In Antwort auf: Genau !! Und ich hätte gerne noch ein Sub-Forum für die neuesten ALDI Angebote, eins für LIDL, noch eins für die aktuellsten Frisurentrends und vielleicht noch eins für "Techniken des Autowaschens".
In Antwort auf:Bine: Das Thema hatten wir doch schon mal. Wegen eines Virus vor dem die Mods / der Admin diese Lions- / Hockeyforums nicht gewarnt hatten...
Pufferüberlauf in RPCSS-Dienst kann Codeausführung ermöglichen (824146)
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Windows
Auswirkungen der Sicherheitsanfälligkeiten: Ausführen von beliebigem Code durch Angreifer
Bewertung des maximalen Schweregrads: Kritisch
Empfehlung: Benutzer von Microsoft Windows und Systemadministratoren sollten den Patch umgehend installieren. Bitte updaten!!!
Ähhh....ich frage mich warum denen sowas erst jetzt auffällt? Es ist von jeher kein Problem über den IE Scripte auszuführen, die einem ADMIN Rechte auf der entsprechenden Kiste verschaffen?!
@ Balrog: Mein Vater hat damit nix zu tun!! Immer diese Verleumdungen!!
HASTA LA VICTORIA SIEMPRE Die Taugenixe - Der Bautrupp von Biagio Conte Sei nicht traurig kleiner Meisen-Mann!! Man versehe mich mit Luxus. Auf alles Notwendige kann ich verzichten! THINK YOU KNOW HOCKEY? PROVE IT !!!
Man muß auch nicht immer auf die PC-Fachseiten gehen um aktuelle Infos zu bekommen. Beispielsweise stehen solche News auf N-TV.de auch immer recht zeitnah auf der Startseite.
Die Verunsicherung gerade der privaten Internet-Nutzer durch den Blaster-Wurm (oder Lovsan-Wurm) versuchen Betrüger ganz aktuell auszunutzen.
Bei einer Online-Sitzung erscheint plötzlich folgende Einblendung auf dem Bildschirm:
Es handelt sich hierbei um eine Meldung des Windows-Nachrichtendienstes, mit dem es möglich ist, jemandem über die IP-Adresse eine Nachricht zuzusenden. Dieser Dienst ist eigentlich dafür vorgesehen, in lokalen Netzen schnell Nachrichten zu verschicken. Diese Möglichkeit wird mittlerweile auch von Betrügern benutzt, die auf diese Art versuchen, ahnungslosen Benutzern einen Dialer unterzuschieben.
Aufgrund des vermeintlichen Absenders "SCHUTZ.BZ TEAM" kann beim Benutzer der Eindruck entstehen, der Rechner wäre tatsächlich mit dem Blaster-Wurm infiziert, und er müsste sich daher das angegebene "Sicherheitsupdate" herunterladen.
Die im gestrichelten Bereich angegebene URL (http://www.schutz.bz) mit dem Länderkürzel "BZ" gehört zu Belize (früher: Britisch Honduras).
Statt des Sicherheitsupdates gegen den Blaster-Wurm installiert sich automatisch ein 0190-Dialer, der für die Verbindung € 1,86 pro Minute berechnet.
Das Eröffnungsbild des Dialers sieht wie folgt aus:
Zwar wird der Preis für die Verbindung (1,86€/min) angegeben, allerdings wird dies gerade von verunsicherten Anwendern leicht übersehen.
Nach Hinweisen von Betroffenen an das BSI wurde der für die Dialer-Nummer 0190-8-24-157 zuständige Netzbetreiber (IN-telegence GmbH & Co. KG, Oskar-Jäger-Straße 125, 50825 Köln), am 15.09.2003 informiert und zur Sperrung der Nummer aufgefordert. Dies ist bisher nicht geschehen.
Allen von diesem Dialer getäuschten Nutzern wird empfohlen, gegen den entsprechenden Betrag auf der Telefonrechnung Einwand zu erheben.
Empfehlung des BSI:
Solche und ähnliche Meldungen des Windows-Nachrichtendienstes einfach ignorieren und keinesfalls die angegebene URL aufrufen. Weitere Einzelheiten zum Windows-Nachrichtendienst und eine Anleitung, wie man den Nachrichtendienst ausschaltet, gibt es unter:
Viren, weiß das Web-Volk, kann heute jedes zweite pubertierende "Script-Kid" in Umlauf bringen, wenn es nur will: Dazu sucht man sich einen Virenbaukasten im Web, stellt sich seinen Wunschschädling zusammen, versieht ihn mit hinreichend dreist-dummen Lockbotschaften und schickt ihn auf die Reise. Wenn alles wie erhofft schlecht läuft, schreibt sich der frischgebackene "Virii" ins Buch der Webgeschichte und verursacht ein paar Millionen Dollar Schaden. So einfach ist das.
Theoretisch zumindest: Viren aus dem Baukasten sind selten einfallsreich, und die Zeit, in der sie für ernsthafte Schäden sorgten, sind mehr oder minder vorbei. Die wirklich erfolgreichen Schädlinge der letzten zwei Jahre - von Nimda und Klez über Yaha bis hin zum Blaster - waren Handarbeit. Jetzt aber, warnt das US-Sicherheitsministerium Homeland Security, hat irgendein Chaot den Script-Kiddies ein neues Spielzeug an die Hand gegeben: Einen Baukasten zur Montage von Blaster-ähnlichen Würmern.
Im Klartext heißt das: Da liegt eine Software, mit der sich Viren schreiben lassen, die sich, aktuelle Windows-Sicherheitslücken ausnutzend, selbsttätig verbreiten. Prost Mahlzeit, meint da auch Microsoft und weist darauf hin, dass jetzt vielleicht ein ganz guter Zeitpunkt wäre, ein aktuelles Sicherheits-Update durchzuführen, falls man es noch nicht getan habe.
Zunächst betroffen: Windows 2000
Das meinen auch die Mitarbeiter der Firma iDefense, die die Hacker-Software auf einer chinesischen Website fanden. Das Programm richtet auf Computern mit dem Betriebssystem Windows 2000 einen neuen User-Account mit dem Namen "e" und einem festgelegten Passwort ein. Über diesen Account können die Angreifer dann in den Computer eindringen. Die iDefense-Fachleute äußerten am Dienstag die Erwartung, dass es in den nächsten Tagen zu ähnlich umfangreichen Angriffen wie im Juli durch den "Blaster"-Wurm kommen werde. Außerdem sei damit zu rechnen, dass Hacker das Schädlingsprogramm so variieren könnten, dass auch andere Versionen des Microsoft-Betriebssystems wie Windows XP oder Windows Server 2003 davon betroffen sein könnten.
Die für Sicherheitsfragen zuständige Microsoft-Managerin Any Carroll rief noch einmal dazu auf, die im Internet bereit gestellten "Patches" zur Aktualisierung von Windows zu installieren. Das Bewusstsein für deren Dringlichkeit sei offenbar gestiegen, sagte Carroll. So war die Zahl der innerhalb von fünf Tagen registrierten Downloads für den jüngsten Windows-Patch nach ihren Angaben um 63 Prozent höher als in einem ähnlichen Fall im August.
PS: Wo ist denn nun das Aldi und Lidl Unterforum ?
In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können. Er nutzt dabei eine in der vergangenen Woche gemeldete Sicherheitslücke im RPCSS-Dienst aus, um Administrationzugriff auf das System zu erhalten. Anschließend legt das Tool ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen.
Anwender sollten so bald wie möglich die aktuellen Sicherheitsupdates von Microsoft einspielen, um sich zu schützen. Folgende Patches stellt Microsoft für deutschsprachige Windows-Systeme zur Verfügung:
Windows NT Workstation Windows NT Server 4.0 Windows NT Server 4.0, Terminal Server Edition Windows 2000 Windows XP Windows XP 64 bit Edition Windows XP 64 bit Edition Version 2003 Windows Server 2003 Windows Server 2003 64 bit Edition
Des Weiteren schützen dieselben Maßnahmen wie bei Blaster/Lovsan. Eine (Personal-)Firewall kann Angriffe gegen den RPCSS-Dienst abwehren, indem sie Zugriffe auf die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593 sperrt. Sofern RPC über HTTP oder COM Internet Services aktiviert sind, kann der RPC/DCOM-Dienst auch über die Ports 80 und 443 angesprochen werden.
Windows XP verfügt bereits über eine eingebaute Firewall, die allerdings von mancher Internet-Einwahlsoftware, zum Beispiel T-Online und AOL, umgangen wird. Einige Treiber für ISDN-Karten legen ebenfalls eigene Verbindungen an, bei denen die Firewall deaktiviert ist. Kerio Firewall und ZoneAlarm sind kostenlose Alternativen, die damit umgehen können. (dab/c't)
Düsseldorf (rpo). "Swen" heißt der neue Wurm, vor dem Experten warnen. Der digitale Übeltäter tarnt sich als Microsoft-Patch und verbreitet sich per Mail, dem Peer-to-Peer-Netzwerk Kazaa und IRC-Channels. "Infizierte Meldungen geben vor, von verschiedenen Microsoft-Diensten wie MS Technical Assistance oder Microsoft Internet Security Solution zu stammen", so die Warnung. Im Text der werde dem Anwender empfohlen, den beigefügten "speziellen Patch" von Microsoft zu installieren.
Die Antivirenspezialisten Kaspersky Labs rechnen bislang mit "zehntausenden Swen-Infektionen" weltweit bei steigender Anzahl. Die Lücke, die Swen nützt, ist indes nicht neu: Es handelt sich um die im März 2001 entdeckte Schwachstelle des Internet Explorer, über die schon zahlreiche andere bekannt gewordene Würmer wie Klez in PCs eingedrungen sind. Einmal auf einem ungeschützten Rechner aktiviert, verbreite sich Swen von selbst.
Die neue Malware sei in Microsoft Visual C++ programmiert und 107 KByte groß. Der Wurm aktiviert sich nicht nur, wenn die infizierte Datei ausgeführt wird, sondern auch, wenn das E-Mail-Programm die Schwachstelle IFrame.FileDownload besitzt. Swen installiert sich dann selbständig in das System und vervielfältigt sich.
Größe des Anhangs: 106496 Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerk
Verbreitung: mittel Risiko: mittel
Schadensfunktion: Massenmailing
Spezielle Entfernung: - bekannt seit: 18.September 2003
Beschreibung:
W32.Swen.A@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen SMTP-Maschine versendet. Er sucht in Dateien mit der Endung .html, .asp, .eml, .dbx, .wab und .mbx nach E-Mail-Adressen. Eine Verbreitung findet auch über das lokale Netzwerk, IRC und Kazaa statt.
Bei der Verbreitung nutzt W32.Swen.A@mm bekannte Schwächen des Microsoft Internet Explorers und von Microsoft Outlook Express .
Das Aussehen der infizierte E-Mail ist sehr unterschiedlich. Von:, Betreff: und Nachrichtentext variieren stark.
Infektion: Wird der inifzierte Anhang ausgeführt, so kopiert sich der Wurm in das Windows-Verzeichnis. Der Dateiname wird dabei frei gewählt. Zum automatischen Start wird die Registry verändert:
<random_characters> ist der Name der kopierten Datei.
W32.Swen.A@mm generiert u.a. die Dateien Germs0.dbv und Swen1.dat im Windows-Verzeichnis.
Mit weiteren Registry-Einträgen sorgt der Wurm dafür, dass er aktiviert wird, wenn der Benutzer Dateien mit der Endung .exe, .reg, .scr, .com, .bat und .pif verwendet.
Im inifzierten System kann der Benutzer das Programm Regedit nicht mehr verwenden.
Auf infizierte Systeme werden regelmäßig gefälschte Meldungen einer MAPI32 Exception angezeigt.
E-Mail-Verbreitung: Das Aussehen der infizierte E-Mail ist sehr unterschiedlich. Von:, Betreff: und Nachrichtentext variieren stark.
Eine Nachricht gibt sich als Security-Benachrichtigung von Microsoft aus. Die angehängte Datei ist infiziert.
Verbreitung über IRC und Kazaa: Der Wurm kopiert sich unter sehr vielen verschiedenen Dateinamen in das Temp-Verzeichnis des Rechners und gibt mit einem Registrierungsschlüssel diesen Ordner als "shared" frei. Zur Verbreitung über IRC installiert W32.Swen.A@mm ein Scipt im \mirc-Ordner, mit er sich automatisch an User sendet, die den gleichen Chat-Channel verwenden.
Netzwerkverbreitung: Der Wurm sucht im lokalen Netzwerk nach freigegebenen Autostart-Verzeichnissen. Da er nach dem Ordner ...\Startup sucht, dürfte er sich in nicht-englisch-sprachigen Windowsversionen nicht verbreiten.
W32.Swen.A@mm versucht Virenschutzprogramme zu beenden. Dazu verwendet er eine große Liste von Prozessnamen.
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden
Offline
HASTA LA VICTORIA SIEMPRE
Ya tyebya lyublyu 
