Also, viele dürften es schon mitbekommen haben, es geistert wieder mal ein Wurm im Internet rum bei dem plötzlich eine Meldung erscheint dass der PC in 60 sec. heruntergefahren wird. Dabei handelt es sich um einen Exploit der die Schwachstelle im RPC-Dienst ausnützt. Um diese Lücke zu schliessen ist ein Patch zu installieren, der bei M$ schon seit längerem erhältlich ist: http://www.microsoft.com/germany/ms/...inms03-026.htm
Verbreitung:
Der Wurm scannt zunächst das gesamte Subnetz nach offenen Ports 135 und geht dann dazu über zufällig ausgewählte Class B Subnetze zu scannen (255.255.0.0). Wenn ein offener Port 135 gefunden wird, wird der genannte Exploit dazu verwendet Zugang zu erlangen und eine Remote Shell auf dem betroffenen System zu starten. War diese Aktion erfolgreich, wird eine eingehende Verbindung auf Port 4444 hergestellt und das System wird angewiesen die Datei "msblast.exe" (UPX-gepackt, 6,176 bytes) mittels des FTP Services "tftp.exe" runterzuladen. Nach erfolgtem Download wird das System angewiesen, die Datei "msblast.exe" auf dem Remote-System auszuführen. Der Wurm schreibt einen Startaufruf in die Registry und beginnt nun seinerseits mit der Weiterverbreitung. Angenommene Schadensroutine: missbraucht PCs für DDoS-Angriffe.
Das macht der Wurm noch:
- Der Wurm kann bis zu 20 Verbindungen zu anderen betroffenen Systemen gleichzeitig aufrechterhalten
- Der Wurm infiziert XP und 2000er Systeme
- Da die Exploits auf den beiden Systemen unterschiedlich ablaufen und sich der Wurm für ein System „entscheiden“ muss, besteht die Chance, dass keine Infektion stattfindet, wenn versucht wird das falsche System zu infizieren (falscher Exploit-Code)
- Wenn der Wurm sich für das "falsche System entscheidet" (e.g. es ist XP installiert und er versucht den 2000er Code auszuführen) crasht der Prozess „svchost.exe“, das System wird unstabil und stürzt meistens ab, aber eine Infektion wird vermieden
-Wenn der Prozess „svchost.exe“ crasht wird u.U. ein Memory-Dump erstellt (user.dmp, svchost.exe.hdmp, oder vchost.exe.mdmp). Diese Dumps werden evtl. von Virenscannern als „DcomRpc.exploit“ oder „MS03-026 Exploit.Trojan“ identifiziert, da in dem Dump der schädliche Code gespeichert ist. Diese Meldungen sind jedoch harmlos und können ignoriert werden, d.h. die Dateien sind nicht infiziert und können einfach gelöscht werden. Die Existenz dieser Dateien weist lediglich auf einen evtl. fehlgeschlagenen Angriff hin
- Payload: Nach dem 16. eines Monats, oder wenn das aktuelle Datum zwischen Januar und August liegt, generiert der Wurm einen Thread, der nahezu ununterbrochen zufällig generierte Daten an windowsupdate.com sendet, was eine DDoS-Attacke auslöst (Distributed Denial of Service)
dacht mir grad, ach was. das ich das schon mal hatte trifft zu
(die meldung das der pc in 60 secs runtergefahren wird)
aber dann dacht ich mir
ach was da war ich selber schuld als ich den prozess svhost.exe geschlossen hab als dieser eine auslastung von 99% verursacht hatte und dann eben die meldung kam
Wen hats den von euch erwischt?
Bei mir wurde der wurm vom Virenscanner abgefangen, zum glück saugt der jeden Tag automatisch die neusten Signaturen, also hat der keinen größeren schaden angerichtet, er war aber auf dem System drauf. jetzt habe ich auch gepatcht.
ich fass es nicht! ich bin so um 11 schwimmen gegangen und da kommen dann leute zu mir und sagen das deren pc alle60 sec neustarten! ich sagte installier windows neu! auf einmal krieg ich handy anrufe die leider nicht annehmen konnte! als ich eben zuhause ankám hab ich von einen bekannten gehört das ein wurm das alles ausgelöst hat! ich fass es nicht die hälfte der leute die ich heute getroffen habe hatten den wurm! Puhh ich zum glück nicht! obwohl ich heute morgen die ganze zeit im net war!
ich fass es nicht! ich bin so um 11 schwimmen gegangen und da kommen dann leute zu mir und sagen das deren pc alle60 sec neustarten! ich sagte installier windows neu!
ach glaubst du das ich bock habe zu denen dann nach hause zufahren und zu gucken was der fehler ist! ich hab noch 2 tage ferien und da soll mich keinr nerven! Verstehst du doch ne? Was hättest du den in meiner situation gemacht ?
Da haben wir's mal wieder...
Jeder, der seinen PC nicht ordentlich absichert, hat mal wieder eine kleine "Erinnerung" bekommen
Selbst schuld kann ich da nur sagen! Ihr lasst doch auch nicht Euer Auto offen auf der Strasse stehen, warum dann den PC offen ans Internet hängen??? Das werd ich nie verstehn
Das Problem bei mir ist/war, daß die Datei msblast.exe nicht der einzige Verursacher des Chaos ist...
Nachdem ich den patch installiert habe, crashed zwar xp nicht mehr, aber ich habe einen Haufen Traffic auf dem rc-port 135. Der ist jetzt dicht. Dank zonealarm....
Da haben wir's mal wieder...
Jeder, der seinen PC nicht ordentlich absichert, hat mal wieder eine kleine "Erinnerung" bekommen
Selbst schuld kann ich da nur sagen! Ihr lasst doch auch nicht Euer Auto offen auf der Strasse stehen, warum dann den PC offen ans Internet hängen??? Das werd ich nie verstehn
Das Problem bei mir ist/war, daß die Datei msblast.exe nicht der einzige Verursacher des Chaos ist...
Nachdem ich den patch installiert habe, crashed zwar xp nicht mehr, aber ich habe einen Haufen Traffic auf dem rc-port 135. Der ist jetzt dicht. Dank zonealarm....
alienleader
Den Traffic auf Port 135 verursacht doch gerade MSblast.exe, darüber verbreitet der sich doch.
naja, die Hacker usw. sind schon bescheuerte Typen
der jenige entwickler von msblast wird sich schon todlachen, was sein Wurm angerichtet hatt,
1,5 mill Rechner in der USA down nur wegen so ein Wurm der eine Sicherheitslücke von Windows benutzt, nicht schlecht
tja Microsoft, Programmier mal was besseres und Pflick nicht alles so zusammen