|
Re: Virenhinweis: MS Blast
|
Re: Virenhinweis: MS Blast
Ja kenne ich, ich dachte aber bei kerio.com kann man sich nicht die Freeware runterladen.
|
Re: Virenhinweis: MS Blast
@Luckie, jo ich verstehe es auch nicht. Meine Win2k Installation läuft seit Kauf des Rechners, bin rund um die Uhr Online und hatte noch nie Viren oder Trojaner.
Zur FTP.exe und TFTP.exe. Beides sind Microsoft Anwendungen für das File Transfer Protocol kurz FTP. Einfach so löschen ist also keine gute Idee, MSBlast nutzt nur MS Anwendungen aus. Er nutzt diese Tools weil mit ihnen die Wahrscheinlichkeit groß ist das eine Firewall sie durchlässt. Aber erstmal muß man von aussen FTP.exe starten können damit MSBlast.exe durch das eigene System mit TFTP.exe gedownloaded wird. Dies wird angestoßen durch RPC = Remote Procedure Calls über Port 135 und Konsorten (nutzt mehere Ports). Schließt man diesen Port so werden alle Verbindungen gekappt die auf RPC basieren, also auch Anwendungen die im Intranet arbeiten. Also keine besonders gute Idee diesen Port zu blocken. ADO,MS SQL,ICQ,MailSlots,Nachrichtendienst usw. usw. können dann nicht mehr arbeiten. Soll heissen im PRC ist ein Fehler und dieser muß durch ein MS Update beseitigt werden. Gruß Hagen |
Re: Virenhinweis: MS Blast
Zitat:
:arrow:  http://www.gamestar.de/news/software/13478/MfG Florian :hi: [EDIT] Ich hab das Sche*** Ding nicht...glaub ich :roll: aber ich frage mich wo alle den weg haben... Hier im Forum? Unwahrscheinlich, aber wo dann? [/EDIT] |
Re: Virenhinweis: MS Blast
Hi! :hi:
Zitat:
Also zur Verbreitung kann ich sagen, es liegt wohl an keinem direkt aus dem Forum hier, weil sich der Virus selbstständig verschickt und dann von Windows automatisch ausgeführt wird. (lt. McAfee) Lösung: Patch von MS ziehen und installieren. Auf www.symantic.de die FIxBlaster.exe saugen (Virus heißt W32.Blaster.Worm) und den PC säubernFirewall wie ZoneAlarm oder Keroa halt, saugen und installen und dann erstmal für ne Zeit einigeln, bis der Sturm vorbei ist. |
Re: Virenhinweis: MS Blast
Hi,
http://www.iexbeta.com/, siehe zweite News.Da ich Windows Update eh nie benutze sondern mir die wichtigsten Patches immer so ziehe, hab ich Port 135 direkt mal geblockt, @negaH: ICQ läuft aber trotzdem noch. Naja, funktioniert halt alles was nich über Port 135 geht. Bis dann, S - tefano |
Re: Virenhinweis: MS Blast
@Luckie: mit welchem Programm machst du denn deine Images?
MfG Matthias Volland |
Re: Virenhinweis: MS Blast
|
Re: Virenhinweis: MS Blast
Zitat:
|
Re: Virenhinweis: MS Blast
Ich habe den Rest nicht gelesen :mrgreen: aber hier der Link zu MS und dem Problem, warum MS Blast zu Dir gekommen ist. Hilft nur Sicherheitsupdates regelmäßig zu installieren ;-)
http://www.microsoft.com/technet/tre...n/MS03-026.asp...:cat:... |
Re: Virenhinweis: MS Blast
Durch das Update funktioniert Windows XP wieder ohne Probleme :dancer2:,
das mit dem Problem Copy & Paste lag wirklich an diesem Wurm. Durch diesen Wurm hat auch der IE etwas gesponnen, da er keine neuen Fenster öffnen wollte. Doch das ist jetzt vorbei :bounce2: :bounce1: :firejump: :bouncing4: |
Re: Virenhinweis: MS Blast
Hi,
Auszug von N24 online:"Um die Lücke zu schließen, sollte ein "Sicherheitspatch" von der Homepage http://www.windowsupdate.com heruntergeladen werden, rät die Behörde. Dies sollte laut BSI jedoch noch vor Samstag (16. August) geschehen. Die Experten erwarten, dass "Blaster" die Internetseite an diesem Tag durch eine so genannte DoS-Attacke - eine Überflutung mit Anfragemails - blockiert."Huiuiui, ich muss schon sagen. Bin vor allen Dingen überrascht, dass der sich so rasend schnell verbreitet hat- gibt ja kaum eine Community in der darüber nicht geredet wird (naja, ich kenn ja nich alle...). Muss man sich mal vorstellen, man kann ein richtig geiles Programm schreiben, muss dann auch noch Anstrengungen in Vermarkten machen, Publisher finden, Bugs fixen und man bekommt zwar im Netz Resonanz und vielleicht sogar Geld, aber will man richtigrichtigrichtig schnell ins Fernsehen ohne sich lange um Benutzerfreundlichkeit zu kümmern... schreibt man halt nen Virus und schon is man bei ProSieben etc. Aber naja, ich will ja hier keinen motivieren :wink: Ich hatte mit dem Ding zum Glück noch keine Probleme. Bis dann, S - tefano |
Re: Virenhinweis: MS Blast
Ich weiß nicht so recht. Man findet einen Wurm/Trojaner der nur dadurch funktioniert weil man die Software so konstruiert hat das sie von ausserhalb angreifbar ist. Dann warnt man schon Tage vorher, so daß Microsoft genug Zeit hat seine Server zu schützen. In der Zwischenzeit erhöhen sich die Einschaltquoten der Medien, was Geld reinbringt. Die Anti-Virus-Software-Industrie bekommt einen Boost, obwohl sie garnicht in der Lage sein kann so schnell auf diese Technik zu reagieren. Heisst, jetzt die neueste AV-Software einzuspielen bringt garnichts. Davon abgesehen ist es ein Trojaner und kein Virus. Gerade die angebliche Anti-Tojaner Software vmn Norton macht auf meinem Rechner mehr Probleme als es ein Virus/Trojaner machen könnte. Microsoft verzeichnet in der Zwichenzeit massig Kundenzulauf auf ihren Homepages und steigert noch seinen Gewinn. Einige Organsiationen die überall ihre Finger drinnenhaben, lernen dabei wie man das Netz besser kontrollieren kann und sammeln fleißig Informationen. Die Firewall Hersteller verdienen Geld ohne Ende, obwohl es technisch unmöglich ist einen Einzelplatz PC mit einer FireWall zu schützen. Einmal einen Trojaner innerhalb des Systems und dieser kann jede FireWall brechen. Da das OS selber diese Angriffswege enthält sind somit selbst FireWall's auf Einzelplatzsystemen hilflos.
Mir passt das alles nicht ins rechte Bild. Es wäre schon verwunderlich wenn die Coder des Trojaners nicht auch auf einigen Gehaltslisten stehen. Gruß Hagen |
Re: Virenhinweis: MS Blast
Ich bin übrigens auch betroffen. Ist schon ein starkes Stück, daß MS eine Lücke die vor SP2 bekannt war noch nichtmal in SP4 drin hat :-/
@Hagen: Auch wenn du es so sehen magst ... für mich ist es eher Werbung gegen Windows. Und ich war bisher eher Verfechter. Es ist KEIN TROJANER! Es ist simpel ein Wurm. Er verbreitet sich (nur) ohne Schadensroutine. Es gibt eine vermutete Funktion, daß windowsupdate.com per DDoS runtergebracht werden soll. Übrigens an jene die meinen man muß immer nur Patchen: Es gibt da zwei Tools (beide auf der gleichen Technologie basierend). Eines bei MS: MSBA (MS Baseline-Security Analyzer). Diese haben mir KEINE fehlenden Patches angezeigt. Und man kann von niemandem Verlangen, daß er 10mal am Tag (oder auch nur einmal pro Woche) die komplette MS-Seite abgrast auf der Suche nach Patches (zumal es eben in diesem Falle nur in der KB war und nicht bei den Q-Artikeln!) Auch zum Downloaden vernünftig: http://vil.nai.com/vil/stingerMS Security Bulletin: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.aspBTW: Ich ziehe mein Statement bzgl Firewalls zurück. |
Re: Virenhinweis: MS Blast
Also mit dem Stinger ginsg bei mir einwandfrei, das tool von symantec allerdings ist abgestürzt :?
Der Wurm hält doch 10 Ports oder so offen,da sie angeblich auf Listen sind könnte man doch auf Trojaner tippen oder? :?: |
Re: Virenhinweis: MS Blast
Die Definition von Trojaner ist aber eher: Programm welches sich als etwas ausgibt, was es nicht ist. Trojaner verbreiten sich mit Zutun von Menschen. Würmer hingegen verbreiten sich von allein und sind NUR darauf ausgerichtet sich zu verbreiten (und möglicherweise dadurch Services lahmzulegen).
|
Re: Virenhinweis: MS Blast
Zur Frage 'Wurm' vs. 'Trojaner':
Der Wurm wird ja wesentlich dadurch charakterisiert, dass er sich ohne aktives Zutun des Anwenders weiterverbreiten kann. Der Trojaner hingegen zeichnet sich i.A. erstmal dadurch aus, dass er eine andere Funktionalität vorgibt; diese ggf. sogar auch erfüllt, aber nebenbei noch in eigener Sache tätig wird. Hierzu kann auch das Öffnen einzelner Ports eines Rechners gehören. Aus meiner Sicht hat o.g. 'Element' ['MS-Blast'] sowohl einige Eigenschaften eines Wurmes als auch die eines Trojaners. |
Re: Virenhinweis: MS Blast
Einigen wir uns auf einen Wurm der aus Troja stammt, und nennen ihn den Trojanischen Wurm :mrgreen: Copyright phlux & DP ;) :thumb:
gn8 :hi: |
Re: Virenhinweis: MS Blast
Gut, NAI sagt, daß es ein
"Virus" sei. Die Aliase weisen eher auf einen Wurm. Seine Aktionen auch.@Daniel: Mit Verlaub, könntest du das noch etwas begründen? Also die Trojaner-Funktionen. Ich mußte nix anklicken oder sonstwas machen um ihn zu aktivieren. Der RPC-Exploit hat gereicht um ihn mir "einzufangen" ... und wer weiß wie viele Systeme von mir aus infiziert wurden :? |
Re: Virenhinweis: MS Blast
Zitat:
Copyright UC & DP |
Re: Virenhinweis: MS Blast
Hi,
nur mal zur Info: Ich hab mal bei Symantec auf der HP gesucht und folgendes Tool zum Download gefunden (removal instructions...). Ich habs mal runtergeladen aber da ich grad formatiert habe (hab den scheiß Virus auch gehabt!) hab ich ihn nicht drauf und kann nicht sagen ob das Tool was bringt.Naja, ich verabschiede mich und mach erst mal Linux drauf. Das scheint mir für die nächsten Wochen das sicherste!!! Man liest sich! MfG Matthias Volland |
Re: Virenhinweis: MS Blast
Symantec schreibt Folgendes -Creates a hidden Cmd.exe remote shell that will listen on TCP port 4444, allowing an attacker to issue remote commands on the infected system. -Listens on UDP port 69. When the worm receives a request from a computer it was able to connect to using the DCOM RPC exploit, it will send that computer Msblast.exe and tell it to execute the worm. Quell-URL: http://securityresponse.symantec.com...ster.worm.htmlKaspersky, McAfee, [und Computerbild-Online :mrgreen:] schreiben Vergleichbares. Das Öffnen des Ports 4444 für weitere Nutzung (und sei es zur Verbreitung) ist in meinen Augen eine Aktion, die eher von einem Trojaner als vom einem Wurm durchgeführt wird. Aler ich will mich da jetzt nicht auf Haarspaltereien einlassen - letztlich ging es für mich gestern lediglich um die Frage, wie ich das Gerät wieder loswerde. Ob es per Definition eher ein Wurm oder ein Trojener ist .... geschenkt. :wink: |
Re: Virenhinweis: MS Blast
LOL ... Winworm.exe ;) ... Wurm aus Troja ...
Um es zusammenzufassen, es ist: ein vireninfizierter Wurm aus Troja mit dem Namen Winworm.exe :mrgreen: @Daniel: Nimms mir nicht übel ;) ... bin wohl heute irgendwie [Quatsch nicht Exkrement sondern extrem meine ich ;)] drauf :mrgreen: |
Re: Virenhinweis: MS Blast
Ich hab zwar keine Firewall, aber AntiVir und da lade ich mir auch jede Woche ein Update runter. So hatte ich bis jetzt noch keine Probleme.
Oder ich bin nur davor verschont geblieben. |
Re: Virenhinweis: MS Blast
Naja, es gibt Würmer, Trojaner und Viren.
Viren vermehren sich selber. Trojaner sind Software die getarnt ein System von innen aufbrechen. Würmer sind normalerweise Viren die durch ihre Aktionen immer mehr Rechenpower des infizierten Systemes lahmlegen. Im Gegensatz zu Viren die meistens ein System sofort lahmlegen, sind Würmer sozusagen die schleichende Seuche. Alle 3 Definitionen treffen auf alle 3 definitionen selber zu. D.h. meistens ist eine Angriffssoftware gleichzeitig Wurm,Trojaner und Virus. Da sie sich 1.) selber verbreiten soll, 2.) in ein System einbrechen soll damit man von Aussen das System kontrollieren kann und 3.) durch die Aktivitäten soll es Server lahmlegen, durch den Verbauch von immer mehr Rechenpower. In Falle von MSBlast und jedem anderen System das DoS Attacken ausführen kann, wird es ein Virus + Trojaner + Wurm sein. MSBlast muß ein Virus sein, da sich kein Hacker selber hinsetzt und ein System angreift um MSBlast zu installieren, dies ließe sich meistens zurückverfolgen. Das System wird die Verbreitung von selber erledigen. Um den DoS Attacke auszuführen sollte man einen Trojaner nehmen damit man von aussen diese Attacke steuern kann. Es scheint so das MSBlast dieses Datum aber hardcoded enthält. Die eigentliche Aktion von MSBlast ist die eines Wurmes, er legt durch Resourcenverbrauch einen Server lahm. Es ist dabei nicht mehr entscheidend das MSBlast auf dem Zielserver läuft. Somit ist die MS Indexerstellung ebenfalls ein Wurm den ich sofort nach Installation deaktiviert habe. Jede Firewall ist im gleichen Atemzug ein Trojaner, bis ich die Sourcen gesehen habe :) Gruß Hagen |
Re: Virenhinweis: MS Blast
@Hagen:
http://www.ntkernel.com da gibts ne OpenSource-Firewall die mit TDI Hooking arbeitet ;) ... vielleicht isset was für dich, hmm?! |
Re: Virenhinweis: MS Blast
Schon blöde so'ne Sache, da tönt man das man FireWalls ohne Source nicht trauen darf, und ich selber nutze noch ZoneAlarm, oh Schreck.
Werde sie mir aber auf alle Fälle anschauen, alleine schon weil ich wissen will wie's funktioniert. Aber auch Luckies Vorschlag zieh ich mir mal rein :) Gruß Hagen |
hmm,
@Assarbad
Es gibt Definitionen für die Unterscheidung http://www.th-security.de/virusarten.php3http://schwager.net/seminar/tips/107viren.htmusw. google hilft ;) |
Re: Virenhinweis: MS Blast
@JoelH: Ich kenne die Definitionen (auch wenn ich sie nicht wortwörtlich wiedergeben könnte ;)). Für was hältst du es denn nachdem du auf die Defs guckst? (Ich bleibe bei obigem ersten Gebot).
|
Re: Virenhinweis: MS Blast
Als wenn die Definition bei dem Ding die größe Sorge wäre. :?
|
Re: Virenhinweis: MS Blast
@Luckie: Wo ist das Problem? Patch drauf und dann den MSBLAST.EXE-Prozess killen ... Registry säubern (HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n\ -> "windows auto update" o.s.ä.)
Weg isser ... war bei mir nur so lange ein Problem, weil es per Modem ne Weile dauert den MS-Patch runterzuladen. Intelligenterweise hätten die ja auch mal nen Gegenvirus/-wurm rausschicken können, der die Systeme patcht. |
Re: Virenhinweis: MS Blast
Das wäre mal ne Idee, ein wurm der die Systeme patcht :)
|
Re: Virenhinweis: MS Blast
@Oliver: Kein Problem, ich hatte ihn bisher noch nicht. Ich wundere mich nur die ganze Zeit, wie ihr euch sowas einfangt. Und ich sitze nicht hinter einem Linux Router oder ähnlichen. Ganz normales Windows2000 mit Desktop Firewall. Alle Anfragen von außen werden automatisch geblock und raus darf nur, was ich kenne.
|
Re: Virenhinweis: MS Blast
Ich hab in auch nicht (trotz fehlender Firewall).
Aber so gut wie alle, die ich kenne haben ihn drauf. Meine Mutter war natürlich wieder die erste die ihn hatte. Als erstes hat sie den Tip bekommen die Festplatte zu löschen. Das hätte sie glatt gemacht, wenn sie wüsste wie das geht. :roll: |
Re: Virenhinweis: MS Blast
Zitat:
Zitat:
|
Re: Virenhinweis: MS Blast
@Luckie: Bei mir war das Problem die fehlende Firewall.
@Mathias: Habe in nem VXer ezine auch interessante Ideen für neue Würmer gefunden ... einer zB der quasi nie auf der Platte landet, aber dennoch das Netz in Schach hält. Da hülfe dann nur eine gründliche Überarbeitung des IP-Stacks und der Windows-Interna ... aber dann wäre es wahrscheinlich kein Windows mehr ;) |
Re: Virenhinweis: MS Blast
Ich finde, wir sollten uns alle den Virus wieder installieren, schonmal wegen der DoS-Attacke am 16. August :mrgreen:
Ich persönlich bin ja mal gespannt, glaube aber, das sie ihr windowsupdate.com irgendwie absichern werden ... |
Re: Virenhinweis: MS Blast
Naja wenn das so ist dann sollten wir wohl am 16. selber diese vielen Anfragen an MS senden :)
Gruß hagen |
Re: Virenhinweis: MS Blast
@cYaONE: eine DoS oder DDoS-Attacke zeichnet sich ja grade dadurch aus, daß sie _gültige_ Anfragen in so einer Masse schickt, daß der Server ab einem bestimmten Punkt den Service verweigert. Es gibt keinen Unterschied zwischen gültigen und ungültigen Anfragen!
|
Re: Virenhinweis: MS Blast
Was ich mich aufs Wochenende freue! Ich hab den Virus (dem dummen Eumex Router sei dank) nicht aber ich denke ich werde in 3 Dutzend Fenstern probieren nen Windows-Update zu machen. Noch bessere Idee: Nen Programm schreiben: Zähler erhöhen bis 1000 und so oft shellexecute(windowsupdate...) :mrgreen: Mal sehen wie lange mein Rechner das mitmacht. Hat irgendwer nen genauen Zeitpunkt? :mrgreen:
MfG Florian :hi: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:49 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz
