Re: 2 neue Varianten von MS-Blaster aufgetaucht!
 

wie vielleicht einige von euch wissen, gibt es solche und solche virenprogger und hacker und cracker ...
Also die Guten und die Bösen.
Was aber nicht heißt, dass die guten bei Norton, F-Secure und Symantec arbeiten und die Bösen die Viren schreiben. Nein.
Ich denke/weiß, dass viele Hacker und Virenprogger einfach die Probleme der Software aufzeigen wollen - und natürlich die Bug-Politik von großen, mächtigen Softwarefirmen.
Denn eine Firma, die einen Bug in einem ihrer Programme entdeckt oder zugeschickt bekommt, hat eigentlich 2 Möglichkeiten.
1. Patch erstellen und Bug veröffentlichen.
2. Bug geheimhalten und drauf hoffen, dass kein anderer ihn findet und ausnutzt.

So, was ist jetzt teurer??? Genau die 1 Variante. Und da es unumstriten ist, dass alle großen Firmen nur GELD haben wollen, wählen sie halt den 2. Weg der geheimhaltung.
Auch wenn der erste teurer ist, gibt es hier trozdem noch ein paar Probleme. Denn auch wenn der Patch für diese aktuelle Sicherheitsloch (also MS Blaster) schon vor Monaten rausgekommen währe, hätten ihn trozdem längst nicht alle gefährdeten installiert! Denn viele Admins oder auch nur Privatleute bekommen von diesem Patch nichts mit - bis es dann zuspät ist.

Nicht umsonst steht im aktuellen MS-Blaster:
Deshalb bin ich der Meinung, dass die Autoren des Blast in den Augen der Gesellschaft die Bösen sind, in wirklichkeit aber nur Schwachstellen der Software zeigen wollen, was sie in der Viren-Progger-Szene wieder zu den Guten macht.

Wobei ihr mich bitte nicht falsch verstehen dürft, mich nervt es auch wenn ich am Tag 10 anrufe von Freunden bekomme, bei denen sich neuerdings der PC alleine runterfährt und ich denen dann helfen soll :evil:

Tschüss und ein fröhliches :wink:

Re: 2 neue Varianten von MS-Blaster aufgetaucht!
 

Bei privat Leuten kann ich es noch verstehen, dann sind sie aber auch selber Schuld, wenn es dann mal passiert. Aber einem Admin, der sich nicht regelmäßig mindestens einmal die Woche informiert, wäre bei mir die längste Zeit Admin gewesen.

Re: 2 neue Varianten von MS-Blaster aufgetaucht!
 

Hi,
den Link von merlin sollten sich einige mal ansehen (ich denke da an Assarbad, Luckie, usw.; wenn ihr das nicht bereits getan habt). Die haben den Virus anscheinend de-compiliert.

Ist wirklich interessant, was sie da alles herausgefunden haben...

Chris

Re: 2 neue Varianten von MS-Blaster aufgetaucht!
 

Ich zweifele das etwas an, was die da als original Code posten. Man kann ihn zwar disassemblieren aber den eigentlichen Code der Hochsprache inklusive der Variablennamen wird man nie bekommen. Wo auch immer das herkommt:
aus dem original ASM Code bestimmt nicht. Und wenn es der original Code ist, dann hatte ihn diese Person als Quellcode vorliegen.

Re: 2 neue Varianten von MS-Blaster aufgetaucht!
 

@Chakotay: Hatte mich auch mal kurz rangesetzt, aber noch nicht viel gemacht.
Es scheint noch andere zu geben ;) ...

@Luckie: Du magst einerseits recht haben, aber hast du jemals aus einem disassembleten Code nen Code in einer Hochsprache geschrieben? Ist kein Problem. Und interessanterweise werden sich, wenn das 2 Leute machen auch die Namen der Strukturen und Prozeduren ähneln ... denn wenn du was reverst, dann "mußt" du quasi vielsagende Namen wählen, denn sonst siehst du nciht mehr durch. Im Thread wo es ums Programm knacken ging, hat man schon gesehen, daß es insbesondere hilfreich ist, wenn man Strings als Orientierung beim reversen hat :mrgreen:

Re: 2 neue Varianten von MS-Blaster aufgetaucht!
 

Mal zum Thema zurück: MS-Blaster. @Assa, du hast dich kürzlich beschwert, dass das Tool Microsoft Baseline Security Analyzer dich nicht gewarnt hätte. Dann war wahrscheinlich deine Signaturendatei veraltet. Ich habe heute einen Win2000-Rechner aufgesetzt, und da ich Admin-Rechte hatte (und habe :)), habe ich natürlich auch das Tool installiert und eine "mssecure.cab" benutzt, die ich gestern runtergeladen habe.
Nun mag das zwar nicht zwangsläufig ein guter Beweis sein, aber das Tool hat die Lücke im RPC als kritisch bemängelt und mich auf den entsprechenden Patch verwiesen.

Wenn ich davon ausgehe, dass diese Lücke seit 4 Wochen bekannt ist, und dass seit dieser Zeit auch ein Patch existiert, vermute ich, dass die "mssecure.xml" (in der CAB drin) auch seit dieser Zeit einen Hinweis enthält.

Ich finde das Tool ganz gut, und kann´s nur empfehlen. Man muss halt nur (wie bei AntiViren-Scannern) auf dem neusten Stand bleiben. Am einfachsten geht das mit dem CMD-Aufruf
Das löst die Kommandozeilenversion aus, die sich gleich noch die aktuelle Sig-Datei aus dem Netz holt (INet-Verbindung vorausgesetzt). Da aber das Interface des Programms auch bloß HTML ist ("toolbar.html"), kann man sich auch einen direkten Download-Link für die CAB-Datei einbauen. :)

PS: Ich vermute mal, die GUI-Version wird sich wohl auch immer die aktuelle Sig holen, aber da der Scan Admin-Rechte erfordert und mein Admin nicht ins INet gehen darf, klappt das bei mir nicht mit dem automatischen Download. :)

Re: 2 neue Varianten von MS-Blaster aufgetaucht!
 

Also bei mir hat MBSA es nicht gemeldet ... vermutlich veraltete Sigs, kann sein ... aber ich benutze das visuelle Tool (zumindest am Server) und da wird normalerweise die Sig automatisch geupdatet!
Leider habe ich aus NTBUGTRAQ schon die Info, daß Windows-Update und auch sie Sig-Files und die Notwendigkeit zum Update nicht immer korrekt anzeigen. Das wird wohl auch das Problem gewesen sein. Und wie gesagt, da verlasse ich mich dann auf so ein Tool (zumal es nicht von MS entwickelt wurde ;)). Habe die alte Version runtergeschmissen und die neue raufgetan ... mal sehen, die nächste Gelegenheit kommt sicher ;)