NoStyle Geschrieben 12. August 2003 Teilen Geschrieben 12. August 2003 Seit gestern ist ein neuer Wurm namens W32.Blaster.Worm im Umlauf. Dieser benutzt eine Sicherheitslücke im Remoteprozeduraufruf (RPC) unter Windows-Systemen mit der NT-Engine. Der Wurm gelangt über diesen Internetdienst auf das System und schreibt sich selbst in die Registry. Durch einen Buffer overrun in jenem Modul wird der Rechner dann prompt zum Neustart gezwungen. Letztenendes kann man als Windows-User nicht mehr ins Internet, weil der Rechner kurz nach erfolgreichem Verbindungsaufbau zwangsmäßig neustartet. Der Wurm verbreitet sich extrem schnell, in den letzten zwei Tagen sind einige Tausend Infektionen gemeldet worden. Manche Antivirenprogramme besitzen bereits Updates, jene können aber durch den Neustart nicht ausgeführt werden. Um den Wurm zu beseitigen, geht folgendermaßen vor: 1.: Geht auf Systemsteuerung -> Verwaltung -> Dienste und wählt dort mit einem Rechtsklick "Remoteprozeduraufruf" aus. Auf Eigenschaften -> Wiederherstellung wählt ihr anstelle von Systemneustart "Dienst neu starten" aus. Damit verhindert ihr den Reboot. 2.: Microsoft hat einen Patch bereitgestellt, der die Sicherheitslücke beseitigt. Ihr könnt ihn hier runterladen. Bitte trennt nach dem Runterladen die Internetverbindung, da durch den Wurm jedes beliebige Programm auf euren Rechner geschleust werden kann. 3.: Installiert den Patch und stellt die ursprünglichen Einstellungen für den Remoteprozedurauflauf wieder her. Nun solltet ihr keine Probleme mehr haben, wenn ihr ins Internet wollt. Weitere Informationen zum Wurm gibt es auf der Symantic-Page, allerdings auf englisch. P.S. Befallen werden können nur User mit XP,2000, NT und Server 2003 mfg NoStyle Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
yellow Geschrieben 12. August 2003 Teilen Geschrieben 12. August 2003 hahaha, war echt lustig, das doofe Teil glücklicherweise schon vom Brüderchen per Telefon über Abhilfe informiert worden, nur der AntiVirus fehlt noch, kommt aber bald. Soviel zu "mir kann nix passieren, weil ich keine Attachments öffne".... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
kapi Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 hat mich gestern erwischt (das erste Virus seit Jahren) Danke für die Infos. kapi Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Bernd67 Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Bei NT(4) wird nur die Server-Version (bzw. TSE) erwähnt. Workstation nicht? Es gibt auch nur einen Patch für Server. diese Dienste einfach abdrehen geht nicht? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jogul Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 wie habt ihr euch den eingefangen? @NoStyle: besten danke für die infos Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
kapi Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Original geschrieben von jogul wie habt ihr euch den eingefangen? @NoStyle: besten danke für die infos keine Ahnung Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
yellow Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 der nutzt eine Schwachstelle vom Windows aus, die eigentlich der Kommunikation dient. Wohl so ähnlich wie damals, als man bei W95 (?) die Leute nuken konnte. = kommt ausm Internet, deren Computer versuchen einfach wahllos Adressen und versenden die Aufforderung (so hab ich DAU es jedenfalls verstanden.) also nix mit .exe geöffnet oder so. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thoms Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 hab ihn auch...aber dank der tipps bin ich ihn hoffentlich bald los Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Christoph Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 @Bernd67: NT4 kann nicht gepatcht werden, weil das noch auf einem anderen Kern basiert als 2000/XP. Wobei es bei 2000 SP4 auch Probleme mit dem patchen geben soll. Ich persönlich find die Angelegenheit recht amüsant. In anderen Foren ist es seit vorgestern das beherrschende Thema, dass sich die PCs alle 5min von alleine runterfahren Mir ist's wurscht, weil ich hab einen Virenscanner (der den Virus in den eltzten Tagen öfters abgefangen hat) - da pfeif ich doch auf den "Leistungseinbruch" (der bei 1GB RAM und 2,2GHz eh nicht merkbar ist). Ausserdem hab ich eine Hardwarefirewall. Und da ich mir durchaus darüber im Klaren bin, dass MS anfällig für sowas ist, installiere ich regelmäßig die Security-Patches (die hier betroffene Lücke ist immerhin schon fast 1 Woche bekannt und patchbar!). Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Slayer Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 hihi ich hab win 98 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bikermax Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Den hab ich mir auch eingefangen. Komme zwar ins Internet, es funktionieren aber viele Links nicht und kann die Verbindung nicht mehr trennen. Mein Virenscanner hat ihn zwar lokalisiert kann ihn aber nicht entfernen. Werde versuchen den Sch... lt. Anleitung zu entfernen. Danke auf alle Fälle für die Infos. lg Markus Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ghost rider Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 hier aus einem Forum für wurmbefallene Rechner: Ich schreibe nochmals allen Leidensgenossen ! Bitte gibt die Nachricht weiter ! Wir sind den Wurm definitiv losgeworden. Aber es war nicht so ganz einfach. Und inzwischen ist alles noch schwieriger. Also hier unsere Hilfe (und Rache an den Wurm) sowie eine genaue Anleitung was hilft : 1. Den Microsoft Patch installieren damit die Sicherheitslücke zuerst mal geschlossen ist : download.microsoft.com/download/9/2/1/921a4733-e72c-4309-89db-408b65f64b0c/Windows2000-KB823980-x86-DEU.exe Der Patch kann aber auch direkt von unseren Server heruntergeladen werden : patch.internet-developers.net/Windows2000-KB823980-x86-DEU.exe 2. Download von spezieller Software zur Auslöschung des verdammten Wurms Fixblast von Symantec (benötigt aber SP3 oder 4) : securityresponse.symantec.com/avcenter/FixBlast.exe Falls der Server überlastet sein sollte, kannst Du den Scanner von unserem Server herunterladen : patch.internet-developers.net/FixBlast.exe Eine andere Variante von Panda Software (vielleicht sogar die Bessere) falls es nicht hilft : updates.pandasoftware.com/pq/gen/blaster/pqremove.com Falls der Server überlastet sein sollte, kannst Du den Scanner direkt von unserem Server herunterladen : patch.internet-developers.net/pqremove.com 3. Service Packs für Win2K Es wurde mehrmals nach SP's für Win2K gefragt. Falls es bei Microsoft zu lange dauert oder einfach Windows Update nicht erhältlich ist, dann gibt es das Express SP4 Setup (Deutsch) direkt auf unserem Server : patch.internet-developers.net/SP4Express_DE.exe 4. Komplett neu starten Wenn : - der Patch installiert wurde damit kein neuer Schaden angerichtet werden kann - die Virus Software gelaufen ist und den Wurm vernichtet hat dann den Computer neu starten. Nach dem Neustart, gleich nochmals die Anti Virus Software ausführen. Es hat bei mir 3 Mal gebraucht, bis nichts mehr auf dem System vorhanden war. Der verdammte Wurm kannst Du löschen und der installiert sich irgendwie gleich wieder von selbst. Daher mehrmals starten, mehrmals Anti Virus ausführen. Bis dann endlich total Ruhe ist. WARNUNG : Es hilft überhaupt nicht die Festplatte zu formatieren oder das Betriebssystem komplett neu zu installieren. Der Wurm installiert sich automatisch immer wieder von selbst solange er nicht definitiv vernichtet worden ist und die Sicherheitslücke geschlossen wurde. Also nochmals für alle normal Sterblichen : Patch installieren, einer der Virus Scanner laufen lassen. Neu starten. Wieder Virus Scanner laufen lassen, etc. bis alles restlos sauber ist. Falls Virus Scanner einen höheren Service Pack voraussetzt, diesen vorher installieren. (oft sind Fehlermeldungen von Virenscanner auf einen zu alten Service Pack zurückzuführen). Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Bernd67 Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Original geschrieben von Christoph @Bernd67: NT4 kann nicht gepatcht werden, weil das noch auf einem anderen Kern basiert als 2000/XP. bei Server und Terminal Server Ed. steht definitiv geschrieben, daß gepatcht werden kann und soll, da gibt es auch Links zu den Patch-Dateien. http://security.microsoft.at Workstation geht bei den Beschreibungen unter, dürfte aber auch betroffen sein. Mein GEdanke war: die betroffenen Dienste einfach abdrehen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thoms Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 hallo...! hab leider ein problem...ich kann den patch von microsoft nicht installieren...bleibt immer ganz am anfang hängen! hat sonst noch jemand diese problem bzw. weis wie man es behebt? lg Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Bernd67 Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Servicepack? im von mir genannten Link bzw. in derstandard.at stehen genügend Hinweise (verweisen alle auf M$-Seiten) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ghost rider Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Original geschrieben von therealracebike hallo...! hab leider ein problem...ich kann den patch von microsoft nicht installieren...bleibt immer ganz am anfang hängen! hat sonst noch jemand diese problem bzw. weis wie man es behebt? lg falls von der MS Seite zu langsam probier dieses: patch.internet-developers.net/SP4Express_DE.exe Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Christoph Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Original geschrieben von Bernd67 Mein GEdanke war: die betroffenen Dienste einfach abdrehen. Die RPC kannst als User nicht abdrehen Man kann aber glaube ich die (betroffene) Datei tftp.exe löschen wenn man keinen IIS aufgesetzt hat. Oder Du installierst eine Firewall die Port 135 blockt. Die Security Bulletin vom 13.5.(!!!) http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-010.asp Da gibt's keinen Patch für NT4, es ist nur als betroffenes Programm aufgelistet. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thoms Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 @ ghost rider: da gibts aber nur patches für win 2000, bräuchtes für XP! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ghost rider Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Original geschrieben von therealracebike @ ghost rider: da gibts aber nur patches für win 2000, bräuchtes für XP! bei XP musst vorher das auto-recovery abdrehen dann Program zum entfernen starten Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Bernd67 Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Original geschrieben von Christoph Die RPC kannst als User nicht abdrehen Man kann aber glaube ich die (betroffene) Datei tftp.exe löschen wenn man keinen IIS aufgesetzt hat. Oder Du installierst eine Firewall die Port 135 blockt. Da gibt's keinen Patch für NT4, es ist nur als betroffenes Programm aufgelistet. demnach ist es mit dem Abdrehen des Server, RAS, etc. Dienstes nicht getan. http://support.microsoft.com/?id=823980 besagt Hinweis: Dieser Sicherheitspatch kann auf Windows NT 4.0 Workstation installiert werden. Jedoch unterstützt Microsoft diese Version gemäß Microsoft Lifecycle Support Policy nicht mehr. Außerdem wurde dieser Sicherheitspatch auf Windows NT 4.0 Workstation nicht getestet. Informationen zur Microsoft Support Lifecycle Policy finden Sie auf folgender Microsoft-Website: http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base: d.h. es geht, aber es gibt keine Gewähr dafür. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
luki1801 Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 @ therealracebike: im ersten beitrag vom NoStyle hat er den Link zur Downloadsite. Dort gibts 2 XP-Versionen vom Patch. eine 32-Bit und a 64-Bit. vielleicht hast die falsche. i hab zerst a die falsche ghabt, die kann der PC dann net installieren. Hab hier noch mal den Link zum Patch Hoff es funktioniert auch bei dir, Mfg, Luki Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
XC-Racer Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Hab den oasch Virus auch oben und immer wenn ich im Internet bin ko0mmt alle 5 Minuten ne meldung dass das System sich in einer Minute herunterfährt! :k: :k: :l: Heeeeeeeeeeeeeellllllllp meeeeeeeeeee !!!!!!!!!!!!!!!!!!!!!!!! Lg, Andreas Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
NoStyle Geschrieben 13. August 2003 Autor Teilen Geschrieben 13. August 2003 Original geschrieben von jogul wie habt ihr euch den eingefangen? @NoStyle: besten danke für die infos gar nicht, mein Scanner und meine Firewall (beides übrigens nicht ganz original gekauft) hatten da was dagegen dass da so ein komischer virus daher kommt.... büdde büdde, hat ja doch vorteile wenn man nicht nur im BB herumhängt... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
HAL9000 Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Original geschrieben von XC-Racer ... Heeeeeeeeeeeeeellllllllp meeeeeeeeeee !!!!!!!!!!!!!!!!!!!!!!!! Lg, Andreas hi andreas... - jeder, wie er es verdient... :devil: aber die anleitung/tips zum entfernen stehen eh weiter oben im thread... als erstes den patch installieren, dann den (aktualisierten) viren-scanner über das system laufen lassen. gegebenenfalls in der registry den "run"-eintrag mit dem "msblast.exe" löschen (wenn dir dieser satz nix sagt, dann lass die finger davon ). mich hat danke firewall nix erwischt... - den patch habe ich natürlich trotzdem eingespielt. unsere firma blieb auch verschont (es lebe checkpoint )... - wäre auch zu peinlich als edv-dienstleister... aber kunden hat's genug erwischt. blöderweise legt dieser wurm auch die erreichbarkeit des exchange-mailservers lahm... - ist nicht lustig, wenn ein paar hundert user nicht mehr mailen können... :f: ein noch immer mit dem wurm kämpfender HAL9000 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Bernd67 Geschrieben 13. August 2003 Teilen Geschrieben 13. August 2003 Schraubt einmal Eure Computer auf, da hat schon jemand einen herausgefischt http://images.derstandard.at/20030813/wormi.jpg na, Spaß beiseite, is net lustig, wenn man sowas "geschnupft" hat Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.