Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Helkern, sta je to?

[es] :: Zaštita :: Helkern, sta je to?

[ Pregleda: 4973 | Odgovora: 18 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

vuxsa
dusan vuksanovic
beograd

Član broj: 21776
Poruke: 164
*.dial.b92.net



+1 Profil

icon Helkern, sta je to?18.08.2004. u 13:52 - pre 238 meseci
Vec nekoliko puta u zadnjih par dana mi Kaspersky firewall prijavljuje napad i uspesnu odbranu od neceg sto se zove Helkern.Da li neko zna sta je to, neki adware?
maybe i'll think of something later...
 
Odgovor na temu

reiser

Član broj: 7895
Poruke: 2314



+102 Profil

icon Re: Helkern, sta je to?18.08.2004. u 14:09 - pre 238 meseci
Evo sta je :) :

http://www.viruslist.com/eng/viruslist.html?id=59159
Citat:
Worm.SQL.Slammer

Helkern (aka Helkern, aka Sapphire) is an extremely small (just 376 bytes) Internet worm that affects Microsoft SQL Server 2000. To get into victim machines the worm exploits a buffer overrun vulnerability (see below).

When the worm code gets into a vulnerable SQL server it gains control (by using a buffer overrun trick), it then assumes three Win32 API functions:


GetTickCount (KERNEL32.DLL)
socket, sendto (WS2_32.DLL)

The worm then gets a random counter by using the GetTickCount function and goes into an endless spreading or "spawning" loop. In the spreading loop the worm sends itself to random IP addresses (depending on the random counter), to the MS SQL port 1434.

The worm sends multicast packets, meaning with only one "send" command hits all 255 machines in a subnet. As a result this worm is spreading 255 times faster than any other worm known at the moment.

Because MS SQL servers are often used on the Web this worm may cause a global INet DoS attack, because all infected servers will try to connect to other randomly selected machines in an endless loop - and this will cause a global INet traffic overflow.

The worm is memory only, and it spreads from an infected machine's memory to a victim machine's memory. The worm does not drop any additional files and does not manifest itself in any way.

There are text strings visible in the worm code (a mix of worm code and data):

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend


Buffer Overflow

This buffer overrun exploit has the following name:
Unauthenticated Remote Compromise in MS SQL Server 2000

Affected systems are:
Microsoft SQL Server 2000, all Service Packs

This security breach was found in July, 2002 and was later fixed in "MS SQL Server 2000" patches.

You may read more about this at the following addresses:
Microsoft Security Bulletin MS02-039
NGSSoftware Insight Security Research Advisory

The patch for MS SQL Server 2000 is available at: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
 
Odgovor na temu

cyBerManIA
I ovo T ono
Space

Član broj: 25195
Poruke: 698
*.skydsl.de.

Sajt: www.facebook.com/cyberman..


+263 Profil

icon Re: Helkern, sta je to?18.08.2004. u 16:09 - pre 238 meseci
Micro$oft i njegovi bugovi. ;-0
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.cmu.carnet.hr



Profil

icon Re: Helkern, sta je to?18.08.2004. u 23:06 - pre 238 meseci
Helkern je jedne noci digao na noge NT sysadmine od Tokia do Kingstona. Iako vrlo mal po velicini koda, pokazuje vrlo velik talent autora, a compileable disassembly mozes naci na:
http://29a.host.sk/29A-7.html [Dole na dnu u kategoriji "Misc viruses and worms", smece od sajta neda direktno linkanje]
Bio sam na netu citao i jedan jako kul clanak o ovome crvu, sa dijagramima opterecenja prometa po zemljama i kontinentima za vrijeme od nekoliko sati otkad je crv bio aktivan, ali ga sad nikako ne mogu pronaci :(

Helkern je, izmedju ostaloga, i prvi konceptualni "Warhol" crv. Andy Warhol je jednom rekao da ce u buducnosti svatko imati svojih 15 minuta slave, a Warhol crv bi bio onaj koji se za vrlo kratko vrijeme (Helkernu je trebao koji sat) propagira na > 99 % ranjivih sistema.

PS: reci s koje adrese dolaze "napadi", treba obavijestiti admina...

[Ovu poruku je menjao Sundance dana 20.03.2005. u 22:41 GMT+1]
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: Helkern, sta je to?11.12.2004. u 22:08 - pre 234 meseci
Evo slucajno naletih na taj kul clanak:

http://www.wired.com/wired/archive/11.07/slammer.html

Sta ti je asembler, eh...
 
Odgovor na temu

superbaka

Član broj: 5290
Poruke: 2924



+1298 Profil

icon Re: Helkern, sta je to?12.12.2004. u 00:07 - pre 234 meseci
meni svakodnevno dolaze sa verata...
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: Helkern, sta je to?12.12.2004. u 12:09 - pre 234 meseci
Citat:
superbaka: meni svakodnevno dolaze sa verata...


Jesi 100% siguran da je u pitanju Slammer, a ne neki kiddie sa Defaced foruma koji testira neki 'sploit? :)
 
Odgovor na temu

superbaka

Član broj: 5290
Poruke: 2924



+1298 Profil

icon Re: Helkern, sta je to?12.12.2004. u 19:45 - pre 234 meseci
xe xe... postovacu IP napadaca pa ko ga uhvati njemu nagrada... :)
 
Odgovor na temu

VRKY

Član broj: 21087
Poruke: 4690
*.net.t-com.hr.



+8 Profil

icon Re: Helkern, sta je to?12.12.2004. u 20:28 - pre 234 meseci
Ja sumljam da je u tom riječ o salmeru, ja dugo nisam niš čuo o njemu a sad možda nisam u toku. Ali mi je taj crv zakon....
 
Odgovor na temu

trsh
Nis

Član broj: 5386
Poruke: 634
*.



Profil

icon Re: Helkern, sta je to?09.02.2005. u 22:58 - pre 232 meseci
I sta? Nista vise o ovome....jel ima neki patch za WIN protiv njega, ili nesto slicno?
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: Helkern, sta je to?09.02.2005. u 23:20 - pre 232 meseci
Citat:
zoombeer: I sta? Nista vise o ovome....jel ima neki patch za WIN protiv njega, ili nesto slicno?


Helkern iskorištava propust u MS-ovom SQL serveru. Tvoji kućni win su savršeno sigurni.
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: Helkern, sta je to?05.03.2005. u 16:43 - pre 232 meseci
http://www.caida.org/outreach/papers/2003/sapphire/sapphire.html



nakon pola sata:



 
Odgovor na temu

reiser

Član broj: 7895
Poruke: 2314



+102 Profil

icon Re: Helkern, sta je to?05.03.2005. u 16:54 - pre 232 meseci
Feel the power :)
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: Helkern, sta je to?05.03.2005. u 17:09 - pre 232 meseci
Citat:
Marko Paunovic: Feel the power :)


...of assembler :) Da ne bi neki pomislili da se ovako nešto može napraviti u VB-u :o)

Zamisli da je je imao nit koja je slala shit na root DNS servere. Bye bye Internet...
 
Odgovor na temu

Goran Mijailovic

Član broj: 12684
Poruke: 6907



+437 Profil

icon Re: Helkern, sta je to?22.03.2005. u 13:33 - pre 231 meseci
Citat:
PS: reci s koje adrese dolaze "napadi", treba obavijestiti admina...


3/22/2005 2:21:46 PM Your computer has been attacked from ATuileries-117-1-24-206.w193-251.abo.wanadoo.fr. Attack - Helkern.

[Ovu poruku je menjao Goran Mijailovic dana 22.03.2005. u 15:01 GMT+1]
 
Odgovor na temu

srle_987
beograd

Član broj: 25731
Poruke: 192
80.227.56.*

Jabber: srle@elitesecurity.org


Profil

icon Re: Helkern, sta je to?22.03.2005. u 13:52 - pre 231 meseci
Citat:
ATuileries-117-1-24-206.w193-251.abo.wanadoo.fr.


meni ovo lici na neki rely ili na proxy ?
 
Odgovor na temu

Sundance

Član broj: 7510
Poruke: 2559
*.sava.sczg.hr.



Profil

icon Re: Helkern, sta je to?22.03.2005. u 19:21 - pre 231 meseci
Code:

Host ATuileries-117-1-24-206.w193-251.abo.wanadoo.fr (193.251.50.206) appears to be up ... good.
Interesting ports on ATuileries-117-1-24-206.w193-251.abo.wanadoo.fr (193.251.50.206):
(The 1654 ports scanned but not shown below are in state: closed)
PORT     STATE    SERVICE        VERSION
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
162/tcp  filtered snmptrap
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
1434/tcp filtered ms-sql-m
4000/tcp filtered remoteanything
4444/tcp filtered krb524
6112/tcp filtered dtspc
Device type: broadband router|telecom-misc|switch|hub|remote management|general purpose
Running: Edimax embedded, Nortel embedded, NTT embedded, 3Com embedded, Cisco embedded, Enterasys embedded, HP embedded, Sequ
ent DYNIX
OS details: Edimax BR-6004 broadband router, Nortel CallPilot 100 voicemail system, 3Com Superstack 3 switch, Enterasys switc
h, HP TopTools remote control card, or Cisco 1538M hub, Sequent DYNIX/ptx 4.4.6 x86
OS Fingerprint:
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=80%IPLEN=38%RIPTL=148%RIPCK=E%UCK=0%ULEN=134%DAT=E)


Nmap run completed -- 1 IP address (1 host up) scanned in 57.688 seconds


Helkren jest, ali džubre sve filtrira :/
 
Odgovor na temu

mishamisha
Milos Matijevic
indjija

Član broj: 86667
Poruke: 72
79.101.87.*



Profil

icon Re: Helkern, sta je to?02.05.2008. u 15:33 - pre 193 meseci
Pozz narode evo vec par dana mi Kaspersky prijavljuje neke napade sa razlicitih IP adresa nemam pojma o cemu se radi dal neko ima slican problem i dal treba nesto raditi po pitanju istog??? jedna od IP adresa koju mi cesto prijavljuje je Attack - Helkern 218.106.91.25
Only Music:)
 
Odgovor na temu

toldici
Aleksandar
Učenik
Apatin

Član broj: 180568
Poruke: 43
*.smin.itsisp.net.



Profil

icon Re: Helkern, sta je to?11.05.2008. u 10:59 - pre 193 meseci
Što se helkerna tiče može se zaustaviti samo kvalitetnim firewallom npr Kaspersky internet securityom.Očigledno da se trajno zaustaviti ne može, a uvek ima neki zaraženi kompjuter sa kojeg napada.
 
Odgovor na temu

[es] :: Zaštita :: Helkern, sta je to?

[ Pregleda: 4973 | Odgovora: 18 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.