WICHTIG: Windows Wurm W32.Blaster

[Akula]

In Antwort auf:

---

Wenn Dein Service abgelaufen ist, bekommst Du die Aktualisierungen nicht mehr.... Das nennt man sparen am falschen Platz...

---

Ich hatte eigentlich erwartet, dass solche Unannehmlichkeiten über Norton Antivirus geregelt werden.

Hier läuft mein Update-Service nämlich noch eine ganze Weile.

[AWO425]

Ich hocke hinter nem Linux Router, allerdings habe ich das "Falsche" Betriebssystem, nämlich Win98.

Auf dem Router ist ne kleine Firewall und auf meinem Arbeitsrechner Norton Firewall, die Norton habe ich mal mit nem Kumpel auf diversen einschlägigen Setien getestet, er wunderte sich nur, dass Norton so ruhig blieb, keine Meldungen. Da wurde ich schon etwas unruhig und habe mal den Monitor des Linux-Rechners angeschalten, da war die Hölle los! Aber die Linux Firewall is echt gut, nur hab ich leider keine Ahnung von Linux!

MfG

AWO425

[knight]

In Antwort auf:

---

Nein ! Weil es vom Prinzip her nicht gehen kann !

---

Prinzipiell gehen tut dat schon. Das beweisen ja auch die existierenden Viren für Linux. Dass es sich bei W32.Blaster um einen Wurm handelt, macht da nicht so viel Unterschied in der Betrachtung. Und soweit ich mich erinnern kann, wurde der erste Wurm überhaupt für die DEC VMS geschrieben.

Außerdem muss man berücksichtigen, dass viel weniger Linux-Systeme im Einsatz sind, als Windows-Systeme. Wenn man nun eine schnelle und weite Verbreitung seines Wurms oder Virus anstrebt, lohnt es sich tatsächlich nicht, den für Linux, Solaris oder OS/390 zu schreiben....

bye knight

[Mike Brauer]

In Antwort auf:

---

wurde der erste Wurm überhaupt für die DEC VMS geschrieben.

---

Welcher soll das gewesen sein?

Richtig bekannt wurde unter VMS der NASA Hack.

Das war aber m. E. kein Wurm.

Ich aber schon lange her und hat damals viel Kopfschmerzen gemacht.

[knight]

In Antwort auf:

---

Welcher soll das gewesen sein?

---

Oje, keine Ahnung. Aber wenn du mal mit "worm" und "vms" googelst, bekommst du ein paar Alert-Meldungen aus den späten 80zigern.

bye knight

[RonaldR]

Weshalb denn gegen W32/Blaster schützen ?!!!

Der hat doch nur das Ziel, dem dämlichen Typ namens Billy "The Schwachkopf" Gates eine aufs Portemonaie zu geben...

In Antwort auf:

---

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

---

siehe www.sophos.de

Das kann der meinetwegen 24h am Tag machen.

Linux forever!!!

Ronald

[SirNeo]

Heise News

Auf Heise is zulesen das bereits mutationen von W32/blast unterwegs sind, u.a. auch trojaner die jedem ermöglich auf den pc zuzugreifen.

Hät ich gestern nich Terminator 3 gesehen würd ich mir ja nix dabei denken, aber ein virus der alle pc's infiziert kommt mir doch sehr verdächtig vor. Öhmmm ... PANIK ... AHHH

Nein natürlich nur Spass

[Django]

http://securityresponse.symantec.com/avcenter/FixBlast.exe

- Melden Sie sich als Administrator an Ihrem Rechner an.

- Schließen sie alle geöffneten Programme.

- Deaktivieren Sie die automatische Systemwiederherstellung von

Windows XP unter

"Start" > "Systemsteuerung" > "System" > "Systemwiederherstellung".

- Starten Sie das Tool mit dem Aufruf der Datei "FixBlast.exe".

- Sollte der Wurm erkannt werden, rebooten Sie bitte den Rechner und starten das Tool erneut. So können Sie sichergehen, dass auch wirklich

alle Reste des Wurms entfernt werden.

eine Sache von 10 min.

DVC

[schall+rauch]

re: Der hat doch nur das Ziel, dem dämlichen Typ namens Billy "The Schwachkopf" Gates eine aufs Portemonaie zu geben...

Watt'n Quatsch- wenn der dämlich wäre, wäre er wahrscheinlich auch nur einer der vielen arbeitslosen B-Class Informatiker.

[RonaldR]

Na ja,

"dämlich" kann man unterschiedlich interpretieren und war hier der jugendfreie Ausdruck für einen Typen, der aus meiner Sicht sein Vermögen kein bischen ehrlicher erwirtschaftet hat wie...

Vergeßt es. Solche Diskussionen führen zu nix gutem.

Was seine fachliche Kompetenz anbetrifft, möchte ich hier nur Linus Torvalds zitieren:

In Antwort auf:

---

"I couldn't give him advice in business and he couldn't give me advice in technology." --Linus Torvalds, about why he wouldn't be interested in meeting Bill Gates.

---

Und Linus ist keineswegs arbeitslos, geschweige denn B-Class...

Ronald

[SC]

Quelle:heise

In Antwort auf:

---

W32.Blaster: Wurm-Fix zum Download

Die Schonzeit ist vorbei. Bisher beschränkte sich der Windows-Wurm W32.Blaster darauf, sich möglichst weitflächig zu verbreiten. Doch am 16. August aktiviert der Wurm seine Schadensroutine. In Australien ist bereits Samstag; von dort aus nimmt der Wurm bereits die Microsoft-Website unter Beschuss.

Die Download-Server und die Windows-Update-Site von Microsoft sind daher schon zum jetzigen Zeitpunkt nur noch sporadisch erreichbar. Der Ansturm dürfte in den kommenden Stunden stark zunehmen, wenn weitere Kontinente die Datumsgrenze überschreiten. Inzwischen hat Microsoft die DNS-Auflösung für windowsupdate.com abgeschaltet; windowsupdate.microsoft.com dagegen wird im Domain Name System noch korrekt aufgelöst und ist in der Regel auch erreichbar.

heise online hat sich nach Absprache mit Microsoft Deutschland dazu entschlossen, die zum Stopfen des Sicherheitslochs benötigten Dateien auf dem verlagseigenen FTP-Server zu spiegeln, um eine Nicht-Erreichbarkeit der Microsoft-Server mit den Patches zumindest ansatzweise auszugleichen. Die folgenden Patches stehen ab sofort auf dem Heise-Server zum Download bereit:

Windows XP (Home & Professional): 32-Bit-Version [deutsch / englisch]

Windows XP: 64-Bit-Version [deutsch / englisch]

Windows Server 2003: 32-Bit-Version [deutsch / englisch]

Windows Server 2003: 64-Bit-Version [deutsch / englisch]

Windows 2000 (Professional & Server) [deutsch / englisch]

Windows NT 4.0 Server (funktioniert auch bei Workstation) [deutsch / englisch]

Windows NT 4.0 Terminal Server [deutsch / englisch]

Im Unterschied zu anderen Würmern verbreitet sich W32.Blaster ohne Zutun des Anwenders. Zur Fortpflanzung nutzt der Wurm eine Sicherheitslücke im RPC-Protokoll aller Windows-Varianten ab NT 4. Der Anwender muss also kein Outlook-Attachment öffnen oder eine präparierte Website aufrufen, damit sein Rechner infiziert wird.

Die Infektion macht sich dadurch bemerkbar, dass ein Fenster plötzlich ankündigt, dass der RPC-Dienst beendet wurde und der gesamte Rechner daher innerhalb einer Minute heruntergefahren wird. Nach dem Ablauf des nicht abbrechbaren Countdowns schließt Windows alle Anwendungen und beendet die Sitzung. Ab da ist das System mit dem W32.Blaster-Wurm infiziert.

Wege zum Schutz

Wenn Sie Windows XP einsetzen und Ihr System noch nicht infiziert ist, trennen Sie jetzt die Verbindung zum Netz und aktivieren Sie die in XP enthaltene Internetverbindungs-Firewall.

XP-Firewall aktivieren

Klicken Sie auf den Start-Knopf und rufen Sie von dort aus die Systemsteuerung aus. Wählen Sie dort das Symbol "Netzwerk- und Internetverbindungen" aus und klicken Sie dort auf "Netzwerkverbindungen". Wählen Sie die von Ihnen genutzte Internet-Verbindung aus. Ein Rechtsklick öffnet ein Kontextmenü, aus dem Sie den Punkt "Eigenschaften" auswählen. Hinter dem Karteireiter "Erweitert" findet sich eine Option "Internetverbindungsfirewall". Aktivieren Sie "Diesen Computer und das Netzwerk schützen".

Personal Firewalls

Die Internetverbindungs-Firewall gibt es nur bei XP. Wenn Sie eine andere Personal Firewall benutzen, sperren Sie darin die folgenden Ports:

UDP und TCP: Ports 135, 139, 445

UDP: Port 69

TCP: Ports 593, 4444

System patchen

Laden Sie den RPC-Patch für Ihr Betriebssystem auf Ihren Rechner -- die Download-URLs finden Sie oben am Anfang dieser Meldung.

Nach erfolgtem Patch müssen Sie möglicherweise den Rechner neu starten. Das ist normal und kein Zeichen für eine W32.Blaster-Infektion.

Unter Umständen müssen Sie zuerst die Systemwiederherstellung von Windows ME/XP deaktivieren. Dies geschieht über Start / Systemsteuerung / System. Schalten Sie dort im Karteireiter "Systemwiederherstellung" die Option "Systemwiederherstellung auf allen Laufwerken deaktivieren" ein.

Nach erfolgreicher Installation des Patches und Desinfektion des Systems können Sie die Systemwiederherstellung über denselben Dialog wieder einschalten.

System desinfizieren

Die meisten Antivirus-Hersteller bieten mittlerweile spezialisierte Removal-Werkzeuge an. Wenn Sie eine Antiviren-Software installiert haben, aktualisieren Sie sie mit den neuesten Virendefinitionen und starten Sie einen Scan über alle lokalen Laufwerke.

Wenn Sie keine Antivirus-Software besitzen, können Sie eines der folgenden Standalone-Werkzeuge benutzen:

ClnPoza von Computer Associates (Direkt-Download / Informationen zum Wurm)

FixBlast von Symantec (Direkt-Download / Informationen zum Wurm)

Stinger von Network Associates (Direkt-Download / Informationen zum Wurm)

System Cleaner von TrendMicro (Direkt-Download / Informationen zum Wurm)

Folgen Sie den Anweisungen des Programms. In den meisten Fällen ist nach der Desinfektion ein Neustart des Systems fällig. Stellen Sie nach dem Neustart des Rechners durch einen zweiten Durchlauf des Scan-Werkzeugs sicher, dass Ihr System sauber ist.

Sicherheitshalber können Sie mit dem MS03-026 Scanning Tool von Microsoft sicherstellen, dass der Rechner nicht mehr angreifbar ist (Direkt-Download bei Microsoft). Nach der Installation des Werkzeugs rufen Sie das Programm auf der Kommandozeile mit dem Parameter "localhost" auf (also z.B. c:ProgrammeKB823980ScanKB823980Scan.exe localhost). Das Tool gibt dann aus, ob das System gepatcht wurde. (ghi/c't)

---

[wonderer]

In Antwort auf:

---

Bei all dem BEGRÜNDETEN Ärger über Microsoft bitte ich zu bedenken dass ohne Microsoft nicht in jedem Haushalt 3 PC´s stehen würden und ein einfaches Betriebsstystem immer noch tausende Euros kosten würde.

---

Jo. So kostet ein "einfaches", wurm-befallbares Betriebssystem eben nur noch die Kleinigkeit von rund 200 Teuronen und mehrt das Vermögen des reichsten Mannes der Welt.

Ein richtiges, echtes Betriebssystem kostet nix - Linux kann man per Download bekommen! Und das in jedem Haushalt 3 PCs stehen ist nun wirklich nicht Billy-Boys Verdienst. Es ist eher ein Fluch: für uns ITler, die ständig die Selbstzerfleischungs-Versuche der Amateure in der Verwandschaft beheben müssen ("Ich hab gar nix gemacht und der bootet nicht mehr!") und Billy-Boys Primär-Interesse, weil er damit noch mehr Kohle verdient.

Merke: Billy-Boy ist kein Messias und keineswegs der nette, menschenfreundliche Onkel. Er ist ein selbstgefälliger Egomane, den Allmachtsgedanken und Geldgier antreiben!

In Antwort auf:

---

Nur mal so ne Frage: Hatt's eientlich auch schon einen erwischt, der sich hinter einem Router mit IP-Translation "versteckt" ?? Ich denke nicht.

---

Jo Manfred, da haste recht, hinter Routing mit IP-Masquerading haben solche Würmer (übrigens auch Dialer) keine Chance.

Und zu dem Problem mit der Norton-Personal-Firewall: ich bekomme graue Haare, wenn ich hier lese, daß die Ports dort nicht defaultmäßig alle deaktiviert waren! Kauft vernünftige Firewall-Software (Zonealarm), Norton kann Antiviren-SW bauen, aber keine Firewall.

Wonderer

[Smithy]

In Antwort auf:

---

Es ist eher ein Fluch: für uns ITler, die ständig die Selbstzerfleischungs-Versuche der Amateure in der Verwandschaft beheben müssen ("Ich hab gar nix gemacht und der bootet nicht mehr!")

---

Bin zwar kein IT´ler, kenn mich aber ein bischen aus. Daher ist die o.g. Aussage ein absoluter Volltreffer

Aber zum Wurm: Am Sonntag hatte 3 Bekannte diesen Wurm weil sie halt mal "abgewartet" haben.

Hab ihn dann mit dem im letzten Beitrag genannten Symantec Tool entfernt und 20 Euro verlangt. 3mal 20 Euro ist doch was für nen sonst faden Sonntagnachmittag

[627 PC]

In Antwort auf:

---

Und zu dem Problem mit der Norton-Personal-Firewall: ich bekomme graue Haare, wenn ich hier lese, daß die Ports dort nicht defaultmäßig alle deaktiviert waren! Kauft vernünftige Firewall-Software (Zonealarm), Norton kann Antiviren-SW bauen, aber keine Firewall.

---

Ich kann's bestätigen. Ich hatte die Norton-Personal-Firewall mal testweise auf meinem Rechner und anschliessend von deren Homepage den "Schutztest" gestartet. Das Ergebnis war arg witzig. Es kam heraus, dass kein Endgerät gefunden wurde aber mein Rechner angreifbar ist

Ein richtig konfigurierter Router ist halt was feines.

Zum Thema: Ich hab' nix gemacht.

Den Spruch höre ich täglich 8 Stunden. Meine Kunden beharren auch noch darauf, selbst wenn ich ihnen haarklein nachweisen kann was sie verbockt haben. In meinem Bekanntenkreis ist die Frage "Kannst Du mal kurz nach meinem Rechner schauen" natürlich auch ganz normal. Total vermurkste Rechner sollen dann "per handauflegen" wieder zu laufen gebracht werden. In solchen Situationen fange ich manchmal an PC's zu hassen.....

Gruss

Manfred

[falcon]

In Antwort auf:

---

3mal 20 Euro ist doch was für nen sonst faden Sonntagnachmittag

---

nebentätigkeitserlaubnis?

[JM]

In Antwort auf:

---

In solchen Situationen fange ich manchmal an PC's zu hassen.....

---

Hast Dir aber gleich 627 von den Dingern gekauft, wenn man Deinem Benutzernamen trauen darf.

[Mike Brauer]

Was mich an solchen Geschichten immer wundert, ist die Tatsache, dass alle auf Bill Gates rumhacken.

Die Arxchlochkinder, die nix besseres zu tun haben, als irgendwo ein Schlupfloch zu finden, anderer Leute Eigentum unbrauchbar zu machen, werden fast noch verehrt.

[Silke]

In Antwort auf:

---

Jo Manfred, da haste recht, hinter Routing mit IP-Masquerading haben solche Würmer (übrigens auch Dialer) keine Chance.

---

Kann mir bitte mal jemand erklären, was das heisst?

In Antwort auf:

---

Und zu dem Problem mit der Norton-Personal-Firewall: ich bekomme graue Haare, wenn ich hier lese, daß die Ports dort nicht defaultmäßig alle deaktiviert waren! Kauft vernünftige Firewall-Software (Zonealarm), Norton kann Antiviren-SW bauen, aber keine Firewall.

---

Also, seit ich die Norton Firewall hab, hatte ich nie mehr Probleme... und das ist doch schon seit 2 Jahren.... und wir sind viel im Internet....

Kann es sein, dass das dann nur an falscher Konfiguration liegt?

Gruss, Silke

[foxhunter3]

Hallo Mike

ich kann Dir nur zustimmen.

Ich bin selbst kein PC-Freak, sondern nutze das Ding halt zum arbeiten. Unter Anderem bin ich in meiner (spärlichen) Freizeit ehrenamtlich für einen Verein tätig, der Menschen mit einer bestimmten schweren (lebensbedrohenden) Krankheit unterstützt. Dieser Verein ist im gesamten deutschsprachigen Raum tätig und die Verantwortlichen sitzen dementsprechend weit verteilt und sind auf häufige Mail-Kontakte angewiesen.

Gestern Abend hats mich nun mit dem Scheisswurm erwischt und ich werde vermutlich den heutigen Abend verbringen dürfen, die Kiste wieder sauber zu kriegen. Da ich eben kein Experte sondern nur ein doofer Nutzer bin, werd ich mich dabei mal wieder ziemlich schwertun. Ich könnte mir meine Freizeit mit Besserem vorstellen.

Wenn ich das (die) idiotischen Wurm-Autoren-Arscxlöcher in die Finger kriegen würde, könnte ich wahrscheinlich meine Waffenrechtliche Zuverlässigkeit in Frage stellen und den Jungs mal so richtig in den Arsc. oder Eier treten.

[627 PC]

Hi Silke,

ich versuch's mal ganz einfach zu erklären ohne jetzt auf die eigentliche Funktion eines Routers in einem Netzwerk einzugehen.

Deine Verbindung ins Internet wird (mals von einigen Ausnahmen abgesehen) durch den Draht deines Telefonanschlusses hergestellt. Du meldest Dich bei Deinem Provider (AOL, Telecom usw.) an und bekommst eine eindeutige IP-Adresse zugewiesen (wegen dem TCP/IP Protokoll). Durch diese eindeutige Adresse "wissen" die Server im Nezt wem sie eine Antwort auf Seitenaufrufe schicken sollen. Normalerweise wird diese Adresse tempörär in deinem Rechner gespeichert. Ruft einer aus dem Netz "Hallo" (Ping) gibt Dein Rechner Antwort. Hast Du jedoch zwischen ISDN-NTBA (der Kasten an der Wand) oder DSL-Modem und Deinem Rechner einen Router installiert, übernimmt dieser diese "Arbeit". Als Zugabe versogt er den oder die angeschlossenen PC's auch noch mit einer eigenen IP-Adresse (anderer Nummernkreis als der vom Provider). Diese Adressen sind nach aussen nicht sichtbar und werden nur vom Router verwaltet. Dein Seitenaufruf geht also mit der lokalen IP-Adresse über den Router und von dort mit der IP-Adresse der Providers ins Netz. Kommt die Antwort, "kennt" der Router den lokalen PC der die Anfrage ausgelöst hat und leitet weiter. Eine direkte Verbindung ins Netz und somit Angriffspunkte sind also nicht gegeben.

(Für die Profis: Ja - wenn ich im Router Ports für z.B. Games öffne, ist der Schutz unter Umständen zum Teufel.)

War's einfach genug?

Gruss

Manfred

[vepr]

In Antwort auf:

---

Und zu dem Problem mit der Norton-Personal-Firewall: ich bekomme graue Haare, wenn ich hier lese, daß die Ports dort nicht defaultmäßig alle deaktiviert waren! Kauft vernünftige Firewall-Software (Zonealarm), Norton kann Antiviren-SW bauen, aber keine Firewall.

Wonderer

---

Ohne Dir zu nahe treten zu wollen:

Bevor Du auf der Symantec-Firewall rumhackst, Zonealarm als vernünftig bezeichnest und somit also Ratschläge in Sachen Desktop-Firewall erteilst, empfehle ich Dir etwas Lektüre bezgl. Firewalls und Security.

1. Die Dinger taugen eigentlich alle nichts, sofern der Typ an der Tastatur keine Ahnung hat.

2. Egal ob Symantec, Zonealarm oder Kerio. Jede hat Stärken und Schwächen. Und spätestens nach der x-ten "Fehlermeldung" klickt der unbedarfte User mit mehr als einem PC auf "akzeptieren" und hat seine 13x-Ports offen.

3. Ich bin auch kein "Experte" in Sachen Spielzeug-Firewalls. Versuche deshalb allerdings den Spielzeugbesitzern auch keine falschen Ratschläge zu geben.

4. Eine Desktop-Firewall ist besser als nichts, aber nicht viel besser

Gruß

tc9

P.S: Für Insider - Habe kein Windows, weder Symantec noch Zonealarm sondern eine Pix 515 und dahinter Solaris 9

[Mike Brauer]

@FOX:

Ich bin zwar in der IT-Branche, hänge aber seit Jahren schon nicht mehr in den Registern rum. Richtig programmiert wird heute eh nicht mehr Nur noch Objekte verkettet.

An meinem privaten PC lasse ich einfach den Auto-Update laufen.

Daher habe ich den Patch schon längst gehabt, bevor das Würmchen

aufkam.

Und schon erkennen die ganz schlauen schon, dass es wiederum an MS

liegt, weil der User die Möglichkiet hat, die Autopatches zu deaktivieren.

[Silke]

In Antwort auf:

---

Hast Du jedoch zwischen ISDN-NTBA (der Kasten an der Wand) oder DSL-Modem und Deinem Rechner einen Router installiert, übernimmt dieser diese "Arbeit". Als Zugabe versogt er den oder die angeschlossenen PC's auch noch mit einer eigenen IP-Adresse (anderer Nummernkreis als der vom Provider). Diese Adressen sind nach aussen nicht sichtbar und werden nur vom Router verwaltet. Dein Seitenaufruf geht also mit der lokalen IP-Adresse über den Router und von dort mit der IP-Adresse der Providers ins Netz. Kommt die Antwort, "kennt" der Router den lokalen PC der die Anfrage ausgelöst hat und leitet weiter. Eine direkte Verbindung ins Netz und somit Angriffspunkte sind also nicht gegeben.

War's einfach genug?

---

Hallo Manfred!

Danke für die Erklärung! Ich glaub, es war einfach genug... mal sehen... so ein Router ist quasi eine Zwischenstation, der meine IP nach aussen "verschlüsselt" und deshalb kann auch nix mehr direkt auf meinen Rechner zugreifen...

Stimmt's so?

Wenn ja, was brauch ich, um einen Router zu installieren?

Danke und Gruss, Silke

[knight]

In Antwort auf:

---

P.S: Für Insider - Habe kein Windows, weder Symantec noch Zonealarm sondern eine Pix 515 und dahinter Solaris 9

---

Boooaaahhh ey, bist du reich!

bye knight

[SirNeo]

Neuer Wurm unterwegs

Gamestar News