TweakPC

Zurück   Computer Hardware Forum - TweakPC > Games und Software > Security & SPAM

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 12.08.2003, 13:21   #1 (permalink)
Extrem Tweaker
 
Benutzerbild von Shader
 

Registriert seit: 24.07.2003
Beiträge: 1.951

Shader wird schon bald berühmt werden

Standard der Wurm msblast, eine Zusammenfassung

ist von GIGA, sind alle relevanten Links dabei

Zitat:
Also, viele dürften es schon mitbekommen haben, es geistert wieder mal ein Wurm im Internet rum bei dem plötzlich eine Meldung erscheint dass der PC in 60 sec. heruntergefahren wird. Dabei handelt es sich um einen Exploit der die Schwachstelle im RPC-Dienst ausnützt. Um diese Lücke zu schliessen ist ein Patch zu installieren, der bei M$ schon seit längerem erhältlich ist:
http://www.microsoft.com/germany/ms/...inms03-026.htm

Verbreitung:

Der Wurm scannt zunächst das gesamte Subnetz nach offenen Ports 135 und geht dann dazu über zufällig ausgewählte Class B Subnetze zu scannen (255.255.0.0). Wenn ein offener Port 135 gefunden wird, wird der genannte Exploit dazu verwendet Zugang zu erlangen und eine Remote Shell auf dem betroffenen System zu starten. War diese Aktion erfolgreich, wird eine eingehende Verbindung auf Port 4444 hergestellt und das System wird angewiesen die Datei "msblast.exe" (UPX-gepackt, 6,176 bytes) mittels des FTP Services "tftp.exe" runterzuladen. Nach erfolgtem Download wird das System angewiesen, die Datei "msblast.exe" auf dem Remote-System auszuführen. Der Wurm schreibt einen Startaufruf in die Registry und beginnt nun seinerseits mit der Weiterverbreitung. Angenommene Schadensroutine: missbraucht PCs für DDoS-Angriffe.

Das macht der Wurm noch:

- Der Wurm kann bis zu 20 Verbindungen zu anderen betroffenen Systemen gleichzeitig aufrechterhalten

- Der Wurm infiziert XP und 2000er Systeme

- Da die Exploits auf den beiden Systemen unterschiedlich ablaufen und sich der Wurm für ein System „entscheiden“ muss, besteht die Chance, dass keine Infektion stattfindet, wenn versucht wird das falsche System zu infizieren (falscher Exploit-Code)

- Wenn der Wurm sich für das "falsche System entscheidet" (e.g. es ist XP installiert und er versucht den 2000er Code auszuführen) crasht der Prozess „svchost.exe“, das System wird unstabil und stürzt meistens ab, aber eine Infektion wird vermieden

-Wenn der Prozess „svchost.exe“ crasht wird u.U. ein Memory-Dump erstellt (user.dmp, svchost.exe.hdmp, oder vchost.exe.mdmp). Diese Dumps werden evtl. von Virenscannern als „DcomRpc.exploit“ oder „MS03-026 Exploit.Trojan“ identifiziert, da in dem Dump der schädliche Code gespeichert ist. Diese Meldungen sind jedoch harmlos und können ignoriert werden, d.h. die Dateien sind nicht infiziert und können einfach gelöscht werden. Die Existenz dieser Dateien weist lediglich auf einen evtl. fehlgeschlagenen Angriff hin

- Payload: Nach dem 16. eines Monats, oder wenn das aktuelle Datum zwischen Januar und August liegt, generiert der Wurm einen Thread, der nahezu ununterbrochen zufällig generierte Daten an windowsupdate.com sendet, was eine DDoS-Attacke auslöst (Distributed Denial of Service)

Infos von AV-Herstellern (AntiViren):

http://de.mcafee.com/virusInfo/defau...virus_k=100547 (W32/Lovsan.worm)
http://www.pandasoftware.com/virus_i...?idvirus=40369 (W32/Blaster)
http://de.trendmicro-europe.com/ente...WORM_MSBLAST.A (WORM_MSBLAST.A)
http://securityresponse.symantec.com...ster.worm.html (W32.Blaster.Worm)
http://www.europe.f-secure.com/v-descs/msblast.shtml
http://vil.nai.com/vil/content/v_100547.htm
http://www.sophos.com/virusinfo/anal...2blastera.html

Weitere Infos zu diesem Wurm:

http://de.secunia.com/advisories/9287/
http://www.heise.de/security/news/meldung/38913
http://www.heise.de/security/news/meldung/38939
http://cert.uni-stuttgart.de/ticker/...e.php?mid=1124
http://cert.uni-stuttgart.de/ticker/...e.php?mid=1132
http://www.europe.f-secure.com/v-descs/rpc.shtml
http://isc.sans.org/diary.html?date=2003-08-11

Tools um den Wurm zu entfernen:

http://www.sarc.com/avcenter/venc/da...oval.tool.html
http://de.trendmicro-europe.com/ente...upport/tsc.php
Shader ist offline   Mit Zitat antworten
Alt 12.08.2003, 15:53   #2 (permalink)
Extrem Tweaker
 
Benutzerbild von Heaver
 

Registriert seit: 08.10.2002
Beiträge: 1.527

Heaver ist ein sehr geschätzer MenschHeaver ist ein sehr geschätzer MenschHeaver ist ein sehr geschätzer Mensch

Standard

hmm....

dacht mir grad, ach was. das ich das schon mal hatte trifft zu
(die meldung das der pc in 60 secs runtergefahren wird)
aber dann dacht ich mir
ach was da war ich selber schuld als ich den prozess svhost.exe geschlossen hab als dieser eine auslastung von 99% verursacht hatte und dann eben die meldung kam

bis ich grad ein paar zeilen weitergelesen hab

werd das jetz mal checken
Heaver ist offline   Mit Zitat antworten
Alt 12.08.2003, 16:07   #3 (permalink)
Hardware Freak
 

Registriert seit: 23.04.2002
Beiträge: 12.111

taxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäre

Standard

http://www.sarc.com/avcenter/venc/da...oval.tool.html

danch wird man gefragt, ob man zu ms weitergeleitet werden soll, für den patch download
taxi ist offline   Mit Zitat antworten
Alt 12.08.2003, 16:07   #4 (permalink)
Moralapostel und verheiratet
 
Benutzerbild von UnoOC
 

Registriert seit: 10.04.2002
Beiträge: 10.237

UnoOC kann auf vieles stolz seinUnoOC kann auf vieles stolz seinUnoOC kann auf vieles stolz seinUnoOC kann auf vieles stolz seinUnoOC kann auf vieles stolz seinUnoOC kann auf vieles stolz seinUnoOC kann auf vieles stolz seinUnoOC kann auf vieles stolz seinUnoOC kann auf vieles stolz sein

Standard

Das Problem an sich haben wir ja schon im Forum --> hier


UnoOC
UnoOC ist offline   Mit Zitat antworten
Alt 12.08.2003, 16:24   #5 (permalink)
Lecker Forenbrot
 
Benutzerbild von Pirke
 

Registriert seit: 10.04.2002
Beiträge: 14.992

Pirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz sein

Standard

Wen hats den von euch erwischt?
Bei mir wurde der wurm vom Virenscanner abgefangen, zum glück saugt der jeden Tag automatisch die neusten Signaturen, also hat der keinen größeren schaden angerichtet, er war aber auf dem System drauf. jetzt habe ich auch gepatcht.
"Was meinen Sie, was hier los wäre, wenn mehr Menschen begreifen würden, was hier los ist?" (Volker Pispers)
Mein System@Nethands -- Alice Deluxe: Erfahrungsbericht
Pirke ist offline   Mit Zitat antworten
Alt 12.08.2003, 17:26   #6 (permalink)
Overclocker
 

Registriert seit: 06.11.2002
Beiträge: 325

dude befindet sich auf einem aufstrebenden Ast

Standard

bei mir nicht, aber bei einem kumpel. hab ihm mal den link für den patch geschickt.

welchen antivirus hast du?
dude ist offline   Mit Zitat antworten
Alt 12.08.2003, 17:50   #7 (permalink)
Lecker Forenbrot
 
Benutzerbild von Pirke
 

Registriert seit: 10.04.2002
Beiträge: 14.992

Pirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz sein

Standard

F-Secure.
Das benuzt 3 Scanengines gleichzeitig, also 3 Scanner in einem, ist echt gut.
Pirke ist offline   Mit Zitat antworten
Alt 12.08.2003, 17:54   #8 (permalink)
Overclocker
 

Registriert seit: 06.11.2002
Beiträge: 325

dude befindet sich auf einem aufstrebenden Ast

Standard

danke. was hälst du von kaspersky? schneidet eigentlich auch überall nicht schlecht ab.
dude ist offline   Mit Zitat antworten
Alt 12.08.2003, 20:08   #9 (permalink)
Hardware Freak
 
Benutzerbild von Live
 

Registriert seit: 10.04.2002
Beiträge: 6.256

Live sorgt für eine eindrucksvolle AtmosphäreLive sorgt für eine eindrucksvolle AtmosphäreLive sorgt für eine eindrucksvolle Atmosphäre

Standard

Bei mir ist er gar nicht aufgetaucht, auch wenn der PC 24/7 online ist - kann aber auch an der Firewall liegen - kA
Live ist offline   Mit Zitat antworten
Alt 12.08.2003, 20:10   #10 (permalink)
Tweaker
 

Registriert seit: 30.06.2003
Beiträge: 676

MoRecords befindet sich auf einem aufstrebenden Ast

Standard

ich fass es nicht! ich bin so um 11 schwimmen gegangen und da kommen dann leute zu mir und sagen das deren pc alle60 sec neustarten! ich sagte installier windows neu! auf einmal krieg ich handy anrufe die leider nicht annehmen konnte! als ich eben zuhause ankám hab ich von einen bekannten gehört das ein wurm das alles ausgelöst hat! ich fass es nicht die hälfte der leute die ich heute getroffen habe hatten den wurm! Puhh ich zum glück nicht! obwohl ich heute morgen die ganze zeit im net war!
MoRecords ist offline   Mit Zitat antworten
Alt 12.08.2003, 20:18   #11 (permalink)
Hardware Freak
 
Benutzerbild von Live
 

Registriert seit: 10.04.2002
Beiträge: 6.256

Live sorgt für eine eindrucksvolle AtmosphäreLive sorgt für eine eindrucksvolle AtmosphäreLive sorgt für eine eindrucksvolle Atmosphäre

Standard

Zitat:
Zitat von MoRecords
ich fass es nicht! ich bin so um 11 schwimmen gegangen und da kommen dann leute zu mir und sagen das deren pc alle60 sec neustarten! ich sagte installier windows neu!
Du schießt ja sehr schnell los
Live ist offline   Mit Zitat antworten
Alt 12.08.2003, 20:21   #12 (permalink)
Tweaker
 

Registriert seit: 30.06.2003
Beiträge: 676

MoRecords befindet sich auf einem aufstrebenden Ast

Standard

ach glaubst du das ich bock habe zu denen dann nach hause zufahren und zu gucken was der fehler ist! ich hab noch 2 tage ferien und da soll mich keinr nerven! Verstehst du doch ne? Was hättest du den in meiner situation gemacht ?
MoRecords ist offline   Mit Zitat antworten
Alt 12.08.2003, 20:23   #13 (permalink)
Hardware Freak
 

Registriert seit: 23.04.2002
Beiträge: 12.111

taxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäre

Standard

also mich hats auchnochtnicht erwischt... 24/7 rechner an... firewall läuft... update ist nix installiert
taxi ist offline   Mit Zitat antworten
Alt 12.08.2003, 21:14   #14 (permalink)
PC Schrauber
 

Registriert seit: 11.04.2002
Beiträge: 143

Belzebub befindet sich auf einem aufstrebenden Ast

Standard

mein rechner lief die letzten tage auch 24h, scheint so als ob meine firewall das schlimmste verhindert hat
Belzebub ist offline   Mit Zitat antworten
Alt 12.08.2003, 21:31   #15 (permalink)
Taschenrechner
 

Registriert seit: 10.04.2002
Beiträge: 60

Frank77 befindet sich auf einem aufstrebenden Ast

Standard

Da haben wir's mal wieder...
Jeder, der seinen PC nicht ordentlich absichert, hat mal wieder eine kleine "Erinnerung" bekommen
Selbst schuld kann ich da nur sagen! Ihr lasst doch auch nicht Euer Auto offen auf der Strasse stehen, warum dann den PC offen ans Internet hängen??? Das werd ich nie verstehn
Frank77 ist offline   Mit Zitat antworten
Alt 12.08.2003, 22:29   #16 (permalink)
Gast
 

Registriert seit: 22.01.2002
Beiträge: 20.356

Gast befindet sich auf einem aufstrebenden Ast

Standard

Das Problem bei mir ist/war, daß die Datei msblast.exe nicht der einzige Verursacher des Chaos ist...

Nachdem ich den patch installiert habe, crashed zwar xp nicht mehr, aber ich habe einen Haufen Traffic auf dem rc-port 135. Der ist jetzt dicht. Dank zonealarm....

alienleader
Gast ist offline   Mit Zitat antworten
Alt 12.08.2003, 22:30   #17 (permalink)
Gast
 

Registriert seit: 22.01.2002
Beiträge: 20.356

Gast befindet sich auf einem aufstrebenden Ast

Standard

Zitat:
Zitat von Frank77
Da haben wir's mal wieder...
Jeder, der seinen PC nicht ordentlich absichert, hat mal wieder eine kleine "Erinnerung" bekommen
Selbst schuld kann ich da nur sagen! Ihr lasst doch auch nicht Euer Auto offen auf der Strasse stehen, warum dann den PC offen ans Internet hängen??? Das werd ich nie verstehn
Danke für die info...
Gast ist offline   Mit Zitat antworten
Alt 12.08.2003, 22:51   #18 (permalink)
Extrem Tweaker
 
Benutzerbild von Shader
 

Registriert seit: 24.07.2003
Beiträge: 1.951

Shader wird schon bald berühmt werden

Standard

so noch eine schrecken Nachricht
soweit ich von meinen Bekannten von OFP gehört habe
von 16.08.03 bis 18.08.03 noch eine große Atacke

auch bei mir fast jeden bis auf 3 hatt es erwischt, man innerhalb von 12h hatt es mehr al 55000 Rechner erwischt, hab ich gehört

die Leute die sich nicht so auskennen haben da meist ihr Festplatte Formatiert ...

auch einige Server hatt es erwischt

krass was da passiert ist
Shader ist offline   Mit Zitat antworten
Alt 13.08.2003, 06:46   #19 (permalink)
Hardware Freak
 
Benutzerbild von BomberD
 

Registriert seit: 10.04.2002
Beiträge: 7.476

BomberD ist ein wunderbarer AnblickBomberD ist ein wunderbarer AnblickBomberD ist ein wunderbarer AnblickBomberD ist ein wunderbarer AnblickBomberD ist ein wunderbarer AnblickBomberD ist ein wunderbarer Anblick

Standard

ich sag nur...

absturz der svghost.exe....

hatte drei rechner im netz was meinste was gestern abging... 4 stundne virensuche...und gepatche

zum schluss hat sich herausgestellt das mein i-net rechner sicheinfach nur verschluckt hatte... nix mit virus...
BomberD ist offline   Mit Zitat antworten
Alt 13.08.2003, 08:59   #20 (permalink)
Lecker Forenbrot
 
Benutzerbild von Pirke
 

Registriert seit: 10.04.2002
Beiträge: 14.992

Pirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz sein

Standard

Zitat:
Zitat von Anonymous
Das Problem bei mir ist/war, daß die Datei msblast.exe nicht der einzige Verursacher des Chaos ist...

Nachdem ich den patch installiert habe, crashed zwar xp nicht mehr, aber ich habe einen Haufen Traffic auf dem rc-port 135. Der ist jetzt dicht. Dank zonealarm....

alienleader
Den Traffic auf Port 135 verursacht doch gerade MSblast.exe, darüber verbreitet der sich doch.
Pirke ist offline   Mit Zitat antworten
Alt 13.08.2003, 20:42   #21 (permalink)
Extrem Tweaker
 

Registriert seit: 08.03.2003
Beiträge: 1.663

First Class wird schon bald berühmt werden

Standard

Juhuu!Gerade rechtzeitig noch alle Sicherheitsupdates installiert
******* Hackerfutzies
First Class ist offline   Mit Zitat antworten
Alt 13.08.2003, 20:47   #22 (permalink)
Extrem Tweaker
 
Benutzerbild von Shader
 

Registriert seit: 24.07.2003
Beiträge: 1.951

Shader wird schon bald berühmt werden

Standard

ich Update so oft wie es nur geht, ich wurde nicht befallen
ich hab jedes Servicepack von der 1 bis zur 4 usw.
Shader ist offline   Mit Zitat antworten
Alt 13.08.2003, 20:50   #23 (permalink)
Extrem Tweaker
 

Registriert seit: 08.03.2003
Beiträge: 1.663

First Class wird schon bald berühmt werden

Standard

Die sollte man alle

http://www.smiliemania.de/smilie.php?smile_ID=90
First Class ist offline   Mit Zitat antworten
Alt 13.08.2003, 20:54   #24 (permalink)
Extrem Tweaker
 

Registriert seit: 08.03.2003
Beiträge: 1.663

First Class wird schon bald berühmt werden

Standard

oder
http://www.smiliemania.de/smilie.php?smile_ID=70
First Class ist offline   Mit Zitat antworten
Alt 13.08.2003, 21:01   #25 (permalink)
Extrem Tweaker
 
Benutzerbild von Shader
 

Registriert seit: 24.07.2003
Beiträge: 1.951

Shader wird schon bald berühmt werden

Standard

naja, die Hacker usw. sind schon bescheuerte Typen
der jenige entwickler von msblast wird sich schon todlachen, was sein Wurm angerichtet hatt,
1,5 mill Rechner in der USA down nur wegen so ein Wurm der eine Sicherheitslücke von Windows benutzt, nicht schlecht

tja Microsoft, Programmier mal was besseres und Pflick nicht alles so zusammen
Shader ist offline   Mit Zitat antworten
Antwort

Stichworte
msblast, wurm, zusammenfassung


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[News] AMD Radeon R9 290X: Die ersten Tests und Benchmarks - Zusammenfassung TweakPC Newsbot News 5 31.10.2013 10:20
[News] Neuer Wurm mit Funktionen für eine DoS-Attacke TweakPC Newsbot News Archiv 0 06.01.2009 21:06
[News] Wurm Nachi-B bekämpft den Wurm MyDoom TweakPC Newsbot News Archiv 0 24.11.2008 22:14
Suche Zusammenfassung für Ballade cEdRiC Off Topic 9 01.07.2003 17:19


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:23 Uhr.






Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.
Impressum, Datenschutz Copyright © 1999-2015 TweakPC, Alle Rechte vorbehalten, all rights reserved