|
der Wurm msblast, eine Zusammenfassung ist von GIGA, sind alle relevanten Links dabei [quote]Also, viele dürften es schon mitbekommen haben, es geistert wieder mal ein Wurm im Internet rum bei dem plötzlich eine Meldung erscheint dass der PC in 60 sec. heruntergefahren wird. Dabei handelt es sich um einen Exploit der die Schwachstelle im RPC-Dienst ausnützt. Um diese Lücke zu schliessen ist ein Patch zu installieren, der bei M$ schon seit längerem erhältlich ist: [url]http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm[/url] Verbreitung: Der Wurm scannt zunächst das gesamte Subnetz nach offenen Ports 135 und geht dann dazu über zufällig ausgewählte Class B Subnetze zu scannen (255.255.0.0). Wenn ein offener Port 135 gefunden wird, wird der genannte Exploit dazu verwendet Zugang zu erlangen und eine Remote Shell auf dem betroffenen System zu starten. War diese Aktion erfolgreich, wird eine eingehende Verbindung auf Port 4444 hergestellt und das System wird angewiesen die Datei "msblast.exe" (UPX-gepackt, 6,176 bytes) mittels des FTP Services "tftp.exe" runterzuladen. Nach erfolgtem Download wird das System angewiesen, die Datei "msblast.exe" auf dem Remote-System auszuführen. Der Wurm schreibt einen Startaufruf in die Registry und beginnt nun seinerseits mit der Weiterverbreitung. Angenommene Schadensroutine: missbraucht PCs für DDoS-Angriffe. Das macht der Wurm noch: - Der Wurm kann bis zu 20 Verbindungen zu anderen betroffenen Systemen gleichzeitig aufrechterhalten - Der Wurm infiziert XP und 2000er Systeme - Da die Exploits auf den beiden Systemen unterschiedlich ablaufen und sich der Wurm für ein System „entscheiden“ muss, besteht die Chance, dass keine Infektion stattfindet, wenn versucht wird das falsche System zu infizieren (falscher Exploit-Code) - Wenn der Wurm sich für das "falsche System entscheidet" (e.g. es ist XP installiert und er versucht den 2000er Code auszuführen) crasht der Prozess „svchost.exe“, das System wird unstabil und stürzt meistens ab, aber eine Infektion wird vermieden -Wenn der Prozess „svchost.exe“ crasht wird u.U. ein Memory-Dump erstellt (user.dmp, svchost.exe.hdmp, oder vchost.exe.mdmp). Diese Dumps werden evtl. von Virenscannern als „DcomRpc.exploit“ oder „MS03-026 Exploit.Trojan“ identifiziert, da in dem Dump der schädliche Code gespeichert ist. Diese Meldungen sind jedoch harmlos und können ignoriert werden, d.h. die Dateien sind nicht infiziert und können einfach gelöscht werden. Die Existenz dieser Dateien weist lediglich auf einen evtl. fehlgeschlagenen Angriff hin - Payload: Nach dem 16. eines Monats, oder wenn das aktuelle Datum zwischen Januar und August liegt, generiert der Wurm einen Thread, der nahezu ununterbrochen zufällig generierte Daten an windowsupdate.com sendet, was eine DDoS-Attacke auslöst (Distributed Denial of Service) Infos von AV-Herstellern (AntiViren): [url]http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547[/url] (W32/Lovsan.worm) [url]http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=40369[/url] (W32/Blaster) [url]http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MSBLAST.A[/url] (WORM_MSBLAST.A) [url]http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html[/url] (W32.Blaster.Worm) [url]http://www.europe.f-secure.com/v-descs/msblast.shtml[/url] [url]http://vil.nai.com/vil/content/v_100547.htm[/url] [url]http://www.sophos.com/virusinfo/analyses/w32blastera.html[/url] Weitere Infos zu diesem Wurm: [url]http://de.secunia.com/advisories/9287/[/url] [url]http://www.heise.de/security/news/meldung/38913[/url] [url]http://www.heise.de/security/news/meldung/38939[/url] [url]http://cert.uni-stuttgart.de/ticker/article.php?mid=1124[/url] [url]http://cert.uni-stuttgart.de/ticker/article.php?mid=1132[/url] [url]http://www.europe.f-secure.com/v-descs/rpc.shtml[/url] [url]http://isc.sans.org/diary.html?date=2003-08-11[/url] Tools um den Wurm zu entfernen: [url]http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html[/url] [url]http://de.trendmicro-europe.com/enterprise/support/tsc.php[/url][/quote] |
hmm.... dacht mir grad, ach was. das ich das schon mal hatte trifft zu (die meldung das der pc in 60 secs runtergefahren wird) aber dann dacht ich mir ach was da war ich selber schuld als ich den prozess svhost.exe geschlossen hab als dieser eine auslastung von 99% verursacht hatte und dann eben die meldung kam bis ich grad ein paar zeilen weitergelesen hab :roll: werd das jetz mal checken |
[url]http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html[/url] danch wird man gefragt, ob man zu ms weitergeleitet werden soll, für den patch download |
Das Problem an sich haben wir ja schon im Forum --> [url=http://forum.tweakpc.de/viewtopic.php?t=13456]hier[/url] UnoOC |
Wen hats den von euch erwischt? Bei mir wurde der wurm vom Virenscanner abgefangen, zum glück saugt der jeden Tag automatisch die neusten Signaturen, also hat der keinen größeren schaden angerichtet, er war aber auf dem System drauf. jetzt habe ich auch gepatcht. |
bei mir nicht, aber bei einem kumpel. hab ihm mal den link für den patch geschickt. welchen antivirus hast du? |
F-Secure. Das benuzt 3 Scanengines gleichzeitig, also 3 Scanner in einem, ist echt gut. |
danke. was hälst du von kaspersky? schneidet eigentlich auch überall nicht schlecht ab. |
Bei mir ist er gar nicht aufgetaucht, auch wenn der PC 24/7 online ist - kann aber auch an der Firewall liegen - kA |
ich fass es nicht! ich bin so um 11 schwimmen gegangen und da kommen dann leute zu mir und sagen das deren pc alle60 sec neustarten! ich sagte installier windows neu! auf einmal krieg ich handy anrufe die leider nicht annehmen konnte! als ich eben zuhause ankám hab ich von einen bekannten gehört das ein wurm das alles ausgelöst hat! ich fass es nicht die hälfte der leute die ich heute getroffen habe hatten den wurm! Puhh ich zum glück nicht! obwohl ich heute morgen die ganze zeit im net war! |
[quote=MoRecords]ich fass es nicht! ich bin so um 11 schwimmen gegangen und da kommen dann leute zu mir und sagen das deren pc alle60 sec neustarten! ich sagte installier windows neu![/quote] Du schießt ja sehr schnell los :wink: |
ach glaubst du das ich bock habe zu denen dann nach hause zufahren und zu gucken was der fehler ist! ich hab noch 2 tage ferien und da soll mich keinr nerven! Verstehst du doch ne? Was hättest du den in meiner situation gemacht :cry: ? |
also mich hats auchnochtnicht erwischt... 24/7 rechner an... firewall läuft... update ist nix installiert :) |
mein rechner lief die letzten tage auch 24h, scheint so als ob meine firewall das schlimmste verhindert hat :!: |
Da haben wir's mal wieder... Jeder, der seinen PC nicht ordentlich absichert, hat mal wieder eine kleine "Erinnerung" bekommen ;-) Selbst schuld kann ich da nur sagen! Ihr lasst doch auch nicht Euer Auto offen auf der Strasse stehen, warum dann den PC offen ans Internet hängen??? Das werd ich nie verstehn |
Das Problem bei mir ist/war, daß die Datei msblast.exe nicht der einzige Verursacher des Chaos ist... Nachdem ich den patch installiert habe, crashed zwar xp nicht mehr, aber ich habe einen Haufen Traffic auf dem rc-port 135. Der ist jetzt dicht. Dank zonealarm.... alienleader |
[quote=Frank77]Da haben wir's mal wieder... Jeder, der seinen PC nicht ordentlich absichert, hat mal wieder eine kleine "Erinnerung" bekommen ;-) Selbst schuld kann ich da nur sagen! Ihr lasst doch auch nicht Euer Auto offen auf der Strasse stehen, warum dann den PC offen ans Internet hängen??? Das werd ich nie verstehn[/quote] Danke für die info... |
so noch eine schrecken Nachricht soweit ich von meinen Bekannten von OFP gehört habe von 16.08.03 bis 18.08.03 noch eine große Atacke auch bei mir fast jeden bis auf 3 hatt es erwischt, man innerhalb von 12h hatt es mehr al 55000 Rechner erwischt, hab ich gehört die Leute die sich nicht so auskennen haben da meist ihr Festplatte Formatiert ... :roll: auch einige Server hatt es erwischt krass was da passiert ist |
ich sag nur... absturz der svghost.exe.... hatte drei rechner im netz was meinste was gestern abging... 4 stundne virensuche...und gepatche zum schluss hat sich herausgestellt das mein i-net rechner sicheinfach nur verschluckt hatte... nix mit virus... |
[quote=Anonymous]Das Problem bei mir ist/war, daß die Datei msblast.exe nicht der einzige Verursacher des Chaos ist... Nachdem ich den patch installiert habe, crashed zwar xp nicht mehr, aber ich habe einen Haufen Traffic auf dem rc-port 135. Der ist jetzt dicht. Dank zonealarm.... alienleader[/quote] Den Traffic auf Port 135 verursacht doch gerade MSblast.exe, darüber verbreitet der sich doch. |
Juhuu!Gerade rechtzeitig noch alle Sicherheitsupdates installiert :D 8) ******* Hackerfutzies :evil: |
ich Update so oft wie es nur geht, ich wurde nicht befallen ich hab jedes Servicepack von der 1 bis zur 4 usw. |
Die sollte man alle [img]http://www.smiliemania.de/smilie.php?smile_ID=90[/img] |
oder [img]http://www.smiliemania.de/smilie.php?smile_ID=70[/img] |
naja, die Hacker usw. sind schon bescheuerte Typen der jenige entwickler von msblast wird sich schon todlachen, was sein Wurm angerichtet hatt, 1,5 mill Rechner in der USA down nur wegen so ein Wurm der eine Sicherheitslücke von Windows benutzt, nicht schlecht tja Microsoft, Programmier mal was besseres und Pflick nicht alles so zusammen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:02 Uhr. |
Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.