| "Autor" |
Neuer gefährlicher Wurm |
|
|
|
geschrieben am: 13.08.2003 um 09:26 Uhr
|
|
moin zusammen,
ich hab unter den aktuellen beiträgen keinen beitrag zum wurm gesehn, dann hab ich gedacht, mach ich eben einen ;)
Die Hersteller von Antivirus-Software warnen vor einem neuen Internet-Wurm, der sich zurzeit rapide verbreitet. Der "Blaster" genannte Schädling nutzt eine Sicherheitslücke in den Windows-Versionen 2000 und XP, um PCs instabil arbeiten zu lassen oder zum Absturz zu bringen.
Laut Symantec wird der Wurm über den TCP/IP-Port 135 eines mit dem Internet verbundenen PCs aktiv. Indem er eine Sicherheitslücke im "Remote Procedure Call" des Windows-Systems ausnutzt, startet "Blaster" den Download einer Datei mit dem Namen "Msblast.EXE" und nimmt einige Änderungen in der Registrier-Datenbank vor, um auch nach einem Neustart wieder aktiviert zu werden.
Microsoft hatte das Windows-Sicherheitsloch Mitte Juli mit einem Patch geschlossen. Der Wurm versucht jedoch, mit einem "Denial of Service"-Angriff auf die Windowsupdate-Website den Nutzer am Download des entsprechenden Updates zu hindern.
quelle: chip.de
oder:
Seit vergangener Nacht verbreitet sich ein neuer Wurm namens "Blaster" oder "Lovsan" explosionsartig im Web. Nachdem verschiedene Antiviren-Software-Hersteller den Schädling als äußerst gefährlich einstuften, warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik vor dem sich rasant ausbreitenden Internet-Wurm. Experten zufolge befiel der Wurm am Montag bereits tausende von PCs in den USA. Auch in Deutschland gab es bereits gestern Abend die ersten Fälle. Symptom für den erfolgreichen Angriff ist ein Fenster, das mitteilt das System müsste heruntergefahren werden, da der Dienst "Remoteprozeduraufruf" unerwartet beendet wurde.
Eine Firewall schützt
Da sich der Wurm nicht über eMail-Nachrichten versendet, kann er an eMail-Gateways nicht abgefangen werden. Lediglich eine Firewall kann hier helfen. Alternativ hilft ein Patch, der das Sicherheitsloch abriegelt.
Unbedingt Patch installieren
Betroffen von der Sicherheitslücke sind ausschließlich Nutzer der Windows-Versionen NT 4.0, 2000 und XP. Um sich vor einem derartigen Wurm-Angriff zu schützen, sollten Anwender den Patch gegen das RPC-Sicherheitsloch schleunigst auf ihren Systemen einspielen.
Suche nach nicht gesicherten Rechnern im WWW
Auf befallenenen PCs startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme auf Port 135 an. Findet er einen Computer ohne installierten Patch, öffnet er eine Remote-Shell auf TCP-Port 4444, lädt den Wurm-Code Msblast.exe über TFTP auf den Rechner und kopiert diesen in das Windows-Systemverseichnis. Auf einem infizierten PC lauscht der Wurm fortan am UDP-Port 69 und versendet den Wurm-Code von dort auf Anfrage weiter, um sich so weiter zu verbreiten.
Denial-of-Service-Attacke steht bevor
Der Schädling sorgt dafür, dass er bei jedem Rechner-Neustart geladen wird, indem er einen entsprechenden Eintrag in der Registry vornimmt. Bedingt durch die zufällig ausgewählten Daten, die der Wurm an andere Rechner sendet, können Systeme so auch gezielt zum Absturz geführt werden. Ab dem 16. August 2003 startet der Wurm außerdem eine Denial-of-Service (DoS)-Attacke auf die Website www.windowsupdate.com, was verhindern soll, dass sich Anwender entsprechende Patches auf den Rechner laden können. Die DoS-Attacke läuft dann ununterbrochen bis Ende des Jahres.
Der Wurm-Code enthält einen Text, der sich an Bill Gates von Microsoft richtet:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
Dieser Text wird jedoch vom Wurm nicht angezeigt, sondern verbirgt sich lediglich im Programmcode.
quelle: t-online.de
das sind die links zu den patches, die microsoft zum schutz anbietet, gefährdet sind ja nur nt 4.0 xp und 2000.. unbedingt herunterladen und installieren solltet ihr euch noch nicht geschützt haben, macht das sofort, am besten vorm 16.08.
für xp 32bit(meines wissens die einzigste version, die's in deutschland gibt?!)
Link
windows 2000
Link
Windows NT 4.0 Terminal Server
Link
Windows NT 4.0 Server
Link
link zum download des symantec tools, das den wurm entfernt..
Link
achja, ich hab den beitrag bewusst ins chatspass forum geschrieben, da er hier mehr gelesen wird, denk ich
Gruß highscreen |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 13.08.2003 um 10:23 Uhr
|
|
|
|
|
|
|
|
|
Top
|
