Hallo,
vorgestern im UOAM klagten Leute aus der Gruppe über eine RPC-Fehlermeldung welche Windows zum Herunterfahren brachte. (Was immer dann geschieht wenn der RPC-Client abstürzt, Windows bootet bei Standardeinstellung in einem solchen Falle neu)
Da mir ein RPC-Sicherheitsproblem in den Sinn kam welches vor ein paar Wochen veröffentlicht wurde empfahl ich (wie einige andere auch) die entsprechenden Sicherheitspatches von der Windows-update-site zu saugen und zu installieren.
Dies zu tun möchte ich an dieser Stelle ALLEN Nutzern von
Microsoft® Windows NT® 4.0
Microsoft Windows® 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003
WÄRMSTENS empfehlen.
Denn es gibt nun einen Wurm (Blaster-Wurm) der eben diese Sicherheitslücke ausnutzt. Er scannt wohl broadcastmässig alle RPC-Ports und verschafft sich dann ggf Zugang zu diesen Rechnern. Von da aus verbreitet er sich dann weiter und hat so schnell eine unglaubliche Zahl von Rechnern infizieren können. Der ursprüngliche Autor hat allerdings den Fehler gemacht daß manchmal ein falscher Zugriff erfolgt und so der eben erwähnte RPC-Fehler auftritt. Ansonsten würde man eine Infizierung gar nicht erst bemerken.
Es sind allerdings auch andere Versionen dieses Wurmes denkbar. Der Quellcode ist bereits verfügbar (liegt mir vor, hab ihn aber noch nicht angeschaut) und von Leuten mit entsprechenden Kentnissen leicht zu verändern. So gibt es bereits Versionen welche Trojaner auf den Zielrechnern installieren.
Dazu:
http://www.heise.de/newsticker/data/dab-14.08.03-000/
Also für die Laien: Ohne diesen Sicherheitspatch ist euer System offen und angreifbar!! Ihr geht online und der Feind ist auf eurem Rechner, hat vollen Zugriff und das ohne daß ihr etwas merkt!
Zurück zum Blaster wurm und ein Auszug aus einem ZDNET-Artikel dazu:
Update 13. August 2003
Inzwischen sind mehrere Millionen Rechner von dem Virus befallen. Zahlreiche Anrufer erkundigten sich in der ZDNet-Redaktion, wie man den Virus wieder vom Rechner bekommt.
Auswirkung des Blaster-Wurms: Ist ein Rechner befallen, äußert sich das darin, dass Windows das System herunterfährt, da der RPC-Dienst überlastet ist.
Entfernen des Wurms: Bei jedem Neustart lädt sich der Wurm automatisch ins System. Der Löschversuch von msblast.exe misslingt, weil der Prozess noch aktiv ist. Als erstes muss der Prozess msblast.exe beendet werden. Dazu startet man den Task-Manager und klickt auf Registerkarte Prozesse. Dann markiert man den Prozess und klickt auf Beenden (unten rechts). Die Warnung des Taskmanager bestätigen. Erst dann kann die Datei msblast.exe gelöscht werden.
Registry Einträge entfernen:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Diese Einträge müssen aus der Registry gelöscht werden. Sonst wird der Virus nach dem Neustart des Rechners wieder aktiviert.
Jetzt kann der oben aufgeführte Sicherheits-Patch installiert werden. Voraussetzung ist allerdings, dass bei Windows 2000 mindestens Service Pack 2 installiert ist. Bei Windows XP muss Service Pack 1 installiert sein. Generell empfielt sich die Inastallation einer Firewall. Damit wäre der Befall des Rechners mit dem Wurm Trotz Sicherheitslücke verhindert worden. Bei Windows XP gehört eine Firewall zum Lieferumfang. Für Windows 2000 muss der Anwender eine Firewall erwerben.
Der Link dazu:
http://news.zdnet.de/story/0,,t101-s2138566,00.html
Also Leute, schaut ob ihr infiziert seid und patcht eure Rechner!
so long,
Asmo
vorgestern im UOAM klagten Leute aus der Gruppe über eine RPC-Fehlermeldung welche Windows zum Herunterfahren brachte. (Was immer dann geschieht wenn der RPC-Client abstürzt, Windows bootet bei Standardeinstellung in einem solchen Falle neu)
Da mir ein RPC-Sicherheitsproblem in den Sinn kam welches vor ein paar Wochen veröffentlicht wurde empfahl ich (wie einige andere auch) die entsprechenden Sicherheitspatches von der Windows-update-site zu saugen und zu installieren.
Dies zu tun möchte ich an dieser Stelle ALLEN Nutzern von
Microsoft® Windows NT® 4.0
Microsoft Windows® 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003
WÄRMSTENS empfehlen.
Denn es gibt nun einen Wurm (Blaster-Wurm) der eben diese Sicherheitslücke ausnutzt. Er scannt wohl broadcastmässig alle RPC-Ports und verschafft sich dann ggf Zugang zu diesen Rechnern. Von da aus verbreitet er sich dann weiter und hat so schnell eine unglaubliche Zahl von Rechnern infizieren können. Der ursprüngliche Autor hat allerdings den Fehler gemacht daß manchmal ein falscher Zugriff erfolgt und so der eben erwähnte RPC-Fehler auftritt. Ansonsten würde man eine Infizierung gar nicht erst bemerken.
Es sind allerdings auch andere Versionen dieses Wurmes denkbar. Der Quellcode ist bereits verfügbar (liegt mir vor, hab ihn aber noch nicht angeschaut) und von Leuten mit entsprechenden Kentnissen leicht zu verändern. So gibt es bereits Versionen welche Trojaner auf den Zielrechnern installieren.
Dazu:
http://www.heise.de/newsticker/data/dab-14.08.03-000/
Also für die Laien: Ohne diesen Sicherheitspatch ist euer System offen und angreifbar!! Ihr geht online und der Feind ist auf eurem Rechner, hat vollen Zugriff und das ohne daß ihr etwas merkt!
Zurück zum Blaster wurm und ein Auszug aus einem ZDNET-Artikel dazu:
Update 13. August 2003
Inzwischen sind mehrere Millionen Rechner von dem Virus befallen. Zahlreiche Anrufer erkundigten sich in der ZDNet-Redaktion, wie man den Virus wieder vom Rechner bekommt.
Auswirkung des Blaster-Wurms: Ist ein Rechner befallen, äußert sich das darin, dass Windows das System herunterfährt, da der RPC-Dienst überlastet ist.
Entfernen des Wurms: Bei jedem Neustart lädt sich der Wurm automatisch ins System. Der Löschversuch von msblast.exe misslingt, weil der Prozess noch aktiv ist. Als erstes muss der Prozess msblast.exe beendet werden. Dazu startet man den Task-Manager und klickt auf Registerkarte Prozesse. Dann markiert man den Prozess und klickt auf Beenden (unten rechts). Die Warnung des Taskmanager bestätigen. Erst dann kann die Datei msblast.exe gelöscht werden.
Registry Einträge entfernen:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Diese Einträge müssen aus der Registry gelöscht werden. Sonst wird der Virus nach dem Neustart des Rechners wieder aktiviert.
Jetzt kann der oben aufgeführte Sicherheits-Patch installiert werden. Voraussetzung ist allerdings, dass bei Windows 2000 mindestens Service Pack 2 installiert ist. Bei Windows XP muss Service Pack 1 installiert sein. Generell empfielt sich die Inastallation einer Firewall. Damit wäre der Befall des Rechners mit dem Wurm Trotz Sicherheitslücke verhindert worden. Bei Windows XP gehört eine Firewall zum Lieferumfang. Für Windows 2000 muss der Anwender eine Firewall erwerben.
Der Link dazu:
http://news.zdnet.de/story/0,,t101-s2138566,00.html
Also Leute, schaut ob ihr infiziert seid und patcht eure Rechner!
so long,
Asmo
