VIRENPROBLEM: "remote procedure call RPC"

[Shootist]

moeglicherweise hats mich erwischt...

geistert zur zeit wieder mal ein virus durchs netz, der mit einem "RPC" (remote-procedure-call")-trick dafeur sorgt, dass sich der pc innerhalb 60sek selbst runterfaehrt ?

vorlaenegrer zeit war schon mal solch ein teil unterwegs..

wenn ja, wie heisst'n das (neue?) teil, so dass ich weiss, wonach ich bei symantec suchen muss... ?

[Smithy]

Das ist nach wie vor der Sasser.

Nur dass es den schon in den Varianten A bis G einschliesslich Untervarianten A1, B1. FTP usw. gibt .

Such halt nicht "speziell" sondern mit Antivir oder so. Normalerweise haben die ALLE Varianten drauf. Ausserdem nennt jeder Hersteller von Virensoftware die Viren oft anders. Auszug aus Heise-Meldung:

"Alle Schotten dicht -- W32.Blaster greift an

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security"

Und nicht vergessen!!!!:::: Systemwiederherstellung VOR jeder Reinigungsaktion ausschalten. Sonst bringt ihn jeder Neustart wieder zurück

[HAJO]

Hmmja, Shootist, erst mal muss ich meckern , weil wenn nämlich dein PC gegen den uralten RPC-Fehler immer noch nicht resistent ist, bist du eigentlich selber schuld .........

Da Sportschützen aber grundsätzlich nette Menschen sind , lad dir hier erstmal den Stinger runter, ist'n kombinierter Wurm/Virenscanner und Reparateur der so die meisten gängigen und aktuellen Bös-Proggis beseitigen kann .

Vielleicht kanns dir ja schon helfen.

Gruß

Hans-Joachim

[Shootist]

@Smithy:

so hiess das teil damals, genau !

@Hajo:

das war dann zuerst mal der erhobene zeigefinger und "selbstdranschuld-watschn", gell ?

(schuldigdreinschau')

ob's wirklich dieser kleine sasser-drecksack ist, mussich guggen & checken. wird sich zeigen...

aber seinerzeitig, als der sasser aktuell war, gabs ein MS-patch, das ich auch installiert hatte...wenn er nun wieder durchkam, hmmmmmmmmmm, dann war das patch nicht so doll, oder woran soll es liegen ?!?

[HAJO]

Hi Shootist,

ja, sorry, ich konnts mir nicht verkneifen, hab in letzter Zeit zu oft mit Virenverseuchten PC von Freunden zu tun, die alle sowas von ahnungslos sind ......

Mm, der M$-Patch ist gut und schön, nur auf M$ verlassen heißt mit seinem PC Russisches Roulette spielen. Wer heute ins Internet geht, sollte immer einen aktuellen Virenscanner und eine Firewall installiert haben, ansonsten reicht heutigentags schon ein bloßes Verbinden mit dem Internet für ein paar Minuten und Peng!

Insofern, wenn du nur die M$ Sicherheitspatches installiert hast, heisst das nicht, das dein PC geschützt ist, leider traurig aber wahr......

Gruß

Hans-Joachim

[Shootist]

Antwort auf:

---

...

Insofern, wenn du

nur

die M$ Sicherheitspatches installiert hast, heisst das nicht, das dein PC geschützt ist, leider traurig aber wahr......

Gruß

Hans-Joachim

---

daran koennt's latuernich liegen...

also, als naechstes eine fw... gut, dass einem da nie langweilig wird... bill gates sei dank !

[Smithy]

Antwort auf:

---

aber seinerzeitig, als der sasser aktuell war, gabs ein MS-patch, das ich auch installiert hatte...wenn er nun wieder durchkam, hmmmmmmmmmm, dann war das patch nicht so doll, oder woran soll es liegen ?!?

---

Was heisst da "seinerzeit". Erst vor 3 oder 4 Tagen gab es wieder 4 WICHTIGE SICHERHEITSUPDATES!!

Du machst schon regelmässig "Windows-Update"

PS: RPC-Fehler IST der Sasser. Auch wenn dein Virenprogramm einen anderen Namen hat. Deshalb hab ich VORSORGLICH den Auszug mit den verschiedenen Namen reingestellt. Zum Hintergrund falls es interessiert : Den Sasser Programmierer haben sie erwischt und eingesperrt. Weil ihm aber so gestunken hat hat er noch schnell den Quellcode des Virus ins Netz gestellt. Und nu macht jeder halbwegs interessierte seinen eigenen Virus. Wie gesagt in Varianten halt.

[ratbikeatze]

nur zur "entlastung" von shootist,

der alte patch funzt nicht bei den neuen varianten, und den rpc dienst benutzen auch andere viren, ist halt nur der bekannteste

hatte mal für einen kollegen ein xp rechner fertig gemacht. leider hatte er beim einzigen zugriff ins netz, als ich XP "aktiviert" habe sich den blaster eingefangen, und vorher einspielen konnte ich den patch nicht, da ich ihn für xp nicht hatte. war echt begeistert, weil daran nicht gedacht in dem moment

[attila]

Der Patch gegen Blaster ist auf dem Servic -Pack 1 drauf.

Das gibt es heute auf vielen Zeitschriften-CD 's als Zugabe ( auch das SP 2 , das das SP1 beinhaltet )

Nach eine Win XP -Installation erst noch mind. SP 1 installieren und dann erst Online gehen.

Der Blaster braucht nur wenige Minuten um das System zu infizieren.

[ratbikeatze]

korrekt, brauchte bei mir nur ca. 60sek, sollte halt die orginal-cd nehmen, wg. key, und plop, wars passiert

glücklicherweise sind meine eigenen rechner in meinem netz alle sicher gewesen

wäre dieser thread eigentlich nicht besser im off-topik gewesen

[Smithy]

Antwort auf:

---

der alte patch funzt nicht bei den neuen varianten, und den rpc dienst benutzen auch andere viren, ist halt nur der bekannteste

hatte mal für einen kollegen ein xp rechner fertig gemacht. leider hatte er beim einzigen zugriff ins netz, als ich XP "aktiviert" habe sich den blaster eingefangen, und vorher einspielen konnte ich den patch nicht, da ich ihn für xp nicht hatte. war echt begeistert, weil daran nicht gedacht in dem moment

---

Stimmt alles!. Selbstverständlich sind die Patche nur dazu da erkannte Löcher zu stopfen so dass eine Variante erst heraus sein muss bevor wieder geflickt wird.

Aber was ich eigentlich noch sagen will: Das mit dem ungeschützten XP stimmt und ist der Wahnsinn. Ist mir bei einem Bekannten auch passiert. "Sie wurden erfolgreich rgistriert.." kam noch und SOFORT (höchstens 10 Sekunden später) sollte ich den REchner runterfahren. Virus war drauf!!

[FooFighter007]

auch gegen auch noch unbekannte RPC-viren hilft z.b. eine desktop firewall. die personla edition von zonelabs ist eigentlich ganz brauchbar. du hast dann auch nen guten überblick welche anwendung auf deinem system einfach so in's netz quatscht.

http://download.zonelabs.com/bin/free/de/d...almDetails.html

gruss

Foo

[Smithy]

Papa hat Router mit Firewall .

Es geht immer nur um andere

[Shootist]

also kinners, endlich wieder da (man muss ja hin und wieder auch mal geschaeftlich auf achse sein...):

laut symantec-online-virenscanner war es eine kleine schlampe namens W32.WELCHIA.WORM (ist das ein SASSER-derivat ?).

der scanner fuer SASSER (neueste version) hat nix gefunden...

anti-welchia-file von symantec geladen, laufen lassen, und doudd isser !!!

vielen dank rundrum fuer die schnellen antworten !!!

[Smithy]

Antwort auf:

---

laut symantec-online-virenscanner war es eine kleine schlampe namens W32.WELCHIA.WORM (ist das ein SASSER-derivat ?).

---

WELCHER welchia

Aber HAUPTSACHE ER IS WECH

[Shootist]

"B" und "D"

[Smithy]

Ui... der ist gar nicht in meiner Liste. Ausser er wird bei HBV anders geschrieben.

Aber ehrlich gesagt weiss ich nicht zu welcher Gruppe und Untergruppe der gehört. Ich hab mal bei Heise gelesen dass diese RPC-Viren alle auf Sasser fundieren. Das kann sich aber mittlerweile geändert haben weil das ja eigentlich nicht mal ein Virus sondern ein Wurm ist. Ausserdem werden da TÄGLICH neue Mistviecher gemacht!???

[Bandit_911]

Hier mal ein recht aktueller Test zu Virenscannern: Chip

Ich habe Kaspersky, nur zweiter wegen angeblich komplizierter Bedienung, sonst Top!

Auch interessant die Meinung zum hier vielgelobten Norton Anti Virus.

Bandit_911