|
2 neue Varianten von MS-Blaster aufgetaucht!
A:
 http://vil.nai.com/vil/content/v_100547.htmB: http://vil.nai.com/vil/content/v_100551.htmC: http://vil.nai.com/vil/content/v_100552.htmUpdate der Virensignaturen und Patchen ist angesagt!!! http://www.microsoft.com/security/incident/blast.asphttp://www.microsoft.com/technet/tre...n/MS03-026.asphttp://vil.nai.com/vil/stinger |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
Das habe ich jetzt auch schnellstens gemacht. Hoff nur das das auch wirklich was bringt.
|
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
sch*** virenprogrammierer!!
welchen sinn hat das eigentlich??? |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
Das ist wirklich unsinnig.
Die haben einfach Spass an ihrer Sache. Schafft aber Arbeitsplätze. Es müssen ja immer neue Patches für die Antivirensoftwares rausgebracht werden. :) |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
@hummer: Denk deinen Gedanken mal weiter ;)
@All: Ich finde diesen Wurm ausnahmsweise mal nicht so schlecht. 1. ist er genial gemacht, 2. bringt es endlich auch mal Hinterweltler zur Vernunft/Einsicht. Patches (resp. Firewalls, AVs) sind eben notwendig! |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
@Assarbad: Die Entwickler der Antivirensoftware programmieren selbst die Viren. Sie sichern sich ihre Arbeitsplätze sozusagen selbst. :)
Der Wurm ist wirklich gut gemacht. Und mit Antivirensoftware und Firewall sollte man sicher sein. |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
ok,
sie mögen genial programmiert sein, dann mein kompliment an den programmierer, sie mögen die wirtschaft antreiben(antivirussoftware) aber die dinger sind trotzdem ziemlich lästig!!! |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
hallo,
geschrieben ist die ganze msblast mit C, aber von den bisherigen erkenntnissen weit weg von "genial" im sinne von programmiertechnik! http://www.dslreports.com/forum/rema...ty,1~mode=flatund einen schaden produziert das auch (ob wirklich arbeitsplätze mit solchen aktionen geschaffen/erhalten werden/bleiben, bezweilfle ich). auf jeden fall nervt hier das teil an der solaris-checkpoint firewall mit vielen gedroppten meldungen im logbuch :-( 8) thomas |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
genial war auch eher so gemeint, dass er viel furore erzeugt (ich meine presse hatten wuermer das letzte mal bei ILOVEYOU)
"Microsoft confirmed that it is working with law enforcement to find the person or group who released the worm." -> Vielleicht sollten sie mal die ECHTE Ursache beheben :? |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
ok,viren haben vor- und nachteile. aber wie groß ist der schaden im vergleich zum profit?
und wieviele leute profitieren im vergleich zur anzahl leute die einen schaden davontragen? ich finde das von den programmierern zum Teil egoistisch und rücksichtslos, vor allem, wenn der virus großen schaden anrichtet |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
wie vielleicht einige von euch wissen, gibt es solche und solche virenprogger und hacker und cracker ...
Also die Guten und die Bösen. Was aber nicht heißt, dass die guten bei Norton, F-Secure und Symantec arbeiten und die Bösen die Viren schreiben. Nein. Ich denke/weiß, dass viele Hacker und Virenprogger einfach die Probleme der Software aufzeigen wollen - und natürlich die Bug-Politik von großen, mächtigen Softwarefirmen. Denn eine Firma, die einen Bug in einem ihrer Programme entdeckt oder zugeschickt bekommt, hat eigentlich 2 Möglichkeiten. 1. Patch erstellen und Bug veröffentlichen. 2. Bug geheimhalten und drauf hoffen, dass kein anderer ihn findet und ausnutzt. So, was ist jetzt teurer??? Genau die 1 Variante. Und da es unumstriten ist, dass alle großen Firmen nur GELD haben wollen, wählen sie halt den 2. Weg der geheimhaltung. Auch wenn der erste teurer ist, gibt es hier trozdem noch ein paar Probleme. Denn auch wenn der Patch für diese aktuelle Sicherheitsloch (also MS Blaster) schon vor Monaten rausgekommen währe, hätten ihn trozdem längst nicht alle gefährdeten installiert! Denn viele Admins oder auch nur Privatleute bekommen von diesem Patch nichts mit - bis es dann zuspät ist. Nicht umsonst steht im aktuellen MS-Blaster: Zitat:
Wobei ihr mich bitte nicht falsch verstehen dürft, mich nervt es auch wenn ich am Tag 10 anrufe von Freunden bekomme, bei denen sich neuerdings der PC alleine runterfährt und ich denen dann helfen soll :evil: Tschüss und ein fröhliches Zitat:
|
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
Zitat:
|
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
Hi,
den Link von merlin sollten sich einige mal ansehen (ich denke da an Assarbad, Luckie, usw.; wenn ihr das nicht bereits getan habt). Die haben den Virus anscheinend de-compiliert. Ist wirklich interessant, was sie da alles herausgefunden haben... Chris |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
Ich zweifele das etwas an, was die da als original Code posten. Man kann ihn zwar disassemblieren aber den eigentlichen Code der Hochsprache inklusive der Variablennamen wird man nie bekommen. Wo auch immer das herkommt:
Code:
aus dem original ASM Code bestimmt nicht. Und wenn es der original Code ist, dann hatte ihn diese Person als Quellcode vorliegen.
char dateBufferMonth[4];
char dateBufferDay[4]; DWORD locale = MAKELANGID(LANG_ENGLISH, SUBLANG_DEFAULT); GetDateFormat(locale, 0, 0, "d", dateBufferDay, 3); GetDateFormat(locale, 0, 0, "M". dateBufferMonth, 3); if ( atoi(dateBufferDay) > 15 || atoi(dateBufferMonth) > 8 ) { launch_windowsupdate_attack_thread(); } start_RPC_infection(); |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
@Chakotay: Hatte mich auch mal kurz rangesetzt, aber noch nicht viel gemacht.
Zitat:
@Luckie: Du magst einerseits recht haben, aber hast du jemals aus einem disassembleten Code nen Code in einer Hochsprache geschrieben? Ist kein Problem. Und interessanterweise werden sich, wenn das 2 Leute machen auch die Namen der Strukturen und Prozeduren ähneln ... denn wenn du was reverst, dann "mußt" du quasi vielsagende Namen wählen, denn sonst siehst du nciht mehr durch. Im Thread wo es ums Programm knacken ging, hat man schon gesehen, daß es insbesondere hilfreich ist, wenn man Strings als Orientierung beim reversen hat :mrgreen: |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
Mal zum Thema zurück: MS-Blaster. @Assa, du hast dich kürzlich beschwert, dass das Tool
Microsoft Baseline Security Analyzer dich nicht gewarnt hätte. Dann war wahrscheinlich deine Signaturendatei veraltet. Ich habe heute einen Win2000-Rechner aufgesetzt, und da ich Admin-Rechte hatte (und habe :)), habe ich natürlich auch das Tool installiert und eine "mssecure.cab" benutzt, die ich gestern runtergeladen habe.Nun mag das zwar nicht zwangsläufig ein guter Beweis sein, aber das Tool hat die Lücke im RPC als kritisch bemängelt und mich auf den entsprechenden Patch verwiesen. Wenn ich davon ausgehe, dass diese Lücke seit 4 Wochen bekannt ist, und dass seit dieser Zeit auch ein Patch existiert, vermute ich, dass die "mssecure.xml" (in der CAB drin) auch seit dieser Zeit einen Hinweis enthält. Ich finde das Tool ganz gut, und kann´s nur empfehlen. Man muss halt nur (wie bei AntiViren-Scannern) auf dem neusten Stand bleiben. Am einfachsten geht das mit dem CMD-Aufruf
Code:
Das löst die Kommandozeilenversion aus, die sich gleich noch die aktuelle Sig-Datei aus dem Netz holt (INet-Verbindung vorausgesetzt). Da aber das Interface des Programms auch bloß HTML ist ("toolbar.html"), kann man sich auch einen direkten Download-Link für die CAB-Datei einbauen. :)
mbsacli /hf
PS: Ich vermute mal, die GUI-Version wird sich wohl auch immer die aktuelle Sig holen, aber da der Scan Admin-Rechte erfordert und mein Admin nicht ins INet gehen darf, klappt das bei mir nicht mit dem automatischen Download. :) |
Re: 2 neue Varianten von MS-Blaster aufgetaucht!
Also bei mir hat MBSA es nicht gemeldet ... vermutlich veraltete Sigs, kann sein ... aber ich benutze das visuelle Tool (zumindest am Server) und da wird normalerweise die Sig automatisch geupdatet!
Leider habe ich aus NTBUGTRAQ schon die Info, daß Windows-Update und auch sie Sig-Files und die Notwendigkeit zum Update nicht immer korrekt anzeigen. Das wird wohl auch das Problem gewesen sein. Und wie gesagt, da verlasse ich mich dann auf so ein Tool (zumal es nicht von MS entwickelt wurde ;)). Habe die alte Version runtergeschmissen und die neue raufgetan ... mal sehen, die nächste Gelegenheit kommt sicher ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:03 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz