|
Hallo erstmal :] Wie geht das denn jetzt genau ab, wenn der virus ankommt. ich habe mich da gerade mal eingelesen, und für mich war es ganz neu, dass ein programm sich auf diese art einschleichen kann. ich habe selbst ein wenig programmier-erfahrung, und immer wenn ich filme wie "Hackers" oder "Terminator3" gesehen habe, in denen so ein virus/eine maschine einfach mal tut was sie will, saß ich nur schmunzelnd und dachte : "sowas geht doch garnicht"; also wie soll das gehen und warum geht das? auch wenn viren unbestritten )&§&$(/& sind, ist der Text an Billy (the one making the) Gates (for you) ja mal ernst zu nehmen. wie kann man in ein Betriebssystem eine funktion einbauen, die einem fremdem User die möglichkeit gibt ohne den Administrator Code auszuführen, so wie es ein Trojaner tut? Das klingt für mich ganz nach m$-Hintertuer zum spionieren, oder liege ich da falsch? Wie kann so ein Fehler denn auftauchen? Da muss doch irgendwer absichtlich diese Lücke geschaffen haben, oder? [img]graemlins/balla.gif[/img] |
Nein sicher keine Hintertür zur Spionage.Der Code wird auch nicht als Administrator ausgeführt sondern mit Rechten des Systems. Der RPC ist ein Systemdienst, der mit Rechten des Systems ausgeührt wird, es nutzt Sockets um via IP mit anderen Windows PC´s zu kommunizieren.(z.b mit einen Domänencontroller). Wenn der Wurm über einen Socket ein Buffer overflow produziert bekommt er die selben Rechte wie der Systemdienst..... |
@forge: Sorry, ich hab' mich schlecht ausgedrückt: ich habe ja alle bei mir nicht nötigen Dienste sowieso schon geschlossen gehabt, deshalb ist der Port ja auch "Stealth"... Ich meinte: Da man durch Portschliessen sich schützen kann (sozusagen doppeltgenäht hält besser zusammen mit dem Patch), ist der Link von mmk wirklich empfehlenswert. Und obendrein ist man dann möglicherweise vor dem nächsten Wurm schon sicher. Hendrik |
ja klar sind die server überlastet. mit DoS angriff,meinte ich doch UNSERE downloadversuche. war etwas ironisch gemeint. cya peter [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr /> bei mir ist das "Stealth" Ein Grund mehr, dem von mmk schon geposteten Link http://kssysteme.de zu folgen und möglichst viele Dienste zu beenden </font>[/QUOTE]Das Problem ist ja leider, dass gerade dieser Dienst auf vielen Systemen nicht ohne negative Folgen zu beenden ist... [img]redface.gif[/img] Allerdings verstehe ich jetzt nicht so ganz, warum "stealth" erst recht ein Grund dafür sein soll, den Dienst zu beenden... :confused: "Stealth" bedeutet doch, dass für den Moment keine Gefahr droht, und sagt auch nix darüber aus, ob an dem Port eigentlich ein Dienst lauscht, oder nicht (was nicht heißen soll, dass ein beendeter Dienst nicht die optimale Lösung wäre.) [img]smile.gif[/img] |
Es gibt schon eine neue Version des Blasters! Weitere Infos: KLICK! Ich habe mal ein kleines "Uninstall" Prog :rolleyes: in Form einer BAT-File gegen den alten UND neuen Blaster "gecodet". :D Wer`s braucht: Einfach melden! [img]smile.gif[/img] |
Ich habe versucht, mir ZUSÄTZLICH zum Service Pack für XP folgendes runter zu laden: www.microsoft/com/technet/security/bulletin/MS03-026.asp Wenn man den Anweisungen (natürlich in Englisch, was sonst?!?!?) folgt, fragen die nach XP in zwei verschieden BIT-Versionen. Ich weiß, blonde Frage, aber WO kann ich feststellen, welche XP-Version ich habe? Dank im voraus. |
Hi Kiki, ich hatte auch grübeln müssen. Aber als ich dann beide probiert hab...da liess sich nur die richtige ausführen. Weil eben die 64bit nicht auf 32 und umgekehrt läuft. Warum und wo der Unterschied ist können klügere Leute beantworten^^ yours Eltharion |
ich wusste es auch erst nicht. Win XP Home Edition - die 30er Zahl Proffesional - die 60er Zahl [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Julia R: Win XP Home Edition - die 30er Zahl Proffesional - die 60er Zahl [img]smile.gif[/img] </font>[/QUOTE]Sicher? :confused: Hat das nicht eher mit der verwendeten Prozessorgeneration zu tun? I.d.R. wird das dann 32-bit sein? Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Ich danke euch für eure schnelle Antwort und werde es gleich noch mal versuchen. Merci. |
Nein, mit Home und Professional hat 32 und 64 bit absolut gar nichts zu tun! 32 bit ist einfach gesagt die heutige Prozessortechnologie. Auch Windows 2000 und XP sind komplett 32 bit Systeme. Zu früheren Zeiten gab es 16 bit (MS-DOS Zeitalter), anstatt 32 bit. 64 ist die kommende Generation. Der "Hammer" von AMD wird dies als erster Desktop-CPU unterstützen, Intel hat das schon seit einer ganzen Weile, leider lediglich als Server-CPU! Da Windows XP von Haus aus 64 bit nicht unterstützt, muss Microsoft eine neue Windows XP-Version auf den Markt bringen: Windows XP 64 bit Edition! Da es die jedoch noch nicht gibt, sind die Patches (bis jetzt) nutzlos. Aber Microsoft veröffentlicht schon jetzt die passenden Patches... . :D |
Norton Antivirus (gestern wg. msblast.exe aktualisiert) hat bei mir den Wurm gerade in C:\Windows\system32\TFTP3508 gefunden und entfernt! Was passiert eigentlich bei der Installation des Windows-Patch? Können da Daten verlorengehen? |
@ IT-Man Nach meines wissen gibt es eine 64 Bit Version von Windows XP Pro schon :D Mußt halt ein bischen die KlasGugel befragen, oder by Mr. Bill Gates him self :cool: TrojanerHunterNEW |
</font><blockquote>Zitat:</font><hr />Original erstellt von IT-Man: 64 ist die kommende Generation. Der "Hammer" von AMD wird dies als erster Desktop-CPU unterstützen, Intel hat das schon seit einer ganzen Weile, leider lediglich als Server-CPU!</font>[/QUOTE]Darf ich kurz korrigieren? :D Apples (bzw. IBMs) G5-Prozessor ist der erste 64 Bit-Desktop-Prozessor, der wirklich auf den Markt kommt (diesen Monat geplant). Und IBM sowie diverse -ix-Firmen bieten Server schon seit längerem mit 64 Bit an. Es gibt aber tatsächlich schon eine XP-Beta mit 64 Bit-Code... |
Inte l Press Release 10.97 Der Intel Itanium ist ein 64 bit Prozessor, der schon etwas länger auf dem Markt ist. Ist der CPU von Intel für den (Gross-)Serverbereich. Ich glaube unterstützt wird er seit Win NT 4 ?? in einer jeweils speziellen 64 bit Version, die natürlich nur bei extra Software Vorteile bringt. Ich gehe dementsprechend davon aus, das hier anwesende Nutzer die 32 bit Version benötigen. Die Version für den AMD 64 wird wahrscheinlich schon gepatched rauskommen ;) (hoffentlich....) Para |
nur mal so: Name: W32.Blaster.Worm Alias: W32/Lovsan.worm [McAfee] WORM_MSBLAST.A [Trend] Art: Wurm Größe des Anhangs: 6.176 Bytes (UPX gepackt) Betriebssystem: Windows NT/2000/XP/2003 nicht betroffen: Windows 98 und Me Art der Verbreitung: Netzwerk Verbreitung: hoch Risiko: mittel Schadensfunktion: unkontrollierter Rechnerabsturz Rechnersuche über Port 135 DDoS-Angriff auf Microsoft-Server Spezielle Entfernung: Tool bekannt seit: 11. August 2003 Beschreibung: W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen. Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-026 . Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite . Windows 98 und Windows Me sind von dem Wurm nicht betroffen. W32.Blaster.Worm sucht über TCP Port 135 einen angreifbaren Rechner. Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE) per TFTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 zu laden. Diese Datei lädt der Rechner vom bereits infizierten System. Dazu simuliert der Wurm auf dem infizierten System einen TFTP-Server. Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner ausgeführt. Es beginnt ein neuer Infektionszyklus. Der Wurm selbst ist UPX-gepackt. Er enthält einen Text, der jedoch nicht angezeigt wird: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Zum automatischen Start erzeugt W32.Blaster.Worm den Registrierschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Wert "windows auto update" = MSBLAST.EXE Bei der Suche nach angreifbaren Rechnern werden zunächst die lokalen Subnetze durchsucht. Danach werden zufällige IP-Adressen zur Suche verwendet. Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke gegen einen Microsoft-Server durch (windowsupdate.com). DDoS = distributed denial of service; dabei wird dieser Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt. Hinweis: Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden. Administratoren sollten (wenn möglich) auf der Firewall die Ports 69 UDP 135 TCP 135 UDP 139 TCP 139 UDP 445 TCP 445 UDP 4444 TCP sperren. Aktuelle Viren-Signaturen von Schutzsoftware erkennen die Datei MSBLAST.EXE während des Downloads. Auch Rechner von Privatanwender sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten. Hinweise zur Entfernung des Wurms Windows 98 und Windows Me sind von dem Wurm nicht betroffen. Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen. Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint, dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile wird der Befehl "shutdown -a" eingeben und mit OK bestätigt. Vorgehensweise beim (möglichen) Befall: 1. Schließen der Sicherheitslücke des Betriebssystems Microsoft stellt ein sog. Hotfix für die Sicherheitslücke bereit. Informationen dazu und das Hotfix-Programm finden Sie bei Microsoft . 2. Suchen und Entfernen des Wurms Laden Sie eines der speziellen Entfernungstools von Symantec oder NAI . Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögiche Infektionen entfernen. 3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein. 4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert. Entfernungs-Programm Von Symantec wird ein spezielles Entfernungs-Programm für W32.Blaster.Worm zum kostenlosen Download bereitgestellt. Auch von NAI gibt es ein entsprechendes Tool . Beachten Sie, dass der Wurm hier W32/Lovsan.worm heißt. Microsoft Sicherheits-Patch Das Microsoft Sicherheits-Patch können Sie sich von der Microsoft-Seite herunterladen. Das geladene Programm führen Sie auf dem unsicheren Rechner aus. Folgen Sie den Anweisungen des Setup-Assistenten. Nach der Installation muß der Rechner neu gestartet werden. Ob das Hotfix auf Ihrem Rechner installiert ist können Sie in: Start - Systemsteuerung - Software kontrollieren. Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist das Hotfix installiert. (Erstellt: 12.08.2003, geändert: 13.08.2003) |
|
</font><blockquote>Zitat:</font><hr />Original erstellt von forge77: Wer sich nicht sicher ist, ob sein Port 135 erreichbar und damit potentiell "angreifbar" ist, sollte mal kurz diesem Link folgen: https://grc.com/x/portprobe=135 Ist er "open", sollte schnellst möglich der mehrfach verlinkte Patch installiert werden (falls noch nicht passiert), und/oder der Port irgendwie geschlossen/geblockt werden. Ist der Port "closed" oder "stealth" droht erstmal unmittelbar keine Gefahr. [img]smile.gif[/img] Dennoch sollte auch in diesem Fall der Patch vorsichtshalber installiert werden. </font>[/QUOTE]Hi, nachdem ich das Posting gelesen hatte, habe ich den Test auch sofort ausgeführt, Patch war zu dem Zeitpunkt schon installiert. Ergebnis war entweder stealth oder closed, jedenfalls nicht open. Gestern hab ich mir, nach längerer Zeit, dann doch wieder ne FW inst (Kerio) um die Port zusätzlich schließen zu können. Hab den Test jetzt nochmal ausgeführt, mit aktivierter FW ist alles stealth, jedoch wenn ich die FW deaktiviere, sind die Ports 135 und Co plötzlich offen, sollten sie nicht trotzdem stealth oder closed sein, da ja der Patch drauf ist??? Vor ca 10 Tagen, waren sie das ja auch. Warum jetzt nicht mehr??? OS ist XP home. Schöne Grüße Easy |
Der Patch bewirkt _nicht_, dass der Port geschlossen wird, sondern nur, dass die von Msblast ausgenutzte Sicherheitslücke behoben wird. [img]smile.gif[/img] Es ist von daher nur unverständlich, wieso deine ersten Tests (ohne FW) einen closed oder stealthed Port anzeigten - bist du dir darin ganz sicher? Es könnte natürlich auch ein bug oder ein Netzwerk-Fehler gewesen sein... :rolleyes: |
ja eigentlich bin ich mir schon ziemlich sicher. Aber wie auch immer, auf jeden Fall ist es richtig so wie es jetzt ist, ok. Danke Easy |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board