[Virus] [Achtung] Wurm W32.Blaster - Windows Updaten! XP und 2000 betroffen!

Diskutiere [Achtung] Wurm W32.Blaster - Windows Updaten! XP und 2000 betroffen! im Computer Hilfe & Allgemein Forum im Bereich Quasselecke, Spiel & Spass; Wurm W32.Blaster - Windows Updaten! Wie ein Lauffeuer verbreitet sich in diesen Stunden ein Problem wie kein Zweites: Ein Fehler in der...
Lars@4x4

Lars@4x4

sucht sein Motiv
Themenstarter
Dabei seit
18.10.2002
Beiträge
4.962
Ort
Borna bei Leipzsch
Wurm W32.Blaster - Windows Updaten!
Wie ein Lauffeuer verbreitet sich in diesen Stunden ein Problem wie kein Zweites: Ein Fehler in der Schnittstelle für den Remote-Prozedur-Aufruf (RPC) ermöglicht es Angreifern, beliebigen Code auf dem Rechner des Anwenders auszuführen.

Folgender Fall wurde bei unzähligen Nutzern beobachtet: Es erscheint ein Fenster mit einer Meldung wie „Ihr PC fährt sich in 60 Sekunden herunter“ und man wird freundlicherweise noch darauf hingewiesen, ungesicherte Arbeiten zu speichern. Der Neustart lässt sich, einmal ins Rollen gebracht, anscheinend nicht mehr aufhalten. Ein entsprechende Firewall kann einen solchen Angriff zwar verhindern, die Ursache besteht jedoch weiterhin.

Betroffen sind Windows XP, 2000, Server 2003 sowie NT 4.0. Microsoft hat für all diese Betriebssysteme bereits am 16.07.2003 einen Patch veröffentlicht. Im Knowledge Base Artikel 823980 wird das Problem genauer erläutert; Links zu den Patches sind ebenfalls vorhanden.

patch win 2000
patch win xp

Quelle www.computerbase.de
 
V

vectra-a-x.de

Gast
Jungs das ist kein Witz selbst ich war betroffen, habe den Wurm im
Windows/system32 Verzeichnis gehabt. Der nennt sich msblast.exe
und ich habe ihn manuel gelöscht.

Vorher hatte ich sogar eine Neuinstallation gegönnt, hat aber auch nix gebracht :heul:

Jetzt sauge ich mir aber sofort das Update damit das nicht nochmal vorkommt :kaputt:
 
Lars@4x4

Lars@4x4

sucht sein Motiv
Themenstarter
Dabei seit
18.10.2002
Beiträge
4.962
Ort
Borna bei Leipzsch
in bekannter von mir hatn heut bekommen auf seinem firmenrechner :(

ein glück habsch is xp noch ne bekommen :hammer:
 
C

chaos

Gast
btw. ambesten ne Linux/Unix firewall/Router vor den eigenen rechner stellen, dann hat man vor dem und den nervigen Net Send messages ruhe (:
linux/unix kann ja damit nix anfangen (:...

mein firewall log hat auch kräftig connections protokolliert von dem shice wurm.. hatte mich schon gewundert wieso meine bandbreite so in die knie geht..

shice teile..
 
V

vectra-a-x.de

Gast
Heute steht in der Zeitung Blaster und Lovesan, sind das zwei verschiedene ?

Wenn ja was zum Teufen ist Lovasan ?
 
V

vectra-a-x.de

Gast
Handlers Diary August 11th 2003

RPC DCOM WORM (MSBLASTER)
This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.

Increase in port 135 activity: http://isc.sans.org/images/port135percent.png


**********
NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup.
**********


Executive Summary:

A worm has started spreading early afternoon EDT (evening UTC Time) and is expected to continue spreading rapidly. This worms exploits the Microsoft Windows DCOM RPC Vulnerability announced July 16, 2003. The SANS Institute, and Incidents.org recommends the following Action Items:

* Close port 135/tcp (and if possible 135-139, 445 and 593)
* Monitor TCP Port 4444 and UDP Port 69 (tftp) which are used by the worm for activity related to this worm.
* Ensure that all available patches have been applied, especially the patches reported in Microsoft Security Bulletin MS03-026.
* This bulletin is available at http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
* Infected machines are recommended to be pulled from the network pending a complete rebuild of the system.


Technical Details:

Names and Aliases: W32.Blaster.Worm (symantec),W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trend Micro),Win32.Posa.Worm (CA),Lovsan (F-secure), MSBLASTER,Win32.Poza.
The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)


Infection sequence:
1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET
2. this causes a remote shell on port 4444 at the TARGET
3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444,
4. the target will now connect to the tftp server at the SOURCE.


So far we have found the following properties:

- Scans sequentially for machines with open port 135, starting at a presumably random IP address
- uses multiple TFTP servers to pull the binary
- adds a registry key to start itself after reboot
- infected machines will start a DDOS attack (port 80 synflood) against windowsupdate.com on August 16th.


Name of registry key:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'

Strings of interest:

msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWARE\Microsoft\Windows\CurrentVersion\Run



The worm may launch a syn flood against windowsupdate.com on the 16th. It has the ability to infect Windows 2000, XP and potentially 2003.

The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.


Detection: Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c


Removal and Eradication:


Once you are infected, we highly recommend a complete rebuild of the site. As there have been a number of irc bots using the exploit for a few weeks now, it is possible that your system was already infected with one of the prior exploits. Do not connect an unpatched machine to a network.
If you can not do this and/or the computer resides on a protected or non-Internet connected network, then several Anti-Virus Venders have supplied tools to assist in removing the worm. However, these tools can not clean-up damage from other RPC DCOM malware such as the recent sdbot irc bots. This method of cleaning your system is _not_ recommended, but the URLs are presented below for completeness.

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip


Other References:

http://www.cert.org/advisories/CA-2003-19.html
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
http://www3.ca.com/virusinfo/virus.aspx?ID=36265
http://www.datafellows.com/v-descs/msblast.shtml
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
http://www.sophos.com/virusinfo/analyses/w32blastera.html
http://xforce.iss.net/xforce/alerts/id/150
http://vil.nai.com/vil/content/v_100547.htm
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=40369&sind=0
 
Lars@4x4

Lars@4x4

sucht sein Motiv
Themenstarter
Dabei seit
18.10.2002
Beiträge
4.962
Ort
Borna bei Leipzsch
Original von Sharp-in-Black
Heute steht in der Zeitung Blaster und Lovesan, sind das zwei verschiedene ?

Wenn ja was zum Teufen ist Lovasan ?
nein das ist ein und der selbe als lovesan ist er inner testphase mal gelaufen aber nicht so explosiv wie jetz als endversion
 
V

vectra-a-x.de

Gast
UPDATE: Mittlerweile wurde bekannt, dass auch Nicht-Windows-Systeme in Mitleidenschaft gezogen werden können.

Näheres entnehmt Ihr bitte diesem Artikel.

Heise.de
 
Lars@4x4

Lars@4x4

sucht sein Motiv
Themenstarter
Dabei seit
18.10.2002
Beiträge
4.962
Ort
Borna bei Leipzsch
und noch was wer sich in update von seinem win ziehen will sollte es bis samstag tun weil am 16. der wurm is nächste mal aktiv wird und den updateserver von windowsupdate.microsoft.com mit müll überfluten tut bis der server zusammenbricht oder nichts mehr draufpasst und somit vorübergehend außer betrieb genommen werden muß

was auch noch witzig ist an dem teil ist ja das sich die progger mal wieder über gates auslassen

zitat "gates hör auf geld zuscheffeln, sondern mach is windows sicherer"
 
Thema:

[Achtung] Wurm W32.Blaster - Windows Updaten! XP und 2000 betroffen!

[Achtung] Wurm W32.Blaster - Windows Updaten! XP und 2000 betroffen! - Ähnliche Themen

  • ACHTUNG ACHTUNG neues für dieses Forum bzw. BLOGGER könnte kommen...

    ACHTUNG ACHTUNG neues für dieses Forum bzw. BLOGGER könnte kommen...: Hallo liebe Mitglieder, dieses Forum für Umbau Projekte gibt es nun schon seit einige Zeit und immer wieder haben mich Sachen gestört, da dem...
  • achtung neuankömmling

    achtung neuankömmling: hallo fangemeinde, wir fahren seit mehr als 12 jahren opel, sind hier aber neu und diesem sinne, ein nordisch frisches moin moin. der nächste...
  • Achtung! GTI Fahrer unter uns :D

    Achtung! GTI Fahrer unter uns :D: moin! so, dann nehme ich mir mal etwas zeit und stelle mich vor: (dürfte eine relativ ungewöhnliche vorstellung werden) mein Name ist Gerrit, ich...
  • Navi CD im Forum gekauft und nicht erhalten

    Navi CD im Forum gekauft und nicht erhalten: :nein: Hallo, habe von einem Forummitglied eine Navi CD gekauft und vor 14 tagen ist das Geld auf seinem Konto eingegangen. Habe bis dato nichts...
  • ACHTUNG ACHTUNG !!! Auto geklaut, bitte um Hilfe !!!

    ACHTUNG ACHTUNG !!! Auto geklaut, bitte um Hilfe !!!: Stelle das hier mal für einen Freund ein der Hilfe benötigt!!! Hallo , einem guten Bekannten von mir wurde sein Calli 4x4 Turbo geklaut, ich lade...
  • ACHTUNG ACHTUNG !!! Auto geklaut, bitte um Hilfe !!! - Ähnliche Themen

  • ACHTUNG ACHTUNG neues für dieses Forum bzw. BLOGGER könnte kommen...

    ACHTUNG ACHTUNG neues für dieses Forum bzw. BLOGGER könnte kommen...: Hallo liebe Mitglieder, dieses Forum für Umbau Projekte gibt es nun schon seit einige Zeit und immer wieder haben mich Sachen gestört, da dem...
  • achtung neuankömmling

    achtung neuankömmling: hallo fangemeinde, wir fahren seit mehr als 12 jahren opel, sind hier aber neu und diesem sinne, ein nordisch frisches moin moin. der nächste...
  • Achtung! GTI Fahrer unter uns :D

    Achtung! GTI Fahrer unter uns :D: moin! so, dann nehme ich mir mal etwas zeit und stelle mich vor: (dürfte eine relativ ungewöhnliche vorstellung werden) mein Name ist Gerrit, ich...
  • Navi CD im Forum gekauft und nicht erhalten

    Navi CD im Forum gekauft und nicht erhalten: :nein: Hallo, habe von einem Forummitglied eine Navi CD gekauft und vor 14 tagen ist das Geld auf seinem Konto eingegangen. Habe bis dato nichts...
  • ACHTUNG ACHTUNG !!! Auto geklaut, bitte um Hilfe !!!

    ACHTUNG ACHTUNG !!! Auto geklaut, bitte um Hilfe !!!: Stelle das hier mal für einen Freund ein der Hilfe benötigt!!! Hallo , einem guten Bekannten von mir wurde sein Calli 4x4 Turbo geklaut, ich lade...
  • Oben