so, patch installiert, unn jetzt is gut gruß slappi -------------------------------------------------- Heavy Metal is the best!Member of the official Lions-Board\'s-BLIND GUARDIAN-Circle Alles wird besser, alles wird gut 2003/4 DAUERKARTENBESITZER 2003/2004, wie immer
München (rpo). Zum Schrecken vieler PC-Anwender verbreitet sich seit der Nacht zum Dienstag der Viren-Wurm W32.Blaster, auch "Lovsan" genannt, mit rasender Geschwindigkeit im Internet. Die "PC-Welt" hat jetzt ein Tool ins Netz gestellt, das hilft festzustellen, ob auf einem Rechner die Sicherheitslücke bereits geschlossen ist. Dies ist durchaus möglich, da Microsoft seit knapp zwei Wochen über die Windows-Update-Funktion eine spezielle Software anbietet, die das gefährliche Leck in den Betriebssystemen Windows NT, 2000, XP und auf dem Server 2003 schließt.
Da dieses Patch aber einen überaus kryptischen Namen besitzt, wissen viele PC-Besitzer nicht, ob sie beim letzten Update die Sicherheitslücke auf ihrem Rechner bereits geschlossen haben. Dieses Problem löst der "Patch Checker".
Das Programm stellt fest, ob der Nutzer bewusst oder auch unbewusst das Microsoft- Update installiert hat. Falls nicht, führt das Tool den Anwender per einfachem Mausklick zum erforderlichen Download des Sicherheits- Updates.
In Antwort auf:Betroffene Software: Microsoft Windows NT 4.0 Microsoft Windows NT 4.0 Terminal Server Edition Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003
ich habe das update und den symantec virenkiller auf zwei rechnern mit XP pro ohne service pack eins laufen lassen! Der virus ist trotzdem gekillt! nicht dass jemand meint, er müsste jetzt nen servicepack aufspielen...
Der Wurm W32.Blaster, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, bremst sich in der Verbreitung selbst aus, da er bei einem Angriff nicht erkennen kann, ob ein System bereits befallen ist. Erst nach einem erfolgreichen Angriff überprüft der Wurm, ob "msblast.exe" schon vorhanden ist und infiziert das System nicht neu. Darüber hinaus bringt der Wurm auch bereits befallene Windows-XP- und 2000-Systeme zum Absturz und begrenzt damit seine eigene Ausbreitungsgeschwindigkeit.
Der zum Angriff verwendete Code benutzt zwei so genannte Offsets, die für Windows XP und Windows 2000 unterschiedlich sind. Wird der falsche Offset gewählt, stürzt der RPC-Dienst des angegriffenen Systems ab; der Rechner wird neu gestartet. Dies äußert sich in einem Pop-up-Fenster mit einer entsprechenden Meldung. Unter Windows XP kann man diese Verhaltensweise beeinflussen. Der RPC-Endpointmapper (Einstellungen/Verwaltung/Dienste/RPC-Prozeduraufruf/Wiederherstellen) lässt sich so konfigurieren, dass nur der Dienst neu gestartet wird (Dienst neu starten), nicht jedoch der ganze Rechner.
Mittlerweile mehren sich die Meldungen, dass doch mehr Unternehmensnetzwerke als angenommen befallen sind. Offenbar wurde der Wurm über infizierte Laptops in die Netze geschleppt oder über falsch konfigurierte Firewalls. Der Stern berichtet über den Zusammenbruch des Verkehrsamtes im US-Bundesstaat Maryland, in Intels Netzwerken soll der Wurm auch kurz aufgetaucht sein, eine Zweigstelle der amerikanischen Notenbank in Atlanta hat es ebenfalls erwischt und BMW hat den Schädling inzwischen unter Kontrolle. Mit weiteren Ausfällen ist noch zu rechnen.
Als weitere Alternative zur Abwehr des Wurms schlagen einige Sicherheitsexperten die Deaktivierung des DCOM-Dienstes vor. Der DCOM-Dienst kann unabhängig vom RPC-Dienst deaktiviert werden. Mit "dcomcnfg.exe" kann man den DCOM-Dienst unter Komponentendienste/Computer/Arbeitsplatz/Standardeigenschaften deaktivieren. Allerdings funktionieren dann einige Programme nicht mehr, wie zum Beispiel der Media Player. Unter Windows 2000 kann man DCOM aber erst ab SP3 vollständig abschalten, bleibt also auf Systemen ohne dieses Service-Pack weiterhin angreifbar, auch wenn er scheinbar ausgeschaltet ist.
Kritik wird nun an der Informationspolitik von Microsoft laut, die viele Anwender über die Gefahren aktueller Sicherheitslöcher in Windows im Unklaren gelassen hat. Zu aktuellen Sicherheitslöchern und den dazugehörigen Updates gibt es zwar eine Seite von Microsoft, die wird aber von Privatanwender so gut wie nie besucht. Und die Funktion des eingebauten automatischen Updates wird meist kurz nach der Installation von Windows deaktiviert -- wer will schon gleich ein 100 MByte großes Service-Pack nachinstallieren.
In einer Vulnerability Note weist CERT/CC darauf hin, dass beliebige andere Betriebssystem-Plattformen ebenfalls vom Wurm W32.Blaster über Port 135 angegriffen werden können. Dazu muss allerdings das plattform-spezifische Distributed Computing Environment (DCE) auf Basis der Entwicklungen der Open Software Foundation (OSF) installiert sein. DCE ermöglicht es verschiedenen Systemen, untereinander zu kommunizieren, und verwendet dazu auch RPCs über Port 135. Insbesondere in heterogenen Umgebungen mit einer Vielzahl verschiedener Betriebssysteme wird DCE zur Verwaltung der Ressourcen und zum Zugriff auf sie eingesetzt.
Eine Schwachstelle in der Implementierung einiger Hersteller ermöglicht eine Denial-of-Service-Attacke gegen den DCE-Dienst. Da W32.Blaster nicht erkennen kann, welche Plattform er attackiert, werden alle Systeme mit offenem Port 135 angegriffen. In der Folge kann der DCE-Dienst zum Absturz gebracht werden, der nicht mehr auf Anfragen von Clients antwortet. Bestätigt haben diese Schwachstelle bisher IBM für die DCE-Implementierung unter AIX, Solaris und Windows sowie Entegrity für die DCE-Software unter Linux und Tru64. Beide Hersteller haben Patches sowie Anweisungen zum Beseitigen der Sicherheitslücke zur Verfügung gestellt. Crays Unicos ist ebenfalls als verwundbar bestätigt, an einem Patch wird noch gearbeitet. Die anderen Hersteller sind informiert, haben bisher aber noch keine Stellungnahme abgegeben. (dab/c't) http://www.heise.de/newsticker/data/dab-13.08.03-002/
Schnell Windows abschotten: W32.Blaster-Nachfolger bereits im Anmarsch
Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.
Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.
Der Code des neuen Wurms gleicht größtenteils dem des "Blaster"-Wurms. Er verbreitet sich auch auf die gleiche Art und Weise wie sein Vorgänger. Von einem befallenen Rechner aus sucht der Wurm über den Port 135 per zufällig generierter IP-Adressen nach neuen Rechnern, bei denen die Windows-Sicherheitslücke noch nicht geschlossen wurde und infiziert diese dann, in dem er sich per TFTP überträgt.
Im Gegensatz zum "Blaster" enthält der Nachfolger auch eine Backdoor-Funktion und stellt damit eine größere Gefahr dar. Der Wurm öffnet auf einem befallenen System eine Verbindung zu einem IRC-Server (Internet Relay Chat) und wartet auf Befehle. Dies könnte es dem Angreifer erlauben, per Fernzugriff die Kontrolle über den Rechner zu übernehmen.
Nach dem Auftauchen der ersten Variante WORM_RPCSDBOT über die bereits gestern berichtet wurde, sind weitere Mutationen von W32.Blaster alias Lovesan gesichtet worden. W32.Blaster.B und Blaster.C unterscheiden sich vom Ursprungsschädling nur durch die Umbenennung der Wurmdatei "msblast.exe" in "penis32.exe" und "teekids.exe" sowie den entsprechend geänderten Einträgen in der Registry (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run) unter "windows auto update" beziehungsweise ”Microsoft Inet xp..". Die Hersteller von Antivirensoftware haben ihre Signaturen auf den neuesten Stand gebracht und zum Download bereitgestellt.
Neben WORM_RPCSDBOT wird der Wurm auch als Transportmittel für weitere Trojaner mißbraucht. TROJ_MSBLAST.DRP ist eine Kombination aus W32.Blaster.C und dem Backdoor-Programm BKDR_LITH.103.A, das sich als ROOT32.EXE im Windows-Systemverzeichnis breit macht. Damit sind nun auch PCs von Heimanwendern direkt bedroht, da die Backdoor den Zugriff für jedermann auf das System ermöglicht. Bisher benutzte der Wurm die PCs nur als Verbreitungsplattform und hatte keine Schadfunktion.
Microsoft hat am 12. August, also dem Tag des Ausbruchs des Wurms, einen Artikel des Kolumnisten Tony Northrup auf seinen Seiten veröffentlicht, der den Einsatz von Firewalls empfiehlt. Darin werden sowohl Hardware-Firewalls als auch Personal-Firewalls beschrieben, mit denen Angriffe aus dem Internet abgeblockt werden können. Windows XP hat eine Software-Firewall bereits fest installiert, die bei vielen aber deaktiviert ist. Standardmäßig sollte sie auf DFÜ-Verbindungen aktiviert sein, einige ISDN-Karten benutzen aber proprietäre Schnittstellen, bei denen dies nicht der Fall ist. http://www.heise.de/newsticker/data/dab-14.08.03-000/