services Servicesを含むASP .NETアプリケーションが使用されています（この目的のためにWindows 2000では。 aspnet.）。 このユーザー名ウィンドウは、SQL Server Reporting Servicesに接続するために使用されます。 データベースに必要な権利によって自動的に提供されます。 ma, msDB。 そして報告サービスによって使用されるデータベースについて。

q. NT Authority \\ System. - これはオペレーティングシステムのローカルシステムアカウントです。 このようなログインは、ローカルシステムアカウントに代わってSQL Serverサービスの操作を設定する状況に表示されます。 このログインSQL Serverは自身でアドレス指定されていると言えます。 もちろん、このログインにはSQL Serverシステム管理者の権限があります。

q. sa （から システム。管理者） - デフォルトで作成されたSQL Server型の唯一のログインです。 これにはSQL Serverシステム管理者権限があり、これらの権利を奪うことは不可能です。 このログインを削除すると失敗します。 しかし、それは名前を変更または無効にすることができます。 認証のみがSQL Server 2005用に構成されている場合は、このユーザー名を使用してサーバーに接続できません。