Achtung! - da ist der Wurm drin!

Ich bin ja mehr als ein Trottel am PC, aber als ich auf RTL den Beitrag über den neuartigen Wurm gesehen habe, wurde mir anders...

Hat sich in letzter Zeit Euer PC selbständig abgedreht? Dann habt Ihr diesen Wurm und solltet ihn vor dem 16.08.03 von Eurer Platte werfen. Ab diesem Datum geht man davon aus, daß er sich bereits so weiterverpflanzt hat, daß er einen Großangriff auf Microsoft direkt startet und den eigenen PC crashen wird.

Ich empfehle Euch das schleunigst zu machen ( sofern Ihr keine Firewall habt )...

Franz

microsoft.com/downloads/result…aster+worm&DisplayLang=en

Das is der Link wo man sich das Windowsupdate runterladen kann. Scheint aber das es zB für Win98 kein update gibt

darum lobe ich mir WinXp mit Firewall oder Linux.. *smile*

Win 98 ist nicht betroffen.
Es geht hier einzig 8nd allein um Windows NT und Windows XP, da hier Sicherheitlücken vorhanden sind, die der Wurm ausnutzt.

Löchen des Wurmes:

Strg+Alt+Entf --> Prozesse --> MsBlast.exe --> Prozess beenden --> bei Sicherheitsmeldung auf wirklich beenden klicken --> Arbeitsplatz --> Laufwek C --> Windows --> System 32 --> MsBlast.exe suchen --> rechte MAustaste --> LÖSCHEN -- fertig !

Siegt viel aus, ist aber in ca. 30 Sek gemacht!

mfg Agnostos Theos

@ Zweifler Auch dir rate ich mal deinen PC zu checken, da Bekannte von mir auch ne Firewall haben und der Wurm trotzdem drinnen ist. Wenn er nicht drinn ist, hast Du glück !

mfg Agnostos Theos

wenn bei der Firewall die richtgen Ports zu sind geht er nicht durch... aber die kombination aus neuer Virendefinition und Firewall(Hardware/Software) ist schon recht sicher...

Für alle die mehr Info wollen, hier der mailer von aladdin security systems den ich heute dazu bekommen habe:

====================================================
Aladdin Content Security Response Team - Virus Alert
====================================================

Win32.Blaster
===========================

Virus/Vandal name: Win32.Blaster
Threat Level: Medium
Alias:
W32/Lovsan.worm,W32.Blaster.Worm,W32/Msblast.A,Win32/Poza.Worm
Platforms: Win 2K,Win XP,Win NT
Updated on: August 12, 2003
Arrival Form: RPC
Type: Worm
Damage: Other


Analysis
-------------
This worm exploits a known Microsoft RPC DCOM buffer overflow
vulnerability.
The worm sends data through port 135 to vulnerable systems and attemptes
to create a remote shell on TCP port 4444. It then runs a TFTP server that
listens on port 69.
It will then download and copy the file MSBLAST.EXE into the Windows
System32 folder ( usually C:\Windows\System32 or C:\WINNT\System32 ).
The worm propagate by scanning random ranges of IP addresses on port 135
looking for vulnerable systems.

Additional information on the vulnerability exploited by this worm has
been covered by Microsoft, as well as a security patch at:
(Buffer Overrun In RPC Interface Could Allow Code Execution (823980))
microsoft.com/technet/treeview…ity/bulletin/MS03-026.asp


Once run, the worm creates one of the following registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run 'windows auto update' = msblast.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run 'windows auto update' = msblast.exe I just want to say LOVE YOU SAN!!
bill




The worm will perform a Distributed Denial Of Service (DOS) attack against
windowsupdate.com On the 16th to the 31st day of January-August and in any
day in the months of September to December.
* Since Blaster worm is passing through RPC and not HTTP,SMTP or FTP,
eSafe Gateway users are encouraged to block port 135 UDP and port 4444
TCP in their fairewall from packets received from unknown/untrusted
sources.
*
* Cleaner
* ========
* A cleaner can be found at :
* ftp.eSafe.com/pub/utils/aladdin_win32_rpc_exploit_cleaner.exe




==========================================================================
===========

For any information please feel free to contact us.
New security alerts, updates and information can be found at the CSRT
website: ealaddin.com/csrt

Regards,
eSafe CSRT

aha...
na so ein dreck, ich hab das ding auf meinem pc, der schaltet sich alle paar minuten aus...
werd versuchen, das ding loszuwerden...

edit: hab den patch runtergeladen und ausgeführt, mal schaun, obs jetzt wieder geht...

übrigens habe ich meine c-partition gestern formatiert, trotzdem war der wurm noch immer (oder schon wieder?) da...

was kann ich denn machen, damit mein pc nicht wieder gewurmt wird? wo kann ich mir eine adäquate firewall downloaden?

edit2: msblast.exe wird bei mir immer noch ausgeführt, sollte das so sein oder nicht? übrigens stürzt der pc nicht mehr ab

Bei mir war er auch schon. Ich hab jetzt grad des Update ausgeführt und jetzt scheinst bei mir wieder zu funktionieren!
Ein Kumpel von mir hätte auch sein Festplatte fast formatiert!

@ Ruffy, nein, dass sollte nicht so sein !

Befolge einfach meine Anleitung und Du hast dieses "Problem" nicht mehr.

mfg Agnostos Theos

wirds gegen neue Viren kaum adaequate Viren-Definitionen fuer Viren-Scanner geben, da diese ja noch neu sind...
meistens/oft "nur" ein bereits existierender Code umgeschrieben, trotz alledem dauerts bis dann die 100%ige anti-viren-definition "am markt" ist...
also ganz soooo einfach isses nicht...

zum Thema Firewall :
naja... das einzig wahre is eine Hardware-seitige FW... aber wer kann sich die schon leisten
SW gibts immer fehler und luecken die man umgehen kann

und wer vorsichtig ist, und keine emails oeffnet von leuten, die er nicht kennt, hat so oder so keinen Virus/Wurm

bin ohne FW und ohne VirenScanner unterwegs
und siehe da... kein Wurm, kein Virus... und das schon seit mehr als 3 jahren...
und dann gibts auf der anderen seite leute, die fast schon psychopathisch sind,
jeden Virenscanner und FireWall haben und sich dann trotzdem jeden Wurm/Virus einfangen...

und @ Ruffy : wenn man die Start-Partition loescht, sollte alles was betriebs-system angeht geloescht sein...
is dann nur noch eine leere partition...
moeglicherweise wo anders outlook odg. installiert gehabt ?!...

und @ Icestorm :
Win2000 & WinXp ist betroffen

just my senf

@Delomelanicon

Wie Du sicher gelesen hast, breitet sich der Wurm nicht auf konventionelle Art aus, d.h. nicht über E-Mail. Er nutz eine Sicherheitslücke bei Windows NT, 2000 und XP aus und verbreitet sich nur dadurch, dass man online geht. Er infiziert einen rechner, über diesen nutz er die interne Windows-Verbindung (denkt ja nicht, ihr seid alleine, wenn ihr immer am Rechner sitzt, Bill kennt alle eure besuchten Seiten ) um andere Rechner zu erreichen und so weiter und weiter und... In den USA sind bereits mehr als 1,4 Mio Rechner Betroffen und nun stellt euch mal den Schaden vor, den dieser Wurm bei großen/kleinen Konzernen anrichtet, die auf das Internet und ihre Rechner angewiesen sind. Für den HAcker ist das schon jetzt ein RIESEN Erfolg.

mfg Agnostos Theos

bin ohne FW und ohne VirenScanner unterwegs
und siehe da... kein Wurm, kein Virus... und das schon seit mehr als 3 jahren...

Wie willst den das wissen ohne Virenscanner ? ;P

Und W32.Blaster.Worm verbreitet sich auch nicht über email

The worm propagate by scanning random ranges of IP addresses on port 135

Also sobald du online bist, bist du ein potenzielles Opfer für ihn.

Da noch ein Bericht über unseren Freund den Wurm, was er schon so alles zusammengebracht hat. (Tüchtig, tüchtig )

cnn.netscape.cnn.com/news/stor…%2F183784087.htm&sc=rittz

ich weiss, dass ich keinen Virus/wurm habe, da ich keine "eigenartigen" shutdown-meldungen kommen, ohne mein beitun
oder sonstiger schaden an meinem PC besteht...
desweiteren gibts so etwas, dass nennt sich AUTO-UPDATE-FUNKTION !
wenn man da taeglich bei PC-start nachsehen laesst, falls etwas vorhanden, installieren laesst, ist die sache gegessen...

desweiteren gibts ONLINE-VIREN-SCANNER !!!

just to mention it...

und ja, mir ist bekannt, dass der Lovesan-Wurm eine sicherheitsluecke in WinNT5 und WInXP ausnuetzt, und nicht ueber email versendet wird.
ich wollte nur unter anderem ausdruecken, dass man nicht jede email und jeden anhang einfach oeffnen sollte, ohne mal genau nachzudenken...

p.S: bin uebrigens auf WinME und winNt5 unterwegs...
hauptsaechlich ME, da ich NT nur zum arbeiten benutze...
just to mention it

da die meisten viren erst in den staaten ihr unwesen treiben, sind die nötigen patern schon zu haben, wenn er bei uns aktiv wird...

meine server fragen im 2 minuten takt, ob es was neues gibt.

ein guter scanner ist fast zu 100 % dicht. kombinier zwei verschiedene produkte (aber auf keinen fall eines von symantec) auf server und clients - dann wirds noch sicherer...

firewall bringt meist nichts (ausnahmen bestättigen die regel ), da die gegen netzzugriff, aber nicht gegen viren schützt...

es ist recht leicht (und kostenlos) ne softwarefirewall zu installieren und nicht benötigte ports zu sperren.

hmmm ja der worm is ned übel bremsers pc und die 2 laptops meiner freundin hatte es erwischt .... aber nja für leute die sich auskennen kein problem auch der normale user kann den worm schnell löschen wie schon vorgezeigt weiter oben nur is problem is der normale user kommt im normalfall nicht drauf was schuld an den neustarts ist...

ich persönlich hatte das problem nicht 1.) win2k user 2.) firewall mit selbstgemachten ruleset

anderer lösungswegs so habs ich bei meiner freundin gemacht einfach alle svchost.exe killen und dann einfach das rpc service auf startart manuell eingestellt....

aber hmmm ich persönlich finden solche worms süß... zeigen was man mit paar sourcezeilen alles machen kann und wie schlecht win xp ist =)

greets

Windows 2000 und NT 4.0 is genauso davon betroffen.
Just to mention it.

Mein PC hatte das Glück auch paar stunden vor dem Doppeltunier (das ende juli?) den Virus zu bekommen hat sich einfach so abgeschalten und dann immer wieder und immer schneller und wir dachten (meine Familie und ich) das er nur überladen ist.
Naja wenn der eine Bekannte von meiner Mum später gekommen wäre wär mein pc jetzt vielleicht Schrott und ich von der Ausenwelt abgeschnitten.
Aber zum Glück doch nicht.
Der Virus(Wurm) is zwar glaub ich noch immer da aber jetzt kann er mich nimmer reinlegen da ich ihm immer selber aktiviert hab mit den ACTIVE DESKTOP einschalten
Nur so ne Frage wie entsteht den so ein Wurm/Virus?

also ein Wurm wird sicher dadurch nicht "eingeschaltet", dass du den Active Desktop aktivierst
bloedsinn

ein wurm "entsteht" dadurch, indem ihn jemand schreibt.
so wie jedes andere "programm" auch geschrieben werden muss, muss der Wurm auch geschrieben werden.

und ein Wurm ist kein Virus, und umgekehrt.

Original von Grotrevoluza
Nur so ne Frage wie entsteht den so ein Wurm/Virus?

Er wird gecodet/programmiert.
In da Regel von Scriptkiddies mit an ausgwachsenen Komplex, die sich und der Welt versuchen zu beweisen, wie toll sie sind, weils in ihrem bisherigen Leben no nix auf die Reihe bracht haben und absolute Versager san.

Die meisten Viren/Würmer etc. bestehen aus recht einfachem Code, ned wirklich was aufregendes (deswegn schaffens auch solche Versager sowas zu coden). Und Microsoft liefert die Tools dazu ja auch praktisch frei Haus. (Inklusive der Sicherheitslöcher in da Software.)