UPDATE - Wurm geistert erneut durchs Internet

Windows Seit kurzer Zeit haben viele Windows User das selbe Problem, sie bekommen eine Meldung bei der es heißt, das der PC innerhalb von einer Minute runter gefahren wird, der Restart erfolgt natürlich nach dieser Zeit. Hierbei handelt es sich um einen ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Gibt es keinen Direktlink zum Download oder bin ich nur zu blöd ihn zu finden? Hab mir den Patch von

http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm$Patch

gezogen und hoffe das er hilft (da shutdown -a ja ganz nett ist, allerdings Administratorenrechte benötigt, oder?)
 
Wie nicht bekannt....?

http://www.heise.de/security/news/meldung/39129
 
Gerade mal Installiert mal sehen ob der Patch hilft oder net.
mmmm komische Geschichte kommt fast alle 5 Minuten beim Surfen, aber mal schauen was die Medizin bewirkt.....
 
http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe
 
Das Problem herrschte bereits gestern Abend gegen 19 Uhr rum,weil ab da ein Wurm mit der Bezeichnung W32.Blaster.Worm sein Unwesen trieb und sich rasend schnell im Netz verbreitete.
Danach hatten die Leute die diesen Patch nicht drauf hatten ,diese ständigen Reboot Probs.Wurde ja schon heiss diskutiert in diversen Boards*ggg* Weil dieser Patch über die Autoupdate Funktion nicht verfügbar war.Tja das ist Microsoft eben.
 
Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet.

Betroffene Systeme

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Frühere Versionen werden von Microsoft nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Schwachstelle betroffen.

Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.

Einfallstor
TCP-Port 135. Zur Weiterverbreitung sind wahrscheinlich UDP-Port 69 (TFTP) und TCP-Port 4444 erforderlich.

Auswirkung
Momentan ist nur bekannt, daß das befallene System zu Scannen beginnt.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Seit etwa 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet offenbar den Servicepack-unabhängigen Exploit für Windows 2000, wodurch Windows-XP-Systeme eventuell durch diesen Wurm nicht gefährdet sind. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt wahrscheinlich mit TFTP (UDP-Port 69) und TCP-Port 4444. Zur Eindämmung ist es also empfehlenswerte, diese Ports zu filtern.

Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird.

Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dies schlägt sich in der Zahl der Scans auf TCP-Port 135 nieder und in der Zahl der Quellen

Gegenmaßnahmen

Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist.
Da die Verbreitung über die Festplatte erfolgt, wird wahrscheinlich Antiviren-Software nach einem Signatur-Update die Verbreitung unterbinden können

Die Jungs von ieXbeta warn bischen schneller diesmal *gggg*
 
Antwort auf den Kommentar von SBT111 --> naja dafür sind sie auch mal langsamer und übernehmen News von hier - ist doch auch schön, hauptsache der Informationsfluss klappt bei solchen Problemen und wer dann "schneller" war, ist mir eigentlich schnurzegal, solange Anwendern geholfen werden kann!
 
@Teal_One: 'shutdown -a' verschafft Dir lediglich die Zeit um den Patch zu installieren. Sollte der Befehl wirklich administrative Rechte verlangen, so solltest Du beim Hochfahren in das Bootmenü von Windows gehen (F8) und in den abgesicherten Modus wechseln, dort tritt der Fehler nämlich nicht auf. Führe dann dort den vorher heruntergeladenen Patch aus.

Aus eigener Erfahrung kann ich sagen, dass es sich bei diesem Phänomen definitiv NICHT um einen Bug handelt. Der Befehlssatz zum Beenden des Remoteprozeduraufrufs wird von einer Datei ausgeführt, die sich 'msblast.exe' nennt und sich im WINDOWS\system32-Ordner niederlässt. Das gemeine daran: die Datei erzeugt Registryeinträge, durch die es beim Start von Windows mitgestartet wird und es legt stets eine Sicherungskopie von sich selbst an, die dann als 2. Instanz gestartet wird. Allerdings hat diese 2. Instanz einen anderen, recht herkömmlichen und unauffälligen Namen. Sollte die 'msblast.exe' dann also gelöscht werden (und auch Ihr RegistryEintrag) so schaltet sich die 2. Instanz des Prpgramms aktiv, übernimmt dessen Job und "installiert" die 'msblast.exe' inklusive RegistryEintrag neu. Dem Sack is also nich so leicht beizukommen wie Ihr seht. Leider heisst das auch, dass der Patch diese msblast.exe nicht entfernt, sondern lediglich eindämmt.
Es ist also Vorsicht geboten! Da das Programm unter allen Umständen versucht sich selbst zu erhalten ist die Wahrscheinlichkeit groß, dass es sich hierbei um einen Trojaner handelt (der Patch wurde ja auch extra gemacht um Zugriff zu verweigern). Überprüft nach Installation des Patchs auf alle Fälle ob irgendwas bei Euch installiert wurde, oder was von Eurem Rechner gelöscht wurde und lasst einen intensiven Virenscan laufen.

Greetz,
The.Wishmaster

P.s.: Die Datei muss nicht unbedingt msblast.exe heissen... Is nur bei den meisten Usern der Fall. Auch bei mir.
 
Öhm... ok... dann isses halt ein Wurm... So schnell war ich dann doch wieder nicht...
 
den Patch gibt´s aber schon seit 16.Juli...ich selber habe ihn seit 22.Juli drauf....
 
Dieser BUG ist wirklich spektakulär geworden überall jammern die User, dabei sind sie selber Schuld, es stand auf allen NewsSeiten das der BUG sowie Wurm oder IRC Bot durch diese Schwachstelle 2k & XP Rechner übernommen werden können.

Tips:
DCOM und RPC in 2k und XP kicken
http://www.computer-security.ch/ids/default.asp?TopicID=164
oder es ist der Wurm
http://cert.uni-stuttgart.de/ticker/article.php?mid=1132
so kickste den Wurm wieder
http://www.14orbits.com/
oder sogar ein IRC Bot
guckst du hier
http://www.heise.de/security/news/meldung/39139

Wir bestimmt ein lustiger Tag bis das alle geschnallt haben^^

 
Tja, manche User waren aber auch im Urlaub und haben es deshalb nicht mitbekommen dass eine Schwachstelle entdeckt wurde. Für mich und für bestimmt viele andere auch, wäre es jetzt wichtig zu wissen welcher Virenscanner den Virus abfängt oder ob es ein Removal-Tool für den/die Virus(Viren)/Wurm(Würmer) gibt.
Eine 100% Lösung wäre natürlich am besten :-).
 
Diesen Patch gibt es auch unter Windows Update:
821557: Sicherheitsupdate (Windows XP)
 
Keine Probleme damit. Höre ich zum ersten mal. ABer bin auch genug abgesichert...
 
Guten morgen,
ist dieser Patch nicht auch schon im SP4 von win2k integriert?!
 
tach auch ... jetzt hab ich mal ne frage - bin selbst seit gestern abend von dem problem betroffen: wie kann man sich denn mit dem wurm (oder was auch immer) infizieren !? bin zwar im irc unterwegs (weil mal die rede von irc bots war) - habe aber weder irgendwelche files geschickt bekommen noch sonst irgendwas ... ?
 
schon vor 1 monat gepatchet... viele haben nicht aufgepasst. faul zu suchen & patchen? ja schon. winfuture hat letzte Monat bereit geschreiben, wiederholung. naja
 
Antwort auf den Kommentar von Comet2000Deaf

Ist aber wohl notwendig...weil jetzt wohl auch der letzte Kiddie sich die im I-Net kursierenden Exploids übersetzt hat wie 2K und XP Systeme zu kicken sind :D
 
ich hab remoteZugriff aus aber trotzdem hatt's bei mir restartet
der "remoteprozeduraufruf" wurde immer beendet, ich hab es zwar deaktiviert, dass der PC neu gestartet hat aber trotzdem konnte man ohne den Dienst nich arbeiten *grrr*
 
Antwort auf den Kommentar von [3dfx]

ohne den DCOM zu kicken wird das nicht helfen mit dem Patch ImHo :)
 
http://securityresponse.symantec.com/avcenter/FixBlast.exe Hier ein tool von symantec zum entfernen des Wurmes *g*
 
Verweise auf mein Topic weiter oben

und hier BRANDAKTUELL!!!!

http://www.heise.de/security/news/meldung/39347
 
Unglaublich, dass es immer noch welche gibt, die den Patch noch nicht installiert haben. Dabei haben selbst Heise, Steven Bink (Microsoft's meistgeachtester freiwlliger Mitarbeiter :-) und auch WinFuture.de explizit darauf hingewiesen. "Diese Bug hat mehr Poetential als bei SQL Slammer - installiert den Patch!" - "Es kursieren erste Exploits - installiert jetzt den Patch!" - "Es kursiert ein erstes Root-Toolkit - installiert jetzt endlich den verdammten Patch!" - Wer's immer noch nicht begriffen hatte: SELBER SCHULD!
 
ausführlicher nochmal hier behaldelt
http://www.equaliza.com/page/?page=news&cmd=comments&nid=70
 
lol versucht mal in einer minute nichts ahnend onlinebanking zu betreiben wenn soein fuck kommt *gg* , dämliche spinner nix besseres zutun als soein Rotz zu vabritzieren
 
Ich finde das Programm keinen Rotz.
Im Gegenteil, es stellt auf harmlose Weise dar, was alles passieren kann wenn man den Patch nicht installiert hat. Es hätte durchaus andere Programme geben können die weitaus schädigender gewirkt hätten.
 
Hm also das Tool von Symantec stürtzt bei mir dauernd ab! sagt imme rzugriffs fehler im speicher 0093123blabla....!
??
 
Help,

seit ich das Update 823980 (über automatisches Winupdate) auf meinem Server 2003 installiert habe, kannich von den XP PCs nicht mehr auf die Freigaben zugreifen ???
Hat jemand ne Lössung ?
 
Voll nervig die Sache. Bei uns im Laden mindestens 8 Kunden gewesen und am heulen: "Mein PC ist kaputt. Internet geht nicht mehr. Heul..." Das die Leute so absolut keinen Peil haben und beim kleinsten Kram gleich zum Händler gerannt kommen. :-(
Aber Dank Computer Bild wird ja jedem DAU eingeredet, jeder könnte heute einen PC bedienen und das müsse alles immer laufen...
 
Antwort auf den Kommentar von Black_Spider...
stimmt - muss dir recht geben und kann nur zustimmen - wenn man(n) mal überlegt wegen welchen scheiß die zum händler rennen...
aber bei uns auf arbeit nix anderes, "ich bekomm die Diskette nicht rein - HILFE - brauch 'nen neuen Rechner" tzzz - Hallo? Diskettenschloß!
Sorry, gehört zwar nicht zum Thema aber musste mal gesagt werden!
 
Antwort auf den Kommentar von Black_Spider.......Sei doch froh das die Leute in den Laden kommen.....denn erwarten sie ja halt Hilfe und zeigen Ihr Vertrauen.............Schlimmer ist es doch, wenn die Leute nicht kommen würden.......denn dann ist auch bald Dein Arbeitsplaztz über......Hast Du das schon mal überlegt.......Ich arbeite auchin einen Computerladen und gestern und auch noch heute kommen die leute oder rufen an.....Aber wir helfen jeden...Denn wenn ein Kunde zufrieden ist, kommt er auch gerne wieder...........
 
Antwort auf den Kommentar von Black_Spider............

Es werden 2 Arbeitsplätze frei......Black_Spider und megolk haben keinen Bock auf Ihre "Kunden".......Da sollte der Chef sich mal überlegen, ob die Kunden auch keinen Bock mehr auf die "2" haben......
Auf Deutsch....Wer so negativ denkt, der ist ein schlechter Verkäufer und hat in einen Laden nichts zusuchen,,,,,,,,,
 
Antwort auf den Kommentar von Black_Spider.....
@Lutz1965 habe keine kunden, bin admin in dem unternehmen und betreue netzwerk-user - und so negativ war das garnicht - war doch eher was lustiges...
 
Muss ich euch Recht geben, wenn die Leute Ahnung hätten, würden sie Windows gar nicht erst installieren :-)

@Black Spider, mich würde interessieren, ob du auch überall eine Peil hast und die Leute dich nicht auch irgendwann auslachen, nur weil du dich nicht für etwas bestimmtes interessierst, bzw dein Brot damit verdienst.
 
Hi, ich habe auch den Ärger mit dem RPC Dienst, habe den Dienst so eingestellt, das er bei allen Fehlern den Dienst bloß neu Startet und nicht den gesamten PC und gut ist, werde aber trotzdem den Patch Installieren(:
Egal, mein System ist eh schon von nem Wurm zerfressen ):
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles