Hilfe!!!!.......Virus!!!! - 500 Beiträge pro Seite

Hallo!

Seit drei oder vier Tagen bekomme ich in regelmässigen Abständen plötzlich eine Meldung auf den Schirm:

"This system is shutting down.Please save all in prgress and log off. any unsaved changes will be lost. This shutdown was initiated by NT-AUTORITÄTSYSTEM

Time before shutdown: 00:00:60

Message
Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozeduraufruf (RPC) unerwartet beendet wurde"


Heute morgen, nachdem mein Norton ein Live Update gemacht hatte kam die Bescherung:

W32 Blaster.Worm

Der Virus konnte nicht entfernt werden, auf der Homepage von Norton gibt es jedoch ein Entfernungstool.
Also habe ich den Virus erfolgreich entfernt.


10 Minuten später kam wieder die oben beschriebene Meldung, PC wieder abgestürzt....

Was tun?

na gott sei dank - ich dachte schon ich waere der einzige - 2 computer sind bei mir befallen...


bitte um infos !!!

@Habe_eine_Frage

Habe seit 3 Tagen auch Probleme mit RPC. Nach ein paar
Minuten wird der PC automatisch heruntergefahren.

mfg
highlife

Hast Du den Virus mit diesem Tool entfernt?

http://securityresponse.symantec.com/avcenter/venc/data/w32.…


Bei mir hat es leider nichts genutzt....

Geht mal auf diese Seite:
http://www.heise.de/security/news/meldung/39347

Und schaut dann mal unter Kommentare.

so long

Scheint wohl ein Virus von der übleren Sorte zu sein.
Aber komisch, dass das Entfernungstool nichts gebracht hat....

Achtung!

Hinterher Windows Patch installieren!
Steht auch bei Symantec.

Bei mir läuft wieder alles, jedenfalls seit ca. 4 Stunden !

hattet ihr einen antivirus drauf - wenn ja, welchen?

[MS/Generic] DCOM/RPC-Wurm im Umlauf
(2003-08-11 22:23:14.622823+02)
Quelle: http://isc.sans.org/diary.html?date=2003-08-11

Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli
bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows
verwendet.

Betroffene Systeme
* Microsoft Windows NT 4.0
* Microsoft Windows NT 4.0 Terminal Services Edition
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003

Frühere Versionen werden von Microsoft nicht mehr unterstützt und sind
möglicherweise ebenfalls von dieser Schwachstelle betroffen.

Abhängig davon, wie viele Systeme im eigenen Netz und weltweit
befallen sind, kann es zu Netzstörungen kommen, die weitere Systeme
beeinträchtigen.

Einfallstor
TCP-Port 135. Zur Weiterverbreitung ist wahrscheinlich UDP-Port 69
(TFTP) erforderlich.

Auswirkung
Momentan ist nur bekannt, daß das befallene System zu Scannen beginnt.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Seit etwa 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle
im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe
[2][MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm
verwendet offenbar den Servicepack-unabhängigen Exploit für Windows
2000, wodurch Windows-XP-Systeme eventuell durch diesen Wurm nicht
gefährdet sind. Die Übertragung des Wurmes nach erfolgreicher
Kompromittierung erfolgt wahrscheinlich mit TFTP.

Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das
Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag
unter SOFTWAREMicrosoftWindowsCurrentVersionRun mit dem Namen
"windows auto update". Aufgrund von Suchpfad-Problemen ist es
allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems
wieder aktiviert wird.

Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren
verwundbaren Systemen. Dies schlägt sich in der Zahl der Scans auf
TCP-Port 135 nieder und in der Zahl der Quellen (Zeiten sind in
UTC/GMT):

time | flows | sources
---------------------+-------+---------
2003-08-11 00:00:00 | 3357 | 7
2003-08-11 01:00:00 | 18130 | 8
2003-08-11 02:00:00 | 296 | 3
2003-08-11 03:00:00 | 176 | 1
2003-08-11 04:00:00 | 634 | 2
2003-08-11 05:00:00 | 459 | 3
2003-08-11 06:00:00 | 8484 | 7
2003-08-11 07:00:00 | 2588 | 9
2003-08-11 08:00:00 | 2761 | 7
2003-08-11 09:00:00 | 5688 | 7
2003-08-11 10:00:00 | 7154 | 11
2003-08-11 11:00:00 | 3008 | 47
2003-08-11 12:00:00 | 2509 | 11
2003-08-11 13:00:00 | 1556 | 4
2003-08-11 14:00:00 | 624 | 6
2003-08-11 15:00:00 | 2879 | 8
2003-08-11 16:00:00 | 3769 | 7
2003-08-11 17:00:00 | 4895 | 48
2003-08-11 18:00:00 | 4726 | 31
2003-08-11 19:00:00 | 5374 | 54
2003-08-11 20:00:00 | 8204 | 36

Die letzte Zeile erstreckt sich nur bis 22:30 MESZ, es ist also ein
deutlicher Anstieg zu beobachten.

Gegenmaßnahmen
* Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann
UDP-Port 69 (TFTP) gefiltert werden, selbst wenn eine generelle
Sperre für 135/TCP nicht möglich ist.
* Da die Verbreitung über die Festplatte erfolgt, wird
wahrscheinlich Antiviren-Software nach einem Signatur-Update die
Verbreitung unterbinden können.

Aktuelle Version dieses Artikels
[3]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1132" target="_blank" rel="nofollow ugc noopener">http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1132

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[4]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1124
3. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1132" target="_blank" rel="nofollow ugc noopener">http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1132
4. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

hier kaempfen viele mit dem gleichen problem.

kann einer mal die loesung reinstellen, bevor mir wieder die kiste abstuerzt. hab auch mit norton gearbeitet, die haben aber nicht so richtig viel gefunden. mal sehen was geht.

tb

Hier meine Fehlermeldung:

bei mir hats fürs erste geholfen eine firewall zu installieren ich hab von zonelabs die freeware genommen - das blockt die angriffe - aber man sollte den wurm sicherlich trotzdem sauber entfernen mit mcafee oder so

Verstehe so gut wie nichts von PCs, aber vielleicht ist der Hinweis für jemanden von Nutzen?

http://www.pressetext.at/pte.mc?pte=030717019
pte030717019
Computer/Telekommunikation, Produkte/Innovationen



Schweres Leck bei Microsoft
Patch soll sofort eingespielt werden

Redmond (pte, 17. Juli 2003 13:05) - Microsoft hat vor einer als "kritisch" eingestuften Sicherheitslücke gewarnt, durch die ein Windows-System einem Angreifer praktisch ausgeliefert sein könnte. Durch einen so genannten Buffer-Overflow-Angriff könnten dann Programme auf dem attackierten Computer aufgerufen werden. Der Softwareriese empfiehlt die rasche Einspielung des bereitgestellten Patches.
http://www.microsoft.com/technet/treeview/default.asp?url=/t…

In einem Sicherheits-Bulletin bezieht sich Microsoft auf die DCOM-Schnittstelle, die Datenverkehr am TCP/IP-Port 135 abhört. Durch einen Fehler im DCOM könnte der RPC-Service, ein Protokoll, das von Software verwendet wird, um Dienste von anderen Programmen in einer Netzwerkumgebung anzufordern, abstürzen. Für den Absturz ist lediglich eine nicht korrekt formatierte Nachricht notwendig, die am Port 135 eintrifft.

Durch gezielte Versendung solch falsch formatierter Nachrichten könnte der RPC-Service gezielt zum Absturz gebracht werden und der attackierte Rechner praktisch "übernommen" werden. Von der Sicherheitslücke sind die Windows-Versionen NT 4.0, NT 4.0 TSE, 2000, SP und Windows Server 2003 betroffen. (Ende)

Aussender: pressetext.austria

Redakteur: Georg Panovsky,
email: panovsky@pressetext.at,
Tel. +43-1-81140-305

Hallo zusammen,
hatte gestern das gleiche Problem.
Unter Chip.de habe ich dann im Forum einen
Link zu Mikrosoft für ein Patch gefunden, da
Mikrosoft das Problem bekannt ist, nachdem ich den Patch
runtergeladen habe (kanpp 2min. isdn, solange bleib die
Verbindung stabil) hatte ich keine Probleme mehr.
Kann den Link leider nicht reinstellen, ist aber unter
Microsoft/downloads zu finden. Oder Eben Forum bei Chip.de

Tröötemann

Habe ihn seit heut auch drauf. scheiss xp
habe die abschaltzeit zwar auf eine Stunde verlängert,aber es nützt mir nichts.
Wenn ich Programme runter laden will blockiert etwas.

So, patch runtergeladen.
Bin gespannt obs was nutzt, die letzten drei Minuten keine Probleme...

Bei mir auch (

Séit heute morgen ... habe Norten drauf , angeblich hat er den W32 Blaster Wurm gelöscht ,, bringt aber nix, System wird weiter runtergefahren ,Neustart ,und danach geht es wieder von vorne los ???

Was kann ich machen ....???

Patch zusätzlich installieren...

http://www.microsoft.com/technet/treeview/default.asp?url=/t…

Erkennbar ist der Befall damit auch durch einen offenen UDP Port 69 auf dem System. Erkennbar z.b. mittels eines netstat aufrufs in einer DOS-Box (Eingabeaufforderung):
C:>netstat -an

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
...
UDP 0.0.0.0:69 0.0.0.0:0 ABHÖREN <----
...

Ich empfehle DRINGENDST den verfügbaren Patch einzuspielen. Dieser ist für die verschiedenen Windows Versionen verfügbar unter:


http://www.microsoft.com/technet/treeview/default.asp?url=/t…

Wie und wo kann ich erkennen ob ich XP 32 Bit oder 64 Bid drauf habe ??

Wenn Ihr den MS-Patch nicht installiert bringt das Entfernen des Virus gar nichts, weil Ihr ihn dann bei bestehender Internetverbindung gleich wieder bekommt!

@cure

Wie hast du dir denn das ding geholt

Hmm, scheint zu funktionieren, also unbedingt Patch runterladen, wie es einige hier empfohlen haben.

Danke übrigens!

ZF

Keine Ahnung ,sitze JETZT vor nem anderen Compi mit W. 98 (ja das gute alte )

Also ,WIE KANN ICH ERKENNEN OB ICH XP MIT 32 BID oder 64 Bid habe ....


Habe doch von Compis keine Ahnung,nur von Aktien

http://www.pressetext.at/pte.mc?pte=030812017
pte030812017
Computer/Telekommunikation, Forschung/Technologie



Lovesan-Wurm greift Windows-Computer an
Neuer Virus nutzt Schwachstelle der RPC-Schnittstelle

Nieder-Olm (pte, 12. August 2003 12:00) - Derzeit verbreitet sich ein neuer Wurm mit dem Namen Lovesan (W32/Lovesan.worm, W32/Blaster-A) stark im Internet. Lovesan nutzt eine Sicherheitsschwachstelle der Remote Procedure Call (RPC)-Schnittstelle von Microsoft aus, wie der Entwickler von Anti-Viren-Software, Sophos http://www.sophos.de , mitteilte. Der Wurm überprüft Netzwerke und sucht dabei nach Computern, die für diese Sicherheitslücke anfällig sind. Bei der Suche nach einem passenden Opfer gelangt durch den Wurm eine Kopie von ihm mittels TFTP auf den Remote-Computer. Der Wurm erstellt zusätzlich einen Registrierungseintrag, so dass er beim Systemstart aktiviert wird.

Lovesan verbreitet sich sehr schnell und kommt nicht über E-Mail-Attachment. Da der Wurm eine Schwachstelle in Windows XP, NT und 2000 ausnützt, können User übersehen, dass ihr Computer infiziert ist. Der Wurm enthält auch einen Text, der jedoch nicht angezeigt wird: "Ich will nur sagen, dass ich San liebe! Billy Gates, warum ermöglichst du das? Hör auf Geld zu machen und repariere deine Software!" Nach dem 15. August wird der Wurm eine Distributed-Denial-of-Service-Attacke auf windowsupdate.com durchführen, so Sophos.

Microsoft hat ein Patch für die Schwachstelle zur Verfügung gestellt, das unter http://www.microsoft.com/technet/security/bulletin/MS03-026.… heruntergeladen werden kann.
(Ende)

Aussender: pressetext.austria

Redakteur: Sylvia Goluch,
email: goluch@pressetext.at,
Tel. +43/1/81140-314

Dienstag, 12. August 2003

Neuer Computer-Wurm verbreitet sich rasend schnell im Internet

Hamburg (dpa) - Der neue Computer-Wurm «Lovesan» hat sich in der Nacht zum 12. August weltweit mit großer Geschwindigkeit über die Datennetze verbreitet. «Der Wurm ist geradezu explodiert», sagte der Karlsruher Sicherheits- und Virenexperte Christoph Fischer der dpa.Der Schädling nutzt eine bekannte Sicherheitslücke in Computern mit Microsofts Betriebssystem Windows aus. Viele Computer-Nutzer werden einen Angriff nicht sofort bemerken, da sich der Wurm nicht über E-Mail verbreitet, teilte das Anti- Virensoftware-Unternehmen Network Associates mit.Der Wurm bewegt sich nach Angaben von Network Associates ohne jegliches Zutun der Nutzer. Daten würden bei Befall zunächst nicht zerstört. «Lovesan» könne aber zu unkontrollierten Rechnerabstürzen führen und öffne den Computer für Angriffe von Außen, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Der Wurm, der auch «Blaster» genannt wird, enthalte folgenden bissigen Text (in englischer Sprache), der jedoch nicht angezeigt wird: «Billy Gates, warum ermöglichst Du das? Höre auf, Geld zu machen und mache Deine Software sicher.»«Besonders betroffen sind Privatleute und kleine Unternehmen, die etwa über Modem oder DSL- Leitung ans Internet angeschlossen sind», sagte Fischer. Die Schwachstelle in Microsofts Betriebssystems- Versionen Windows 2000, NT und XP ist seit längerem bekannt. Seit dem 16. Juli bietet das Redmonder Software-Unternehmen auf seinen Internet-Seiten aber auch einen entsprechenden Schutz (Patch) zum Herunterladen an. Microsoft habe seine Kunden seit Monaten aufgefordert, sich damit zu schützen, sagte Microsoft-Sprecher Sean Sundwall.Nutzer, die bislang noch keinen Schutz vor dem Wurm haben, sollten unverzüglich reagieren, rät Fischer. Denn am 16. August werde «Lovesan» eine so genannte DoS-Attacke gegen den Microsoft-Server starten. Dabei wird der Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann.

Adresse:
http://www.n-tv.de/3177556.html

Mein PC läuft seit einer halben Stunde stabil und ohne
Absturz. Danke für die schnelle Hilfe. Patient hat
überlebt!

mfg
highlife

Geht wieder ,hoffe es bleibt so

Danke

Mir war garnicht bewusst, dass sich solch ein Virus auch ohne E-mail verbreiten kann...

Sehr bedenklich!

Das sind mir die liebsten... keine Ahnung vom System, aber fleissig im Internet surfen.

Fahrt Ihr auch alle ohne Führerschein Auto? Naja, zuzutrauen ist es einigen, sie kaufen ja auch Aktien, von denen sie nicht wissen, was dahinter steckt.

nur gut, dass es experten wie @blumer gibt,
die uns mit ihren klugen kommentaren aufklären können....

Hatte diesen verdammten Virus auch bei mir drauf

War ne ziemlich lange Zeit jetzt drüber bis ich Gott sei dank zufälligerweise im Internet unter t-online den Bericht gesehen habe. Dachte die ganze Zeit, das ich vielleicht versehentlich auf ne Taste gekommen bin und damit eine Einstellung geändert habe!!

Nachdem ich den Patch installiert habe geht jetzt auch bei mir wieder alles.

Aber trotzdem bin ich ziemlich

Hab Windows 98 drauf !
Brauch ich den Batsch auch?
und wenn welchen?
Da steht nix von Win 98!

Update Anti Vir hab ich vorsichtshalber mal gemacht!

Kastor

Nee, brauchst Du nicht!

hab win98,beimir waren heute mittag sämtliche internetverbindungen weg.mußte alles neu installieren.hab nen mega hals

Von Symantec gibt es ein kostenloses Entfernungstool. Kann man von TU Berlin runterladen (Hoax)
Wenn der Rechner infiziert ist kann man den Patch vom MS nicht runterladen.
Mein Rechner läuft seit 1 Std. wieder wie gewohnt.

Hallo Kastor,

soviel ich weiß, "nur" Nutzer der Windows-Versionen NT 4.0, 2000 und XP.

Falls du ihn aber trotzdem auf der Festplatte haben solltest, merkst du es ja spätestens dann, wenn dein Computer automatisch herunterfährt

Hoffe dir weitergeholfen zu haben. Inzwischen gibts ja nun auch schon viele I-Seiten auf denen dir weitergeholfen werden kann, falls du noch was wissen willst.

----------------------------------------------------------
Für alle, die wie ich meine Festplatte "rasiert" haben:
Beim Anmelden ins Internet erscheint nach ein paar Minuten wieder diese Meldung mit dem Nachrichtendienst. Dachte das dies längst abgestellt wurde, aber die werden schon ihre Tricks haben, die ganze Sache zu umgehen. Zumindest weiß ich da noch, wie ich vorgehen muß

Aber langsam stinkt mir das alles gewaltig

Mit Linux auf dem Internetrechner gab es solche Probleme noch NIE.



Und mit Linux als Router/Firewall gibt`s solche Probleme auch auf den NT/2000/XP-Rechnern hinter der Firewall nicht.



Deshalb gibt`s Linux ja auch umsonst. Damit es sich auch die lizenzgebührengeplagten Microsoftuser leisten können.

Also ist das alte Win besser als XP und Konsorten
Hab mit meinem alten Win 98 null Probleme Null Abstürze
stabil wie Sau darum wechsle ich nicht!
XP Prof. liegt im Schubladen!
Mein Bruder hat grad angerufen sein XP Rechner ist tilt



Kastor

Also ich habe die XP-Home Edition installiert! Win98
habe ich zwar auch hier, aber ich möchte lieber immer auf den aktuellsten Stand sein, was Betriebssystemen angeht (auch wenn es nicht immer von Vorteil ist )


Bei mir läuft jetzt wieder alles normal. Ist klar, das solche Sachen natürlich nur dann passieren, wenn der Urlaub gerade erst begonnen hat


Aber zumindest schauts heute an den Börsen besser aus

Ist ja echt irre. Hab gerade mal den Logfile meiner Firewall durchgesehen.
In den letzten 2 Stunden hat der Virus 15 Mal versucht über Port 135 auf mein System zu kommen!

Info:

Der neue Computer-Wurm "Lovesan" hat sich in der Nacht zu Dienstag weltweit mit großer Geschwindigkeit über die Datennetze verbreitet. "Der Wurm ist geradezu explodiert", erklärte der Karlsruher Sicherheits- und Virenexperte Christoph Fischer.

Der Schädling nutze eine bekannte Sicherheitslücke in Computern mit Microsofts Betriebssystem Windows aus, erklärte Fischer. Viele User würden einen Angriff nicht sofort bemerken, da sich der Wurm nicht über E-Mail verbreite, teilte das Anti-Virensoftware-Unternehmen Network Associates mit.

Der Wurm bewegt sich nach Angaben von Network Associates ohne jegliches Zutun der Nutzer. Daten würden bei Befall zunächst nicht zerstört. "Lovesan" könne aber zu unkontrollierten Rechnerabstürzen führen und öffne den Computer für Angriffe von Außen, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Der Wurm, der auch "Blaster" genannt wird, enthalte folgenden bissigen Text (in englischer Sprache), der jedoch nicht angezeigt wird: "Billy Gates, warum ermöglichst Du das? Höre auf, Geld zu machen und mache Deine Software sicher."

"Besonders betroffen sind Privatleute und kleine Unternehmen, die etwa über Modem oder DSL- Leitung ans Internet angeschlossen sind", sagte Fischer. Die Schwachstelle in Microsofts Betriebssystems-Versionen Windows 2000, NT und XP ist seit längerem bekannt. Seit dem 16. Juli bietet das Redmonder Software-Unternehmen auf seinen Internet-Seiten aber auch einen entsprechenden Schutz (Patch) zum Herunterladen an. Microsoft habe seine Kunden seit Monaten aufgefordert, sich damit zu schützen, sagte Microsoft-Sprecher Sean Sundwall.

Nutzer, die bislang noch keinen Schutz vor dem Wurm haben, sollten unverzüglich reagieren, rät Fischer. Denn am 16. August werde "Lovesan" eine so genannte DoS-Attacke gegen den Microsoft-Server starten. Dabei wird der Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann.

Quelle: N-TV

Info:

Der neue Computer-Wurm "Lovesan" hat sich in der Nacht zu Dienstag weltweit mit großer Geschwindigkeit über die Datennetze verbreitet. "Der Wurm ist geradezu explodiert", erklärte der Karlsruher Sicherheits- und Virenexperte Christoph Fischer.

Der Schädling nutze eine bekannte Sicherheitslücke in Computern mit Microsofts Betriebssystem Windows aus, erklärte Fischer. Viele User würden einen Angriff nicht sofort bemerken, da sich der Wurm nicht über E-Mail verbreite, teilte das Anti-Virensoftware-Unternehmen Network Associates mit.

Der Wurm bewegt sich nach Angaben von Network Associates ohne jegliches Zutun der Nutzer. Daten würden bei Befall zunächst nicht zerstört. "Lovesan" könne aber zu unkontrollierten Rechnerabstürzen führen und öffne den Computer für Angriffe von Außen, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Der Wurm, der auch "Blaster" genannt wird, enthalte folgenden bissigen Text (in englischer Sprache), der jedoch nicht angezeigt wird: "Billy Gates, warum ermöglichst Du das? Höre auf, Geld zu machen und mache Deine Software sicher."

"Besonders betroffen sind Privatleute und kleine Unternehmen, die etwa über Modem oder DSL- Leitung ans Internet angeschlossen sind", sagte Fischer. Die Schwachstelle in Microsofts Betriebssystems-Versionen Windows 2000, NT und XP ist seit längerem bekannt. Seit dem 16. Juli bietet das Redmonder Software-Unternehmen auf seinen Internet-Seiten aber auch einen entsprechenden Schutz (Patch) zum Herunterladen an. Microsoft habe seine Kunden seit Monaten aufgefordert, sich damit zu schützen, sagte Microsoft-Sprecher Sean Sundwall.

Nutzer, die bislang noch keinen Schutz vor dem Wurm haben, sollten unverzüglich reagieren, rät Fischer. Denn am 16. August werde "Lovesan" eine so genannte DoS-Attacke gegen den Microsoft-Server starten. Dabei wird der Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann.

Quelle: N-TV

Info:

Der neue Computer-Wurm "Lovesan" hat sich in der Nacht zu Dienstag weltweit mit großer Geschwindigkeit über die Datennetze verbreitet. "Der Wurm ist geradezu explodiert", erklärte der Karlsruher Sicherheits- und Virenexperte Christoph Fischer.

Der Schädling nutze eine bekannte Sicherheitslücke in Computern mit Microsofts Betriebssystem Windows aus, erklärte Fischer. Viele User würden einen Angriff nicht sofort bemerken, da sich der Wurm nicht über E-Mail verbreite, teilte das Anti-Virensoftware-Unternehmen Network Associates mit.

Der Wurm bewegt sich nach Angaben von Network Associates ohne jegliches Zutun der Nutzer. Daten würden bei Befall zunächst nicht zerstört. "Lovesan" könne aber zu unkontrollierten Rechnerabstürzen führen und öffne den Computer für Angriffe von Außen, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Der Wurm, der auch "Blaster" genannt wird, enthalte folgenden bissigen Text (in englischer Sprache), der jedoch nicht angezeigt wird: "Billy Gates, warum ermöglichst Du das? Höre auf, Geld zu machen und mache Deine Software sicher."

"Besonders betroffen sind Privatleute und kleine Unternehmen, die etwa über Modem oder DSL- Leitung ans Internet angeschlossen sind", sagte Fischer. Die Schwachstelle in Microsofts Betriebssystems-Versionen Windows 2000, NT und XP ist seit längerem bekannt. Seit dem 16. Juli bietet das Redmonder Software-Unternehmen auf seinen Internet-Seiten aber auch einen entsprechenden Schutz (Patch) zum Herunterladen an. Microsoft habe seine Kunden seit Monaten aufgefordert, sich damit zu schützen, sagte Microsoft-Sprecher Sean Sundwall.

Nutzer, die bislang noch keinen Schutz vor dem Wurm haben, sollten unverzüglich reagieren, rät Fischer. Denn am 16. August werde "Lovesan" eine so genannte DoS-Attacke gegen den Microsoft-Server starten. Dabei wird der Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann.

Quelle: N-TV

Dienstag 19. August 2003, 09:25 Uhr
Neue Version von Blaster löscht Vorgänger


Die Trend Labs von Trend Micro haben eine Warnung vor einer neuen Variante des Computerwurm Blaster oder Lovsan ausgesprochen. Das Unternehmen offeriert zugleich ein kostenloses Säuberungstool ( http://de.trendmicro-europe.com/enterprise/support/tsc.php )zur Verfügung.

Wie sein Vorgänger nutzt der Wurm den so genannten RPC DCOM Buffer Overflow in Windows aus und erlaubt einem Angreifer den Vollzugriff auf das infizierte System. Die neue Version, MSBLAST.D, kursiert frei im Internet und infiziert Windows NT, 2000, XP, und 2003 Systeme (Workstation- und Serverversionen).

Kurioserweise lösche die neue Variante seinen Vorgänger MSBLAST.A und erzielt dadurch die Säuberung von Systemen, die befallen sind: Der Wurm sucht laut Trend Micro auf den betroffenen Maschinen nach der Datei msblast.exe. Ist diese Datei vorhanden, löscht der Wurm der Variante "D" diesen auf dem betroffenen Computer, terminiert den laufenden Prozess und lädt fehlende Patches von Microsoft automatisch nach. Ist der Download dieser Patches dann abgeschlossen, so startet sich der Rechner neu!

MSBLAST.D erreicht den Benutzer als DLLHOST.EXE (~10,240 Byte) und öffnet den Port 707, um seine Schadroutine zu starten. (Hinweis: Es gibt eine Systemdatei mit gleichem Namen, diese ist jedoch nur sechs KByte groß.) Wenn das Systemdatum das Jahr 2004 erreicht hat, oder man das Systemdatum 2004 setzt, löscht er sich selbständig vom System.

Beim originalen Blaster/Lovsan handelt es sich um eine von Experten befürchtete Hackerattacke, die eine Mitte Juli gefundene Lücke in Windows ausnützt. "Blaster hat die Absicht, die Microsoft-Website windowsupdate.com aus dem Internet zu werfen", berichtete Gernot Hacker, Senior Technical Consultant bei Sophos. "Da der Wurm für eine Denial-of-Service-Attacke auf windowsupdate.com programmiert ist, versucht der Virenschreiber ganz gezielt, Computer-Usern das Herunterladen von Sicherheits-Updates zu erschweren oder gar unmöglich zu machen. Indem die Anwender die Sicherheitslücke in ihrem System nicht schließen können, hat der Blaster Wurm freie Bahn ins Netzwerk. Ein recht gemeiner Trick vom Blaster-Autoren." Der Wurm bereitet also den Boden für eine groß angelegte Zerstörungswelle.

Neben Symantec haben viele weitere Antiviren-Experten Tools zum Entfernen der Plage bereitgestellt:



Update 14. August 2003
Inzwischen sind zwei neue Blaster-Varianten im Umlauf deren Wirkungsweise ähnlich ist. Allerdings erzeugen die neuen Würmer in der Registry andere Einträge. Die Anbieter von Removal-Tools haben ihre Programme schon darauf angepasst. Wer manuell die neuen Wurm-Spuren vom System entfernen möchte, kann dies mit dem Programm regedit erledigen.

Neue Registry-Einträge entfernen:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
"Microsoft Inet Xp.."="teekids.exe"
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
"windows auto update" = penis32.exe


quelle: http://de.news.yahoo.com/030819/13/3lcvf.html