UPDATE - Wurm geistert erneut durchs Internet

Gibt es keinen Direktlink zum Download oder bin ich nur zu blöd ihn zu finden? Hab mir den Patch von

http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm$Patch

gezogen und hoffe das er hilft (da shutdown -a ja ganz nett ist, allerdings Administratorenrechte benötigt, oder?)

Wie nicht bekannt....?

http://www.heise.de/security/news/meldung/39129

Gerade mal Installiert mal sehen ob der Patch hilft oder net.
mmmm komische Geschichte kommt fast alle 5 Minuten beim Surfen, aber mal schauen was die Medizin bewirkt.....

http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe

Das Problem herrschte bereits gestern Abend gegen 19 Uhr rum,weil ab da ein Wurm mit der Bezeichnung W32.Blaster.Worm sein Unwesen trieb und sich rasend schnell im Netz verbreitete.
Danach hatten die Leute die diesen Patch nicht drauf hatten ,diese ständigen Reboot Probs.Wurde ja schon heiss diskutiert in diversen Boards*ggg* Weil dieser Patch über die Autoupdate Funktion nicht verfügbar war.Tja das ist Microsoft eben.

Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet.

Betroffene Systeme

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Frühere Versionen werden von Microsoft nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Schwachstelle betroffen.

Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.

Einfallstor
TCP-Port 135. Zur Weiterverbreitung sind wahrscheinlich UDP-Port 69 (TFTP) und TCP-Port 4444 erforderlich.

Auswirkung
Momentan ist nur bekannt, daß das befallene System zu Scannen beginnt.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Seit etwa 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet offenbar den Servicepack-unabhängigen Exploit für Windows 2000, wodurch Windows-XP-Systeme eventuell durch diesen Wurm nicht gefährdet sind. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt wahrscheinlich mit TFTP (UDP-Port 69) und TCP-Port 4444. Zur Eindämmung ist es also empfehlenswerte, diese Ports zu filtern.

Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird.

Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dies schlägt sich in der Zahl der Scans auf TCP-Port 135 nieder und in der Zahl der Quellen

Gegenmaßnahmen

Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist.
Da die Verbreitung über die Festplatte erfolgt, wird wahrscheinlich Antiviren-Software nach einem Signatur-Update die Verbreitung unterbinden können

Die Jungs von ieXbeta warn bischen schneller diesmal *gggg*

@Teal_One: 'shutdown -a' verschafft Dir lediglich die Zeit um den Patch zu installieren. Sollte der Befehl wirklich administrative Rechte verlangen, so solltest Du beim Hochfahren in das Bootmenü von Windows gehen (F8) und in den abgesicherten Modus wechseln, dort tritt der Fehler nämlich nicht auf. Führe dann dort den vorher heruntergeladenen Patch aus.

Aus eigener Erfahrung kann ich sagen, dass es sich bei diesem Phänomen definitiv NICHT um einen Bug handelt. Der Befehlssatz zum Beenden des Remoteprozeduraufrufs wird von einer Datei ausgeführt, die sich 'msblast.exe' nennt und sich im WINDOWS\system32-Ordner niederlässt. Das gemeine daran: die Datei erzeugt Registryeinträge, durch die es beim Start von Windows mitgestartet wird und es legt stets eine Sicherungskopie von sich selbst an, die dann als 2. Instanz gestartet wird. Allerdings hat diese 2. Instanz einen anderen, recht herkömmlichen und unauffälligen Namen. Sollte die 'msblast.exe' dann also gelöscht werden (und auch Ihr RegistryEintrag) so schaltet sich die 2. Instanz des Prpgramms aktiv, übernimmt dessen Job und "installiert" die 'msblast.exe' inklusive RegistryEintrag neu. Dem Sack is also nich so leicht beizukommen wie Ihr seht. Leider heisst das auch, dass der Patch diese msblast.exe nicht entfernt, sondern lediglich eindämmt.
Es ist also Vorsicht geboten! Da das Programm unter allen Umständen versucht sich selbst zu erhalten ist die Wahrscheinlichkeit groß, dass es sich hierbei um einen Trojaner handelt (der Patch wurde ja auch extra gemacht um Zugriff zu verweigern). Überprüft nach Installation des Patchs auf alle Fälle ob irgendwas bei Euch installiert wurde, oder was von Eurem Rechner gelöscht wurde und lasst einen intensiven Virenscan laufen.

Greetz,
The.Wishmaster

P.s.: Die Datei muss nicht unbedingt msblast.exe heissen... Is nur bei den meisten Usern der Fall. Auch bei mir.

den Patch gibt´s aber schon seit 16.Juli...ich selber habe ihn seit 22.Juli drauf....

Dieser BUG ist wirklich spektakulär geworden überall jammern die User, dabei sind sie selber Schuld, es stand auf allen NewsSeiten das der BUG sowie Wurm oder IRC Bot durch diese Schwachstelle 2k & XP Rechner übernommen werden können.

Tips:
DCOM und RPC in 2k und XP kicken
http://www.computer-security.ch/ids/default.asp?TopicID=164
oder es ist der Wurm
http://cert.uni-stuttgart.de/ticker/article.php?mid=1132
so kickste den Wurm wieder
http://www.14orbits.com/
oder sogar ein IRC Bot
guckst du hier
http://www.heise.de/security/news/meldung/39139

Wir bestimmt ein lustiger Tag bis das alle geschnallt haben^^

Tja, manche User waren aber auch im Urlaub und haben es deshalb nicht mitbekommen dass eine Schwachstelle entdeckt wurde. Für mich und für bestimmt viele andere auch, wäre es jetzt wichtig zu wissen welcher Virenscanner den Virus abfängt oder ob es ein Removal-Tool für den/die Virus(Viren)/Wurm(Würmer) gibt.
Eine 100% Lösung wäre natürlich am besten :-).

Diesen Patch gibt es auch unter Windows Update:
821557: Sicherheitsupdate (Windows XP)

Keine Probleme damit. Höre ich zum ersten mal. ABer bin auch genug abgesichert...

Guten morgen,
ist dieser Patch nicht auch schon im SP4 von win2k integriert?!

tach auch ... jetzt hab ich mal ne frage - bin selbst seit gestern abend von dem problem betroffen: wie kann man sich denn mit dem wurm (oder was auch immer) infizieren !? bin zwar im irc unterwegs (weil mal die rede von irc bots war) - habe aber weder irgendwelche files geschickt bekommen noch sonst irgendwas ... ?

schon vor 1 monat gepatchet... viele haben nicht aufgepasst. faul zu suchen & patchen? ja schon. winfuture hat letzte Monat bereit geschreiben, wiederholung. naja

ich hab remoteZugriff aus aber trotzdem hatt's bei mir restartet
der "remoteprozeduraufruf" wurde immer beendet, ich hab es zwar deaktiviert, dass der PC neu gestartet hat aber trotzdem konnte man ohne den Dienst nich arbeiten *grrr*

http://securityresponse.symantec.com/avcenter/FixBlast.exe Hier ein tool von symantec zum entfernen des Wurmes *g*

Verweise auf mein Topic weiter oben

und hier BRANDAKTUELL!!!!

http://www.heise.de/security/news/meldung/39347

Unglaublich, dass es immer noch welche gibt, die den Patch noch nicht installiert haben. Dabei haben selbst Heise, Steven Bink (Microsoft's meistgeachtester freiwlliger Mitarbeiter :-) und auch WinFuture.de explizit darauf hingewiesen. "Diese Bug hat mehr Poetential als bei SQL Slammer - installiert den Patch!" - "Es kursieren erste Exploits - installiert jetzt den Patch!" - "Es kursiert ein erstes Root-Toolkit - installiert jetzt endlich den verdammten Patch!" - Wer's immer noch nicht begriffen hatte: SELBER SCHULD!

ausführlicher nochmal hier behaldelt
http://www.equaliza.com/page/?page=news&cmd=comments&nid=70

lol versucht mal in einer minute nichts ahnend onlinebanking zu betreiben wenn soein fuck kommt *gg* , dämliche spinner nix besseres zutun als soein Rotz zu vabritzieren

Ich finde das Programm keinen Rotz.
Im Gegenteil, es stellt auf harmlose Weise dar, was alles passieren kann wenn man den Patch nicht installiert hat. Es hätte durchaus andere Programme geben können die weitaus schädigender gewirkt hätten.

Hm also das Tool von Symantec stürtzt bei mir dauernd ab! sagt imme rzugriffs fehler im speicher 0093123blabla....!
??

Help,

seit ich das Update 823980 (über automatisches Winupdate) auf meinem Server 2003 installiert habe, kannich von den XP PCs nicht mehr auf die Freigaben zugreifen ???
Hat jemand ne Lössung ?

Voll nervig die Sache. Bei uns im Laden mindestens 8 Kunden gewesen und am heulen: "Mein PC ist kaputt. Internet geht nicht mehr. Heul..." Das die Leute so absolut keinen Peil haben und beim kleinsten Kram gleich zum Händler gerannt kommen. :-(
Aber Dank Computer Bild wird ja jedem DAU eingeredet, jeder könnte heute einen PC bedienen und das müsse alles immer laufen...

Muss ich euch Recht geben, wenn die Leute Ahnung hätten, würden sie Windows gar nicht erst installieren :-)

@Black Spider, mich würde interessieren, ob du auch überall eine Peil hast und die Leute dich nicht auch irgendwann auslachen, nur weil du dich nicht für etwas bestimmtes interessierst, bzw dein Brot damit verdienst.

Hi, ich habe auch den Ärger mit dem RPC Dienst, habe den Dienst so eingestellt, das er bei allen Fehlern den Dienst bloß neu Startet und nicht den gesamten PC und gut ist, werde aber trotzdem den Patch Installieren(:
Egal, mein System ist eh schon von nem Wurm zerfressen ):