Hallo alle zusammen! Hab gerade diesen Hype um den Virus Blaster mitbekommen. Es heißt irgendwie, dass am 16 August alles und jeder befallen wird. Wie funktioniert das? Bekommt man den Virus per e-mail? Ich hab jetzt mal die Firewall aktiviert und bei Microsoft den Windows XP Security Patch (Windows XP Hotfix SP1 See Q324096) gedownloadet. Reicht das aus, damit mich der Virus nicht befällt? Bin für jeden Hinweis dankbar, da nicht der "Viren-Profi" bin. |
|
Hallo casy, Hier klicken , dann die 3.te sowie die 6.te Zeile von oben. ;) PS: AHHH, wie schön wäres - vorerst suchen, dann den neuen Thread beginnen :D |
Auf der von mmk genannten Seite findest du auch den richtigen Patch !!!!! Domino |
|
Hi @ll! hi nico4u, Der Beitrag kannst du mit deiner HP verlinken "Brandneu: Anti-Blaster von nico4u Volle und Tolle Anleitung mit den Kommentaren des Autors " :D :cool: [img]graemlins/lach.gif[/img] [img]graemlins/bussi.gif[/img] [img]graemlins/huepp.gif[/img] [img]graemlins/kloppen.gif[/img] |
@rene-gad hast eigentlich schon recht, nur hab ich keinen bock 8 seiten durchzulesen, wo ich nur minimale Bruchteile verstehe :-( Da frag ich lieber direkt :) |
@casy </font><blockquote>Zitat:</font><hr /> ...hab ich keinen bock 8 seiten durchzulesen, wo ich nur minimale Bruchteile verstehe... </font>[/QUOTE]...darum gehts gar nicht: du konntest doch im vorhandenen Thread posten und die ganze Diskussion mitverfolgen. </font><blockquote>Zitat:</font><hr /> Da frag ich lieber direkt... </font>[/QUOTE]und wen möchtest du so direkt fragen? Die Boardies, die auf diesen 8+2 Seiten die Antworten gegeben haben? Warum denkst du, dass du ein Paar Ratschläge bekommst, die von den Fragenden in den Threads von den letzten 2 Tagen aus reiner Frechheit verheimlicht wurden? :D Ich würde dir doch raten: lese mal bitte diese Threads, wenn du ein Paar Wörter nicht verstehst, klick' den Link in meiner Signatur, dann P.1 und dann gaaaanz unten sind 2 Usenet-Lexikonen verlinkt ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von nico4u: hi ihr, ich hab hier mal eine entfernungsanleitung inklusive der links für alle blaster patches zusammengestellt. mfg nico </font>[/QUOTE]Moin nico, gefällt mir sehr gut, was Du da zusammengestellt hast. [img]graemlins/daumenhoch.gif[/img] Ich hoffe, Du hast nichts dagegen, wenn ich die Seite verlinke?!? BTW: Die Symantec-Erklärung gibt es auch in deutsch . tschööö, DerBilk |
Ich weiß nicht, wie das rechtlich aussieht, aber falls bei MS nichts mehr gehen sollte, die Uni Konstanz bietet unter h**p://www.uni-konstanz.de/ZE/RZ/Antivirus/lovsan/ alle notwendigen Patches auch zum DL an... tschööö, DerBilk |
http://www.heise.de/newsticker/data/ghi-15.08.03-000/ heise auch. wobei, in einem anderen Artikel schreiben sie : Das BSI hatte sich bemüht, die Sicherheits-Patches auf dem BSI-Server zur Verfügung zu stellen. Microsoft ist jedoch aus grundsätzlichen Erwägungen in puncto Haftung (Was ist mit vermeintlichen oder tatsächlichen fehlerhaften Patches?) nicht bereit, Dritten die Funktion eines Spiegel-Servers für Patches zu übertragen. Dies gilt auch für das BSI. Domino |
@DerBilk Vielen Dank für deinen Link! Wirklich Super! Hatte msblast.exe doch gleich mal drauf heute. Hab ihn laut Anweisung manuell entfernt! War total einfach! Eine Frage hab ich aber noch: Beeinträchtig meinen Rechner die Deaktivierung der Systemwiederherstellung in irgend einer Weise? |
Und den richtigen Patch hast du auch installiert ? 823980 Ansonsten, Gratulation [img]graemlins/daumenhoch.gif[/img] Domino |
Ja hab ich! Hotfix KB823980 Wie schauts jetzt mit der Systemwiederherstellung aus? Schadet die deaktiviert? |
Tja, einfach wieder einschalten. Domino |
hi derbilk, </font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk: </font><blockquote>Zitat:</font><hr />Original erstellt von nico4u: hi ihr, ich hab hier mal eine entfernungsanleitung inklusive der links für alle blaster patches zusammengestellt. mfg nico </font>[/QUOTE]Moin nico, gefällt mir sehr gut, was Du da zusammengestellt hast. [img]graemlins/daumenhoch.gif[/img] Ich hoffe, Du hast nichts dagegen, wenn ich die Seite verlinke?!? BTW: Die Symantec-Erklärung gibt es auch in deutsch . tschööö, DerBilk </font>[/QUOTE]freut mich, daß es dir gefällt. [img]smile.gif[/img] [img]smile.gif[/img] [img]smile.gif[/img] kannst du natürlich so oft verlinken wie du möchtest. grüße nico ps: werde gleich mal den link auf die deutsche symantec erklärung umstellen. |
nur mal so: Name: W32.Blaster.Worm Alias: W32/Lovsan.worm [McAfee] WORM_MSBLAST.A [Trend] Art: Wurm Größe des Anhangs: 6.176 Bytes (UPX gepackt) Betriebssystem: Windows NT/2000/XP/2003 nicht betroffen: Windows 98 und Me Art der Verbreitung: Netzwerk Verbreitung: hoch Risiko: mittel Schadensfunktion: unkontrollierter Rechnerabsturz Rechnersuche über Port 135 DDoS-Angriff auf Microsoft-Server Spezielle Entfernung: Tool bekannt seit: 11. August 2003 Beschreibung: W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen. Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-026 . Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite . Windows 98 und Windows Me sind von dem Wurm nicht betroffen. W32.Blaster.Worm sucht über TCP Port 135 einen angreifbaren Rechner. Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE) per TFTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 zu laden. Diese Datei lädt der Rechner vom bereits infizierten System. Dazu simuliert der Wurm auf dem infizierten System einen TFTP-Server. Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner ausgeführt. Es beginnt ein neuer Infektionszyklus. Der Wurm selbst ist UPX-gepackt. Er enthält einen Text, der jedoch nicht angezeigt wird: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Zum automatischen Start erzeugt W32.Blaster.Worm den Registrierschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Wert "windows auto update" = MSBLAST.EXE Bei der Suche nach angreifbaren Rechnern werden zunächst die lokalen Subnetze durchsucht. Danach werden zufällige IP-Adressen zur Suche verwendet. Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke gegen einen Microsoft-Server durch (windowsupdate.com). DDoS = distributed denial of service; dabei wird dieser Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt. Hinweis: Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden. Administratoren sollten (wenn möglich) auf der Firewall die Ports 69 UDP 135 TCP 135 UDP 139 TCP 139 UDP 445 TCP 445 UDP 4444 TCP sperren. Aktuelle Viren-Signaturen von Schutzsoftware erkennen die Datei MSBLAST.EXE während des Downloads. Auch Rechner von Privatanwender sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten. Hinweise zur Entfernung des Wurms Windows 98 und Windows Me sind von dem Wurm nicht betroffen. Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen. Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint, dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile wird der Befehl "shutdown -a" eingeben und mit OK bestätigt. Vorgehensweise beim (möglichen) Befall: 1. Schließen der Sicherheitslücke des Betriebssystems Microsoft stellt ein sog. Hotfix für die Sicherheitslücke bereit. Informationen dazu und das Hotfix-Programm finden Sie bei Microsoft . 2. Suchen und Entfernen des Wurms Laden Sie eines der speziellen Entfernungstools von Symantec oder NAI . Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögiche Infektionen entfernen. 3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein. 4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert. Entfernungs-Programm Von Symantec wird ein spezielles Entfernungs-Programm für W32.Blaster.Worm zum kostenlosen Download bereitgestellt. Auch von NAI gibt es ein entsprechendes Tool . Beachten Sie, dass der Wurm hier W32/Lovsan.worm heißt. Microsoft Sicherheits-Patch Das Microsoft Sicherheits-Patch können Sie sich von der Microsoft-Seite herunterladen. Das geladene Programm führen Sie auf dem unsicheren Rechner aus. Folgen Sie den Anweisungen des Setup-Assistenten. Nach der Installation muß der Rechner neu gestartet werden. Ob das Hotfix auf Ihrem Rechner installiert ist können Sie in: Start - Systemsteuerung - Software kontrollieren. Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist das Hotfix installiert. (Erstellt: 12.08.2003, geändert: 13.08.2003) |
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:58 Uhr. |
Copyright ©2000-2024, Trojaner-Board