Viruswarnung: W32.Blaster massiv unterwegs!!!
 

Viruswarnung: W32.Blaster massiv unterwegs

Guten Morgen allerseits.

Nachdem etliche Leute, die ich kenne, seit gestern abend massive Probleme mit herunterfahrenden Rechnern haben/hatten, hier noch mal eine kurze Erklaerung.


Seit gestern abend ist der Internetwurm W32.Blaster (aka W32.Lovesan) unterwegs und infiziert massenweise ungeschuetzte Rechner.

Man erkennt dies daran, dass ein Windows-Systemdienst abstuerzt und Windows danach mit einem 30s-Countdown neustartet. Betroffen sind:
Windows NT 4.0 SP4
Win2k
WinXP
Windows 2003 Server

Unter http://www.heise.de/security/news/meldung/39347 gibts genauere Infos, was der Wurm tut und wie man ihn wieder los wird.

Jetzt weiß ich wenigstens, warum seit gestern im 30sec-Takt meine Firewall schreit, daß wer auf Port 135 zu svchost.exe connecten will...
Und latürnich ned darf ;)

Der Wurm dürfte im AON-Netz massiv wüten...:rolleyes:

Microsoft hat ein Patch für die Schwachstelle zur Verfügung gestellt, das unter http://www.microsoft.com/technet/sec...n/MS03-026.asp heruntergeladen werden kann.

bei symantec gibt es einen remover :D


When W32.Blaster.Worm is executed, it does the following:


Creates a Mutex named "BILLY." If the mutex exists, the worm will exit.


Adds the value:

"windows auto update"="msblast.exe"

to the registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

so that the worm runs when you start Windows.


Calculates the IP address, based on the following algorithm, 40% of the time:

Host IP: A.B.C.D

sets D equal to 0.

if C > 20, will subtract a random value less than 20.

Once calculated, the worm will start attempting to exploit the computer based on A.B.C.0, and then count up.

NOTE: This means the Local Subnet will become saturated with port 135 requests prior to exiting the local subnet.


Calculates the IP address, based on many random numbers, 60% of the time:

A.B.C.D

set D equal to 0.

sets A, B, and C to random values between 0 and 255.


Sends data on TCP port 135 that may exploit the DCOM RPC vulnerability to allow the following actions to occur on the vulnerable computer:

Create a hidden Cmd.exe remote shell that will listen on TCP port 4444.

NOTE: Due to the random nature of how the worm constructs the exploit data, it may cause computers to crash if it sends incorrect data.


Listens on UDP port 69. When the worm receives a request, it will return the Msblast.exe binary.


Sends the commands to the remote computer to reconnect to the infected host and to download and run Msblast.exe.


If the current month is after August, or if the current date is after the 15th, the worm will perform a DoS on "windowsupdate.com."

With the current logic, the worm will activate the DoS attack on the 16th of this month, and continue until the end of the year.

The worm contains the following text, which is never displayed:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

also für die denen es so geht wie mir:

man kann keine links mehr anklicken, internet nurmehr trennen durch kabel ziehen,...

ich habs dann so gemacht:

unter taskmanager (alt+strg+entf) auf registerkarte prozesse msblast.exe deaktiviert (markieren und prozess beenden klicken)

in start->ausführen: "regedit" eingegeben, dort unter "bearbeiten" "suchen" angewählt, msblast eingegeben und alle dateien gelöscht, außer eine, die lässt sich nicht löschen.

dann in start->ausführen: "msconfig" eigegeben, dort unter registerkarte "systemstart" bei "msblast.exe" das häkchen entfernt.

dann sollte man wieder links öffnen und internetverbindung über den pc trennen können.

jetzt hab ich mir das symantec removal-tool downgeloaded und jetzt gescannt

hmmm auf dem pc meiner freundin scheint nicht zu sein... bin mal gespannt, wie es bei mir zu hause aussieht ^^

Das Removal-Tool von Symantec:
http://securityresponse.symantec.co...er/FixBlast.exe


Der Patch zur Beseitigung der Sicherheitslücke:
http://www.microsoft.com/technet/tr...in/MS03-026.asp

Zitate von de BA-CA-Seite :)

Das liest sich ja (wieder mal) fast wie eine Verarsche angesichts der momentanen Situation :)

Ich hab kein Mitleid mit den Betroffenen. Den Bugfix gibts schon seit fast einem Monat:
http://www.microsoft.com/technet/tre...n/MS03-026.asp
Originally posted: July 16, 2003

...wobei es anfangs als nicht so wichtig eingestuft wurde, erst seit die Exploits vermehrt auftreten wurde die Seite überarbeitet und auf critical gesetzt... ist eh immer das gleiche, anfangs wenn was bekannt ist und anscheinend nix passiert, still und heimlich hoffen, dass es gut geht, und wenn nicht, dann großartig den Patch präsentieren ("war eh schon immer da").

Nein, der RPC-Patch war immer schon "Critical". Siehe z.B.: http://www.wcm.at/modules.php?name=N...ticle&sid=5292

kann sich jemand bitte mein problem durchlesen, ist für einen auskenner sicher super einfach, aber für mich :rolleyes:

http://www.wcm.at/vb2/showthread.php?threadid=106099

terminal service solls natürlich heißen.


thx. :bier:

Also das Posting spricht aber wieder eher gegen MS als für :) Ausserdem ist hauptsächlich von Windows2003 die Rede, okay, in einem kleinen Satzerl geht es um "alle Windows-Versionen mit NT Kern"...

Fakt ist jedenfalls, dass sich die User mit den neuen Betriebssystemen immer sicherer fühlen, auch die Veröffentlichungen der Firmen suggerieren dies. ("Das sicherste ... aller Zeiten!"). Man sollte lieber gleich zugeben, dass keine Software zu 100 % sicher ist, und die User anhalten, öfters auf die Update-Seiten zu schauen, und diese so zu gestallten, dass sich auch ein ONU auskennt.

Sollte das Update von MS wirklich schon anfangs als Critical eingestuft worden sein (und auch entspr. verlautbart wurde, das ist nämlich das Wichtige), so ziehe ich meine vorherige Behauptung gerne zurück :rolleyes:

ich hatte den virus anscheinend auch gestern und einmal starttet sich das autoupdate obwohli ich diesen dienst auf "manuel" geschalten habe. gott sei dank kenn ich mich mit der shutdown.exe aus und konnte das abdrehen verhindern. (shutdown -a in ausführen eingeben [für alle die das nicht wissen]) nun hab ich den patch von microsoft installiert und es funzt wieder alles. aber der norton av hat den virus nie erkannt obwphl er die neuste virendeffinition hatte.

halpassend zu dem thread: mein rpc-dienst meldet sich auch und macht dann den shut down. msblast dürfte aber nicht drauf sein. hab weder nen eintrag in der reg noch was unter prozesse rennen.

ich hab, doof wie ich bin, dann den rpc-dienst deaktiviert. seitdem lahmt windows total. und rpc lässt sich nicht mehr starten. nen plan was ich noch machen kann?

so, updates und symantc-fix eingespielt, fw aktiviert ...

schaun wir mal was kommt :D


btw: weder msblast noch lovesan haben sich bei mir gerührt :heul:

wer keine updates einspielt => selber schuld. die sollen froh sein das es noch immer keine strafen gibt, sowas müßte endlich mal her :mad: