Lovesan / Blaster - aktuelle Informationen

#0
12.08.2003, 07:57
Moderator
Avatar joschi

Beiträge: 6466
#1 Neuer Wurm "W32.Blaster" im Umlauf
In diesem Zusammenhang finden sich Melungen bei
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://isc.sans.org/diary.html?date=2003-08-11
http://cert.uni-stuttgart.de/ticker/article.php?mid=1132
Das "Internet-Storm-Center" zeigt unter http://isc.incidents.org/port_details.html?port=135 in Zahlen und Kurven,
welche Auswirkung eine Verbreitung dieses Wurms hat.
Die Patches von Microsoft gibts hier :
Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&displaylang=de
Win XP:
http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=de
Und nicht zuletzt: den Virenscanner updaten ;)
Das Vorhandensein der Datei Msblast.exe weißt eindeutig auf eine Infektion
hin.
Hier ein paar verschiedene Bezeichnungen ein und des selben Wurmes (oder Wurms? ;) ).
W32.Blaster.Worm (Symantec) ,
W32/Blaster (CERT),
W32/Lovsan.worm (McAfee),
W32/Msblast.A (F-Secure) ,
Win32/Poza.Worm ,
WORM_MSBLAST.A (Trend)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.08.2003, 11:17
Member

Beiträge: 813
#2 Ich würde auch dazu raten, den Port 135 _irgendwie_ zu schließen (http://www.kssysteme.de/index.shtml - vorsicht, funktioniert nicht auf allen Systemen) oder zu blockieren (zur Not mit der WinXP-Firewall.)

Man munkelt nämlich, dass selbst vollständig gepatchte Systeme teilweise 'anfällig' waren.
Außerdem: wer weiß, wann die nächste Schwachstelle im RPC-Dienst gefunden wird (M$ schreibt dazu: "RPC over UDP or TCP is not intended to be used in hostile environments, such as the Internet."... ;) )
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
12.08.2003, 12:02
Member

Beiträge: 813
#3 Hier gibt's ein Removal-Tool:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
12.08.2003, 12:04
...neu hier

Beiträge: 6
#4 Jo hi!

Ich hatte den Wurm auch drauf. Hab ihn dann einfach per Hand ausm Windows/System32 Verzeichnis gelöscht und aus der Registry, jetzt isser weg. Hier is aber net viel los. Geht mal ins giga.de Forum auf Help, da is was los, hui!! :-D

Viel Glück, alle denen die das 60 sekudnen herunterfahr problem haben!

BIS DENNE
-8(*)8-
Seitenanfang Seitenende
12.08.2003, 13:37
Member

Beiträge: 813
#5 Hier noch ein Removal-Tool:
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip

Doku:
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.txt
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
12.08.2003, 13:49
Member
Avatar Evil

Beiträge: 209
#6 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN! bill (Registrykeys)

die Patches können bloss bis 16.08. gezogen werden dann macht er sich auf den Updateserver breit!
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }
Seitenanfang Seitenende
12.08.2003, 13:55
Member
Avatar Evil

Beiträge: 209
#7 Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.
---
Es wird dringend empfohlen, die Microsoft Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden
---
Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }
Dieser Beitrag wurde am 12.08.2003 um 13:57 Uhr von Evil editiert.
Seitenanfang Seitenende
12.08.2003, 17:30
Moderator
Themenstarter
Avatar joschi

Beiträge: 6466
#8 Die absolute technische Analyse dieses Wurmes unter http://www.eeye.com/html/Research/Advisories/AL20030811.html
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.08.2003, 21:42
...neu hier

Beiträge: 4
Seitenanfang Seitenende
12.08.2003, 22:07
Member
Avatar Camille

Beiträge: 146
#10 hab mich auch lieber abgesichert danke für den Link.

tolles Forum nebenbei

Camille
__________
Mach es wie die Sonnenuhr,
zähl´ die heit´ren Stunden nur.
Seitenanfang Seitenende
13.08.2003, 11:28
...neu hier

Beiträge: 1
#11 Mal ne blöde Frage: Ist Windows ME auch anfällig für diesen Virus?
Seitenanfang Seitenende
13.08.2003, 12:54
Member
Avatar Camille

Beiträge: 146
#12

Zitat

Der neue Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135 - betroffen sind die Betriebs- systeme Windows NT, 2000, XP und Windows Server 2003. Zwei Schritte sollen einen Angriff des Wurms abwehren: Die Installation des Patches von Microsoft und das Blockieren von Port 135. Wer sich den Wurm schon eingefangen hat, der zwischen dem 16. August und 31. Dezember einen Angriff auf die Server des Microsoft Update-Service starten soll, kann sich dieses Tool von Symantec herunterladen. Wie merken Sie, dass Sie diesen Wurm auf Ihrem System haben? Bei einigen Systemen erscheint eine Fehlermeldung in einem Pop-up-Window, mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Sie sollten erst den entsprechenden Patch von Microsoft installieren und dann dieses Removal Tool über Ihr System laufen lassen. Ausführliche Infos dazu finden Sie auf der Programm-Homepage von Symantec.


damit das Sicherheitsloch schließen:
http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe

und dann das Symantec Repair Tool durchlaufen lassen:
http://securityresponse.symantec.com/avcenter/FixBlast.exe

Die Lücke, die von Microsoft umgehend eingestanden wurde, betrifft alle Windows-Betriebssysteme mit Ausnahme von Windows 95 und Windows 98 und Windows SE und Windows ME!

mehr Details siehe auch: http://www.heise.de/newsticker/data/dab-12.08.03-000/
__________
Mach es wie die Sonnenuhr,
zähl´ die heit´ren Stunden nur.
Seitenanfang Seitenende
14.08.2003, 06:56
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#13 Entfernung des Wurms W32.Blaster.Worm alias W32/Lovsan.worm

Der Wurm W32.Blaster.Worm greift Rechner aus dem Internet an.
Dabei wird ein Angriffsversuch auf alle moeglichen Betriebssysteme
durchgefuehrt.

Angreifbar sich jedoch nur NT-basierende Betriebssysteme. Dies sind
speziell Windows NT, Windows 2000, Windows XP und Windows 2003.

Windows 98 und Windows Me sind von dem Wurm nicht betroffen.

W32.Blaster.Worm nutzt dabei eine bekannte Sicherheitsluecke in den
genannten Betriebssystemen aus.
Weitere Informationen finden Sie in der Beschreibung zum Wurm unter
<http://www.bsi.bund.de/av/vb/blaster.htm>.

Der Download der Programme wird insbesondere bei Windows XP-Rechnern
immer wieder durch einen Neustart unterbrochen. Dieser Prozess kann
abgebrochen werden. Sobald eine Meldung erscheint, dass der Rechner
heruntergefahren werden muss, klickt man im Startmenue auf
"Ausfuehren...". In der dann angezeigten Eingabezeile wird der Befehl
"shutdown -a" eingeben und mit OK bestaetigt:
<http://www.bsi.bund.de/av/vb/shutdown.jpg>


Vorgehensweise beim (moeglichen) Befall:

1. Schliessen der Sicherheitsluecke des Betriebssystems:
Microsoft stellt ein sog. Hotfix fuer die Sicherheitsluecke bereit.
Informationen dazu und das Hotfix-Programm finden Sie bei
Microsoft:
<http://www.microsoft.com/technet/security/bulletin/MS03-026.asp>

2. Suchen und Entfernen des Wurms
Laden Sie eines der speziellen Entfernungstools von Symantec
oder NAI. Mit diesen Programmen koennen Sie den Rechner nach dem
Wurm durchsuchen und moegliche Infektionen entfernen.
<http://vil.nai.com/vil/stinger/>
<http://securityresponse.symantec.com/avcenter/venc/data/
w32.blaster.worm.removal.tool.html> (Achtung Zeilenumbruch!)

3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein.

4. Zusaetzlichen Schutz bietet eine Firewall, die derartige Angriffe
verhindern kann. Hierbei muss eine Regel definiert werden, die
den Port 135/TCP (incoming) blockiert. Darueberhinaus sollten die
Ports 69/UDP und 4444/TCP ueberwacht werden, welche vom Wurm zur
Kommunikation ueber das Internet genutzt werden.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
14.08.2003, 16:18
Member

Beiträge: 233
#14 Hab da mal ne Frage ...

Wie findet der Wurm eigentlich sein Ziel ?
Also wenn ich den jetzt z.B. auf meinem PC habe und dann ins Internet gehe.
Er kann sich ja wohl kaum an alle IPs senden. Wie wählt er die IPs aus, an die er sich sendet ?

Oder funktioniert das vielleicht ganz anders ?


[EDIT]:
Danke @ raman
__________
Wenn jeder an sich selbst denkt, ist an alle gedacht.
Dieser Beitrag wurde am 14.08.2003 um 19:14 Uhr von Blurp editiert.
Seitenanfang Seitenende
14.08.2003, 17:00
Moderator

Beiträge: 7805
#15 Hier ist eine gute Erklaerung dazu: http://www.avp.ch/avpve/worms/win32/lovesan.stm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende