Neuer Virus W32.Blaster.Worm, oder [B]"da is da Wurm drinn"[/B]

[NoStyle]

Seit gestern ist ein neuer Wurm namens W32.Blaster.Worm im Umlauf. Dieser benutzt eine Sicherheitslücke im Remoteprozeduraufruf (RPC) unter Windows-Systemen mit der NT-Engine. Der Wurm gelangt über diesen Internetdienst auf das System und schreibt sich selbst in die Registry. Durch einen Buffer overrun in jenem Modul wird der Rechner dann prompt zum Neustart gezwungen. Letztenendes kann man als Windows-User nicht mehr ins Internet, weil der Rechner kurz nach erfolgreichem Verbindungsaufbau zwangsmäßig neustartet. Der Wurm verbreitet sich extrem schnell, in den letzten zwei Tagen sind einige Tausend Infektionen gemeldet worden.

 

Manche Antivirenprogramme besitzen bereits Updates, jene können aber durch den Neustart nicht ausgeführt werden. Um den Wurm zu beseitigen, geht folgendermaßen vor:

 

1.: Geht auf Systemsteuerung -> Verwaltung -> Dienste und wählt dort mit einem Rechtsklick "Remoteprozeduraufruf" aus. Auf Eigenschaften -> Wiederherstellung wählt ihr anstelle von Systemneustart "Dienst neu starten" aus. Damit verhindert ihr den Reboot.

2.: Microsoft hat einen Patch bereitgestellt, der die Sicherheitslücke beseitigt. Ihr könnt ihn hier runterladen. Bitte trennt nach dem Runterladen die Internetverbindung, da durch den Wurm jedes beliebige Programm auf euren Rechner geschleust werden kann.

3.: Installiert den Patch und stellt die ursprünglichen Einstellungen für den Remoteprozedurauflauf wieder her.

Nun solltet ihr keine Probleme mehr haben, wenn ihr ins Internet wollt. Weitere Informationen zum Wurm gibt es auf der Symantic-Page, allerdings auf englisch.

 

P.S. Befallen werden können nur User mit XP,2000, NT und Server 2003

 

mfg NoStyle

[yellow]

hahaha, war echt lustig, das doofe Teil

 

glücklicherweise schon vom Brüderchen per Telefon über Abhilfe informiert worden, nur der AntiVirus fehlt noch, kommt aber bald.

 

Soviel zu "mir kann nix passieren, weil ich keine Attachments öffne"....

[kapi]

hat mich gestern erwischt (das erste Virus seit Jahren)

 

Danke für die Infos.

 

kapi

[Bernd67]

Bei NT(4) wird nur die Server-Version (bzw. TSE) erwähnt. Workstation nicht? Es gibt auch nur einen Patch für Server.

 

diese Dienste einfach abdrehen geht nicht?

[jogul]

wie habt ihr euch den eingefangen?

 

@NoStyle: besten danke für die infos

[kapi]

Original geschrieben von jogul

wie habt ihr euch den eingefangen?

 

@NoStyle: besten danke für die infos

 

keine Ahnung

[yellow]

der nutzt eine Schwachstelle vom Windows aus, die eigentlich der Kommunikation dient.

Wohl so ähnlich wie damals, als man bei W95 (?) die Leute nuken konnte.

 

= kommt ausm Internet, deren Computer versuchen einfach wahllos Adressen und versenden die Aufforderung

(so hab ich DAU es jedenfalls verstanden.)

also nix mit .exe geöffnet oder so.

[Thoms]

hab ihn auch...aber dank der tipps bin ich ihn hoffentlich bald los

[Christoph]

@Bernd67:

 

NT4 kann nicht gepatcht werden, weil das noch auf einem anderen Kern basiert als 2000/XP.

 

Wobei es bei 2000 SP4 auch Probleme mit dem patchen geben soll.

 

 

Ich persönlich find die Angelegenheit recht amüsant.

In anderen Foren ist es seit vorgestern das beherrschende Thema, dass sich die PCs alle 5min von alleine runterfahren

 

Mir ist's wurscht, weil ich hab einen Virenscanner (der den Virus in den eltzten Tagen öfters abgefangen hat) - da pfeif ich doch auf den "Leistungseinbruch" (der bei 1GB RAM und 2,2GHz eh nicht merkbar ist).

Ausserdem hab ich eine Hardwarefirewall.

Und da ich mir durchaus darüber im Klaren bin, dass MS anfällig für sowas ist, installiere ich regelmäßig die Security-Patches (die hier betroffene Lücke ist immerhin schon fast 1 Woche bekannt und patchbar!).

[Slayer]

hihi ich hab win 98

[bikermax]

Den hab ich mir auch eingefangen. Komme zwar ins Internet, es funktionieren aber viele Links nicht und kann die Verbindung nicht mehr trennen. Mein Virenscanner hat ihn zwar lokalisiert kann ihn aber nicht entfernen.

 

Werde versuchen den Sch... lt. Anleitung zu entfernen.

 

Danke auf alle Fälle für die Infos.

 

lg

Markus

[ghost rider]

hier aus einem Forum für wurmbefallene Rechner:

 

Ich schreibe nochmals allen Leidensgenossen ! Bitte gibt die Nachricht weiter !

 

Wir sind den Wurm definitiv losgeworden. Aber es war nicht so ganz einfach. Und inzwischen ist alles noch schwieriger. Also hier unsere Hilfe (und Rache an den Wurm) sowie eine genaue Anleitung was hilft :

 

1. Den Microsoft Patch installieren damit die Sicherheitslücke zuerst mal geschlossen ist :

download.microsoft.com/download/9/2/1/921a4733-e72c-4309-89db-408b65f64b0c/Windows2000-KB823980-x86-DEU.exe

 

Der Patch kann aber auch direkt von unseren Server heruntergeladen werden :

patch.internet-developers.net/Windows2000-KB823980-x86-DEU.exe

 

2. Download von spezieller Software zur Auslöschung des verdammten Wurms

 

Fixblast von Symantec (benötigt aber SP3 oder 4) :

securityresponse.symantec.com/avcenter/FixBlast.exe

Falls der Server überlastet sein sollte, kannst Du den Scanner von unserem Server herunterladen :

patch.internet-developers.net/FixBlast.exe

 

Eine andere Variante von Panda Software (vielleicht sogar die Bessere) falls es nicht hilft :

updates.pandasoftware.com/pq/gen/blaster/pqremove.com

Falls der Server überlastet sein sollte, kannst Du den Scanner direkt von unserem Server herunterladen :

patch.internet-developers.net/pqremove.com

 

3. Service Packs für Win2K

Es wurde mehrmals nach SP's für Win2K gefragt. Falls es bei Microsoft zu lange dauert oder einfach Windows Update nicht erhältlich ist, dann gibt es das Express SP4 Setup (Deutsch) direkt auf unserem Server :

patch.internet-developers.net/SP4Express_DE.exe

 

4. Komplett neu starten

Wenn :

- der Patch installiert wurde damit kein neuer Schaden angerichtet werden kann

- die Virus Software gelaufen ist und den Wurm vernichtet hat

dann den Computer neu starten.

Nach dem Neustart, gleich nochmals die Anti Virus Software ausführen. Es hat bei mir 3 Mal gebraucht, bis nichts mehr auf dem System vorhanden war. Der verdammte Wurm kannst Du löschen und der installiert sich irgendwie gleich wieder von selbst. Daher mehrmals starten, mehrmals Anti Virus ausführen. Bis dann endlich total Ruhe ist.

 

WARNUNG :

Es hilft überhaupt nicht die Festplatte zu formatieren oder das Betriebssystem komplett neu zu installieren. Der Wurm installiert sich automatisch immer wieder von selbst solange er nicht definitiv vernichtet worden ist und die Sicherheitslücke geschlossen wurde.

 

Also nochmals für alle normal Sterblichen :

Patch installieren, einer der Virus Scanner laufen lassen. Neu starten. Wieder Virus Scanner laufen lassen, etc. bis alles restlos sauber ist. Falls Virus Scanner einen höheren Service Pack voraussetzt, diesen vorher installieren. (oft sind Fehlermeldungen von Virenscanner auf einen zu alten Service Pack zurückzuführen).

[Bernd67]

Original geschrieben von Christoph

@Bernd67:

 

NT4 kann nicht gepatcht werden, weil das noch auf einem anderen Kern basiert als 2000/XP.

 

 

 

bei Server und Terminal Server Ed. steht definitiv geschrieben, daß gepatcht werden kann und soll, da gibt es auch Links zu den Patch-Dateien.

http://security.microsoft.at

 

Workstation geht bei den Beschreibungen unter, dürfte aber auch betroffen sein.

 

Mein GEdanke war: die betroffenen Dienste einfach abdrehen.

[Thoms]

hallo...!

 

hab leider ein problem...ich kann den patch von microsoft nicht installieren...bleibt immer ganz am anfang hängen!

 

hat sonst noch jemand diese problem bzw. weis wie man es behebt?

 

lg

[Bernd67]

Servicepack?

im von mir genannten Link bzw.

in derstandard.at stehen genügend Hinweise (verweisen alle auf M$-Seiten)

[ghost rider]

Original geschrieben von therealracebike

hallo...!

 

hab leider ein problem...ich kann den patch von microsoft nicht installieren...bleibt immer ganz am anfang hängen!

 

hat sonst noch jemand diese problem bzw. weis wie man es behebt?

 

lg

 

 

falls von der MS Seite zu langsam probier dieses:

 

patch.internet-developers.net/SP4Express_DE.exe

[Christoph]

Original geschrieben von Bernd67

Mein GEdanke war: die betroffenen Dienste einfach abdrehen.

Die RPC kannst als User nicht abdrehen

Man kann aber glaube ich die (betroffene) Datei tftp.exe löschen wenn man keinen IIS aufgesetzt hat.

Oder Du installierst eine Firewall die Port 135 blockt.

 

Die Security Bulletin vom 13.5.(!!!)

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-010.asp

 

Da gibt's keinen Patch für NT4, es ist nur als betroffenes Programm aufgelistet.

[Thoms]

@ ghost rider:

 

da gibts aber nur patches für win 2000, bräuchtes für XP!

[ghost rider]

Original geschrieben von therealracebike

@ ghost rider:

 

da gibts aber nur patches für win 2000, bräuchtes für XP!

 

 

bei XP musst vorher das auto-recovery abdrehen dann Program zum entfernen starten

[Bernd67]

Original geschrieben von Christoph

Die RPC kannst als User nicht abdrehen

Man kann aber glaube ich die (betroffene) Datei tftp.exe löschen wenn man keinen IIS aufgesetzt hat.

Oder Du installierst eine Firewall die Port 135 blockt.

 

Da gibt's keinen Patch für NT4, es ist nur als betroffenes Programm aufgelistet.

 

demnach ist es mit dem Abdrehen des Server, RAS, etc. Dienstes nicht getan.

 

http://support.microsoft.com/?id=823980

 

besagt

 

Hinweis: Dieser Sicherheitspatch kann auf Windows NT 4.0 Workstation installiert werden. Jedoch unterstützt Microsoft diese Version gemäß Microsoft Lifecycle Support Policy nicht mehr. Außerdem wurde dieser Sicherheitspatch auf Windows NT 4.0 Workstation nicht getestet. Informationen zur Microsoft Support Lifecycle Policy finden Sie auf folgender Microsoft-Website: http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:

 

d.h. es geht, aber es gibt keine Gewähr dafür.

[luki1801]

@ therealracebike: im ersten beitrag vom NoStyle hat er den Link zur Downloadsite. Dort gibts 2 XP-Versionen vom Patch. eine 32-Bit und a 64-Bit. vielleicht hast die falsche. i hab zerst a die falsche ghabt, die kann der PC dann net installieren.

Hab hier noch mal den Link zum Patch

Hoff es funktioniert auch bei dir,

Mfg, Luki

[XC-Racer]

Hab den oasch Virus auch oben und immer wenn ich im Internet bin ko0mmt alle 5 Minuten ne meldung dass das System sich in einer Minute herunterfährt! :k: :k: :l:

Heeeeeeeeeeeeeellllllllp meeeeeeeeeee !!!!!!!!!!!!!!!!!!!!!!!!

Lg, Andreas

[NoStyle]

Original geschrieben von jogul

wie habt ihr euch den eingefangen?

 

@NoStyle: besten danke für die infos

 

gar nicht, mein Scanner und meine Firewall (beides übrigens nicht ganz original gekauft) hatten da was dagegen dass da so ein komischer virus daher kommt....

 

büdde büdde, hat ja doch vorteile wenn man nicht nur im BB herumhängt...

[HAL9000]

Original geschrieben von XC-Racer

... Heeeeeeeeeeeeeellllllllp meeeeeeeeeee !!!!!!!!!!!!!!!!!!!!!!!!

Lg, Andreas

hi andreas... - jeder, wie er es verdient... :devil:

 

aber die anleitung/tips zum entfernen stehen eh weiter oben

im thread...

 

als erstes den patch installieren, dann den (aktualisierten) viren-scanner

über das system laufen lassen. gegebenenfalls in der registry den

"run"-eintrag mit dem "msblast.exe" löschen (wenn dir dieser

satz nix sagt, dann lass die finger davon ).

 

mich hat danke firewall nix erwischt... - den patch habe ich natürlich

trotzdem eingespielt. unsere firma blieb auch verschont (es lebe

checkpoint )... - wäre auch zu peinlich als edv-dienstleister...

 

aber kunden hat's genug erwischt. blöderweise legt dieser wurm

auch die erreichbarkeit des exchange-mailservers lahm... - ist nicht

lustig, wenn ein paar hundert user nicht mehr mailen können... :f:

 

ein noch immer mit dem wurm kämpfender

HAL9000

[Bernd67]

Schraubt einmal Eure Computer auf, da hat schon jemand einen herausgefischt

 

http://images.derstandard.at/20030813/wormi.jpg

 

na, Spaß beiseite, is net lustig, wenn man sowas "geschnupft" hat