Chello& Code Red

[Groovy]

Hi,

Hast du denen schon eine Mail zurückgeschrieben?
Schon mit einem guten Virenscanner versucht den Wurm zu finden?
Ich verstehe auch nicht, warum Win98/ME Betriebsysteme nicht mit diesem Virus infiziert werden können und angeblich nur Win2k/NT betroffen sind.

[Espresso]

zum genauen Nachlesen: http://www.eeye.com/html/Research/Ad...L20010804.html

@müllersq
Schreib ne Mail an Chello, dass du Win98 hast und frag sie wie du CodeRed löschen sollst.

[müllersq]

Hab schon ein Mail geschickt.

"Liebes chello-team,
ich habe weder Windows NT noch Windows 2000 und schon gar keinen IIS
Webserver (was immer das sein mag) auf meinem Computer laufen.
Meiner läuft unter Windows 98.
Es muss sich daher um eine Verwechslung handeln."

Es ist aber fraglich, obs auch glesen wird.

Ich bin doch nicht blöd, und häng mich mit dem Telefon eine halbe Stunde in die Warteschleife nur weil die nicht mehr ein und aus wissen.

[Manfred]

Ich glaube eher das Ihr einen Trojaner im System habts und dieser blöderweise Chello kontaktierte , naja, und Chello vermutet jetzt eben den Code Red, warum auch nicht! Ich an Eurer Stelle würde einmal auf www.symantec.com gehen und einen Onlinevirencheck machen, solltet Ihr einen Trojaner an Board haben wird er von Symantec zu 99% gefunden und Ihr könnt ihn entfernen. Noch was, habt Ihr eigentlich jetzt eine Firewall installiert oder nicht?, normalerweise müßte die Firewall anschlagen falls ein Programm oder ein Trojaner ins Intenet möchte.

[cedros2]

@müllersq
tja, das hab ich mir eigentlich auch gedacht... aber mails an chello sind meist ja ziemlich aussichtslos. Und diese mail bekommen sie in diesen Tagen sicher nicht nur einmal (wir werden ja nicht die einzigen sein, die das Problem haben).

@groovy
also wenn ich das richtig verstanden habe, sind nicht prinzipiell nur Win2000 und WinNT betroffen, sondern Systeme, bei denen der MS-IIS-Webserver installiert ist - und bei dieses Betriebssystemen wird der automatisch mitinstalliert.
oder seh ich da was falsch?

@manfred
hab eine firewall, hatte aber (leichtsinnigerweise) mal eine zeitlang keine...

[müllersq]

Auf meine Anwort auf die chello-code-red-warnung an chello hab ich heute Vormittag um 10:37 dieses Mail bekommen:

"Sehr geehrter Chello Kunde,

Falls Sie Ihr System bereits in Ordnung gebracht haben oder den Code Red Wurm nicht auf Ihren System hatten (zb. Linux, Mac OS) ignorieren Sie bitte die email Warnung.

Als kurze Erläuterung des "Code Red" können wir Ihnen das von Microsoft zur Verfügung gestellte Statement anbieten:

Microsoft reagiert auf die schnelle Verbreitung des Wurms CodeRedII und stellt ein Tool bereit, das den Schädling entfernen kann. CodeRedII verbreitet sich mittels eines anderen IP-Scanning-Algorithmus als beim Original noch schneller und installiert zudem eine Hintertür auf den betroffenen Servern. Diese kann nicht einfach dadurch entfernt werden, dass man die angelegten Dateien ("Explorer.exe", "Root.exe") löscht.

Das Microsoft-Programm entfernt nun die vom CodeRedII angelegten Dateien, startet das System neu, schaltet das Mapping für das Verzeichnis "/Scripts" oder "/MSADC" aus und bietet die Option, die Webserver-Software IIS komplett zu deaktivieren.

Allen CodeRed-Varianten gemeinsam ist, dass sie eine Sicherheitslücke in Microsofts Internet Information Server (IIS) ausnutzen, die mit einem seit Juni verfügbaren Patch geschlossen werden kann. Wer keinen Server betreibt oder den Patch aufgespielt hat, ist nicht gefährdet.


Mit freundlichen Gruessen

Ihr chello Helpdesk Team

-----------------------------------------------
Tel.: 96060 - 333 Gudrunstrasse 161
Fax: 96068 - 1960 A-1100 Wien
Email: support@chello.at
URL: http://subscriber.chello.at/support/"


Ein paar Minuten um 10:46 dann dieses


"Sehr geehrter chello-Kunde von UPC Telekabel!

Sie haben am 09.08.01 23:46:27 eine Email von uns erhalten, in der wir Sie informierten, dass Ihr Microsoft IIS-Webserver mit hoher Wahrscheinlichkeit mit dem Virus 'Code Red Worm' infiziert wurde.

Leider mussten wir feststellen, das Ihr Microsoft IIS-Webserver noch nicht upgedated wurde.
Microsoft hat dazu bereits einen Sicherheits Patch (Update) zur Verfügung gestellt, welchen Sie bei Microsoft kostenlos downloaden können.

Windows NT 4.0:
http://www.microsoft.com/Downloads/R...eleaseID=30833
(Deaktiviert den Code Red Virus unter Windows NT)

Windows 2000
http://www.microsoft.com/Downloads/R...eleaseID=30800
(Deaktiviert den Code Red Virus unter Windows 2000)

Code Red II Cleaner
http://www.microsoft.com/Downloads/R...eleaseID=31878
(Löscht die Dateien die vom Virus am Computer angelegt wurden)

Führen Sie bitte sowohl den Sicherheitspatch, wie auch den Cleaner zum entfernen des Virus auf Ihrem Computer durch.

Microsoft Support Hotline
Kostenloser/kostenpflichtiger Telefon-Support von Microsoft zu Microsoft Produkten.
Montag - Freitag von 8:00 - 18:00 und NEU Samstag von 9:00 - 17:00
Tel.: Standard: (01) 50222 - 2255
Vertragsberatung: (01) 50222 - 2330
Web: http://www.microsoft.com/austria/support
Daneben bietet Ihnen eine Reihe von autorisierten Support Centern Unterstützung für Microsoft BackOffice Produkte. Informationen darüber beim Microsoft InfoService.

Wir bitten Sie umgehendst dieses Update innerhalb der nächsten 48 Stunden durchführen, um weitere Infektionen von MS-IIS Webservern und unnötigen Datenverkehr zu unterbinden. Aus Sicherheitsgründen und zum Schutz unserer User wären wir sonst gezwungen ihren Internet-Anschluss vorübergehend zu deaktivieren.

Wir bitten Sie um Verständnis und stehen Ihnen für zusätzliche Fragen, oder die Reaktivierung ihres chello Anschlusses unter der Telefonnummer 96060 - 333 zur Verfügung.

Mit freundlichen Grüßen

Ihr chello-Team von UPC Telekabel
X-Mailer: myone"

Irgendwie habe ich den Eindruck, dass hier die Rechte nicht weiss, was die Linke tut.

Was solls. Ich hab mir dann das

Code Red II Cleaner
http://www.microsoft.com/Downloads/R...eleaseID=31878
(Löscht die Dateien die vom Virus am Computer angelegt wurden)

downgeloadet und ausgeführt.
Es ist zwar nicht abgestürzt, hat aber auch keinen Log-File angelegt.

Oh Herr, vergib ihnen, den sie wissen nicht was sie tun sollen.

Grüsse
müllersq

[hans friedmann]

hab den selben email müll bekommen.
arbeite unter win98, mit firewall und hab den AVP...nix zu finden.
die von chello sind sowas von inkompetent, daß ist einfach zum weinen
---

[cedros2]

also - da weiß man ja wirklich net, ob man lachen oder heulen soll. ich hab die selben mails bekommen. ich denke mal das kann man ruhigen Gewissens ignorieren...

[hans friedmann]

naja nur wenns dir dann den account sperren, hatt niemand was davon...geh bitte dir bei chello sollen mal ihre hausübungen machen...und nicht so einen scheiß schreiben....*einböserfriedmann*

[der_morpheus1]

habe auch das mail bekommen...
die bei chello schwitzen anders...
ist halt am einfachsten,dass problem auf den user abzuschieben...
die können nach eigener auskunft nicht einmal die ip genau lokalisieren Zb.beginnt eine adresse mit 212.67....dann bekommen alle das mail wo die ip mit 212.67 anfängt...
hätten die deppen einen anständigen server laufen( linux )hätten sie wahrscheinlich die hälfte der probleme...ist aber leichter einen kunden vom netz zu nehmen ,der vieleicht win 95 laufen hat und sich nicht wehren kann als das eigene problem in den eigenen 4 wänden in den griff zu kriegen....
was solls....
sind halt alle überqualifiziert...vieleicht sollten wir doch auch leute aus dem ausland einstellen...
dann hat man wenigstens eine indische hotline..
mfg.morph
have a lot of fun