Ergebnis 1 bis 10 von 10

Thema: An alle NT4, W2K, XP, Server 2003-User

  1. #1
    Registriert seit
    10.12.2001
    Beiträge
    2.273

    An alle NT4, W2K, XP, Server 2003-User

    Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung begrenzen, die aber eventuell Nebenwirkungen aufweisen.


    Betroffene Systeme
    Von der DCOM/RPC-Schwachstelle sind betroffen:

    Microsoft Windows NT 4.0
    Microsoft Windows NT 4.0 Terminal Services Edition
    Microsoft Windows 2000
    Microsoft Windows XP
    Microsoft Windows Server 2003
    Der Wurm nutzt Windows-2000- und Windows-XP-Systeme zur Verbreitung.

    Abhängig davon, wie viele Systeme im eigenen Netz und weltweit befallen sind und welche Filter im Internet-Backbone aktiviert werden, kann es zu Netzstörungen kommen, die weitere Systeme beeinträchtigen.

    Einfallstor
    TCP-Port 135. Zur Weiterverbreitung ist Verkehr über UDP-Port 69 (TFTP, Port auf der Seite des Angreifers) und TCP-Port 4444 (beim Opfer) erforderlich.

    Auswirkung
    Das System beginnt nach weiteren Opfern zu Scannen und führt zu bestimmten Zeiten Denial of Service-Angriffe gegen windowsupdate.com durch.

    Ein fehlgeschlagener Angriffsversuch auf ein prinzipiell verwundbares System führt häufig zu einem automatischen Neustart.

    Zur Eindämmung des Wurmes eingeleitete Gegenmaßnahmen können die Verfügbarkeit von DCE RPC, TFTP und Diensten auf TCP-Port 4444 über das Internet beeinträchtigen. DCE-basierte Dienste (neben DCOM auch DFS) können dadurch in ihrer Verfügbarkeit eingeschränkt werden.

    Typ der Verwundbarkeit
    buffer overflow bug

    Gefahrenpotential
    sehr hoch
    (Hinweise zur Einstufung des Gefahrenpotentials.)

    Beschreibung
    Seit etwa 2003-08-11 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet zwei Servicepack-unabhängige Exploits, jeweils für Windows 2000 und Windows XP. Der jeweilige Exploit wird zufällig ausgewählt. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt mit TFTP (UDP-Port 69) und TCP-Port 4444 (Zielport auf der Opferseite). Zur Eindämmung ist es also empfehlenswert, diese Ports zu filtern.

    Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird.

    Der Wurm sucht über einen Scan auf dem Port 135/TCP nach weiteren verwundbaren Systemen. Dabei wird etwa mit gleicher Wahrscheinlichkeit zwischen einer zufälligen Startadresse und einer Adresse im lokalen Netz gewählt. Ab der gewählten Adresse beginnt der Wurm sequentiell zu scannen. Theoretisch könnte dies ähnlich wie beim Slammer-Wurm zu einer Beeinträchtigung der Netzinfrastruktur führen, aber im Moment liegen noch keine Berichte über gravierende Probleme vor.

    Eine Statistik über Scans auf TCP-Port 135 und die Zahl der Quellen zeigt, daß der Wurm sich vergleichsweise gut eindämmen läßt:


    time | flows | sources
    ---------------------+-------+---------
    2003-08-11 00:00:00 | 3357 | 7
    2003-08-11 01:00:00 | 18130 | 8
    2003-08-11 02:00:00 | 296 | 3
    2003-08-11 03:00:00 | 176 | 1
    2003-08-11 04:00:00 | 634 | 2
    2003-08-11 05:00:00 | 459 | 3
    2003-08-11 06:00:00 | 8484 | 7
    2003-08-11 07:00:00 | 2588 | 9
    2003-08-11 08:00:00 | 2761 | 7
    2003-08-11 09:00:00 | 5688 | 7
    2003-08-11 10:00:00 | 7154 | 11
    2003-08-11 11:00:00 | 3008 | 47
    2003-08-11 12:00:00 | 2509 | 11
    2003-08-11 13:00:00 | 1556 | 4
    2003-08-11 14:00:00 | 624 | 6
    2003-08-11 15:00:00 | 2879 | 8
    2003-08-11 16:00:00 | 3769 | 7
    2003-08-11 17:00:00 | 4895 | 48
    2003-08-11 18:00:00 | 4726 | 31
    2003-08-11 19:00:00 | 5374 | 54
    2003-08-11 20:00:00 | 14074 | 67
    2003-08-11 21:00:00 | 9679 | 43
    2003-08-11 22:00:00 | 6585 | 48
    2003-08-11 23:00:00 | 10420 | 47
    2003-08-12 00:00:00 | 11530 | 52
    2003-08-12 01:00:00 | 11873 | 52
    2003-08-12 02:00:00 | 7571 | 35
    2003-08-12 03:00:00 | 9667 | 43
    2003-08-12 04:00:00 | 7453 | 42
    2003-08-12 05:00:00 | 10220 | 36


    Der Rückgang der Zahlen ist vermutlich auf Filtermaßnahmen bei großeb ISPSs zurückzuführen. Diese Filter können DCE-basierte Dienste wie DFS beeinträchtigen. (An der Universität Stuttgart waren aufgrund präventiver Maßnahmen keine zusätzlichen Filter erforderlich.)

    Gegenmaßnahmen


    Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) und TCP-Port 4444 gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist.
    Da die Verbreitung über die Festplatte erfolgt, wird wahrscheinlich Antiviren-Software nach einem Signatur-Update die Verbreitung unterbinden können.
    Trend Micro stellt ein Programm zum Entfernen des Wurms bereit und beschreibt die manuelle Entfernung.
    Nach erfolgter Eindämmung können die Patches für die DCOM/RPC-Schwachstelle eingespielt werden.
    quelle: http://cert.uni-stuttgart.de/ticker/...e.php?mid=1132

    weitere links: http://securityresponse.symantec.com...ster.worm.html
    Grüße Chris

    Das Drama aller Zeiten hat eigentlich nur ein einziges Thema gehabt: die Unfähigkeit der Menschen, miteinander zu leben. Zitat von Gerhard Bronner

  2. #2
    Registriert seit
    06.09.2002
    Beiträge
    207
    Hi

    First Aid http://securityresponse.symantec.com...r/FixBlast.exe

    dann auf der windows homepage den patch saugen und system neu starten fertig

    Die ausschlaggebende datei ist wblaster32.exe oder irgendwas mit *Blaster.exe


    MFG Buffy

  3. #3
    Registriert seit
    10.12.2001
    Beiträge
    2.273

    Kurze Anleitung, falls der Wurm schon aktiv ist

    Wollt Ihr den Wurm manuell entfernen:

    1. Internetverbindung trennen (Connection und physikalisch)
    2. %WinDir%\System(32)\msblast.exe löschen (geg. im abges. Modus
    3. In RegEdit \HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run den Schlüssel "Windows Auto Update"="msblast.exe" löschen
    4. den DCOM Dienst beenden (Meißt: dcomcfng.exe->Standardoptionen->DCOM aktivieren deaktivieren)
    5. Connectione wieder herstellen
    6. Die neuesten Updates von M$ installieren
    7. Rechner neustarten
    8. Fertig
    Grüße Chris

    Das Drama aller Zeiten hat eigentlich nur ein einziges Thema gehabt: die Unfähigkeit der Menschen, miteinander zu leben. Zitat von Gerhard Bronner

  4. #4
    Aircell Gast
    gute seite hierzu mit links zu tools, die den Wurm ebenfalls automatisch entfernen:

    www.bsi.de/av/vb/blaster.htm

    gibt ein Tool von Symantec (Fixblast siehe oben) und noch ein anderes, weiß gerad ned wie des heißt, auch der Link zum Pacth ist hier

  5. #5
    Registriert seit
    10.12.2001
    Beiträge
    2.273
    Gerade reinbekommen:
    Liebe Kolleginnen und Kollegen,

    aus gegebenem Anlass weisen wir Sie auf Folgendes hin:

    Wie im Advisory des CERT/CC (am 12.08.2003 ueber win-sec-ssc verschickt)
    beschrieben beinhaltet der derzeit immer noch stark verbreitete Wurm
    W32/Blaster einen Denial-of-Service Client, welcher beginnend mit dem
    16.08. (Samstag) einen SYN-Flood-Angriff durch Senden von TCP-Paketen
    mit Destination-Port 80 auf Systeme der Firma Microsoft durchfuehrt.

    Beginn des Vorgangs ist der Zeitpunkt des Umspringens der lokalen
    Systemuhr eines infizierten Systems auf 16. August, 00:00 Uhr. Die
    Schadsoftware fuehrt zu diesem Zeitpunkt einen DNS-lookup auf das
    System windowsupdate.com aus und beginnt, an die so ermittelte
    IP-Adresse Pakete zu schicken.

    Microsoft trifft derzeit Vorbereitungen, diese Angriffe zu
    kompensieren. Das Ausmass des angerichteten Schadens ist derzeit nicht
    abschaetzbar.
    Bin ich ja mal gespannt. ;)
    Grüße Chris

    Das Drama aller Zeiten hat eigentlich nur ein einziges Thema gehabt: die Unfähigkeit der Menschen, miteinander zu leben. Zitat von Gerhard Bronner

  6. #6
    Registriert seit
    10.12.2001
    Beiträge
    438
    Hallo Chris
    Wenn ich das aktuelle Patch für den msblaster- Virus drauf hab kann dann auch noch was passieren?
    Jimmy Blau
    Wer Rechtschreibfehler findet, kann sie gerne bei Ebay versteigern

  7. #7
    Registriert seit
    10.12.2001
    Beiträge
    4.425
    Hey JimmyBlau!


    Nein, dann ist die Sicherheitslücke bei dir geschlossen und eine Infektion ausgeschlossen!
    Gruß Etienne

    Es gibt keine Probleme. Wir haben Tages-, Wochen- und Monatsprojekte

  8. #8
    Registriert seit
    02.11.2002
    Beiträge
    418
    Zu diesem Virus empfehle ich auch diese Seite: http://computer.t-online.de/comp/sic...vorhanden.html, dort ist schön erklärt wie man den Virus wieder entfernt wenn man ihn bereits auf dem Rechner hat.

    Grüße
    Jonas
    <p>
    <a target="_blank" href="http://www.jf-mak.de.tt">http://www.jf-mak.de.tt</a>

  9. #9
    Aircell Gast
    was geht in den Hirnen von solchen leuten vor die so ne scheisse programmieren?

  10. #10
    Registriert seit
    10.12.2001
    Beiträge
    1.988
    Mich hatte es erwischt, obwohl ich das Sicherheitsupdate vom M$ installiert hatte. Warscheinlich hatte sich der Virus vor dem einspielen des Sicherheitsupdate eingeschlichen.

    Blinky

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •