W32/Mydoom.ah@MM verbreitet sich auch ohne eMail-Anhang
- Ersteller Nero24
- Erstellt am
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
Die meisten Internet-Viren verbreiten sich in Form von trojanischen Pferden über den Anhang von eMails. Öffnet ein unbedarfter User das infizierte Attachement, wird der Virus ausgeführt. Meist verschickt er sich dabei selbst an alle Adressen im Adressbuch des Users und richtet auf dem infizierten PC einen mehr oder minder großen Schaden an. Bagle, über den wir kürzlich <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1099046254">berichtet</A> haben, ist so ein Kandidat.
Doch natürlich sind eMail-Anhänge nicht die einzige Möglichkeit für Internet-Viren sich zu verbreiten. Auch über ein Jahr nach ihren "Ausbrüchen" klopfen noch immer die Würmer <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1061131204">MSBlaster</A> und <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1083535342">Sasser</A> an die virtuelle Haustüre sobald man sich mit dem Internet verbunden hat. Diese Würmer versuchen über offene Ports von außen auf das System zuzugreifen, was ihnen auch gelingt, falls keine Firewall installiert ist, die das verhindert oder das System zumindest nicht auf die "Klopfzeichen" reagiert. Dazu sind für Windows XP bis SP1 <a href="http://www.planet3dnow.de/faq/files/index.shtml#os">Patches</A> notwendig.
Wenn man nicht von außen nach innen dringen kann, dann doch zumindest von innen nach außen - dachten sich die Programmierer der neuesten MyDoom-Variante (eine Virusfamilie, über die wir bereits mehrfach <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1095095303">berichtet</A> haben), die je nach Hersteller von Anti-Virensoftware als MyDoom.ah oder MyDoom.ai bezeichnet wird. Der neue Virus nutzt eine kürzlich entdeckte <a href="http://www.heise.de/security/news/meldung/52844" TARGET="b">Sicherheitslücke im Internet-Explorer</a> betreffend IFRAMES. Damit kann ein Angreifer nur dadurch, dass ein User seine Webseite besucht, schadhaften Code auf den PC (durch sämtliche Firewalls hindurch!) und dort zur Ausführung bringen. Erst einmal auf dem Rechner angekommen versucht der Virus Port 1639 von innen zu öffnen, sodass ein Angreifer von außen auf den infizierten Rechner zugreifen kann.
Das Problem betrifft alle Windows-Versionen mit NT-Kern (NT, 2000, XP, 2003) bis einschließlich SP1. SP2-User sind davon nicht betroffen. Ein Patch von Microsoft existiert zum aktuellen Zeitpunkt noch nicht. Also was tun dagegen? Folgende Möglichkeiten gibt es:
<b>1. Prophylaxe:</b>
- Windows XP SP2 installieren
- Software-Firewall verwenden und Port 1639 sperren
- Einen anderen Browser anstelle des Internet Explorers verwenden (zum Beispiel <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1099999702">Firefox</A> oder <a href="http://www.planet3dnow.de/cgi-bin/newspub/search.cgi?category=2&keyword=opera">Opera</A>)
<b>2. Desinfektion:</b>
- <a href="http://vil.mcafeesecurity.com/vil/content/v_129631.htm#RemovalInstructions" TARGET="b">McAfee Removal-Instructions</A>
- <a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.ai@mm.html#removalinstructions" TARGET="b">Symantec Removal-Instructions</a>
Doch natürlich sind eMail-Anhänge nicht die einzige Möglichkeit für Internet-Viren sich zu verbreiten. Auch über ein Jahr nach ihren "Ausbrüchen" klopfen noch immer die Würmer <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1061131204">MSBlaster</A> und <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1083535342">Sasser</A> an die virtuelle Haustüre sobald man sich mit dem Internet verbunden hat. Diese Würmer versuchen über offene Ports von außen auf das System zuzugreifen, was ihnen auch gelingt, falls keine Firewall installiert ist, die das verhindert oder das System zumindest nicht auf die "Klopfzeichen" reagiert. Dazu sind für Windows XP bis SP1 <a href="http://www.planet3dnow.de/faq/files/index.shtml#os">Patches</A> notwendig.
Wenn man nicht von außen nach innen dringen kann, dann doch zumindest von innen nach außen - dachten sich die Programmierer der neuesten MyDoom-Variante (eine Virusfamilie, über die wir bereits mehrfach <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1095095303">berichtet</A> haben), die je nach Hersteller von Anti-Virensoftware als MyDoom.ah oder MyDoom.ai bezeichnet wird. Der neue Virus nutzt eine kürzlich entdeckte <a href="http://www.heise.de/security/news/meldung/52844" TARGET="b">Sicherheitslücke im Internet-Explorer</a> betreffend IFRAMES. Damit kann ein Angreifer nur dadurch, dass ein User seine Webseite besucht, schadhaften Code auf den PC (durch sämtliche Firewalls hindurch!) und dort zur Ausführung bringen. Erst einmal auf dem Rechner angekommen versucht der Virus Port 1639 von innen zu öffnen, sodass ein Angreifer von außen auf den infizierten Rechner zugreifen kann.
Das Problem betrifft alle Windows-Versionen mit NT-Kern (NT, 2000, XP, 2003) bis einschließlich SP1. SP2-User sind davon nicht betroffen. Ein Patch von Microsoft existiert zum aktuellen Zeitpunkt noch nicht. Also was tun dagegen? Folgende Möglichkeiten gibt es:
<b>1. Prophylaxe:</b>
- Windows XP SP2 installieren
- Software-Firewall verwenden und Port 1639 sperren
- Einen anderen Browser anstelle des Internet Explorers verwenden (zum Beispiel <a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1099999702">Firefox</A> oder <a href="http://www.planet3dnow.de/cgi-bin/newspub/search.cgi?category=2&keyword=opera">Opera</A>)
<b>2. Desinfektion:</b>
- <a href="http://vil.mcafeesecurity.com/vil/content/v_129631.htm#RemovalInstructions" TARGET="b">McAfee Removal-Instructions</A>
- <a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.ai@mm.html#removalinstructions" TARGET="b">Symantec Removal-Instructions</a>
Exlua
Grand Admiral Special
Ich benutz immer Elmex abends 
Predator_one
Vice Admiral Special
wie sperre ich denn den port unter win xp 
Lutscher
Vice Admiral Special
Keine Ahnung wie man ihn sperrt, ich kann nur empfehlen nen anderen Browser zu benutzten.
Ich surfe z.B. mit Firefox, ist wesentlich besser als IE und dazu hat man dann keine Probleme mit Viren die Sicherheitslücken im IE benutzten.
Ich surfe z.B. mit Firefox, ist wesentlich besser als IE und dazu hat man dann keine Probleme mit Viren die Sicherheitslücken im IE benutzten.
andr_gin
Grand Admiral Special
- Mitglied seit
- 12.06.2003
- Beiträge
- 3.052
- Renomée
- 24
- Standort
- St. Pölten (60km westlich von Wien)
Kann Firefox auch nur empfehlen. Der Internet Explorer ist einfach nur schlimm. Das ist zwar bei MS-Software generell so, aber hier ist es halt noch schlimmer.
F
FalconFly
Guest
*urgs*
Das kann man auch falsch verstehen
Gruss
FalconFly, der wo kein WinXP-Freund ist
(wo kein Windows eXperience Problems, da logischerweise meist auch keine Probleme)
Was mich auch noch wundert ist wieso diese Sicherheitslücke mit SP2 nicht vorhanden ist, wenn es doch erst vor ein paar Tagen entdeckt worden ist? War doch jetzt auch bei einigen Sachen schon so wenn ich mich recht entsinne. Geht Microsoft davon aus das die neue XP-Firewall das blocken würde und daher isses kein Problem mehr? Wäre ja ne tolle Philosophie...besonders wenn man die Firewall deaktiviert hat!
Terminatrix
Grand Admiral Special
Ich vermute die haben mit dem SP2 eine bestimmte anfällige Stelle gefixt die unter Umständen leicht für solche Viren missbraucht werden kann.
Mittlerweile habe ich in meiner Firewall jede Menge Ports per Hand gesperrt. Kann das nicht auch irgendwann zu Problemen führen wenn irgendwann mal eine Software diesen Port zur Kommunikation verwenden will?
Predator_one
Vice Admiral Special
muss doch jemand wissen wie man ports schließt unter xp oder wat ?!
Lutscher
Vice Admiral Special
Wäre ja mal ein Wunder wenn MS den Hackern mit dem SP2 zuvorgekommen ist und sie das Sicherheitsloch voher beseitigt haben. War dann wohl nur ein dummer Zufall ! 
Predator_one
Vice Admiral Special
wie hast dus da eingestellt ?
Dalai-Lama
Commander
Microsoft bringt meist die Patches vorher raus, nur sind viele Leute nicht in der Lage diese auch zu installieren 
gruenmuckel
Grand Admiral Special
"Kopfzeichen"?
Nero24, da fehlt ein "l"
Nero24, da fehlt ein "l"
stolperstein
Grand Admiral Special
Na wie schön, daß ich auch nur Firefox und Windoof 98/ME inkl. FW's (HW+SW) benutze .
Damit bleibt mir hoffentlich so ein Kram erspart (
).
stolpi
. Damit bleibt mir hoffentlich so ein Kram erspart (
).stolpi
SirThor
Grand Admiral Special
Original geschrieben von utnewbie
wie sperrt man ports in zone alarm ??
Bei Zonealarm sind erstmal alle Ports dicht. Je nachdem welche Anwendungen du raus und rein läßt, werden dann die von den Anwendungen anforderten ports geöffnet. Explizit Ports sperren kann man - soweit ich weiß - in der Freeversion nicht. Da braucht man wohl die Pro-Variante.
Wenn du jetzt rausfinden willst, auf welchen Ports bei dir so rumgefunkt wird, empfehle ich dir das Tool TCPView:
Link
Und wenn du mal ein bißchen mehr - als im Taskmanager angezeigt wird - sehen willst, was für Prozesse auf deinem rechner so laufen, dann probier doch mal diese Tool Prozess Exporer:
Link
Du kannst als advanced rule einstellen, das speziell auf Port xy kein Traffic erlaubt wird. So jedenfalls bei Sygate, auch ohne Pro-Version imho; die Kerio kenn ich nicht, nehms aber mal auch an, soll ja umfangreich konfigurierbar sein.
Diese Regeln werden dann mit höherer Priorität behandelt, d.h. wenn ein Programm den Port haben will und Du klickst beim automatischen "Programm blabla will sich verbinden, wollen sie das erlauben?" auf JA, bleibt der Port trotzdem zu.
Diese Regeln werden dann mit höherer Priorität behandelt, d.h. wenn ein Programm den Port haben will und Du klickst beim automatischen "Programm blabla will sich verbinden, wollen sie das erlauben?" auf JA, bleibt der Port trotzdem zu.
Tom24
Grand Admiral Special
- Mitglied seit
- 14.01.2001
- Beiträge
- 5.401
- Renomée
- 7
Der Virus goennt sich also eine ausgehende Verbindung? Sehr schoen, frueher oder spaeter musste ja jemand MS dafuer bestrafen, dass ihre so toll Firewall nur eingehende Verbindungen ueberprueft.
Bravo MS wieder was verschlampt. 'Und hier ist ihre persoenliche Retourkutsche'
Bravo MS wieder was verschlampt. 'Und hier ist ihre persoenliche Retourkutsche'
Ähnliche Themen
