UPDATE - Wurm geistert erneut durchs Internet

Diese Nachricht vollständig anzeigen.
Kommentar abgeben
Netiquette beachten!
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- Windows:
Neue Nachrichten
Beliebte Nachrichten
Videos
WinFuture Mobil

Nachrichten und Kommentare auf
dem Smartphone lesen.
Meist kommentierte Nachrichten
Forum
-
Plötzliche Performanceprobleme
fabian61188 - vor 1 Stunde -
Update von 1909 auf 20H2 funktioniert nicht
WalterB - vor 1 Stunde -
Gaming/Video editing PC
JollyRoger2408 - Gestern 23:31 Uhr -
Task auslesen und in variable schreiben
stefan4711 - Gestern 20:34 Uhr -
Libre Office 7 inkompatibel zu 8.1?
T-Ghost - Gestern 20:31 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Affiliate-Links,
um WinFuture zu unterstützen:
Vielen Dank!
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm$Patch
gezogen und hoffe das er hilft (da shutdown -a ja ganz nett ist, allerdings Administratorenrechte benötigt, oder?)
http://www.heise.de/security/news/meldung/39129
mmmm komische Geschichte kommt fast alle 5 Minuten beim Surfen, aber mal schauen was die Medizin bewirkt.....
Danach hatten die Leute die diesen Patch nicht drauf hatten ,diese ständigen Reboot Probs.Wurde ja schon heiss diskutiert in diversen Boards*ggg* Weil dieser Patch über die Autoupdate Funktion nicht verfügbar war.Tja das ist Microsoft eben.
Betroffene Systeme
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Frühere Versionen werden von Microsoft nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Schwachstelle betroffen.
Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.
Einfallstor
TCP-Port 135. Zur Weiterverbreitung sind wahrscheinlich UDP-Port 69 (TFTP) und TCP-Port 4444 erforderlich.
Auswirkung
Momentan ist nur bekannt, daß das befallene System zu Scannen beginnt.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Seit etwa 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet offenbar den Servicepack-unabhängigen Exploit für Windows 2000, wodurch Windows-XP-Systeme eventuell durch diesen Wurm nicht gefährdet sind. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt wahrscheinlich mit TFTP (UDP-Port 69) und TCP-Port 4444. Zur Eindämmung ist es also empfehlenswerte, diese Ports zu filtern.
Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird.
Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dies schlägt sich in der Zahl der Scans auf TCP-Port 135 nieder und in der Zahl der Quellen
Gegenmaßnahmen
Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist.
Da die Verbreitung über die Festplatte erfolgt, wird wahrscheinlich Antiviren-Software nach einem Signatur-Update die Verbreitung unterbinden können
Die Jungs von ieXbeta warn bischen schneller diesmal *gggg*
Aus eigener Erfahrung kann ich sagen, dass es sich bei diesem Phänomen definitiv NICHT um einen Bug handelt. Der Befehlssatz zum Beenden des Remoteprozeduraufrufs wird von einer Datei ausgeführt, die sich 'msblast.exe' nennt und sich im WINDOWS\system32-Ordner niederlässt. Das gemeine daran: die Datei erzeugt Registryeinträge, durch die es beim Start von Windows mitgestartet wird und es legt stets eine Sicherungskopie von sich selbst an, die dann als 2. Instanz gestartet wird. Allerdings hat diese 2. Instanz einen anderen, recht herkömmlichen und unauffälligen Namen. Sollte die 'msblast.exe' dann also gelöscht werden (und auch Ihr RegistryEintrag) so schaltet sich die 2. Instanz des Prpgramms aktiv, übernimmt dessen Job und "installiert" die 'msblast.exe' inklusive RegistryEintrag neu. Dem Sack is also nich so leicht beizukommen wie Ihr seht. Leider heisst das auch, dass der Patch diese msblast.exe nicht entfernt, sondern lediglich eindämmt.
Es ist also Vorsicht geboten! Da das Programm unter allen Umständen versucht sich selbst zu erhalten ist die Wahrscheinlichkeit groß, dass es sich hierbei um einen Trojaner handelt (der Patch wurde ja auch extra gemacht um Zugriff zu verweigern). Überprüft nach Installation des Patchs auf alle Fälle ob irgendwas bei Euch installiert wurde, oder was von Eurem Rechner gelöscht wurde und lasst einen intensiven Virenscan laufen.
Greetz,
The.Wishmaster
P.s.: Die Datei muss nicht unbedingt msblast.exe heissen... Is nur bei den meisten Usern der Fall. Auch bei mir.
Tips:
DCOM und RPC in 2k und XP kicken
http://www.computer-security.ch/ids/default.asp?TopicID=164
oder es ist der Wurm
http://cert.uni-stuttgart.de/ticker/article.php?mid=1132
so kickste den Wurm wieder
http://www.14orbits.com/
oder sogar ein IRC Bot
guckst du hier
http://www.heise.de/security/news/meldung/39139
Wir bestimmt ein lustiger Tag bis das alle geschnallt haben^^
Eine 100% Lösung wäre natürlich am besten :-).
821557: Sicherheitsupdate (Windows XP)
ist dieser Patch nicht auch schon im SP4 von win2k integriert?!
Ist aber wohl notwendig...weil jetzt wohl auch der letzte Kiddie sich die im I-Net kursierenden Exploids übersetzt hat wie 2K und XP Systeme zu kicken sind :D
der "remoteprozeduraufruf" wurde immer beendet, ich hab es zwar deaktiviert, dass der PC neu gestartet hat aber trotzdem konnte man ohne den Dienst nich arbeiten *grrr*
ohne den DCOM zu kicken wird das nicht helfen mit dem Patch ImHo :)
und hier BRANDAKTUELL!!!!
http://www.heise.de/security/news/meldung/39347
http://www.equaliza.com/page/?page=news&cmd=comments&nid=70
Im Gegenteil, es stellt auf harmlose Weise dar, was alles passieren kann wenn man den Patch nicht installiert hat. Es hätte durchaus andere Programme geben können die weitaus schädigender gewirkt hätten.
??
seit ich das Update 823980 (über automatisches Winupdate) auf meinem Server 2003 installiert habe, kannich von den XP PCs nicht mehr auf die Freigaben zugreifen ???
Hat jemand ne Lössung ?
Aber Dank Computer Bild wird ja jedem DAU eingeredet, jeder könnte heute einen PC bedienen und das müsse alles immer laufen...
stimmt - muss dir recht geben und kann nur zustimmen - wenn man(n) mal überlegt wegen welchen scheiß die zum händler rennen...
aber bei uns auf arbeit nix anderes, "ich bekomm die Diskette nicht rein - HILFE - brauch 'nen neuen Rechner" tzzz - Hallo? Diskettenschloß!
Sorry, gehört zwar nicht zum Thema aber musste mal gesagt werden!
Es werden 2 Arbeitsplätze frei......Black_Spider und megolk haben keinen Bock auf Ihre "Kunden".......Da sollte der Chef sich mal überlegen, ob die Kunden auch keinen Bock mehr auf die "2" haben......
Auf Deutsch....Wer so negativ denkt, der ist ein schlechter Verkäufer und hat in einen Laden nichts zusuchen,,,,,,,,,
@Lutz1965 habe keine kunden, bin admin in dem unternehmen und betreue netzwerk-user - und so negativ war das garnicht - war doch eher was lustiges...
@Black Spider, mich würde interessieren, ob du auch überall eine Peil hast und die Leute dich nicht auch irgendwann auslachen, nur weil du dich nicht für etwas bestimmtes interessierst, bzw dein Brot damit verdienst.
Egal, mein System ist eh schon von nem Wurm zerfressen ):