PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wurm Blaster dringt in fast jeden Rechner ein !



devilz
12.08.2003, 20:28
Ich mußte das einfach in FUN packen ... etliche Kunden von mir waren Opfer des Angriffs ... auch sehr viele Freunde wurden zum Opfer :)
Nun steigt die Chance denen mal Linux näher zu bringen ....


"Für die Mehrzahl der deutschen Internet-Nutzer scheint der Wurm Blaster mittlerweile kein Unbekannter mehr zu sein. Erst in der Nacht von Montag auf Dienstag entdeckt, verbreitet er sich nun lawinenartig im Web und infiziert ungesicherte Rechner. Eine nicht repräsentative Umfrage bei T-Online untermauert diese Befürchtung: Bis um 21.00 Uhr (Dienstag) haben mehr als 21.000 Teilnehmer abgestimmt - 64 Prozent gaben an, Opfer der Wurm-Attacke geworden zu sein..... "

http://computer.t-online.de/comp/sich/vire/ar/CP/ar-blaster-lovesan-wurm-neu.html

chb
12.08.2003, 20:53
Und wieder einmal .. aber mit TCPA wird alles anders :rolleyes:

indigo
12.08.2003, 21:00
hmm.... eine gute Freundin von mir rief vorhin hier an, ihr XP-Rechner ist auch infiziert gewesen, wahrscheinlich wird sie es sich auch nochmal überlegen, Linux mal zu installieren, die Knoppix hatte ich letztens mal rübergeschickt 8)

tr0nix
13.08.2003, 06:14
Blos nicht deinstallieren den Wurm... der Attackiert doch Windows Update Server am 16en ;)

devilz
13.08.2003, 07:25
Göttlich, heute morgen gehts weiter .. ich schätze inzwischen das fast JEDER 2te Kunde bei mir Betroffen ist :D

hopfe
13.08.2003, 07:28
Hat die andere Hälfte Linux?

ozoon
13.08.2003, 07:38
hmm, ich hab zwar auch linux. aber die anderen rechner im netz hats getroffen. "fehlermeldung srvchost.exe ..... bla bla bla"

nun ja ist ja schon wieder weg.

hopfe
13.08.2003, 09:02
Hab auch noch win2k auf meinen Firmen Laptop, müßte den Patch aber schon eingespielt haben. Weiß vielleicht jemand die genaue Nummer?

tr0nix
13.08.2003, 09:14
Lasst uns frooohooooh uuund muuunter sein,
fangen wir den neuen Wuuurm mit eeeein.
Lustig lustig tralalalala,
bald ist auch schon der naechste Wurm daaaa...
bald ist auch schon der naechste Wuuuhuuurm daaaa...

Und hast ihn noch nicht eingefangeheeeen..
brauchst du trooohootzdeeem zuuu baaahaaangeeeen..
Lustig lustig tralalalala,
bald ist auch schon der naechste Wurm daaaa...
bald ist auch schon der naechste Wuuuhuuurm daaaa...

Norton Solomon und Anti Viruuuuus..
am besten hilft immer noch der Doktor Tuuuuux..
Lustig lustig tralalalala,
bald ist auch schon der naechste Wurm daaaa...
bald ist auch schon der naechste Wuuuhuuurm daaaa...

So far, just my 2 Rappen ;)
Joel

ozoon
13.08.2003, 09:32
die genaue nummer vom patch?

hopfe
13.08.2003, 09:45
Wenn beim win2k einen Patch installierst, werden teilweise Einträge unter Systemsteuerung-Software erstellt.
Na ja egal, werde meine Win2k-Kiste heute Abend mal updaten.

chb
13.08.2003, 10:09
Woran erkennt man eigentlich, daß das System befallen iss ?

RayMatrix
13.08.2003, 10:11
Dieser Wurm verbreitet sich meines Wissens nur über P2P, ICQ, IRC.

Ich hab hier im Büro nen 'FLI4L' Router vor dem Netzwerk und nutze 'Trillian'. Somit ist mein Hauptkunde verschont geblieben.

Allerdings hats alle restlichen die nicht hören wollten erwischt. . .somit sag ich wie 'devilz'. . .auf gute Geschäfte :D

Gruß

hopfe
13.08.2003, 10:13
@ch-b
Auf der Seite von heise-security (http://www.heise.de/security/news/meldung/39347) findest du alle infos zu den Wurm.

chb
13.08.2003, 10:13
Hehe .. zumindest iss man mit fli4l mal hier auf der sicheren Seite - leider werkelt da in der neueren Version auch nen 2.4.20er Kernel :/

RayMatrix
13.08.2003, 10:14
Original geschrieben von ch-b
Woran erkennt man eigentlich, daß das System befallen iss ?

Das kann sich äußern muss aber nicht.

Bei manchen blibt der Wurm völlig unbemerkt, bei anderen zeigt er ein Warnfenster das der 'SVCHOST' deaktiviert wurde und das ein Rechnerneustart fällig ist. . .das spielchen wiederholt sich dann andauernd, somit ist die Windowsbüchse unbrauchbar, sobald man online geht oder sich im Netzwerk anmeldet :]

Gruß

devilz
13.08.2003, 11:22
Original geschrieben von RayMatrix
Dieser Wurm verbreitet sich meines Wissens nur über P2P, ICQ, IRC.

Ich hab hier im Büro nen 'FLI4L' Router vor dem Netzwerk und nutze 'Trillian'. Somit ist mein Hauptkunde verschont geblieben.

Allerdings hats alle restlichen die nicht hören wollten erwischt. . .somit sag ich wie 'devilz'. . .auf gute Geschäfte :D

Gruß

Nix da, der wurm greift dein System an, und versteckt sich nicht in nem Programm !

D.h. jeder Win-Rechner der direkten Zugang zum Internet hatt (oder im DMZ steht) ist der Atacke ausgesetzt !

Egal .... nur weiter so .... hab schon wieder Kunden die auf Linux schwenken ...

chb
13.08.2003, 11:26
Ui langsam mach ich mir dann wohl Sorgen um den Windows Heim PC ;) - über welche Ports kommt der Typ daher und wie stell ich die Firewall ein ?

hopfe
13.08.2003, 11:51
Alle Infos zum Wurm findest du auf Heise-security (http://www.heise.de/security/), in einen der Artikel steht genau drinnen was man gegen den Virus machen muß.

RayMatrix
13.08.2003, 11:54
Oha, 'devilz' hat wohl recht.

Der Wurm sucht, wenn er einen PC einmal in beschlag genommen hat, selbstständig weitere PC's im Netzwerk oder Internet und überträgt sich dann laut 'T-Online' über den Port 4444.
Angeblich ist das aber nur möglich solange der User nicht den Patch und gleichzeitig auch eine Firewall nutzt.

Womöglich bin ich daher verschont, denn der Port 4444 ist bei 'FLI4L' per Standard geschlossen.

Und das hier soll im Quelltext der Wurmdatei 'msblast.exe' stehen:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!

Mal sehen wie das weitergeht, jedenfalls steht mein Telefon nicht mehr still 8o

Gruß

mjup
13.08.2003, 11:55
man sollte die TCP- und UDP-Ports 135 bis 139 und 445 sowie 593, 69 und 4444 filtern, da der Wurm hier ebenfalls Aktivitäten an den Tag legt.

Hier is ein tool mit den man das Teil Killen kann:
http://securityresponse.symantec.com/avcenter/FixBlast.exe

chb
13.08.2003, 12:00
Das werd ich mal über den PC laufen lassen das Tool - man kann nie wissen ;)
Anscheinend sind nach fl4l schon die Ports gesperrt 8)

ozoon
13.08.2003, 12:46
noch ein link dazu

http://cert.uni-stuttgart.de/ticker/article.php?mid=1124

Hasushi
13.08.2003, 16:32
Jetzt zählt nur noch das Prinzip Hoffnung...

wenn doch nur ein einziges Mal die Meute der Windowsler etwas Vernunft beweisen könnte und eine richtige Entscheidung treffen und nicht wie immer anfangs über MS herziehen und danach gleich wieder in TCPA investieren.

Tux sei mit uns!

Hasushi

miret
13.08.2003, 17:45
Laut heise-security sind auch andere Plattformen als windows unter bestimmten Vorraussetzungen gefährdet!?(

nob62
13.08.2003, 23:05
Hallo Zusammen,

nur zur Info: -- BSI - Beschreibung - W32.Blaster.Worm (http://www.bsi.de/av/vb/blaster.htm)

Dort sind auch die Links zum Removal -Tool und Patch. :)

g_eXx
14.08.2003, 16:24
naja hier braucht wohl (hoffentlich) keiner ein removal-tool ;)

LinuxSchwedy
14.08.2003, 16:37
Na ja, es wird schwierig, ein Patch für Win 2000 unter Gentoo zu installieren ...:D :D :D

Muss man dann mit Win emulieren ?8)

hopfe
14.08.2003, 17:48
Das removal-tool brauch ich nicht, den Patch aber schon.
Hab auf meinen Laptop nämlich auch noch Win2K drauf.

miret
14.08.2003, 17:55
Zum einen gibts bei Spiegel-Online http://www.spiegel.de/netzwelt/technologie/0%2c1518%2c261204%2c00.html
einen herrlichen Artikel zum Thema, der heftig mit MS ins Gericht geht!
Zum anderen ist Linux, wie schon mal betont, ja nicht völlig sicher vor dem Ding:
http://www.heise.de/security/news/meldung/39402

schlaubi
16.08.2003, 07:07
irgendwie kann man da nur noch mit dem Kopf schütteln was dank m$ da mal wieder am start ist...
bei mir hats einige im Bekanntenkreis erwischt :D
wobei ichs ja immer gesagt habe... unter win bitte nur mit anständiger firewall ins netz :]
und unter linux scheinen die probs ja nich sooo groß zu sein, zumindest fährt mein pc nich runter 8)
und wie gesagt, hab auch win2k am start, firewall hatte zwar bißchen was zu tun *g, aber gerade deshalb keinerlei probs aufgetreten

Wizard
16.08.2003, 10:14
Ich las gerade bei T-Online.de, dass auch andere Betriebssysteme mit offenem Port 135 betroffen sein können. Linux wird sogar explizit genannt!

http://computer.t-online.de/comp/sich/vire/ar/CP/ar-blaster-zusammenfassung.html

Schluss mit Lustig!
Wie kann ich prüfen, ob meine Firewall bei Mandrake 9.1 so konfiguriert ist, dass Port 135 gesperrt ist?

hopfe
16.08.2003, 10:46
Mach ein nmap auf deine ip-adresse.

Wizard
16.08.2003, 10:51
Original geschrieben von hopfe
Mach ein nmap auf deine ip-adresse.

Wie geht das und was passiert dabei?

miret
16.08.2003, 11:17
Original geschrieben von Wizard
Ich las gerade bei T-Online.de, dass auch andere Betriebssysteme mit offenem Port 135 betroffen sein können. Linux wird sogar explizit genannt!

http://computer.t-online.de/comp/sich/vire/ar/CP/ar-blaster-zusammenfassung.html


Mal eine kleine Zwischenfrage! Wird hier eigentlich auch noch gelesen, was man in einen Thread schreibt? Oder schreibt man jetzt nur noch irgendwas hier rein, ohne sich die vorangegangenen Einträge anzuschauen????? (ist nicht böse gemeint, aber etwas nervt es schon, das einige scheinbar nicht wirklich lesen, was hier geschrieben wird, denn das wurde bereits mind. 2x hier im Thread geschrieben!);)

hopfe
16.08.2003, 12:46
Microsoft hat als Schutz vor den Angriff, seine Seite kurzfristig auf einen Linuxserver gelegt :).

Der komplette Artikel findet ihr auf der fuzo-Homepage (http://futurezone.orf.at/futurezone.orf?read=detail&id=178710&tmp=89821)

chb
16.08.2003, 16:30
Das mit dem Linux Rechner stimmt net - soweit ich weiß war das nur Ak(a)mai die per proxy Windowsupdate gemirrort haben wegen der vielen Anfragen.

mjup
18.08.2003, 07:59
Der Angriff wurde zwar abgeblockt, aber ich finde der Virus hatt sein Ziel erreicht. Die Leute sind endlich auf die S*****e von M$ aufmerksam gemacht worden. Und das auchnoch zur besten Sendezeit (Nachrichten).
Meiner Meinung War das auch das Ziel des Virus. Denn was bringt es scho wenn der updateservdr kurz mal down is? Ich mein das sind die WinUser soh scho gewöhnt. Wird das Update hald am nächsten tag gemacht.

Ausserdem, So wie die Linux in letzter zeit angreiffen ham die das verdient. Wenn Windows an top ist, weil es einfach gut ist. hab ich nichts dagegen. Doch wenn man Die leute zwingt etwas zu kaufen und ihnen dabei auchnoch Sicherheit vorgaukelt.

Für den Schaden der durch den Virus entstanden ist, sollte man eine Sammelklage gegen M$ wegen Fahrlässigkeit machen.

megamimi
18.08.2003, 08:14
Original geschrieben von mjup
Für den Schaden der durch den Virus entstanden ist, sollte man eine Sammelklage gegen M$ wegen Fahrlässigkeit machen.

Also MS trägt an diesem ganzen Wurm (fast!) keine Schuld. Die haben schließlich kurz nach dem Bekanntwerden der Lücke einen Patch zur Verfügung gestellt.....

Wenn keine Sau den Patch einspielt können die nichts dafür....

cu mimi

indigo
18.08.2003, 08:16
zu dem Zeitpunkt, an dem M$ seinen XP-Patch bereitgestellt hatte, waren ziemlich viele Rechner schon verseucht gewesen...

megamimi
18.08.2003, 08:24
Ne, ein paar Tage nach Bekanntwerden gab es schon nen Patch (also vor gut einem Monat...)

cu mimi

indigo
18.08.2003, 08:28
ach so, na dann kann ich auch nur sagen, selbst schuld...

devilz
18.08.2003, 10:14
Original geschrieben von megamimi
Also MS trägt an diesem ganzen Wurm (fast!) keine Schuld. Die haben schließlich kurz nach dem Bekanntwerden der Lücke einen Patch zur Verfügung gestellt.....

Wenn keine Sau den Patch einspielt können die nichts dafür....

cu mimi

Hmmm da hatte ich ne krasse Diskussion mit einem Noob ... er meinte auch das M$ nix dafür könne.
Ich sehe das IMHO anders ... das Security Verhalten von M$ ist alles andere als gut ... dieses mal ging es ja noch ... aber es gab mal kritischere Lücken die länger auf nen Patch warteten :(

Naja mich freuts es das M$ mal wieder eine vorm Latz geknallt bekam ... so sind die alternativen Systeme mal wieder im Gespräch !

mjup
18.08.2003, 11:06
Original geschrieben von megamimi
Also MS trägt an diesem ganzen Wurm (fast!) keine Schuld. Die haben schließlich kurz nach dem Bekanntwerden der Lücke einen Patch zur Verfügung gestellt.....

Wenn keine Sau den Patch einspielt können die nichts dafür....

cu mimi

Naja wenns den fehler aber scho seit NT gibt, ud die haben den jetz erst entdeckt. Ausserdem gibts da ja genuk andere Fehler im OS, die wegen Releasetermienen einfach drinn geblieben sind.

Also wenn ich einen hauffen geld für etwas zahlen muss, will ich auch das es fertig is.

Wenn sie scho die User als tester ferwenden. sollten sie den Preis auch dementsprechend anpassen.
Oder man bekommt für jeden Bugreport 10$. Das währs!

megamimi
18.08.2003, 11:49
hi...


Naja mich freuts es das M$ mal wieder eine vorm Latz geknallt bekam ... so sind die alternativen Systeme mal wieder im Gespräch !

Mich auch:D


das Security Verhalten von M$ ist alles andere als gut ... dieses mal ging es ja noch ... aber es gab mal kritischere Lücken die länger auf nen Patch warteten

Full ACK keine Frage....


Naja wenns den fehler aber scho seit NT gibt, ud die haben den jetz erst entdeckt. Ausserdem gibts da ja genuk andere Fehler im OS, die wegen Releasetermienen einfach drinn geblieben sind.

Deswegen finde ich OpenSource auch so cool: Bugs werden viel früher erkannt! Wäre Win OSS dann wäre der fehler schon mindestens 3 Monate nach dem Release von NT behoben.

cu mimi

mjup
18.08.2003, 13:26
Deswegen finde ich OpenSource auch so cool: Bugs werden viel früher erkannt! Wäre Win OSS dann wäre der fehler schon mindestens 3 Monate nach dem Release von NT behoben.

Das wissen der welt ist fur alle da.
Macht windows open-source!!