|
Hilfeeee (pg. 3)
|
View this Thread in Original format
| TranceGiant |
| hehe irgendwie spannend, das ganze :cool: |
|
|
| DX-Rated |
| Jetzt hab ich endlich mal nen Vorteil, dass ich Windows 98 nutze :D |
|
|
| Parafox |
| quote: | Originally posted by MYSTERO
du must alle Programme schliessen! :p aber wirklich alle! |
du bist mein Held, danke!! :gsmile: |
|
|
| TranceGiant |
Monday, August 11, 2003 Posted: 8:46 PM EDT (0046 GMT)
--------------------------------------------------------------------------------
Story Tools
--------------------------------------------------------------------------------
RELATED
• Experts anxious over possible Web attack
• Microsoft admits another critical flaw
• EU gives Microsoft one more chance
WASHINGTON (AP) -- A virus-like infection that was the subject of urgent U.S. government and industry warnings spread rapidly Monday across the Internet, causing computers to mysteriously restart and coordinating an electronic attack against Microsoft Corp.
Security experts said the infection, which exploits an unusually dangerous flaw in Windows software, wasn't yet seriously disrupting Internet traffic but posed that risk as it was expected to continue spreading quickly overnight.
Researchers discovered it about 3 p.m. EDT, and reported tens of thousands of infected computers inside universities, businesses and homes.
"It seems to be taking off fairly quickly," said Johannes Ullrich of Boston, who runs the D-Shield network of computer monitors.
Infected computers were programmed to automatically launch an attack on a Web site operated by Microsoft on Saturday. The site, windowsupdate.com, is used to deliver repairing software patches to Microsoft customers to prevent against these types of infections.
Microsoft offers a free patch on the Web site to protect Windows users.
The infection was quickly dubbed "LovSan" because of a love note left behind on vulnerable computers: "I just want to say LOVE YOU SAN!" Researchers also discovered another message hidden inside the infection that appeared to taunt Microsoft Chairman Bill Gates: "billy gates why do you make this possible? Stop making money and fix your software!"
Government and industry experts have anticipated such an outbreak since July 16, when Microsoft acknowledged that the flaw affected nearly all versions of its flagship Windows operating system software. (Full story)
"It's much too early to expect to see any (Internet slowdowns) whatsoever," said Vincent Gullotto, a vice president at Network Associates Inc. "It really depends on how much it spreads."
The Microsoft flaw affects Windows technology used to share data files across computer networks. It involves a category of vulnerabilities known as "buffer overflows," which can trick software into accepting dangerous commands.
-------------------------------------------------------------------------------- |
|
|
| Parafox |
| irgendwie blick ich nicht so recht durch, was war dieser Wurm/Virus/Trojaner nun, wie kam/warum ist er auf jedem WinXP/2k/NT Rechner und was macht er? |
|
|
| Unimog |
Alle Schotten dicht -- W32.Blaster greift an
Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.
Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.
Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.
Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen.
Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.
http://www.heise.de/newsticker/data/dab-12.08.03-000/ |
|
|
| Hollow |
hab diesen wurm auch, das komische ist allerdings, dass ich den pc heute in die firma mitgenommen hab, wo alle rechner hinter einer linux-firewall sitzen.
mein rechner ist trotzdem immer wieder runtergefahren, jetzt hab ich einfach die msblast.exe gelöscht und alles geht wieder ;)
damit ist zwar nicht der bug behoben im rpc dämon, aber immerhin kackt mein rechner nicht mehr ab ;) |
|
|
| TranceRulez |
| quote: | Originally posted by Hollow
damit ist zwar nicht der bug behoben im rpc dämon, |
...das meinte ich ja mit meinen Links...
Das mit dem Virus... sollte nicht passieren, jungs! Wofür habt ihr einen Scheduler in eurem Anti-Viren Programm? Also meiner sucht 2x am Tag nach Updates! |
|
|
| Parafox |
kann man die Updates auch laden wenn man ne Sicherheitskopie von Win XP installiert hat..? |
|
|
| Sir. Lunchalot |
| ...bei mir geht seit ein paar Tagen (Wochen?) die komplette Update Versino von Microsoft nicht mehr. Genausowenig konnte ich die Uodate Seite des Flash Players nutzen...alles sehr strange. |
|
|
|
|
