!!Dated euren Virusscanner ab!! W32.Blaster greift an!

[Naos]

Wundert mich das hier noch keine Warnung rausging.

"Alle Schotten dicht -- W32.Blaster greift an

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen. NAI hat sein Entwurmungstool Stinger aktualisiert und zum Download bereitgestellt, ebenso hat Trend Micro seinen System Cleaner auf den neuesten Stand gebracht.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden."

Demnach neue Updates saugen be4 es zu spät ist.

[Alexander]

Done

PS: Es heißt Updaten

[Sting6789]

hier mehr dazu und da sind auch links zu den updates


http://www.cncforen.de/showthread.php?threadid=36414

[Bernd_XP]

Mein PC is dicht, nur der Virus ist der gefährlichste, von dem ich bisher gehört habe.

[Gonzo]

mein norton-AV hat den virus gefunden und gelöscht
reicht das oder muß ich noch mehr machen ?
den patch hab ich natürlich schon drauf und die msblast ist auch gelöscht

[RealBoss1]

hab mir das dingen schon eingefangen!!!

dauernd stürzt der rechner ab und einige sachen lassen sich nicht ausführen!!

z.B. mediaplayer oder "einfügen" von texten geht auch nicht mehr!

hab mir ein removetool besorgt aber bin nicht sicher obs was bringt!!

[Piccolo]

jo hatte ihn auch schon , und 2 meiner freunde auch na jetzt isser ja weg

[feuerreal]

So , ich habe jetzt auch Aufgerüstet und bin auf eine Großangriff vorbereitet .

Greetz Grey

[MRThomm]

Zitat:

Original geschrieben von RealBoss1

z.B. mediaplayer oder "einfügen" von texten geht auch nicht mehr!

hab mir ein removetool besorgt aber bin nicht sicher obs was bringt!!

hm, das kommt mir bekannt vor.

Ich kann seit gestern keine Links mehr anklicken bzw. "Link im neuen fenster öffnen" geht auch nimma.
Und die Verbindung zum I-net kann ich auch nimma trennen, sondern ich muss Stecker ziehn und das geht mir tierisch auf die Nerven

Allerdings hab ich das Removetool drüber laufen lassen, aber ohne Erfolg. Vor drei Stunden gab mir dei FW eine Meldung, ob ich die Verbindung zum tftp server oder wie das heisst aufnehmen will und die hab ich blockiert.

Kann mir irgendwer helfen??


[edit]

@REALBOSS

Ich hab das selbe PRob wie du, Mediaplayer kann nicht mehr gestartet werden und einfügen von Texten geht auch nimma"!

PS.: Hab WIN2K

[Voitex]

Ok,

ich lad mir schnell ma die Windows Updates

[saemikneu]

Bei den einen ist es ein Bug, bei den anderen ein Wurm.

Dabei ist es ein Wurm, der eine Sicherheitslücke bei Winows 2000 und XP ausnutzt.

Ich bin auhc gerüstet.

Ich hab

- nach msblast.exe gesucht
- bei der MS Eingabeaufforderung netstat eingegebn und geschaut, welche Ports offen sind
- die Registry (bei Run) kontrolliert
- den Patch gesaugt und installiert
- Dsas Symatec Removal Tool gesaugt und ausgeführt

Ich hab ihn nicht. Zum Glück.

Kan man den Wurm auch bei Win9x und Me bekommen?

PS: Ich hab Win XP SP1 und alle Windows Update Patches

[M.C.M]

Ich hab noch nix

[Voitex]

Ich hab eben bei RTL Nacht News auch das mit dem Virus gesehen. Und ich weiss, dass einige vom Board den haben



Diesen Fehler haben einige, und auch die eben von RTL Nacht News.

Ich hab ihn zum Glück nicht, hab auch ne Firewall und so gut wie keine Ports freigeschaltet.

Ich hab folgendes bisher gemacht:

* nach msblast.exe gesucht
* AntiVir auf den neusten Stand gebracht
* Festplatte auf Viren überprüft

Wo gibtsn jetzt dieses Windows Update?

btw: Der Virus ist nur bei NT, 2000 und XP vorhanden

Shice, hab jetzt voll schiss, dass ich diesen Virus auch bekomme

Naja, will nur wissen, wo es das Win Update gibt

[M.C.M]

ich weiß ja nicht wie ihrs findet aber ich finds einfach nur geil

->

Der Wurm-Code enthält einen Text, der sich an Bill Gates von Microsoft richtet:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!

[Gonzo]

nicht ernst gemeint :
aber könnten die nicht MS durch EA und bill gates durch havard bonin ersetzen, dann würd ich den virus glatt drauflassen

[Naos]

Zitat:

Original geschrieben von Sting6789
hier mehr dazu und da sind auch links zu den updates


http://www.cncforen.de/showthread.php?threadid=36414

wäre nett wenn ihr sowas in zuklunft auch öffentlich posten würdet. denke sowas können alle gebrauchen, nicht nur euere clan m8s

[EEBKiller]

Ich weiss nicht, was ihr alle habt

Jedes mal wird geschrieben "Der Virus" ist schlimm. Ich merk momentan null.

Ich bin seit 1 1/2 Jahre Online und hatte bis etz keinen einzigen Virus. Ich hab nich mal nen Virenscanner (!), nur ne Firewall. Ich frage mich überhaupt, wie man sich infizieren kann. Surft ihr alle auf xxx-Seiten ??

[Naos]

da sag ich nur: du glücklicher!

...ich wurde bisher auch verschont von einem virusbefall und bin schon um einiges länger online. ....wahrscheinlihc weil ich "vorsichtig" surfe und immer aktuelle virenscanner benutze.

aber das ganze kann schneller gehen als man denkt. auch wenn du bisher verschont gewesen bist, kannst du dir torzdem ruck zuck einen holen. alleine desw. weil du bisher verschont geblieben bist blind durch die gegend surfen halte ich für keine gute idee! ....oder willst du einer von denen werden die nach einem dicken virusbefall heulend in den laden rennen und einen virenscanner für ein frischinstalliertes und datenloses system kaufen gehen?

[EEBKiller]

Zitat:

Original geschrieben von Naos
weil du bisher verschont geblieben bist blind durch die gegend surfen halte ich für keine gute idee!

mach ich so oder so nicht. Ich brauche keine Popup-Killer und Dialer-Löscher, da ich alles zusammen bin. Poups leben bei mir allerhöchstens 2-3 Sekunden Auch sonst schau ich, dass ich möglichst auf cleanen Seiten bleibe

Zitat:

Original geschrieben von Naos
oder willst du einer von denen werden die nach einem dicken virusbefall heulend in den laden rennen und einen virenscanner für ein frischinstalliertes und datenloses system kaufen gehen?

mein Windows braucht eh mal wieder ne neuinstallation
Meíne Daten ruhen sicher als Backup auf ner stromlosen Festplatte

ich hab grad meinen Firewall-Log angeguckt. Also da wollen tatsächlich verdammt viele auf meinen Port 135 zugreifen

Allerdings blockt die Firewall alles ab

Naja, Zonealarm is halt ab und zu doch ganz brauchbar ^^

[Naos]

manche viren wollen garnciht mit remote zugreifen, sondern einfach nur zerstören - da hilft auch keine firewall. mein tipp: virenscanner auf alle fälle installen.

edit: upss, hab nur einen teil deins posts gelesen. hier weiteres:

Zitat:

mein Windows braucht eh mal wieder ne neuinstallation

na denn viel spass....

Zitat:

Meíne Daten ruhen sicher als Backup auf ner stromlosen Festplatte

täglich?

Zitat:

mach ich so oder so nicht. Ich brauche keine Popup-Killer und Dialer-Löscher, da ich alles zusammen bin. Poups leben bei mir allerhöchstens 2-3 Sekunden

warum selbst machen wenn es software dafür gibt?


...entschuldige meine unverständnis, aber du bist wirklich der erste den ich kenn der auf einen virenscanner verzichtet weil er meint das er noch nie einen gehabt hat, bzw. demn. nie einen bekommen wird.

[Generlas 2k]

viren bekommt ma ganz schnell über z.B mIRC !!! ich bin gesternim Channel #musik gewesen und ich habe 3 mal viren vom channel bekommen !! ohne eine datei angenommen zu haben !! norton hat die vieren sofort geblockt

[fadmax]

Wer weiss denn wo man sich den am ehesten einfängt, über Remote musst Du doch erst selbst freischalten und wie infiziert sich eine Website? Wenn mann keine Daten saugt dürfte doch eigentlich nix geschehen? Gut ein Virenscanner ist ganz sinnvoll den hab ich auch, die Firewall ist bei mir off, hab bisher auch glückgehabt. Emails sind wohl die grösste Gefahr, denk ich.

[Super_Blubl]

lol mein beileid an euch viren sucken derbe ich habe win98 läuft bei mir gut und is schnell zu formatieren naja wan mein vater den hat hrhr kp hab aber ma ne frage kann mcafee den aufspüren den kack virus?? die neuste versio nis ja 6.1 oder so oda?? fals mein vater dne kriegt oder nen kllege

[RealBoss1]

also ich hab ihn jetzt nicht mehr dank remove-tool und patch!
hoffe der kommt nicht wieder!

Zitat:

Diesen Fehler haben einige, und auch die eben von RTL Nacht News.

das prob hatte ich auch sobald ich eine verbindung zu anderen rechnern aufgebaut habe


hmm... falls ihr XP habt und den wurm einfach nicht los werdet könnt ihr zumindest verhindern dass der rechner dauernd runterfährt

also: arbeitsplatz >>> verwalten >>>dienste und anwendungen >>> dienste >>> RPC locator (deaktivieren) und unter eigenschaften >>>registerkarte "wiederherstellen" bei den "fehlschlägen" "keine reaktion" angeben!!

[Voitex]

Ich sag ma so, ich hatte bisher auch noch ned so oft Viren, und wenn, dann hat AntiVir die alle ausgeschaltet.

[MRThomm]

Zitat:

Original geschrieben von RealBoss1
also ich hab ihn jetzt nicht mehr dank remove-tool und patch!
hoffe der kommt nicht wieder!

darf ich mal fragen wie du das geschafft hast??
Ich hab genau die selben Probleme wie du gehabt hast.

Ich hab Antivirus, Spyware und Removaltool drüber laufen lassen und nix gefunden. Ich bin ehrlich gesagt ratlos was ich mit meinem PC anfangen soll.

Ich hab sogar dcom deaktiviert, aber es hat nichts geholen

[Bernd_XP]

Ich hab grad nen Kumpel angerufen und der hat sein Zonealarm kurz aus gehabt und jetzt hat er nen W32.Blaster...

[Gonzo]

Zitat:

Original geschrieben von MRThomm

Ich hab Antivirus, Spyware und Removaltool drüber laufen lassen und nix gefunden. Ich bin ehrlich gesagt ratlos was ich mit meinem PC anfangen soll.

Ich hab sogar dcom deaktiviert, aber es hat nichts geholen

hast du denn überhaupt eine datei "msblast.exe" in deinem windows/system32 - ordner ?
falls nicht bist du(dein comp) gar nicht von diesem virus infiziert worden

Zitat:

Original geschrieben von EEBKiller

Ich weiss nicht, was ihr alle habt

Jedes mal wird geschrieben "Der Virus" ist schlimm. Ich merk momentan null.

Ich bin seit 1 1/2 Jahre Online und hatte bis etz keinen einzigen Virus. Ich hab nich mal nen Virenscanner (!), nur ne Firewall. Ich frage mich überhaupt, wie man sich infizieren kann. Surft ihr alle auf xxx-Seiten ??

für diesen virus/wurm reicht es aus online zu sein !!! der verbreitet sich über den RPC-Dienst von WinXP/2000/NT und der läuft dort standardmäßig und sollte nicht abgeschaltet werden
FW scheint den aber zu blocken

ach ja warum bist du dir so sicher keinen virus zu haben, wer weiß wie oft von deinem rechner schon DoS-Attacken gefahren worden sind

[Sven]

Leute, gewöhnt euch doch mal an bei technischen Problemen erstmal in den Tech Support zu gucken