W32.Blaster.Worm auf Win 2k und XP

leutz,

noch ein nachschlag:

kapersky hat heute eine warnung herausgegeben:

zitat

Lovesan-Epidemie [12.08.2003]

Kaspersky Labs warnt vor neuem Wurm Lovesan. Innerhalb weniger Stunden hat er es geschafft,
unter die drei meistverbreiteten Schädlinge zu kommen.

http://www.kaspersky.com/de/news.html?id=955558

zitat

Seit Montag verbreitet sich der Wurm "Blaster" mit rasender Geschwindigkeit unter Ausnutzung einer Buffer Overrun Schwachstelle
im Windows Dienst RPC. Betroffen sind die Microsoft Betriebssysteme Windows XP, Windows Server 2003, Windows 2000 und NT 4.0.

Der Wurm befällt den Rechner über Port 135 (TCP) und benötigt zur Weiterverbreitung wahrscheinlich Port 69 (UDP) sowie 4444 (TCP).

Wir empfehlen dringend, den entsprechenden Patch von Microsoft einzuspielen:

Windows XP

Windows 2000

quelle:
http://www.rokop-security.de/main/article.php?sid=617&mode=thread&order=0

und HIER könnt ihr den thread im hot spot nachlesen.

das ist ein ungeheuerlicher gefährlicher wurm, der sich wohl anschickt, das gesamte patch-system von microdoof lahmzulegen
inkl., dass die leutz nicht mehr den patch downloaden können.

moin moin,

na, 29 klicks, 2 antworten. so sieht eben die welt aus. rekordzahl bei besuchern. und alle haben schon den patch gesaugt. hahaha!

denke, dass wir uns sogar diese warnungen vor diesen gefährlichen würmer sparen können.

Das viel größere Problem ist doch einfach nur, das der Wurm schon seit etwas mehr als acht Wochen bekannt ist und das auch der dazugehörige Patch auch schon lange auf dem Markt ist. Diese Warnungen sind ja nicht neu. Aber das Geschrei wird natürlich immer erst groß wenn er seine kleine hässliche Seite zeigt :monster2 Denn so gut wie alle AntiVir Hersteller und Onlinemagazine warnten eben vor genau dieser Sicherheitslücke vor geraumer Zeit! Was auch noch lustig ist, ist das der Wurm selbst ein paar Bugs hat. Aber kaum vorstellbar was man über diese Sicherheitslücke noch alles anstellen könnte. Zum Glück stürzt dieser sich nur auf "svchost" und lässt den PC runterfahren, aber mit richtig böswilliger Absicht wäre da noch locker mehr drin gewesen. Aber richtig verantwortungslos was sich einige SysAdmins da so geleistet haben, von einem Normalo-User kann man nicht erwarten das man alles sofort patcht, aber von den SysAdmins die Netzwerke mit über 100 PC's betreuen und jetzt über Microsoft rumheulen sollte man sich echt Gedanken machen, denn das ist wohl mehr als unprofessionell und undverantwortlich. Kenne selbst einen, und der legt gestern mal eben eine Nachtschicht bis um 24 Uhr ein, bis alles so langsam wieder in der Firma lief.

Mal ein Nachschlag: Hatte von euch schon jemand den Wurm und als was kommt er, E-Mail Anhang?

Zur Info: Also der Wurm verbreitet sich NICHT mittels eines Attachments einer EMail. Lovesan sendet Daten über einen bestimmten Port (i.d.R. 135) an Rechner (die entsprechenden IP's werden zufällig durch den Wurm berechnet) welche über der Schwachstelle im RPC (Remote Procedure Call) angreifbar sind.

Nen Kumpel hat sich das Ding eingefangen, dazu muss ich sagen, dass er keinerlei Sicherheitsvorkehrungen (sprich Firewall, AV-Prog, MS-Updates)auf seinem neu aufgesetzten WinXP installiert hatte. Schließlich gelang es mittels dem Tools von Symantec (FixBlast.exe) das Teil zu entfernen.

btw. Im meinem Büro hatte ich heute morgen so einiges zu tun, erstmal alle Win2k Rechner inkl. Server auf den neusten Stand zu bringen und durchzuscannen....und wir haben 'nur' 8 Rechner.....die Leute mit etwas mehr PC's tun mir wirklich leid

Obwohl der Inhalt der Virus schon etwas "Recht" hat:

Zitat

I just want to say LOVE YOU SAN!!
billy gates why do you make possible ? Stop making money and fix your software!!

Weitere Infos zu Lovesan:

• http://www.symantec.de/techsupp/ssi/v…aster_worm.html
• http://www.microsoft.com/security/incident/blast.asp
• http://www.microsoft.com/technet/treevi…s/msblaster.asp

edit: URL's

@tekk

woher hast du denn die info, dass der wurm schon seit mehr als acht wochen bekannt sei? das einizige, was bekannt war, ist,
dass ms am 16.07.03 einen patch rausrückte - den wohl fast niemand runtersaugte.

der wurm ist nämlich erst bekannt seit dem 11. August 2003.

oder war es :depp

ps

noch 'ne quelle: http://www.tu-berlin.de/www/software/virus/aktuell.shtml

sollte man bookmarken.

.
moin moin leutz,

ohne viele vorreden: der artikel von kapersky sag's besser als ich ;). ausnahmsweise gebe ich den ganzen text weiter.

zitat

Warnung vor neuer Lovesan-Modifikation!

Kaspersky Labs befürchtet, dass bereits in den nächsten Stunden eine neue globale Epidemie durch diese Malware einsetzen könnte, da beide Lovesan-Modifikationen störungsfrei auf ein und dem selben Computer ihr Unwesen treiben können. 'Anders ausgedrückt, alle Computer, die von der ersten Version dieses Wurms infiziert worden sind, werden bald erneut angegriffen, diesmal von der neuen Version. In Anbetracht dessen, dass die Epidemie bereits 300'000 Computer erfasst hat, kann man mit mindestens derselben Anzahl rechnen, was unvorhersehbare Folgen mit sich bringt,' so Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs. 'Im schlimmsten Fall erwartet die Welt ein ähnliches Szenario, wie im Januar 2003, als das Internet wegen Slammer stark verlangsamt und regional ganz außer Betrieb gesetzt wurde.'

Die technisch gesehen neue Lovesan-Modifikation unterscheidet sich in nichts vom Original. Die Änderungen betreffen nur den Namen der Wirtsdatei (TEEKIDS.EXE anstatt MSBLAST.EXE), die Packungstechnologie (die FSG-Utility, anstelle UPX) sowie die Text-Strings im Programm-Code, welche Beleidigungen von Microsoft und Antiviren-Anbietern enthalten.

Die Anwender von Kaspersky® Anti-Virus sind auch vor dieser Bedrohung geschützt. Durch die heuristische Analyse neutralisieren alle Produkte von Kaspersky Labs auch ohne zusätzliche Updates die neue Lovesan-Version.

quelle: http://www.kaspersky.com/de/news.html?id=955630

ps
kapersky stellt eines der besten av-programme mit hohen erkennungsraten,
meistens bei tests über 98%.

Obwohl es bekannt wurde dass diese Virus zwischen dem 16. Aug und dem 31.12 d.J die hp von microsoft (windowsupdate.com) mittels eines DoS ( Denial Of Service) Attacks, bin ich mittlerweile selbst gespannt was nun passiert. (dabei muss ich sagen dass meine Rechner mindestens seit 3 Wochen diesen patch installiert haben).....+

...nun was auch möglich wäre, es gab heute doch einen netten stromausfall in den USA (ungefähr eine fläche so gross wie die BRD), es WÄRE doch möglich dass unser Lovesan (bzw. Blaster) Virus dafür verantwortlich wäre dass die Kraftwerke "einfach so" nicht mehr funktionierten :)......

EDIT: PS: Ich schwöre nicht auf KASPERSKY sondern auf SYMANTEC

~~in diesem Sinne~~

Zitat

Original von JayC
...nun was auch möglich wäre, es gab heute doch einen netten stromausfall in den USA (ungefähr eine fläche so gross wie die BRD), es WÄRE doch möglich dass unser Lovesan (bzw. Blaster) Virus dafür verantwortlich wäre dass die Kraftwerke "einfach so" nicht mehr funktionierten :)......

Übertreiben wollen wir es jetzt aber mal nicht :hae

Okay es ist eine spekulation...

lies mal: --> http://www.heise.de/newsticker/data/ju-15.08.03-001/

Der Übeltäter scheint gefunden zu sein, mal wieder ein gerade 18jähriger

Aber lest selbst:

http://www.spiegel.de/netzwelt/netzk…,263403,00.html

Apropro Vieren, wovor ihr euch auch in acht nehmen solltes ist der W32.Blaster. Er hängt sich an alle **.exe dateien drtan und zerstörte mir auch schon Win98. Beiom Freund habe ich nach einem Tag harte Arbeit wieder alles im griff gehabt.
Habe ihn gegrickt, da ich mir auf einer Lan-Party Half-Life und Mods gezogen habe.
Ich meine mit disem beitrag, das ihr euch voraldingen beim ziehen von **.exe daten ein gutes Anti-Virenprogramm, wie Norton Anti-Virus, zulegen solltet.

mfg
blak_soal

p.s.: was auch geht ist das Programm AntiVir, zu haben auf https://www.study-board.de/www.download.de