Lovesan / Blaster - aktuelle Informationen |
||
---|---|---|
#0
| ||
12.08.2003, 07:57
Moderator
Beiträge: 6466 |
||
|
||
12.08.2003, 11:17
Member
Beiträge: 813 |
#2
Ich würde auch dazu raten, den Port 135 _irgendwie_ zu schließen (http://www.kssysteme.de/index.shtml - vorsicht, funktioniert nicht auf allen Systemen) oder zu blockieren (zur Not mit der WinXP-Firewall.)
Man munkelt nämlich, dass selbst vollständig gepatchte Systeme teilweise 'anfällig' waren. Außerdem: wer weiß, wann die nächste Schwachstelle im RPC-Dienst gefunden wird (M$ schreibt dazu: "RPC over UDP or TCP is not intended to be used in hostile environments, such as the Internet."... ) __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
12.08.2003, 12:02
Member
Beiträge: 813 |
#3
Hier gibt's ein Removal-Tool:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
12.08.2003, 12:04
...neu hier
Beiträge: 6 |
#4
Jo hi!
Ich hatte den Wurm auch drauf. Hab ihn dann einfach per Hand ausm Windows/System32 Verzeichnis gelöscht und aus der Registry, jetzt isser weg. Hier is aber net viel los. Geht mal ins giga.de Forum auf Help, da is was los, hui!! :-D Viel Glück, alle denen die das 60 sekudnen herunterfahr problem haben! BIS DENNE -8(*)8- |
|
|
||
12.08.2003, 13:37
Member
Beiträge: 813 |
#5
Hier noch ein Removal-Tool:
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip Doku: ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.txt __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
12.08.2003, 13:49
Member
Beiträge: 209 |
#6
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN! bill (Registrykeys)
die Patches können bloss bis 16.08. gezogen werden dann macht er sich auf den Updateserver breit! __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
12.08.2003, 13:55
Member
Beiträge: 209 |
#7
Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.
--- Es wird dringend empfohlen, die Microsoft Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden --- Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an. __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } Dieser Beitrag wurde am 12.08.2003 um 13:57 Uhr von Evil editiert.
|
|
|
||
12.08.2003, 17:30
Moderator
Themenstarter Beiträge: 6466 |
#8
Die absolute technische Analyse dieses Wurmes unter http://www.eeye.com/html/Research/Advisories/AL20030811.html
__________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
12.08.2003, 21:42
...neu hier
Beiträge: 4 |
#9
Und hier dazu die Adresse:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm |
|
|
||
12.08.2003, 22:07
Member
Beiträge: 146 |
#10
hab mich auch lieber abgesichert danke für den Link.
tolles Forum nebenbei Camille __________ Mach es wie die Sonnenuhr, zähl´ die heit´ren Stunden nur. |
|
|
||
13.08.2003, 11:28
...neu hier
Beiträge: 1 |
#11
Mal ne blöde Frage: Ist Windows ME auch anfällig für diesen Virus?
|
|
|
||
13.08.2003, 12:54
Member
Beiträge: 146 |
#12
Zitat Der neue Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135 - betroffen sind die Betriebs- systeme Windows NT, 2000, XP und Windows Server 2003. Zwei Schritte sollen einen Angriff des Wurms abwehren: Die Installation des Patches von Microsoft und das Blockieren von Port 135. Wer sich den Wurm schon eingefangen hat, der zwischen dem 16. August und 31. Dezember einen Angriff auf die Server des Microsoft Update-Service starten soll, kann sich dieses Tool von Symantec herunterladen. Wie merken Sie, dass Sie diesen Wurm auf Ihrem System haben? Bei einigen Systemen erscheint eine Fehlermeldung in einem Pop-up-Window, mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Sie sollten erst den entsprechenden Patch von Microsoft installieren und dann dieses Removal Tool über Ihr System laufen lassen. Ausführliche Infos dazu finden Sie auf der Programm-Homepage von Symantec. damit das Sicherheitsloch schließen: http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe und dann das Symantec Repair Tool durchlaufen lassen: http://securityresponse.symantec.com/avcenter/FixBlast.exe Die Lücke, die von Microsoft umgehend eingestanden wurde, betrifft alle Windows-Betriebssysteme mit Ausnahme von Windows 95 und Windows 98 und Windows SE und Windows ME! mehr Details siehe auch: http://www.heise.de/newsticker/data/dab-12.08.03-000/ __________ Mach es wie die Sonnenuhr, zähl´ die heit´ren Stunden nur. |
|
|
||
14.08.2003, 06:56
Ehrenmitglied
Beiträge: 2283 |
#13
Entfernung des Wurms W32.Blaster.Worm alias W32/Lovsan.worm
Der Wurm W32.Blaster.Worm greift Rechner aus dem Internet an. Dabei wird ein Angriffsversuch auf alle moeglichen Betriebssysteme durchgefuehrt. Angreifbar sich jedoch nur NT-basierende Betriebssysteme. Dies sind speziell Windows NT, Windows 2000, Windows XP und Windows 2003. Windows 98 und Windows Me sind von dem Wurm nicht betroffen. W32.Blaster.Worm nutzt dabei eine bekannte Sicherheitsluecke in den genannten Betriebssystemen aus. Weitere Informationen finden Sie in der Beschreibung zum Wurm unter <http://www.bsi.bund.de/av/vb/blaster.htm>. Der Download der Programme wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen. Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint, dass der Rechner heruntergefahren werden muss, klickt man im Startmenue auf "Ausfuehren...". In der dann angezeigten Eingabezeile wird der Befehl "shutdown -a" eingeben und mit OK bestaetigt: <http://www.bsi.bund.de/av/vb/shutdown.jpg> Vorgehensweise beim (moeglichen) Befall: 1. Schliessen der Sicherheitsluecke des Betriebssystems: Microsoft stellt ein sog. Hotfix fuer die Sicherheitsluecke bereit. Informationen dazu und das Hotfix-Programm finden Sie bei Microsoft: <http://www.microsoft.com/technet/security/bulletin/MS03-026.asp> 2. Suchen und Entfernen des Wurms Laden Sie eines der speziellen Entfernungstools von Symantec oder NAI. Mit diesen Programmen koennen Sie den Rechner nach dem Wurm durchsuchen und moegliche Infektionen entfernen. <http://vil.nai.com/vil/stinger/> <http://securityresponse.symantec.com/avcenter/venc/data/ w32.blaster.worm.removal.tool.html> (Achtung Zeilenumbruch!) 3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein. 4. Zusaetzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muss eine Regel definiert werden, die den Port 135/TCP (incoming) blockiert. Darueberhinaus sollten die Ports 69/UDP und 4444/TCP ueberwacht werden, welche vom Wurm zur Kommunikation ueber das Internet genutzt werden. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
14.08.2003, 16:18
Member
Beiträge: 233 |
#14
Hab da mal ne Frage ...
Wie findet der Wurm eigentlich sein Ziel ? Also wenn ich den jetzt z.B. auf meinem PC habe und dann ins Internet gehe. Er kann sich ja wohl kaum an alle IPs senden. Wie wählt er die IPs aus, an die er sich sendet ? Oder funktioniert das vielleicht ganz anders ? [EDIT]: Danke @ raman __________ Wenn jeder an sich selbst denkt, ist an alle gedacht. Dieser Beitrag wurde am 14.08.2003 um 19:14 Uhr von Blurp editiert.
|
|
|
||
14.08.2003, 17:00
Moderator
Beiträge: 7805 |
#15
Hier ist eine gute Erklaerung dazu: http://www.avp.ch/avpve/worms/win32/lovesan.stm
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
In diesem Zusammenhang finden sich Melungen bei
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://isc.sans.org/diary.html?date=2003-08-11
http://cert.uni-stuttgart.de/ticker/article.php?mid=1132
Das "Internet-Storm-Center" zeigt unter http://isc.incidents.org/port_details.html?port=135 in Zahlen und Kurven,
welche Auswirkung eine Verbreitung dieses Wurms hat.
Die Patches von Microsoft gibts hier :
Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&displaylang=de
Win XP:
http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=de
Und nicht zuletzt: den Virenscanner updaten
Das Vorhandensein der Datei Msblast.exe weißt eindeutig auf eine Infektion
hin.
Hier ein paar verschiedene Bezeichnungen ein und des selben Wurmes (oder Wurms? ).
W32.Blaster.Worm (Symantec) ,
W32/Blaster (CERT),
W32/Lovsan.worm (McAfee),
W32/Msblast.A (F-Secure) ,
Win32/Poza.Worm ,
WORM_MSBLAST.A (Trend)
__________
Durchsuchen --> Aussuchen --> Untersuchen