Virus Alert Category 3 - W32.Blaster.Worm

Devilfrank

Devilfrank

Sehr aktiv
W32.Blaster.Worm is a worm that will exploit the DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135. It will attempt to download and run the file Msblast.exe.

You should block access to TCP port 4444 at the firewall level, and block the following ports, if they do not use the applicaitons listed:


TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"

The worm also attempts to perform a Denial of Service on windowsupdate.com. This is an attempt to disable your ability to patch you computer against the DCOM RPC vulnerability.

Click here for more information on the vulnerability being exploited by this worm and to find out which Symantec products can help mitigate risk from this vulnerability.

NOTE: This threat will be detected by virus definitions having:
Defs Version: 50811s
Sequence Number: 24254
Extended Version: 8/11/2003 rev. 19

Also Known As: W32/Lovsan.worm [McAfee]

Type: Worm
Infection Length: 6,176 bytes



Systems Affected: Windows 2000, Windows XP
Systems Not Affected: Linux, Macintosh, OS/2, UNIX
CVE References: CAN-2003-0352

http://securityresponse.symantec.com/avcen...aster.worm.html

Symantec reagiert mit LiveUpdate.
 
Hier eine Beschreibung für die nicht so erfahrenen User: ;)

http://www.spiegel.de/netzwelt/technologie/0,1518,260956,00.html
Der Spiegel schrieb:
Der Großangriff auf das Internet hat begonnen

Die Hacker-Attacke auf das Internet, vor der US-Behörden seit Ende Juli warnen, hat offenbar begonnen: Das Virus "Blaster" alias "LovSan" verbreitet sich rasend und bereitet eine gigantische DoS-Attacke vor. Ziel des Angriffes: Microsoft.
Zum Vergrößern anklicken....

und :
http://www.heise.de/newsticker/data/dab-12.08.03-000/
Heise schrieb:
Alle Schotten dicht -- W32.Blaster greift an

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.
Zum Vergrößern anklicken....
und:
http://www.bsi.de/presse/pressinf/blaster1208.htm
BSI schrieb:
Neuer Computer-Wurm "Blaster" alias "Lovsan" mit hoher Verbreitung im Umlauf - kurzfristiges Handeln notwendig.

Bonn, 12. August 2003 - Der Computer-Wurm "Blaster" alias "Lovsan" verbreitet sich aufgrund einer Sicherheitslücke in den Microsoft Betriebssystemen Windows NT 4.0, Windows 2000, Windows XP Microsoft und Windows Server 2003.
Zum Vergrößern anklicken....
 
Mittlerweile ist wohl schon, wie von Experten befürchtet, ein Nachfolger im Anmarsch:

Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.

Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.

Der Code des neuen Wurms gleicht größtenteils dem des "Blaster"-Wurms. Er verbreitet sich auch auf die gleiche Art und Weise wie sein Vorgänger. Von einem befallenen Rechner aus sucht der Wurm über den Port 135 per zufällig generierter IP-Adressen nach neuen Rechnern, bei denen die Windows-Sicherheitslücke noch nicht geschlossen wurde und infiziert diese dann, in dem er sich per TFTP überträgt.
Zum Vergrößern anklicken....

Näheres hier: http://www.pcwelt.de/news/viren_bugs/33171/
 
http://www.heise.de/newsticker/data/dab-14.08.03-000/
Heise schrieb:
RPC/DCOM-Wurm W32.Blaster mutiert

Nach dem Auftauchen der ersten Variante WORM_RPCSDBOT über die bereits gestern berichtet wurde,
sind weitere Mutationen von W32.Blaster alias Lovesan gesichtet worden. W32.Blaster.B und Blaster.C
unterscheiden sich vom Ursprungsschädling nur durch die Umbenennung der Wurmdatei
"msblast.exe" in "penis.exe" und "teekids.exe" sowie den entsprechend geänderten Einträgen in der Registry
Zum Vergrößern anklicken....
Die Jungs haben einen seltsamen Humor....

und noch was , von wegen das unbesiegbare Linux:
http://www.heise.de/newsticker/data/dab-13.08.03-002
Heise schrieb:
W32.Blaster attackiert auch Nicht-Windows-Systeme
In einer Vulnerability Note weist CERT/CC darauf hin, dass beliebige andere Betriebssystem-Plattformen
ebenfalls vom Wurm W32.Blaster über Port 135 angegriffen werden können.
Zum Vergrößern anklicken....
Wie sagt der Experte "ohne FW bewege ich mich keinen Millimeter im Netz." ;)
tf
 
Na ja, Heise nu wieder.
Systems Not Affected: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT
Das gilt für alle derzeit bekannten Mutants.

Und es war Sommer...
:lol:
 
Re: Panik

JJ schrieb:
Also das ist doch alles Panikmache!!!
Zum Vergrößern anklicken....
Und wieso ist das Deiner Meinung nach Panikmache?

Läuft Dein System auf Windows 98?

Bis jetzt haben es hier zumindest kein anderer Wurm oder Virus o.ä. (oder eine Sicherheitslücke) geschafft, dass sich die Rechner irgendwann selbstständig herunterfahren und dass auch teilweise bevor man überhaupt in der Lage war ein Update zu fahren.
 
Da ist aber etwas was ich nicht verstehe:
Symantec schrieb:
Microsoft Security Bulletin MS03-026
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Zum Vergrößern anklicken....
Microsoft schrieb:
Microsoft Security Bulletin MS03-026
* Microsoft Windows NT® 4.0
* Microsoft Windows NT 4.0 Terminal Services Edition
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server™ 2003

Not Affected Software:

* Microsoft Windows Millennium Edition
Zum Vergrößern anklicken....

Von W95/98 wird dort gar nicht gesprochen, wenn aber ME nicht betroffen ist, glaub ich nicht daß 95/98 betroffen sind,
da ME wohl kaum in dieser Richtung gepatcht wurde. Außerdem sagt Symantec genau das Gegenteil.
Etwas verwirrend....
 
W95/W98 wird von M$ nicht mehr supported. Deshalb werden diese BS auch nicht behandelt.
Warum sich M$ und Symantec wegen W9x generell nicht einig sind - keine Ahnung.
 
also

Also wenn man zB. Norton firewall drauf hat, und ein update gemacht hat,
ist man doch sicher oder??? Das ist doch nicht der erste Wurm im
Net? Also ich habe Xp und Norton drauf , und ich habe eigentlich
keine angst... Vielleicht kann ich es mir auch nicht so richtig vorstellen,
betroffen zu sein?


:eek:
 
@jj,

also wenn du ne firewall hast, biste im normalfall sicher! ob das system gepatcht ist oder nicht, spielt dabei keine rolle
 
..

Also mann sollte auch sicher sein - für was kauft mann sonst
das ganze zeug ! ? Ich weiß ja net, aber ich habe gehört,
das symantec die besten sind . :holy:
 
abc schrieb:
@jj,

also wenn du ne firewall hast, biste im normalfall sicher! ob das system gepatcht ist oder nicht, spielt dabei keine rolle
Zum Vergrößern anklicken....

Das ist gut und schön , aber der Otto Normalo hat weder das Know How noch die Zeit ,
eine FW zu installieren und vor allem zu konfigurieren.
Eine Firewall, die nicht richtig konfiguriert ist, erzeugt erstens jede Menge Verwirrung und was noch schlimmer ist
ein Gefühl von Sicherheit , das eben falsch ist. Nicht jeder verbringt den Tag damit seinen PC ständig
auf alle notwendigen Updates zu checken oder mit Firewalls sich schützen zu müssen.
Was würden wohl Autofahrer sagen , wenn sie morgens täglich erst mal zur Werkstatt fahren müßten
um zu überprüfen, ob die Bremsen noch in Ordnung sind? Oder daß ihm gesagt wird ,
sie müssen natürlich immer einen Bremsfallschirm und einen Rettungsanker mitführen,
falls die Bremsen versagen....
 
http://www.heise.de/newsticker/data/jk-15.08.03-003/
Heise schrieb:
Microsoft und der Wurm: "Da sind Fehler gemacht worden"

Der Wurm W32.Blaster und seine Abkömmlinge ziehen immer noch ihre Kreise, auch die
Gefahren etwa durch den im Wurm-Code vorgesehenen DDoS-Angriff auf Microsoft-Seiten
sind noch nicht ausgeräumt -- trotzdem beginnen auch bei Microsoft langsam die
Aufräum- und Nacharbeiten. So meinte Thomas Baumgärtner, Sprecher von Microsoft Deutschland,
gegenüber der Tagesschau: "Da sind Fehler gemacht worden." Man frage sich, ob man
mit den eigenen Informationen gegenüber dem Kunden verantwortungsvoll
genug umgegangen sei, meinte Baumgärtner in dem Interview:"Für uns hat in dieser
Woche ein Denkprozess eingesetzt." Die Kommunikation mit den privaten Kunden
müsse intensiviert werden.
Zum Vergrößern anklicken....
http://www.tagesschau.de/aktuell/meldungen/0,1185,OID2130500_NAVSPM1_REF1,00.html
Na so was bei M$ fängt man an zu denken, ist ja mal was ganz Neues ;)

Haben die eigentlich eine Vorstellung, was das für eine Verwirrung beim Otto/Ottilie Normalo verursacht?
Aus den Fragen aus meinem Umfeld erlebe ich aus erster Hand, was da für eine Verunsicherung erzeugt wird :evil:

Und wenn mir etwas auf den Keks geht, ist es der Spruch "99% der Probleme eines Pcs sitzen vor dem PC"!
Nach 30 Jahren Support gibt es für mich keinen Spruch, der mehr an Arroganz und Überheblichkeit
zeugt als dieser unsägliche Quatsch. Der größte Teil aller Probleme liegt bei den falschen Konzepten
und ihren miserablen Umsetzungen. Nicht der User ist für den PC da , sondern der PC für den User.
Wer mal im Medizinbereich programmiert hat, weiß wovon ich spreche! Das erste was man mir
eingebleut hat, wenn was schief geht ist nicht die MTA dran, sondern Sie!
tf
 
.

Was soll die ganze Sch... eigentlich immer ?
Wer macht sowas ? Man man - und immer ist Microsoft
der loser
 
Zurück
Oben