Hallo,
bei allen Bemerkungen zu dem aktuellen Wurm bleibt bislang eine Frage offen: Wie fange ich mir ihn eigentlich ein? Per email wohl nicht, wie ich las. Wie also dann? Über den Besuch eines infizierten Servers? Beim Öffnen der Morgenzeitung? Sollte ich die Fenster geschlossen halten?
Gruß und Danke für Infos,
Christian
bei allen Bemerkungen zu dem aktuellen Wurm bleibt bislang
eine Frage offen: Wie fange ich mir ihn eigentlich ein? Per
email wohl nicht, wie ich las. Wie also dann? Über den Besuch
eines infizierten Servers? Beim Öffnen der Morgenzeitung?
Sollte ich die Fenster geschlossen halten?
Da ist keine besondere Aktivität von dir nötig, du musst bloss mit dem Internet verbunden sein und warten 
Grüße
Bruno
Hi,
also ich hab es seit gestern und seitdem war ich nur bei w-w-w und hab sonst nix gemacht, escht nicht.
Also wie gesagt, nur abwarten. Er findet dich.
Gruß
roland
Tag Bruno,
Da ist keine besondere Aktivität von dir nötig, du musst bloss
mit dem Internet verbunden sein und warten
da hätte ich dann doch eher eine technischere Antwort erwartet. Wie genau käme der Wurm auf meinen Rechner, wenn dann doch nicht per mail? Einfach nur mit dem Internet verbunden heißt ja nicht, daß Hinz und Kunz beliebig Daten auf meinem Rechner verbreiten können. Wird die IP ermittelt und dann der Wurm überspielt? Lädt es ein infizierter Server auf meinen Rechner, wenn der Patch nicht installiert wird? Irgendetwas in der Art wäre für mich interessant.
Gruß,
Christian
Tag Bruno,
Da ist keine besondere Aktivität von dir nötig, du musst bloss
mit dem Internet verbunden sein und wartenda hätte ich dann doch eher eine technischere Antwort
erwartet. Wie genau käme der Wurm auf meinen Rechner, wenn
dann doch nicht per mail? Einfach nur mit dem Internet
verbunden heißt ja nicht, daß Hinz und Kunz beliebig Daten auf
meinem Rechner verbreiten können.
Windows hat einige Dienste laufen, die nur problematisch zu deaktiviren sind: der RPC ist so einer.
Dieser Dienst hat eine Sicherheitslücke. Er wird angesprochen und ausgenutztz.
Man bekommt eine Administrations-Shell. Nun wird per TFTP (ein spezielles Protokoll) der Wurm vom infizierenden Rechner heruntergeladen und ausgeführt.
Dies führt dazu, daß ein TFTP-Server gestartet wird (der anderen den Wurm anbietet) sowie nach weiteren Recnern mit der RPC-Sicherheitslücke in der „Umgebung“ gesucht wird.
Wird die IP ermittelt und
dann der Wurm überspielt?
Es werden IPs einfach durchprobiert…
Lädt es ein infizierter Server auf
meinen Rechner, wenn der Patch nicht installiert wird?
Ja. Den TFTP-Server.
Irgendetwas in der Art wäre für mich interessant.
Die Problemlöseung lautet: das Sicherheitsloch stopfen (sprich Aktualisierung per Patch von MS). Oder, … naja, Du weißt schon…
HTH,
Sebastian
Hab grad keine genaue Beschreibung offen, ich glaube aber der probiert IP Adressen aus. Nicht ganz zufällig, sondern mit einem bestimmten Algorithmus, aber im Endeffekt schon auf Gut glück, mit genügend infizierten Rechnern und genügend Versuchen pro Sekunde hat man da das Internet shcon irgendwann durch Das würde sich auch mit dem decken was mir gestern Abend einer erzählt hat der infiziert wurde, dann eine Firewall anschmiss und massenweise ausgehende Pakete an fortlaufende IP-Adressen gefiltert wurden.
Durch einen Programmfehler in Windows wird dann ein Buffer Overflow ausgelöst, wodurch bei dir quasi beliebiger Code ausgeführt werden kann. Der Virus hat dann auf diese Weise eine Datei msblast.exe untergeschoben und gestartet, die dann z.b. deinen Rechner runterfährt Sah für mich gestern abend alles recht harmlos aus, wie als ob Windows halt dumm tut, stutzig wurde ich erst nachdem das nach 5 Minuten erneut geschah und von einigen andren Leuten auch berichtet wurde, aber zu der Zeit war noch nichts über den konkreten Wurm bekannt (obwohl das Sicherheitsloch seit 4 Wochen bekannt ist, aber wer kriegt das schon mit, wenn man nciht regelmäßig entsprechende Seiten liest und Windows Updates macht). Ab 16. September starten die infizierten Rechner anscheinend eine DDOS-Attacke gegen die Seite windowsupdate.com um diese per Datenmüll lahmzulegen.
Im Endeffekt bin ich froh dass der Wurm so gnädig war und nur runtergefahren ist
Bei genauerem Interesse, einfach mal die Homepages der Antivirenhersteller abklappern, da steht das sicher irgendwo detaillierter.
Grüße
Bruno
Im Endeffekt bin ich froh dass der Wurm so gnädig war und nur
runtergefahren ist
*sigh*
Auch Virenprogrammierer machen Fehler.
Sebastian
Hallo,
bei allen Bemerkungen zu dem aktuellen Wurm bleibt bislang
eine Frage offen: Wie fange ich mir ihn eigentlich ein? Per
email wohl nicht, wie ich las. Wie also dann? Über den Besuch
eines infizierten Servers? Beim Öffnen der Morgenzeitung?
Sollte ich die Fenster geschlossen halten?
Sebastian hat ja schon eine gute Antwort gegeben.
Hinzuzufügen ist vielleicht noch, daß hier endlich mal tatsächlich ein Windows ausreicht - die Lücke braucht keine bestimmte Software, keinen SQL-Server wie der SQLslammer oder sonstwas - nur Windows. Selbst, wenn Du einen Virenscanner mit aktuellen Signaturen laufen hast, bist Du verwundbar - Du kannst zwar nicht infiziert werden im Sinne von „Ich fange mir das Ding ein und verbreite es weiter“, aber das beobachtete Verhalten des Herunterfahrens tritt dennoch bei Dir auf - Du gibst den Schaden also nicht weiter, aber Du erleidest ihn. Man kann froh sein, daß das Ding nichts wirklich böses macht, das wäre nämlich ohne weiteres möglich (Festplatte löschen etc.).
Desweiteren behebt der Patch von M$ zwar die Verwundbarkeit, wenn Du aber infiziert bist, entfernt er den Wurm nicht und jener verbreitet sich fröhlich von Deinem Rechner aus weiter.
Wirkliche Hilfe kann also nur beides sein: Rechner säubern UND Patchen.
Der Infektionsweg läuft wie von Seb. beschrieben ab, also stichwortartig
HTH,
Malte.
Hallo Sebastian,
Man bekommt eine Administrations-Shell. Nun wird per TFTP (ein
spezielles Protokoll) der Wurm vom infizierenden Rechner
heruntergeladen und ausgeführt.Wird die IP ermittelt und
dann der Wurm überspielt?Es werden IPs einfach durchprobiert…
Ja. Den TFTP-Server.
danke für die aufklärende Antwort. Dabei fällt mir ein Anekdötchen ein: Ein Kollege von mir wollte in 2001 nur noch Neuemissionen zeichnen, nach denen die zum Verkauf angebotenen Aktien steigen werden.
Ich entlehne dies und werde in Zukunft nur noch IPs verwenden, die nicht gescannt werden.
Gruß,
Christian
Flame!
Wie genau käme der Wurm auf meinen Rechner, wenn
dann doch nicht per mail?
Nett: http://www.eeye.com/html/Research/Advisories/AL20030…
Sebastian
Meine Firewall hat einige abgefangen
Hi,
mein Log zeigt seit vorgestern ca. 30 Versuche auf Port 135 einzubrechen, zum Glück hat die Firewall das verhindert und die neuesten Patches sind drauf.
Scheint so ein ziemlich aggressives Virus zu sein. So was heb ich bei vorhergehenden Neuerfindungen nicht gehabt.
A.
Wie genau käme der Wurm auf meinen Rechner, wenn
dann doch nicht per mail?
Besonders nett:
„Note: We have found that on Windows 2000 with Service Pack levels SP0, SP1, and SP2, disabling DCOM using the DCOMCNFG tool does not actually disable DCOM functionality. As a result, unpatched machines running the affected versions of Windows 2000 are still vulnerable, regardless of whether DCOM is indicated as disabled. We have contacted Microsoft about this problem and they are looking into it.“
Soviel zu dem Thema „Der Computer macht nur das, was der User ihm sagt“.
Malte.
danke für die aufklärende Antwort. Dabei fällt mir ein
Anekdötchen ein: Ein Kollege von mir wollte in 2001 nur noch
Neuemissionen zeichnen, nach denen die zum Verkauf angebotenen
Aktien steigen werden.Ich entlehne dies und werde in Zukunft nur noch IPs verwenden,
die nicht gescannt werden.
Ich kann Dir zufällig günstig ein ungescanntes Subnetz verkaufen:
216.257.99.0/27 wäre (für Dich) zu Sonderkonditionen zu haben. Ungescannt.
[Details klären wir per Mail, eh? ]
Sebastian
Soviel zu dem Thema „Der Computer macht nur das, was der User
ihm sagt“.
Hey, DCOM ist so innovativ und toll. Das kann der Adminstrator so nicht gemeint haben, daß er sowas tolles einfach abschaltet.
Was sagt die DCOM-Administrationsbüroklammer eigentlich zu dem Thema?
Sebastian
noch nicht auf Win2k…
[Beschreibung, wie msblast funktioniert]
Im Endeffekt bin ich froh dass der Wurm so gnädig war und nur
runtergefahren ist
Das hat nichts mit Gnade zu tun. Das Programm prueft nur einfach nicht, welches OS es angreift und waehlt mit einer (angeblichen) Wahrscheinlichkeit von 80% den Stack-Offset fuer ein XP-System (groessere Verbreitung?). Auf 2K-Systemen fuehrt das zum Absturz (und andersrum). Also eigentlich nur Schlamperei, wenn SIE’s „ordentlich“ gemacht haetten waere es hier wahrscheinlich viel ruhiger und am 16. gaebe es einige sehr ueberraschte Gesichter.
Grüße
Bruno
Gruss vom Zentrum.
P. S.: Erstaunlich, die Pro7-Nachrichten hatten heute schon einen Bericht.
danke für die aufklärende Antwort. Dabei fällt mir ein
Anekdötchen ein: Ein Kollege von mir wollte in 2001 nur noch
Neuemissionen zeichnen, nach denen die zum Verkauf angebotenen
Aktien steigen werden.Ich entlehne dies und werde in Zukunft nur noch IPs verwenden,
die nicht gescannt werden.Ich kann Dir zufällig günstig ein ungescanntes Subnetz
verkaufen:216.257.99.0/27 wäre (für Dich) zu Sonderkonditionen zu haben.
Wo kann ich solche IP-Adressen registrieren? Komm schon, Sebastian, verrat’s mir!
Malte.
216.257.99.0/27 wäre (für Dich) zu Sonderkonditionen zu haben.
Wo kann ich solche IP-Adressen registrieren? Komm schon,
Sebastian, verrat’s mir!
Bei mir, auch für Dich ist etwas dabei. Garantiert ungescannt. Meine Kontonummer hast Du?
Sebastian
Soviel zu dem Thema „Der Computer macht nur das, was der User
ihm sagt“.
Das sagt genau wer nach WinME-Erfahrung?
C.
danke für die aufklärende Antwort. Dabei fällt mir ein
Anekdötchen ein: Ein Kollege von mir wollte in 2001 nur noch
Neuemissionen zeichnen, nach denen die zum Verkauf angebotenen
Aktien steigen werden.Ich entlehne dies und werde in Zukunft nur noch IPs verwenden,
die nicht gescannt werden.Ich kann Dir zufällig günstig ein ungescanntes Subnetz
verkaufen:216.257.99.0/27 wäre (für Dich) zu Sonderkonditionen zu haben.
Ungescannt.
Ich haette hier auch noch ein paar: 192.168.0.0/24 bis 192.168.255.0/24. Ziemlich sicher sollte auch 127.0.0.1/8 sein.
[Details klären wir per Mail, eh?
Frische Netze, frische Netze, wer hat noch nicht, garaniert™ sicher.
Sebastian
Genug gealbert,
Gruss vom Zentrum.
Das hat nichts mit Gnade zu tun. Das Programm prueft nur
einfach nicht, welches OS es angreift und waehlt mit einer
(angeblichen) Wahrscheinlichkeit von 80% den Stack-Offset fuer
ein XP-System (groessere Verbreitung?). Auf 2K-Systemen
fuehrt das zum Absturz (und andersrum).
Und auf den anderen?