Code Red attack?

[Ulrike]

Hallo,

Ik ben gehackt en mijn sygate firewall vertelde me het volgende: Denial of Service "Code Red" attack detected.
Description:
A code red attack from outside is detected, it is a very dangerous virus that will deface your webpages, perform a denial-of-service attack, and even crash your system.

Wat moet ik nu doen? Heb ik het virus nu? Want inderdaad, ik kreeg een 'denial of service' rapport
NA2002 vind niets maar het code red virus staat ook niet in zijn lijst van virussen ofzo.
Weet iemand hier meer over?

Mijn besturingssysteem is trouwens WinXP, want ik lees veel over code red en Win2000 en NT maar nergens XP???

Dankjewel voor alle hulp op voorhand

bange groetjes,

ikke.

 

[gezina]

http://helpmij.nl/forum/showthread.php?s=&threadid=112750
Codered worm staat overigens wel bij de virus-definities.

Online-scan van Symantec: http://security.symantec.com/ssc/home.asp?j=1&langid=ie&venid=sym&plfid=20&pkj=BWVIBWYSHSFVIGMKIIP

 

[masterprut]

heb je de nieuwste virusdefenities?

al een volledige scan op je computer uitgevoerd?

 

[nteusink]

Alleen de Windows XP beta testversie is kwetsbaar voor codered. De versie die je in de winkel koopt niet.

 

[Ulrike]

Thankies, ik had die tool al gedownload en uitgevoerd, maar dat bestandje waar de tool naar zocht was niet gevonden. Maar omdat m'n Sygate zei dat er wel iets mis was..

En yep, nieuwste virusdefinities op m'n NA2002, volledig gescand, maar niets gevonden.
Maar volledig durf ik hier niet meer op vertrouwen want ik heb een tijd geleden het ook aan de hand gehad dat ik een klein meldingkje kreeg dat er iets aan de hand was, en meerdere malen gescand met Norton (die toen ook geupdate was) met housecall en panda online, maar nooit iets gevonden.
Ik breng m'n pc in alle haast naar een specialist omdat hij per uur raarder begon te doen en die weet me te zeggen dat er wel degelijk een virus opzat terwijl de scanners niets vonden. (het ging over Nimda32 btw)
Dusja.. die scanners.. durf ik niet echt meer op vertrouwen, en nu m'n sygate zo'n meldingkje gaf..

En mercikes nteusink, ik heb niet die beta testversie dus 'in principe' zou ik geen last hebben met dat virus.
Ik hoop het toch. *houdt hout vast*

In ieder geval heel erg bedankt voor alle vlugge reacties!
Nu maar hopen dat er niets mis gaat, anders horen jullie gegarandeerd nog van mij (ben nogal gevoelig als het op virussen aankomt, heb al veel te veel last gehad van die vieze dingen)

xxx

 

[nteusink]

Graag gedaan. Je draait toenvallig geen IIS webserver? Krijg je een pagina in je browser te zien als je naar http://localhost surft?

 

[saldos]

Ulrike,

Het kan zijn dat iemand een DoS tool heeft gebruikt tegen jouw pc om je een Denial of Service te geven, maar het kan ook met Codered.F te meken hebben.
DoS is een afkorting voor denial-of-service attack. Een verzamelnaam voor aanvallen via een netwerk op een computer of server met als doel deze te laten crashen danwel de netwerkverbinding te laten verliezen. Veel DoS attacks, waaronder bijvoorbeeld de 'Ping of Death' en 'Teardrop' attacks, maken misbruik van de beperkingen van TCP/IP-protocollen. Andere vormen van DoS-aanvallen (ICMP en UDP floods) buiten de beperkte bandbreedte van de tegenstander uit door die te overladen met datapakketjes.
Je hebt windows XP en deze heeft daar geen last van. Het zijn alleen windows NT en windows 2000 die niet gepatched zijn die er last van hebben. Daarnaast hebben computers met een IIS webserver of IRC server er last van.

Er is hier nog iemand die dezelfde probleem had, maar er was geen oplossing daarvoor gegeven:

http://gossamer-threads.com/perl/gf...est_reply;so=ASC;post=173711;=Previous+Thread

 

[nteusink]

Saldos,

De firewall geeft hier aan dat het code red betreft. Ik denk dat de waarschuwing inhoudt dat geinfecteerde systemen zelf een Denial Of Service attack op andere systemen gaan uitvoeren.

 

[saldos]

ja dat ziet er wel zo uit nteusink, maar zou dat niet betekenen dan dat iedereen die een firewall heeft dit dan zou moeten zien op hetzelfde opgenblik?

 

[nteusink]

Geplaatst door saldos
ja dat ziet er wel zo uit nteusink, maar zou dat niet betekenen dan dat iedereen die een firewall heeft dit dan zou moeten zien op hetzelfde opgenblik?

sorry ik zie niet in waarom?

 

[Ulrike]

nteusink ik krijg geen pagina te zien als ik naar die local host surf, dus neen geen IIS server.
En inderdaad saldos, die persoon heeft NET hetzelfde als mij aan de hand.
Ik heb ook een backtrace gedaan en gezocht naar wat meer details over die 'aanval'.
Het kwam ook van iemand van ripe.net trouwens..


% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 213.191.165.0 - 213.191.165.255
netname: WARSUN-TSEINET-ER-BLK1
descr: TSE-i-NET
country: ER
admin-c: GG556-RIPE
tech-c: GG556-RIPE
status: ASSIGNED PA
notify: noc@warsun.com
mnt-by: WARSUN-MNT
changed: noc@warsun.com 20020304
source: RIPE

person: Ghebreab Ghebremedhin
address: TSE-i-NET
address: Semaitat 11
address: Asmara, Eritrea
phone: +291 1 125542
fax-no: +291 1 200704
e-mail: ghebreab@tse.com.er
nic-hdl: GG556-RIPE
notify: noc@warsun.com
mnt-by: WARSUN-MNT
changed: noc@warsun.com 20020304
source: RIPE


En bedankt voor je uitleg, nu snap ik er ook heel wat meer van

Over geïnfecteerde systemen die zelf een Denial Of Service attack op andere systemen gaan uitvoeren snap ik wel niets hehe, maar ok, ik ben blij om te weten dat WinXP Home er een patch voor heeft.
Nog ns bedankt

groetjes

 

[saldos]

Graag gedaan Ulrik