Willkommen auf Planet-Liebe

diskutiere über Liebe, Sex und Leidenschaft und werde Teil einer spannenden Community! :)

jetzt registrieren

!! Warnung !! Neuer Wurm(Virus) verbreitet sich rasant

Dieses Thema im Forum "Musik, Filme, Computer und andere Medien" wurde erstellt von Mr. Poldi, 13 August 2003.

  1. Mr. Poldi
    Verbringt hier viel Zeit
    3.068
    121
    0
    vergeben und glücklich
    Die meisten dürften es (u.a. auch aus dem Fernsehen und der Tagespresse) bereits wissen, aber doppelt hält bekanntlich besser :zwinker:

    Seit Montag 11.08.2003 verbreitet sich der Wurm Lovesan mit rasanter Geschwindigkeit im Internet.

    Der Wurm nutzt dazu eine seit längerem bekannte Schwachstelle in den Betriebssystemen Windows NT, Windows 2000, Windows XP und Windows Server 2003 aus, um sich über das Internet direkt von PC zu PC zu verbreiten.

    Der Wurm enthält nach bisherigen Erkenntnissen keine Schadensfunktionen für den betroffenen PC, löst aber ab dem 16. August einen globalen Angriff (DDoS) auf die Windows Update Seite von Microsoft aus.
    In einigen Fällen kommt es auch zu Abstürzen der betroffenen PCs.

    Wer von Lovesan betroffen ist sollte diesen umgehend entfernen und die von Microsoft bereitgestellten Patches einspielen, um die Sicherheitslücke in RPC zu schließen, denn diese ist höchst riskant!
     
    #1
    Mr. Poldi, 13 August 2003
  2. MooonLight
    Sehr bekannt hier
    5.106
    173
    3
    nicht angegeben
    Ist ja schön und gut, aber meinste nicht, der Thread im Umfrage Forum reicht..?
     
    #2
    MooonLight, 13 August 2003
  3. User 1539
    User 1539 (33)
    Sehr bekannt hier
    6.859
    173
    4
    Verheiratet
    Seh das wie Mooon ... man kanns auch übertreiben mit den Postings.
    Und wenn du jetzt mit dem Argument kommst "Es könnte ja sein, dass es einige immer noch nict wissen" --> Schicksal ... wenn man sich net informiert, ist man selber Schuld. Aber deshalb gleich alles mehrmals posten ist echt übertrieben!

    Juvia
     
    #3
    User 1539, 13 August 2003
  4. also wenn der virus wirklich dem user nicht schadet, sondern nur den microsoft update server angreift, dann würd ich den sogar drauf lassen.
     
    #4
    Claustrophobic, 13 August 2003
  5. Mr. Poldi
    Verbringt hier viel Zeit Themenstarter
    3.068
    121
    0
    vergeben und glücklich
    Die Umfrage ist in ein paar Tagen auf Seite 2 verschwunden und wird dann weniger wahrgenommen.

    Dieser Wurm wird uns aber noch Monate beschäftigen - siehe z.B. Code Red, da krieg ich heute noch täglich 10-20 Anfragen.

    Außerdem geht es weniger um den Wurm an sich (der ist abgesehen von dem DDoS relativ harmlos), sondern um die Sicherheitslücke in RPC - und die ist absolut nicht harmlos.

    Ich hab es daher nochmal hier rein gepostet da der andere Thread "nur" eine Umfrage ist und das hier das eigentlich zuständige Forum.

    Mea culpa falls ich damit jemandem auf die Nerven gehe.
     
    #5
    Mr. Poldi, 13 August 2003
  6. |Coding
    Gast
    0
    schließe mich meinen vorrednern an, finde es auch übertrieben, es zwei mal zu posten. warum? ganz einfach, wer im internet surft, hat meiner meinung nach die gott verdammte pflicht sich vor solchen attaken zu schützen. virenscranner usw. immer auf dem aktuellen stand halten, auf bekannten info seiten (z.b. heise.de) dies bezüglich nachliest oder sonst was. wer sich aber denkt "nach mir die sintflut", der ist selbst schuld und wird früher oder später auf die sanfte oder extreme art erfahren, was es heißt, einen wirklich gefährlichen virus usw. zu haben. am ende steht doch immer der datenverlust und das ist auch das, was ausnahmslos jeden, extremst ärgern wird.

    ist schon in ordnung, wenn du es auch hier noch mal erwähnst Kirby, aber einmal reicht!
     
    #6
    |Coding, 13 August 2003
  7. Mr. Poldi
    Verbringt hier viel Zeit Themenstarter
    3.068
    121
    0
    vergeben und glücklich
    Gebe ich dir vollkommen recht, nur zeigt die Infektionsrate dass es eben viele nicht machen :frown:
     
    #7
    Mr. Poldi, 13 August 2003
  8. User 1539
    User 1539 (33)
    Sehr bekannt hier
    6.859
    173
    4
    Verheiratet
    Ja und? Kann dir doch egal sein .. ist doch deren eigenes Problem, wenn sie sich nicht informieren.

    Juvia
     
    #8
    User 1539, 13 August 2003
  9. Mr. Poldi
    Verbringt hier viel Zeit Themenstarter
    3.068
    121
    0
    vergeben und glücklich
    Wenn Jugendliche aus Unwissenheit nicht richtig verhüten ist das primär auch nicht unser Problem, dennoch bemühen wir uns nach Kräften sie umfassend zu informieren damit so etwas eben nicht passiert, oder? :zwinker:

    Abgesehen davon wird es zu meinem Problem soblad es eine neue Variante gibt die sich beliebige IPs als DDoS-Ziel aussucht (also z.B. meine).
     
    #9
    Mr. Poldi, 13 August 2003
  10. Alpha-Skull
    Verbringt hier viel Zeit
    96
    91
    0
    vergeben und glücklich
    Wen interessiert denn sowas?

    Es ist nur ein weiterer Virus von den üblichen Verdächtigen und sie machend as übliche was sie sonst auch tun.

    Außerdem, es ist doch nur Microsoft.
    Also schließt man in der Firewall den Port 136 und alles wird gut, und dann kann man den Patch drauf tun und alles wird noch besser.

    Es ist nur ein Virus, mehr nicht :smile:

    Alpha-Skull
     
    #10
    Alpha-Skull, 13 August 2003
  11. Mondmann
    Mondmann (31)
    <b>V</b>ery <b>I</b>mportant <b>P</b>enis
    703
    101
    0
    Single
    Greift der Lovsan/Blaster bla nicht über 135 an?
    Aber Du hast recht, dass man auch das port 136 schließen sollte.

    Mondmann 1356
     
    #11
    Mondmann, 14 August 2003
  12. Jahwes
    Gast
    0
    @Kirby

    ich denke jeder hat mit bekommen was zur Zeit abgeht.

    Aber wenn du den Thread nochmal öffnen musst dann nehm doch mal die Aktuellsten Themen als Anlass:

    Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.

    Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.

    Der Code des neuen Wurms gleicht größtenteils dem des "Blaster"-Wurms. Er verbreitet sich auch auf die gleiche Art und Weise wie sein Vorgänger. Von einem befallenen Rechner aus sucht der Wurm über den Port 135 per zufällig generierter IP-Adressen nach neuen Rechnern, bei denen die Windows-Sicherheitslücke noch nicht geschlossen wurde und infiziert diese dann, in dem er sich per TFTP überträgt.

    Im Gegensatz zum "Blaster" enthält der Nachfolger auch eine Backdoor-Funktion und stellt damit eine größere Gefahr dar. Der Wurm öffnet auf einem befallenen System eine Verbindung zu einem IRC-Server (Internet Relay Chat) und wartet auf Befehle. Dies könnte es dem Angreifer erlauben, per Fernzugriff die Kontrolle über den Rechner zu übernehmen.

    Während beim "Blaster"-Wurm eine Datei mit dem Namen "Msblast.exe" auf den Rechner geladen wird, nutzt der Nachfolger für den Dateinamen die unauffälligere Bezeichnung "winlogin.exe". Diese Datei wird ebenso wie die Datei " yuetyutr.dll" in das System-Verzeichnis von Windows kopiert.

    Damit der Wurm bei jedem Systemstart aktiviert wird, werden folgende Registry-Einträge vorgenommen:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

    winlogon = "winlogin.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    NdplDeamon = "winlogin.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    winlogon = "winlogin.exe"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    Shell = "explorer.exe winlogin.exe"




    Nach dem Auftauchen der ersten Variante WORM_RPCSDBOT über die bereits gestern berichtet wurde, sind weitere Mutationen von W32.Blaster alias Lovesan gesichtet worden. W32.Blaster.B und Blaster.C unterscheiden sich vom Ursprungsschädling nur durch die Umbenennung der Wurmdatei "msblast.exe" in "penis.exe" und "teekids.exe" sowie den entsprechend geänderten Einträgen in der Registry (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run) unter "windows auto update" beziehungsweise ”Microsoft Inet xp..". Die Hersteller von Antivirensoftware haben ihre Signaturen auf den neuesten Stand gebracht und zum Download bereitgestellt.

    Neben WORM_RPCSDBOT wird der Wurm auch als Transportmittel für weitere Trojaner mißbraucht. TROJ_MSBLAST.DRP ist eine Kombination aus W32.Blaster.C und dem Backdoor-Programm BKDR_LITH.103.A, das sich als ROOT32.EXE im Windows-Systemverzeichnis breit macht. Damit sind nun auch PCs von Heimanwendern direkt bedroht, da die Backdoor den Zugriff für jedermann auf das System ermöglicht. Bisher benutzte der Wurm die PCs nur als Verbreitungsplattform und hatte keine Schadfunktion.

    Microsoft hat am 12. August, also dem Tag des Ausbruchs des Wurms, einen Artikel des Kolumnisten Tony Northrup auf seinen Seiten veröffentlicht, der den Einsatz von Firewalls empfiehlt. Darin werden sowohl Hardware-Firewalls als auch Personal-Firewalls beschrieben, mit denen Angriffe aus dem Internet abgeblockt werden können. Windows XP hat eine Software-Firewall bereits fest installiert, die bei vielen aber deaktiviert ist. Standardmäßig sollte sie auf DFÜ-Verbindungen aktiviert sein, einige ISDN-Karten benutzen aber proprietäre Schnittstellen, bei denen dies nicht der Fall ist.

    CU

    Jahwes
     
    #12
    Jahwes, 14 August 2003
  13. Standbye
    Standbye (33)
    Verbringt hier viel Zeit
    75
    91
    0
    Verheiratet
    Sodele:

    -removetool allein bringt wenig weil der Rechner sich nach hm 20 Sekunden erneut infiziert hat!

    also erst den Patch einspielen (ja auch wenn man eine firewall hat oder hinter einem router hängt und man ja "soooo sicher" ist!
    Trotzdem den verdammten Patch einspielen es geht nicht nur darumd as der Wurm "nur den Microsoft Update Server DDosd" sondern er verbreitet sich schließlich auch weiter und durch so ignoranz (jetzt an keinen von euch gerichtet) hatte ich gestern allein auf port 135 auf meinem server knapp 20mb traffic nur nur wurm anfragen (ja und das sind jeweils 3 Datenpackete a 64 bit) kann sich ja jeder selbst ausrechnen wieviele Anfragen das sind.

    gnarf! <-- tierisch genervter Standbye der die ganze nacht nur Leute mit "ich hab den Virus aber will den Patch nicht einspielen weil ich selber soo sicher bin" ertragen musste
     
    #13
    Standbye, 14 August 2003
  14. Mr. Poldi
    Verbringt hier viel Zeit Themenstarter
    3.068
    121
    0
    vergeben und glücklich
    @Jahwes:
    Mea culpa :zwinker:
    Die Meldung über WORM_RPCSDBOT.A kam zwar schon morgends um 9h, aber ich hab die erst abends gelesen - daher stand das im Posting noch nicht drin.

    Unter gewissen Umständen sind auch Linux, AIX, Solaris und Tru64 betroffen.
     
    #14
    Mr. Poldi, 14 August 2003
  15. Dykie
    Verbringt hier viel Zeit
    441
    101
    2
    vergeben und glücklich

    ja, du solltest bei einem der angebenen links mal nachlesen wie man ihn ordnungsgemäß löscht. ich glaube dazu gehört auch, dass man was aus der registry was rauslöschen muss, denn da ist ein autoupdater drinne...

    zum thema: wenn ottonormalverbraucher "infiziert" ist kann ich das irgendwo noch nachvollziehen, bzw. verstehen (die meisten kaufen sich bei aldi oder mediamarkt ein komplettsystem und sind froh es überhaupt ans laufen zu bekommen und ändern nix mehr)....wenn ich aber lese, dass FIRMEN von so einem virus stillgelegt werden, dann frag ich mich echt, was die entsprehcenden administratoren in diesen abteilungen den ganzen tag machen *kopfschüttel*
     
    #15
    Dykie, 14 August 2003
  16. Mr. Poldi
    Verbringt hier viel Zeit Themenstarter
    3.068
    121
    0
    vergeben und glücklich
    @PinkPanther02:
    Ganz oben im Thread findest du Links zu Entfernungsanleitung & Tool.
    Wichtig: Am besten erst den Patch installieren, sonst hast du ihn nach der Entfernung mit recht hoher Wahrscheinlichkeit sofort wieder (sobald du ins Internet gehst).
    Und du solltest ASAP handeln, denn wie Jahwes schon erwähnt hat sind neue Varianten dabei sich zu verbreiten - und die sind um einiges gefährlicher als W32.Blaster!

    @Dykie:
    Kaffee saufen, Pr0n runterladen und Spam verschicken :zwinker:
    Sapß beiseite: Zum einen gibt es auch in Firmen viele Admins die nicht wirklich kompetent sind, und zum anderen wurden die meisten betroffenen Firmennetze von "innen" infiziert - etwa durch Notebooks der Mitarbeiter.

    @Jahwes:
    > ich denke jeder hat mit bekommen was zur Zeit abgeht.
    Hab gerade mit jemandem gechattet der noch nix von Lovsan gehört hatte ...
    Tjaja, soviel zu "jeder hat es mitbekommen" :zwinker:
     
    #16
    Mr. Poldi, 14 August 2003
  17. Standbye
    Standbye (33)
    Verbringt hier viel Zeit
    75
    91
    0
    Verheiratet
    zu dem infizieren von firmennetzen :zwinker:

    es gibt schon immer anordnungen und warnungen vor einem vir7us in den meisten firmen und es wird auch ein patch zur verfügung gestellt den die mitarbeiter installieren sollen nur leider hat sich gezeigt das viele mitarbeiter diesen mitteilungen nicht folge leisten udn ein admin kann nicht alle 300pcs auf einen patch hin überprüfen :zwinker:

    und dann kommt ein mitarbeiter klemmt den laptop von sich daheim ans i-net infiziert sich und schlept den virus an der firewall etc vorbei direkt ins firmennetz nunja und dann ist meistens die kacke am dampfen :zwinker:
     
    #17
    Standbye, 15 August 2003
  18. kerl-im-pech
    0
    ehrlichgesagt kann ich nicht verstehen wie man sich viren und sonen müll überhaupt einfangen kann?? habt ihr alle ports offen und achtet überhaupt nicht auf sicherheit??


    wer sich jetz diesen wurm eingefangen hat is schön blöd, den sicherheitspatch von winzigweich gibs bereits seit mehr als 4 wochen.

    außerdem besteht diese sicherheitslücke erst garnicht wenn man sein system vernünftig konfiguriert.
     
    #18
    kerl-im-pech, 15 August 2003
  19. 123hefeweiz
    0
    @Standbye: wie, die Mitarbeiter sollen den Patch installieren??? Was macht denn dann der Admin? Kaffee saufen und Pornos gucken??? Entweder die Firma ist so klein, dass er von Platz zu Platz gehen kann oder groß genug, dass alle Patches zentral über den Server verteilt werden. Wenn da der Chef an der falschen Stelle gespart hat - Pech.

    Und in einem vernünftig konfigurierten Netzwerk mit ordentlicher Rechtevergabe kann Mitarbeiter Schulze zehn Laptops von zu Hause mitbringen und anschließen, er kommt nichtmal ins LAN damit, vom WAN / Inet ganz zu schweigen.

    Gruß
    123hefeweiz
     
    #19
    123hefeweiz, 15 August 2003
  20. Chicy
    Gast
    0
    Manche reden da nur dummes Zeug vor sich hin, habt ihr den Virus NEIN???? Ich hab ihn, und WIE soll ICH mich informieren, wenn ich ins Internet gehe, und nach 2 MINUTEN stürzt er ab!!! Gestern hab ich zufällig was im Fernsehen gesehen, hoffe ich kann mir mitz das Tool runterladen OHNE das ich wieder abstürze!

    Also DANKE Kirby :cool:
     
    #20
    Chicy, 17 August 2003

jetzt kostenlos registrieren und hier antworten
Die Seite wird geladen...

Ähnliche Fragen - Warnung Neuer Wurm
ProxySurfer
Musik, Filme, Computer und andere Medien Forum
10 November 2016
6 Antworten
Katjes
Musik, Filme, Computer und andere Medien Forum
8 Dezember 2016 um 12:30
117 Antworten
brainforce
Musik, Filme, Computer und andere Medien Forum
1 Februar 2009
26 Antworten