THEMA: Sicherheitswarnung

Ich bin heute früher nach Hause gegangen, weil unser Firmen-Rechnersystem abgestürzt ist.

Der Grund hierfür sind wohl Mails, die auf      ".......admin" enden. Ein Arbeiten war nicht möglich. Trotz Firewall.


Gruss
Cox

Hallo,

welche Betriebssysteme können denn befallen werden? Alles von Microsoft oder nur bestimmte? Überall unterschiedliche Aussagen.

Mfg
Peter A.

nicht-Windows-Systeme können ka schlecht eine .exe ausführen ;)
betroffen sind Windows NT4, 2000, XP und 2003.

Hallo Kai,

also die "alten" ME und 98 sind nicht betroffen? Die gleiche Info hab ich vom RZ der Uni Stuttgart, bin da über CHIP hingekommen, andere sagen aber auch anderes.

Peter A.

japs, die sind DAGEGEN mal immun (crashen ja auch von alleine oft genug ;).

ich öffne nur e-mails, wenn ich den Absender kenne. Alles andere wird sofort gelöscht. Da ist die Wahrscheinlichkeit einer Infizierung gering.

Rainer

in diesem Falle hilft das GAR NICHTS. Das Ding nutzt einfach einen Bug in einem Netzwerk-Dienst, den die betroffenen Windows-Versionen anbieten aus.

hab meine Mailboxen alle auf IMAP umgestellt.
Der Vorteil ist, das nur die Email die man haben will auf dem Rechner landet
Spam usw. kann man mit diesem Protokoll löschen bevor er überhaupt nur den
Clientrechner erreicht. Bei POP dem üblichen Protokoll wird ja erstmal der ganze Schmus aus der Mailbox auf den Rechner runtergeladen.
Fahr sehr gut damit und seit ca. 1 Jahr keinen Virus mehr auf meinem PC gehabt.
Schaut mal ob euer Provider auch IMAP anbietet, kanns nur wärmstens empfehlen.

Gruss,
Matze S.

@Rainer

leider hilft das nicht immer, da zumindest mit einer POP Mailbox und z.B. Outlook
die Dateien schon auf dem Rechner sind auch wenn man sie nicht öffnet.
Outlook speichert die Emails die es beim abfragen der POP Mailbox findet temporär in einem Verzeichnis. Das reicht manchen Viren schon um aktiv zu werden. Ein explizites öffnen ist da garnicht mehr notwendig.

Gruss,
Matze S.

naja, ganz so schlimm isses nicht. Die Vorschau reicht aber in der Tat oft.

Ich hatte nopch nie einen Virus - kann aber auch daran liegen, dass ich Mai 2000 den letzten auf Linux umgestellt habe. Auf diesem Rechner ist die Installation übrigens von Weihnachten 2000 - und das, obwohl sich hier Entwicklerversionen von Programmen die Klinke in die Hand geben und der Rechner quasi täglich läuft..

HOPPLA !!!!

Hatte mir anscheinend diesen scheiss Virus eingefangen !!

ABER ich habe die Norton Anti Virus Software vom T-Online Packet. Die hat's sofort gemerkt, eine Meldung gebracht, dass der Virus erkannt und gelöscht wurde. Anscheinend rentieren sich die 2,50 Euronen jeden Monat !!

Ich hoffe, dass es auch wirklich funktioniert.

Rainer

wenn du den Patch nicht installierst, wird er immer und immer wiederkommen.

@Rainer,

das Ding ist kein Virus sondern ein Wurm. W32.Blaster.Worm
Mit dem Aktuellen Patch 823980 ist das Loch zu.
Wenn Du ne Firedingsda hast, blockier den Port 135 und  4444, dann ist
ebenfalls Schicht. Das Ding kommt auch nicht per email sondern einfach
so beim Online sein. Die Virenscanner haben noch keinen Update dafuer.

mfG, Alfred.
(Der nun beruhigt 10 Wochen das Ding auslaesst, wegen Urlaub)

auf der T-Online Seite kann ich nichts downloaden, kommt jedesmal eine Fehlermeldung. Aber der Norton Anti Virenschutz von T-Online ist doch auch von Symantec, wie dieses Worm Removal Tool 1.0.0

Sollte doch dann funktionieren.
Oder ?????

Rainer

dann isa entfernt - aber das Loch nicht weg, dass der nutzt. Den Patch gibt's bei MS:

http://www.microsoft.com/technet/treeview/?url=...ulletin/MS03-026.asp

(bitte leerzeichen filtern

Schön, dass es diese MS-Schutzprogramme gibt.
Nur, man kann sie nicht downloaden.
Beim Link von Kai kommt auch nichts.

Was heisst denn Leerzeichen filtern?

Gruss
Cox

das du die komplette Zeile kopieren sollst und (wie immer) hinterher die leerzeichen rauslöschen.

Gut, das hat funktioniert.
Jetzt sagt er mir bei der Installation, dass mein Service Pack für 2000 älter als 2 Jahre ist.
Also wirklich...... so manchmal....

naja, dann hast du wohl noch mehr Löcher. Also SP3 (oder 4 oder wo man jetzt ist) auch saugen...
Wieso aktualisiert hier eigentlich sonst nie einer seinen Kram?

http://download.microsoft.com/download/A/1/A/A1...24/SP4Express_DE.exe
(Online-Installation)

http://download.microsoft.com/download/C/3/5/C3...01CE12/W2KSP4_DE.EXE
(Offline-Installation, dafür 130MB)

installier doch eine Firewall dann brauchst du die ganzen Patches und SPs nicht.

Gruss,
Matze S.

Matze: so einfach ist deine "Lösung" nicht. Die hilft nur gegen eine Art von Angriffen (die bei Windows eher die seltenste ist, auch wenn dieses Teil dazu gehört).

wieso, der Wurm greift über Port 135 an und spielt sich über Port 4444 auf den Zielrechner. Mit Firewall unmöglich, Punkt aus.
Von Verbreitung per Email hab ich bisher noch nichts gelesen, aber hier greift ja dann der Virenscanner.

Gruss,
Matze S.

ein beeindruckendes Schauspiel, hab gerade 6 so um die 5-6 Portscan auf Port 135 pro Minute. Scheint schon ziemlich zu wüten das Teil.

bei *diesem* Würmchen hilft es zufällig mal, ja.
Virenscanner sind ein *sehr* problematisches Gebilde, besonders, wenn das Ding nicht _täglich_ aktualisiert wird! Oft sind die Würmer schneller, als der Virenscanner.
Übrigens ist eine lokal installierte Firewall bei ausgehenden Verbindungen nur sehr bedingt wirksam: wenn der Trojaner seinen eigenen TCP/IP-Stack hat, erfährt die Firewall davon _gar nichts_. Ebenso, wenn er die Firewall abschaltet oder einfach über eine IE-Verbindung rausgeht.
Dazu kommt, dass eine Firewall auch nur ein Programm ist, dass selbst ein Loch haben kann.

Absolute Shcierheit gibt es nicht, eine brauchbare Sicherheit kann man nur haben, wenn man:
1. einen Hardware-Router benutzt (macht einen nebenbei gegen 0190-Dialer immun)
2. dem Mail-Programm das Ausführen von jeglichen Scripten, Plugins oder anderen Dateien verbietet (selbst das Darstellen von Bildern in der Mail!)
3. ihm ebenso das Nachladen von Bildern etc. aus dem Web verbietet.
4. den Browser so einstellt, dass _alle_ Dateien ohne Frage gespeichert werden und vorher durch den Virenscanner wandern. NIEMALS irgendwas direkt aus dem Netz ausführen.
5. den Virenscanner mindestens einmal am Tag (idealerweise morgens vor den ersten Mails) aktualisiert
6. jeder Mail mistraut, auch wenn sie von Bekannten kommt, Anhänge, die nicht ausdrücklich mit Dateinamen und Dateigröße vom Versender bestätigt sind, sollte man als bösartig betrachten
7. immer die neuesten Sicherheitspatches installiert.
8. um die Microsoft-Produkte "Internet Explorer", "Outlook [Express]" und "Internet Information Server" einen GANZ großen Bogen macht. Alle 3 sind Virenverteil-Maschinen, die sich (fast) nicht sicher einrichten lassen.

ich mein ja auch nur dieses würmchen...
ansonsten fühl ich mit firewall, einigermassen frischem Virenscanner und IMAP
ganz wohl. Im Alltag hat das alles bisher ausgereicht, auch ohne MS Patches.
Mehr wollt ich garnicht sagen, das es tausend Eventualitäten gibt ist schon klar.

Der Wurm infiziert den Rechner durch eine Lücke im RPC Daemon von Windows, den er für seine eigenen Zwecke "umdreht". Leider klappt das nicht so ganz, der Wurm einen Fehler, der dazu führt, dass der RPC Daemon zusammenbricht, und Windows nur noch eine Meldung ausgibt, dass es jetzt in 60 Sekunden neustarten müsste- sehr nervig. Mein Rechner war ebenfalls befallen. Sobald ich eine Netzverbindung hatte, bekam ich auch prompt das Pop-Up Fenster für den Neustart in 60 Sekunden. Ich habe es so hinbekommen, dass ich (schneller als in 60 Sekunden) im RPC-Locator Kontrollfeld im Reiter "Wiederherstellen" für jeden Feghlschlag "Kein Aktion" eingestellt und COm sowie DCOM ausgeschaltet habe- der RPC Daemon bricht zwar immer noch zusammen, aber der Rechner läuft wenigstens noch. Danach habe ich dieses Tool von Symantec ausgeführt http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html um den Wurm los zu werden, und zusätzlich den Microsoft Patch installiert. Jetzt ist alles wieder heile.

@Thomas

Gratuliere.

@Cox

Bei Win 2000 Service Pack 0,1,2 kann man DCOM nicht  ganz abstellen (sagen die bei eEye Digital Security) und MS hat es dann auch bestätigt. Um den Patch fuert kein Weg herum. Bei einer so alten Installation wuerd ich gleich neu anfangen.

@alle

Fuer manche ist so ne gruene Software 'ne Alternative.

na prima, hab dieses ding auch und mir die updates von symantec runtergeladen, sowie das patch, aber antivirus kann den wurm nicht eliminieren oder isolieren....un jetzt..???

löscht du die Datei "msblast.exe" manuell.

danke kai, ging auch nicht, aber fand das removal-tool von symantec und wech isser..thank god for that..

Ja, danke schön für die guten Tips.

# Der Symantec hat auch bei mir 2 Dateien gelöscht.
# Patch ist installiert, ging aber erst nach Aufrüstung des Windows2000 auf Service Package 3

Der Symantec hat übrigens immer an einer überlang benannten Datei gehakt. Nachdem ich die gekürzt hatte, ging der ab wie Gleisreinigungsschleifer von Tomix!

Gruss
Cox

Abend auch, bin auch wieder clean:
- hotfix von MS
- Stinger von McAffee
Und wie teste ich meinen Rechner???
Indem ich Eure Neuigkeiten lese!!!

Lofty