VIRENBEFALL!!!!!!!!!!

[Tom]

Alle Schotten dicht -- W32.Blaster greift an
Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.
Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.
Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.
Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen.
Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden. (dab/c't)

Quelle: http://www.heise.de/security/news/meldung/39347


Die Patches von Microsoft, die die Sicherheitslücke schließen gibts hier:
http://www.microsoft.com/technet/tre...n/MS03-026.asp

Das Fixtool von Symantec gibts hier:
http://www.sarc.com/avcenter/venc/da...oval.tool.html



#########################################


VORGEHENSWEISE:

1. Die Patches und das Fixtool runterladen
2. Das Fixtool starten und durchlaufen lassen
3. Die Patches installieren

[Kamikautze]

Danke Tom !!!

Hab das scheiß Teil gehabt ... :evil: :roll:

[Tom]

Danke Tom !!!

Hab das scheiß Teil gehabt ... :evil: :roll:

Viel Spaß damit! :twisted:

Bei uns steht der halbe Bilfinger Berger Konzern still. NOCH bin ich bzw. meine Abteilung davon verschont... Wenns meine Server treffen sollte, dann gute Nacht...

[Kamikautze]

Ja zum Glück geht wieder alles... und ich hab bis jetzt ja Glück gehabt...

Hoffe für dich das deine Abteilung verschont bleibt !!!


Gruss

Kami

[Christoph Triller #10]

Ähhhm kann/macht sich der Virus nur breit (machen), wenn man nen Server hat ???

[Lucky]

Hallo,

das hoffe ich jetzt doch mal nicht, @Triller.

Ansonsten hätte ich mich jetzt umsonst die ganze Zeit mit dem Sch*** beschäftigt. :x

Auf den englischsprachigen Seiten muß man(n) sich erstmal zurechtfinden, um nicht jeden Blödsinn herunterzuladen.

Gruß,
Lucky

[Tom]

Ähhhm kann/macht sich der Virus nur breit (machen), wenn man nen Server hat ???

Nein!

[ScorePioneer]

Hab ihn auch... :evil:

Bin mal gespannt ob der scheiß hilft

[HNAT]

Dachte, dass ich ihn hatte, aber zum Glück nur falscher Alarm!
Abgesehen von dem dem Fix: Hier mal ne genaue Anleitung, wie man ihn wegbekommt
http://www.chip.de/artikel/c_artikel..._10835269.html

[ScorePioneer]

So das wars...

[Chris2003]

bei mir wars das auch.


Im TV kam gerade, dass man sich am Besten die Neue Microsoft Version runterladen soll. ich find den Link dazu aber nicht, kann mir jemand bitte helfen???

[General Action]

Hm, meinten die Windows updaten (im Explorer "Extras" -> "Windows Update")???

Wenn nein, dann die Anleitung vom Tom befolgen.

[HNAT]

bei mir wars das auch.


Im TV kam gerade, dass man sich am Besten die Neue Microsoft Version runterladen soll. ich find den Link dazu aber nicht, kann mir jemand bitte helfen???

Du brauchst nur den Patch! Den findest du auf dem chip-Link, den ich bereits gepostet habe...

[HNAT]

Hm, meinten die Windows updaten (im Explorer "Extras" -> "Windows Update")???

Wenn nein, dann die Anleitung vom Tom befolgen.

http://www.chip.de/artikel/c_artikel..._10835269.html
und das hier:
http://www.sarc.com/avcenter/venc/da...oval.tool.html
und schon ist alles ok!

[General Action]

Jo, hab ich schon ausgeführt, hab mich nur gewundert, was die von "Windows Update" im Fernsehn erzählen, weil bei den automatischen Updates ist der Patch ja garnicht dabei.

[bigD]

Wie gut, dass das ServicePack2 für Win2k nur 128MB hat!
Aber ich denke, ich hab ihn auch wieder weg, nachdem ich einen ganzen Nachmittag mit dem sch*** vergeudet habe!
Echt ätzend das Teil - Copy/Paste, Dateien kopieren/verschieben, AntiVir usw. gingen nicht mehr...
Und ab dem 16.08 ginge es erst richtig los - da soll nämlich www.windowsupdate.com attackiert werden!

Wie habt ihr das Teil eigentlich bekommen?
Ich hab nämlich keine Erklärung dafür! (Keine emails mit Anhang, keine Datei-Downloads in letzter Zeit usw.)


Friede sei mit euren Rechnern
GuteNacht
cu bigD

[aev-andi]

Wie fängt man sich den Virus ein?Durch ne geöffnete Email???

[ScorePioneer]

Wie gut, dass das ServicePack2 für Win2k nur 128MB hat!
Aber ich denke, ich hab ihn auch wieder weg, nachdem ich einen ganzen Nachmittag mit dem sch*** vergeudet habe!
Echt ätzend das Teil - Copy/Paste, Dateien kopieren/verschieben, AntiVir usw. gingen nicht mehr...
Und ab dem 16.08 ginge es erst richtig los - da soll nämlich www.windowsupdate.com attackiert werden!

Wie habt ihr das Teil eigentlich bekommen?
Ich hab nämlich keine Erklärung dafür! (Keine emails mit Anhang, keine Datei-Downloads in letzter Zeit usw.)


Friede sei mit euren Rechnern
GuteNacht
cu bigD

Der Patch von Microsoft Win XP hat ca. 5,5 mb...
Die gleichen Sachen (Copy/Paste...) gingen bei mir auch nicht.

Ich habe auch schon ewig überlegt woher der gekommen ist - keine email mit anhang bekommen - keine dubiosen dateien downgeloadet... meinen pc hab ich erst seit 1 monat, also länger kann das noch nicht drauf gewesen sein. Ich hab nur mal ein Video von Lemieux Pressekonfi anschauen wollen und von einem USArmy Server "Americas Army" downgeloaded...

komisch

[Anonymous]

Wie fängt man sich den Virus ein?Durch ne geöffnete Email???

Nein ohne Mail!!!
Einfach os beim Surfen!!!

Njoa..........
Hab ja ne passende und richtig konfigurierte FireWall .
Da kommt so nen Kinderkack nischt durch. :P :P :P

[Urmel1974]

Hier noch was zum Lesen- insbesondere ist also Vorsicht geboten, wenn eine Fehlermeldung mit anschließendem Herunterfahren des PCs erscheint (ich kenne schon vier Leute, die dies hatten...):


http://www.heise.de/newsticker/data/dab-12.08.03-001/

Schutz vor RPC/DCOM-Wurm W32.Blaster

Der Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135. Zwei Schritte helfen, um einen Angriff des Wurms abzuwehren: Patch einspielen oder Port 135 blockieren -- im Zweifelsfall sollte man beides machen.

Der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst. Ein Paketfilter oder eine Firewall kann eingehende Verbindungsversuche über Port 135 sperren. Schon handelsübliche ISDN- und DSL-Router mit eingebauter Firewall blockieren derartige Angriffe erfolgreich. Ankommende Verbindungsversuche werden grundsätzlich ignoriert.

Wer über keinen Router zum Filtern verfügt, kann unter Windows XP die systemeigene Firewall unter den erweiterten Netzwerkeigenschaften einschalten. Windows-2000-Benutzern wird empfohlen, sich eine Personal Firewall, zum Beispiel Kerio Personal Firewall, zu installieren. Zusätzlich sollten die UDP- und TCP-Ports 137 bis 139, 445 und 593 blockiert werden. Ein Abschalten des RPC-Dienstes wird nicht empfohlen, da viele andere Dienste RPC benötigen.

W32.Blaster zeigt beim Angriff auf Systeme störende Nebeneffekte: Eine Fehlermeldung erscheint bei einigen Systemen in einem Pop-up-Window, mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Dieser Effekt beruht auf fehlender Kenntnis des Wurms über die Plattform des angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes auf dem Stack. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.