Es gibt schon eine neue Version des Blasters!

Weitere Infos: KLICK!

Ich habe mal ein kleines "Uninstall" Prog in Form einer BAT-File gegen den alten UND neuen Blaster "gecodet".

Wer`s braucht: Einfach melden! [img]smile.gif[/img]

Ich habe versucht, mir ZUSÄTZLICH zum Service Pack für XP folgendes runter zu laden:

www.microsoft/com/technet/security/bulletin/MS03-026.asp

Wenn man den Anweisungen (natürlich in Englisch, was sonst?!?!?) folgt, fragen die nach XP in zwei verschieden BIT-Versionen.

Ich weiß, blonde Frage, aber WO kann ich feststellen, welche XP-Version ich habe?

Dank im voraus.

Hi Kiki,
ich hatte auch grübeln müssen. Aber als ich dann beide probiert hab...da liess sich nur die richtige ausführen. Weil eben die 64bit nicht auf 32 und umgekehrt läuft.

Warum und wo der Unterschied ist können klügere Leute beantworten^^


yours
Eltharion

ich wusste es auch erst nicht.

Win XP Home Edition - die 30er Zahl
Proffesional - die 60er Zahl [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von Julia R:
Win XP Home Edition - die 30er Zahl
Proffesional - die 60er Zahl [img]smile.gif[/img] </font>[/QUOTE]Sicher? Hat das nicht eher mit der verwendeten Prozessorgeneration zu tun? I.d.R. wird das dann 32-bit sein?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Ich danke euch für eure schnelle Antwort und werde es gleich noch mal versuchen.

Merci.

Nein, mit Home und Professional hat 32 und 64 bit absolut gar nichts zu tun!

32 bit ist einfach gesagt die heutige Prozessortechnologie. Auch Windows 2000 und XP sind komplett 32 bit Systeme.
Zu früheren Zeiten gab es 16 bit (MS-DOS Zeitalter), anstatt 32 bit.
64 ist die kommende Generation. Der "Hammer" von AMD wird dies als erster Desktop-CPU unterstützen, Intel hat das schon seit einer ganzen Weile, leider lediglich als Server-CPU!
Da Windows XP von Haus aus 64 bit nicht unterstützt, muss Microsoft eine neue Windows XP-Version auf den Markt bringen: Windows XP 64 bit Edition!
Da es die jedoch noch nicht gibt, sind die Patches (bis jetzt) nutzlos. Aber Microsoft veröffentlicht schon jetzt die passenden Patches... .

Norton Antivirus (gestern wg. msblast.exe aktualisiert) hat bei mir den Wurm gerade in C:\Windows\system32\TFTP3508 gefunden und entfernt!
Was passiert eigentlich bei der Installation des Windows-Patch? Können da Daten verlorengehen?

@ IT-Man

Nach meines wissen gibt es eine 64 Bit Version von Windows XP Pro schon

Mußt halt ein bischen die KlasGugel befragen, oder by Mr. Bill Gates him self

TrojanerHunterNEW

</font><blockquote>Zitat:</font><hr />Original erstellt von IT-Man:
64 ist die kommende Generation. Der "Hammer" von AMD wird dies als erster Desktop-CPU unterstützen, Intel hat das schon seit einer ganzen Weile, leider lediglich als Server-CPU!</font>[/QUOTE]Darf ich kurz korrigieren?
Apples (bzw. IBMs) G5-Prozessor ist der erste 64 Bit-Desktop-Prozessor, der wirklich auf den Markt kommt (diesen Monat geplant). Und IBM sowie diverse -ix-Firmen bieten Server schon seit längerem mit 64 Bit an.

Es gibt aber tatsächlich schon eine XP-Beta mit 64 Bit-Code...

Inte l Press Release 10.97
Der Intel Itanium ist ein 64 bit Prozessor, der schon etwas länger auf dem Markt ist. Ist der CPU von Intel für den (Gross-)Serverbereich. Ich glaube unterstützt wird er seit Win NT 4 ?? in einer jeweils speziellen 64 bit Version, die natürlich nur bei extra Software Vorteile bringt. Ich gehe dementsprechend davon aus, das hier anwesende Nutzer die 32 bit Version benötigen. Die Version für den AMD 64 wird wahrscheinlich schon gepatched rauskommen (hoffentlich....)

Para

nur mal so:

Name: W32.Blaster.Worm
Alias:
W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]

Art:
Wurm

Größe des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem:
Windows NT/2000/XP/2003
nicht betroffen: Windows 98 und Me

Art der Verbreitung: Netzwerk
Verbreitung:
hoch
Risiko:
mittel

Schadensfunktion:
unkontrollierter Rechnerabsturz
Rechnersuche über Port 135
DDoS-Angriff auf Microsoft-Server

Spezielle Entfernung: Tool
bekannt seit: 11. August 2003

Beschreibung:

W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk verbreitet.
Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-026 . Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite .

Windows 98 und Windows Me sind von dem Wurm nicht betroffen.


W32.Blaster.Worm sucht über TCP Port 135 einen angreifbaren Rechner. Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE) per TFTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 zu laden. Diese Datei lädt der Rechner vom bereits infizierten System. Dazu simuliert der Wurm auf dem infizierten System einen TFTP-Server.

Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner ausgeführt. Es beginnt ein neuer Infektionszyklus.

Der Wurm selbst ist UPX-gepackt. Er enthält einen Text, der jedoch nicht angezeigt wird:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Zum automatischen Start erzeugt W32.Blaster.Worm den Registrierschlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mit dem Wert

"windows auto update" = MSBLAST.EXE

Bei der Suche nach angreifbaren Rechnern werden zunächst die lokalen Subnetze durchsucht. Danach werden zufällige IP-Adressen zur Suche verwendet.

Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke gegen einen Microsoft-Server durch (windowsupdate.com).
DDoS = distributed denial of service; dabei wird dieser Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann.
Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.

Hinweis:
Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn möglich) auf der Firewall die Ports

69 UDP
135 TCP
135 UDP
139 TCP
139 UDP
445 TCP
445 UDP
4444 TCP
sperren.

Aktuelle Viren-Signaturen von Schutzsoftware erkennen die Datei MSBLAST.EXE während des Downloads.

Auch Rechner von Privatanwender sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten.

Hinweise zur Entfernung des Wurms

Windows 98 und Windows Me sind von dem Wurm nicht betroffen.

Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen.
Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint, dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile wird der Befehl "shutdown -a" eingeben und mit OK bestätigt.


Vorgehensweise beim (möglichen) Befall:
1. Schließen der Sicherheitslücke des Betriebssystems
Microsoft stellt ein sog. Hotfix für die Sicherheitslücke bereit. Informationen dazu und das Hotfix-Programm finden Sie bei Microsoft .

2. Suchen und Entfernen des Wurms
Laden Sie eines der speziellen Entfernungstools von Symantec oder NAI . Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögiche Infektionen entfernen.

3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein.

4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert.

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Blaster.Worm zum kostenlosen Download bereitgestellt.
Auch von NAI gibt es ein entsprechendes Tool . Beachten Sie, dass der Wurm hier W32/Lovsan.worm heißt.

Microsoft Sicherheits-Patch
Das Microsoft Sicherheits-Patch können Sie sich von der Microsoft-Seite herunterladen. Das geladene Programm führen Sie auf dem unsicheren Rechner aus. Folgen Sie den Anweisungen des Setup-Assistenten. Nach der Installation muß der Rechner neu gestartet werden.
Ob das Hotfix auf Ihrem Rechner installiert ist können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist das Hotfix installiert.


(Erstellt: 12.08.2003, geändert: 13.08.2003)

Hi @ll
Lieber später als gar nie
Newsletter von M$ zum Thema

</font><blockquote>Zitat:</font><hr />Original erstellt von forge77:
Wer sich nicht sicher ist, ob sein Port 135 erreichbar und damit potentiell "angreifbar" ist, sollte mal kurz diesem Link folgen:
https://grc.com/x/portprobe=135

Ist er "open", sollte schnellst möglich der mehrfach verlinkte Patch installiert werden (falls noch nicht passiert), und/oder der Port irgendwie geschlossen/geblockt werden.

Ist der Port "closed" oder "stealth" droht erstmal unmittelbar keine Gefahr. [img]smile.gif[/img]
Dennoch sollte auch in diesem Fall der Patch vorsichtshalber installiert werden. </font>[/QUOTE]Hi,

nachdem ich das Posting gelesen hatte, habe ich den Test auch sofort ausgeführt, Patch war zu dem Zeitpunkt schon installiert. Ergebnis war entweder stealth oder closed, jedenfalls nicht open.
Gestern hab ich mir, nach längerer Zeit, dann doch wieder ne FW inst (Kerio) um die Port zusätzlich schließen zu können. Hab den Test jetzt nochmal ausgeführt, mit aktivierter FW ist alles stealth, jedoch wenn ich die FW deaktiviere, sind die Ports 135 und Co plötzlich offen, sollten sie nicht trotzdem stealth oder closed sein, da ja der Patch drauf ist??? Vor ca 10 Tagen, waren sie das ja auch. Warum jetzt nicht mehr???
OS ist XP home.

Schöne Grüße

Easy

Der Patch bewirkt _nicht_, dass der Port geschlossen wird, sondern nur, dass die von Msblast ausgenutzte Sicherheitslücke behoben wird. [img]smile.gif[/img]

Es ist von daher nur unverständlich, wieso deine ersten Tests (ohne FW) einen closed oder stealthed Port anzeigten - bist du dir darin ganz sicher? Es könnte natürlich auch ein bug oder ein Netzwerk-Fehler gewesen sein...