W32.Blaster.Worm wütet durchs Web (Update)
- Ersteller Mighty
- Erstellt am
Mighty
Senior Moderator
☆☆☆☆☆☆
Weltweit, so auch bei uns, überschlagen sich die Foren derzeit mit Meldungen über Windows Systeme welche teilweise alle 10 Minuten selbstständig runterfahren. Grund hierfür ist der <a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html" TARGET="b">W32.Blaster.Worm</a> welcher eine Lücke im Remote Procedure Call (RPC) ausnutzt.
<ul><i>Remote Procedure Call (RPC) ist ein Protokoll, das vom Windows-Betriebssystem verwendet wird. RPC stellt einen Mechanismus für die Kommunikation zwischen Prozessen zur Verfügung, das Programmen, die auf einem Computer verwendet werden, erlaubt, Code nahtlos auf einem Remotesystem auszuführen. Das Protokoll selbst ist vom OSF-RPC-Protokoll abgeleitet (OSF = Open Software Foundation). Das von Windows verwendete RPC-Protokoll enthält einige Microsoft-spezifische Erweiterungen</ul></i>
Eine ausführliche Lösung zu diesem Problem findet Ihr im <a href="http://www.planet3dnow.de/vbulletin/showthread.php3?s=&threadid=112917">Thread</a> unseres Lesers HAKO.
Im Moment handelt es sich nur um ein herunterfahren des Systems, welches der Wurm verursacht, was schon ärgerlich genug ist, da vernünftiges Arbeiten nicht mehr möglich ist. Bleibt die Frage offen, soll dies nur eine Warnung sein um auf die teilweise gravierenden Sicherheitslücken im Betriebssystem Windows aufmerksam zu machen und vor allem bleibt es bei diesem relativ harmlosen Shutdown oder blüht uns demnächst schlimmeres?
Nachfolgend die benötigten Patches für die betroffenen Betriebssysteme:
<b>Download:</b><br><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072911">Microsoft Windows NT 4.0 Server </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072912">Microsoft Windows NT 4.0 Terminal Server Edition </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072913">Microsoft Windows 2000 </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072914">Microsoft Windows XP </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072915">Microsoft Windows XP 64-Bit-Edition </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072916">Microsoft Windows Server 2003 </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072917">Microsoft Windows Server 2003 64-Bit-Edition </a></li> <li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812102324">Symantec W32.Blaster.Worm Removal Tool</a></li>
THX an HAKO, Webwilli und Giechala für die Unterstützung.
Update: Symantec Symantec W32.Blaster.Worm Removal Tool wurde hinzugefügt, damit soll sich der Wurm ohne den im Thread umständlichen Weg entfernen lassen. Mangels Wurm @Work, kann ich dies aber nicht testen, daher würde ich mich über ein Feedback freuen.
<ul><i>Remote Procedure Call (RPC) ist ein Protokoll, das vom Windows-Betriebssystem verwendet wird. RPC stellt einen Mechanismus für die Kommunikation zwischen Prozessen zur Verfügung, das Programmen, die auf einem Computer verwendet werden, erlaubt, Code nahtlos auf einem Remotesystem auszuführen. Das Protokoll selbst ist vom OSF-RPC-Protokoll abgeleitet (OSF = Open Software Foundation). Das von Windows verwendete RPC-Protokoll enthält einige Microsoft-spezifische Erweiterungen</ul></i>
Eine ausführliche Lösung zu diesem Problem findet Ihr im <a href="http://www.planet3dnow.de/vbulletin/showthread.php3?s=&threadid=112917">Thread</a> unseres Lesers HAKO.
Im Moment handelt es sich nur um ein herunterfahren des Systems, welches der Wurm verursacht, was schon ärgerlich genug ist, da vernünftiges Arbeiten nicht mehr möglich ist. Bleibt die Frage offen, soll dies nur eine Warnung sein um auf die teilweise gravierenden Sicherheitslücken im Betriebssystem Windows aufmerksam zu machen und vor allem bleibt es bei diesem relativ harmlosen Shutdown oder blüht uns demnächst schlimmeres?
Nachfolgend die benötigten Patches für die betroffenen Betriebssysteme:
<b>Download:</b><br><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072911">Microsoft Windows NT 4.0 Server </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072912">Microsoft Windows NT 4.0 Terminal Server Edition </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072913">Microsoft Windows 2000 </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072914">Microsoft Windows XP </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072915">Microsoft Windows XP 64-Bit-Edition </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072916">Microsoft Windows Server 2003 </a></li><li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812072917">Microsoft Windows Server 2003 64-Bit-Edition </a></li> <li><a href="http://www.planet3dnow.de/cgi-bin/file/get.pl?20030812102324">Symantec W32.Blaster.Worm Removal Tool</a></li>
THX an HAKO, Webwilli und Giechala für die Unterstützung.
Update: Symantec Symantec W32.Blaster.Worm Removal Tool wurde hinzugefügt, damit soll sich der Wurm ohne den im Thread umständlichen Weg entfernen lassen. Mangels Wurm @Work, kann ich dies aber nicht testen, daher würde ich mich über ein Feedback freuen.
Zuletzt bearbeitet:
Mighty
Senior Moderator
☆☆☆☆☆☆
Wie schwerwiegend dieser Wurm ist, zeigt sich allein an der Tatsache, dass diese Meldung eigentlich schon heute nacht erscheinen sollte. Als mich Hako darauf ansprach, hab ich erst einmal versucht was darüber herauszufinden, da ich mir dies nicht so recht erklären konnte, weil ich nicht betroffen war.
Nachdem ich dann mit diversen Membern und Kollegen auch aus anderen Foren Rücksprache gehalten habe, war es soweit das ich die Newsmeldung verfasst hatte und online bringen wollte.
Leider, aus was für Gründen auch immer, hab ich das Problem das ich meine Firewall deaktivieren muss um im Planet News zu posten.
Es hat keine Sekunde gedauert und ich war ebenfalls infiziert. Danach ging eigentlich nichts mehr.
Ein weiteres Phänomen was bei mir aufgetreten ist, ich konnte keine Word Dokumente mehr öffnen, keine Mails mehr verschicken und auch das Live Update der Norton Firewall oder des Norton Virenscanners wollte nicht mehr arbeiten. Mein Rechner @home ist immer noch infiziert, da es mir gestern dann doch zu spät war um diese Sicherheitslücke zu schließen. Ein Reboot hat zumindest die Firewall wieder aktiviert und damit ist das Thema im Moment bis zur endgültigen Behebung für mich erst einmal erledigt da die betroffenen Ports und Dateien geblockt werden.
Ich war davon doch sehr überrascht, da es sich um den ersten Virus/Wurm handelt den ich mir in meiner mehrjährigen Tätigkeit mit PCs eingefangen habe und ich kann nur jedem empfehlen die benötigten Updates einzuspielen, es gibt sonst ohne Firewall nach derzeitigem Stand keine Chance dem ganzen zu entgehen.
Nachdem ich dann mit diversen Membern und Kollegen auch aus anderen Foren Rücksprache gehalten habe, war es soweit das ich die Newsmeldung verfasst hatte und online bringen wollte.
Leider, aus was für Gründen auch immer, hab ich das Problem das ich meine Firewall deaktivieren muss um im Planet News zu posten.
Es hat keine Sekunde gedauert und ich war ebenfalls infiziert. Danach ging eigentlich nichts mehr.
Ein weiteres Phänomen was bei mir aufgetreten ist, ich konnte keine Word Dokumente mehr öffnen, keine Mails mehr verschicken und auch das Live Update der Norton Firewall oder des Norton Virenscanners wollte nicht mehr arbeiten. Mein Rechner @home ist immer noch infiziert, da es mir gestern dann doch zu spät war um diese Sicherheitslücke zu schließen. Ein Reboot hat zumindest die Firewall wieder aktiviert und damit ist das Thema im Moment bis zur endgültigen Behebung für mich erst einmal erledigt da die betroffenen Ports und Dateien geblockt werden.
Ich war davon doch sehr überrascht, da es sich um den ersten Virus/Wurm handelt den ich mir in meiner mehrjährigen Tätigkeit mit PCs eingefangen habe und ich kann nur jedem empfehlen die benötigten Updates einzuspielen, es gibt sonst ohne Firewall nach derzeitigem Stand keine Chance dem ganzen zu entgehen.
Zuletzt bearbeitet:
LamBras
Lieutnant
Sorry Leute,
der RPC-Bug ging durch die Presse, der Patch ist bereits seit einem Monat von Microsoft erhältlich. Ist wie mit den Leuten, die immer noch ungefixte NT-Server laufen lassen, auf denen sich Code Red eingenistet hat (habe ich täglich immer noch Dutzende im Webserverlog): Wer nicht patcht und sich nicht um seine Sicherheit informiert (dafür gibt es z.B. MS Update), ist selbst schuld an den Konsequenzen.
Ärgerlich ist nur, dass solche Leute dann auch eine potentielle Schädigung für andere sind.
der RPC-Bug ging durch die Presse, der Patch ist bereits seit einem Monat von Microsoft erhältlich. Ist wie mit den Leuten, die immer noch ungefixte NT-Server laufen lassen, auf denen sich Code Red eingenistet hat (habe ich täglich immer noch Dutzende im Webserverlog): Wer nicht patcht und sich nicht um seine Sicherheit informiert (dafür gibt es z.B. MS Update), ist selbst schuld an den Konsequenzen.
Ärgerlich ist nur, dass solche Leute dann auch eine potentielle Schädigung für andere sind.
Lui-Kim-Su
Grand Admiral Special
Der fehler erlaubt es dem Angreifer jeglichen Code auszufüren.... also theoretisch hätte es auch ein "kill hdd" virus sein können..... wer allerdings brav sein update vor einem monat gezogen hatte, hat keine probs...
Mighty
Senior Moderator
☆☆☆☆☆☆
Das ist richtig, damit wäre einigen, so auch mir eine Menge Ärger erspart geblieben. Aber mal ehrlich, wer spielt REGELMÄSSIG alle Update ein.
Ich hab hier irgendwo noch eine Studie rumliegen in der IT-Leiter zum Thema Sicherheit befragt wurden. Einstimmiges Urteil, die wenigsten spielen alle Patches ein und zwar aus Zeitgründen. Es ist in der Regel immer so, dass der Rechner danach neu gebootet werden muss und da grad bei MS alle paar Tage eine neue Sicherheitslücke inklusive Patch auftaucht fehlt in vielen Firmen, leider, die Zeit und das Personal sich damit ausführlich zu beschäftigen. Teilweise sind schließlich auch tausende von Rechnern im Firmennetz integriert die dann alle einmal neu gebootet werden müßten.
Mighty
Senior Moderator
☆☆☆☆☆☆
Das ging mir mit der Norton Firewall auch so, bis ich sie deaktivieren musste. Ich hab BEVOR ich sie deaktiviert habe auch nach den angesprochenen Dateien gesucht und sie waren definitiv nicht vorhanden.
Wie gesagt, es hat eine Sekunde gedauert nachdem die Firewall runtergefahren war und ich hatte auch die Meldung und danach waren die Dateien drauf
LamBras
Lieutnant
> Aber mal ehrlich, wer spielt REGELMÄSSIG alle Update ein.
Jeder, der einigermassen den Durchblick hat, dass nur ein aktuelles System sicher ist.
Aber vielleicht hilft die ganze Aktion ja den vielen Personal-Firewall-Usern zu sehen, dass es eben nicht ausreicht, einfach nur einen Packetfilter zu installieren, um sicher zu sein.
Jeder, der einigermassen den Durchblick hat, dass nur ein aktuelles System sicher ist.
Aber vielleicht hilft die ganze Aktion ja den vielen Personal-Firewall-Usern zu sehen, dass es eben nicht ausreicht, einfach nur einen Packetfilter zu installieren, um sicher zu sein.
SiN
Grand Admiral Special
Was mich wundert, ist, das dieses Update nicht über die Windows Update Seite verfügbar ist (oder sie ist es und ich habe es nicht gemerkt 
Mighty
Senior Moderator
☆☆☆☆☆☆
Original geschrieben von SiN
Was mich wundert, ist, das dieses Update nicht über die Windows Update Seite verfügbar ist (oder sie ist es und ich habe es nicht gemerkt
Du hast es nicht gemerkt.
suppenzorro
Grand Admiral Special
argh, der sub-server hat es auch dringend gebraucht
HI,
also das war definitv bei den MS Updates dabei?
MfG
Nefilim
P.S. Ich kuke alle zwei oder drei tage nach neuen updates via MS Update, zudem hab ich auch ne legal gekaufte version von Win2000 und hab deswegen auch keine paranoia wie andere diesen service zu nutzten.
also das war definitv bei den MS Updates dabei?
MfG
Nefilim
P.S. Ich kuke alle zwei oder drei tage nach neuen updates via MS Update, zudem hab ich auch ne legal gekaufte version von Win2000 und hab deswegen auch keine paranoia wie andere diesen service zu nutzten.
feelx
Grand Admiral Special
Hi
ich kann's betätigen, dass die Firewalls in diesem Fall nicht / oder nur unzureichend schützen ;(. Bei mir hat ein kurzer Moment mit "deaktivierter" Firewall genügt, um dem Wurm einlass zu bieten. Allerdings hat dann die Kerio Firewall beim ersten Versuch des tftpd einen Hinweis gebracht. Aber die RPC Meldung mit dem Shutdown-Countdown war bereits auf dem Screen. Gut, ich konnte ihn schnell abbrechen (mit shutdown -a (abort) und war so gewarnt... Das mit den Patches ist wirklich so ne Sache - Normalerweise kommen sie eher zu spät, als zu früh... Erstaunlich, dass dieser Wurm erst viel später populär wurde, obwohl diesesmal wirklich frühzeitige Gegenmassnahmen möglich gewesen wären....
greets
ich kann's betätigen, dass die Firewalls in diesem Fall nicht / oder nur unzureichend schützen ;(. Bei mir hat ein kurzer Moment mit "deaktivierter" Firewall genügt, um dem Wurm einlass zu bieten. Allerdings hat dann die Kerio Firewall beim ersten Versuch des tftpd einen Hinweis gebracht. Aber die RPC Meldung mit dem Shutdown-Countdown war bereits auf dem Screen. Gut, ich konnte ihn schnell abbrechen (mit shutdown -a (abort) und war so gewarnt... Das mit den Patches ist wirklich so ne Sache - Normalerweise kommen sie eher zu spät, als zu früh... Erstaunlich, dass dieser Wurm erst viel später populär wurde, obwohl diesesmal wirklich frühzeitige Gegenmassnahmen möglich gewesen wären....
greets
Zuletzt bearbeitet:
Leider wird zu dem Problem auch eine ganze Masse Mist gepinselt.
Hier mal 2 echte fachliche Infos:
http://www.heise.de/newsticker/data/dab-12.08.03-000/
und die vorab Warnung vor 9 Tagen :
http://www.heise.de/newsticker/data/dab-03.08.03-000/
Meine Ansicht dazu findet man hier:
http://www.planet3dnow.de/vbulletin/showthread.php3?s=&threadid=112931
Was solls. Wo doch viele schreiben: "ich will'n billigen Router, aber ohne Firewall und so'n Mist." Manche werden halt nichtmal durch Schaden klug.
Hier mal 2 echte fachliche Infos:
http://www.heise.de/newsticker/data/dab-12.08.03-000/
und die vorab Warnung vor 9 Tagen :
http://www.heise.de/newsticker/data/dab-03.08.03-000/
Meine Ansicht dazu findet man hier:
http://www.planet3dnow.de/vbulletin/showthread.php3?s=&threadid=112931
Was solls. Wo doch viele schreiben: "ich will'n billigen Router, aber ohne Firewall und so'n Mist." Manche werden halt nichtmal durch Schaden klug.
SiN
Grand Admiral Special
Original geschrieben von Mighty
Du hast es nicht gemerkt.
Und wieso konnte ich dann den Patch noch mal seperat von Hand aufspielen
Mighty
Senior Moderator
☆☆☆☆☆☆
Original geschrieben von SiN
Und wieso konnte ich dann den Patch noch mal seperat von Hand aufspielen
Der Patch ist auf jeden Fall schon eine ganze Weile auf der MS Seite.SWL
Admiral Special
Wenn die Firewall deaktiviert ist, kann sie natürlich auch den entsprechenden Port nicht blockieren...
Der Patch ist seit Mitte Juli sowohl über die MS-Homepage als auch über Windows-Update verfügbar. Auf meinem System ist er z.B. seit 20.07. installiert. Im Windows-Update heißt der Patch folgendermaßen: "Sicherheitsupdate für Windows XP (823980)"
Einspielen des Patches vor Deaktivierung der Firewall hätte das wohl verhindert...
SiN
Grand Admiral Special
Original geschrieben von Mighty
Eigentlich geht es mir darum, das ein Patch eigentlich nicht zweimal aufgespielt werden könnte (zumindest bisher.....)
also, ich bin da sicher nicht so der experte auf diesem gebiet wie ihr das seid, aber ich hab ALLE Microsoft updates vor etwa 8tagen gezogen, ALLE! (aufgund der meldung von heise) trotzdem bin ich nun seit gestern im club der infizierten! Also entweder bin ich blind, oder die update seite ist nicht für alle gleich 
symptome sind auch bei mir:
herunterfahren
auslastung des systems durch mein trojaner cleaner nach dem wiederhochfahren
grafik-treiber war plötzlich fehlerhaft
firewall lässt sich nicht mehr starten
naja, das spielt jetzt alles keine rolle mehr, denn ich hab ausversehen mein system unter wasser gesetzt..
symptome sind auch bei mir:
herunterfahren
auslastung des systems durch mein trojaner cleaner nach dem wiederhochfahren
grafik-treiber war plötzlich fehlerhaft
firewall lässt sich nicht mehr starten
naja, das spielt jetzt alles keine rolle mehr, denn ich hab ausversehen mein system unter wasser gesetzt..
Nein dieses Windows!
Ich habe alle Patches vor 7 Tagen installiert aufgrund der Warnung auf Heise.Habe auch Firewall und was soll ich sagen:Firewall deaktiviert und schon Shutdown.Jetzt soll keiner sagen das es am nicht installierten MS-Patch liegt denn der ist drauf.Ich bin auch nicht der einzige dem es so ergangen ist.Scheint als ob der Patch nicht auf allen Sytemen wirklich einwandfrei funktionieren würde.
MS wird es nie schaffen etwas richtig zu machen.
Zuletzt bearbeitet:
Lui-Kim-Su
Grand Admiral Special
Es reicht Keinesfalls nur das Removal Tool auszuführen, der fehler ist damit nicht behoben! Meine Anleitung wurde um das removing tool erweitert was die sache einfacher macht
mayix
Vice Admiral Special
Also ich bin vielleicht einer der wenigen die jeden Tag schauen ob neue Updates verfübar sind ob fürs OS oder den NAV. Habe mir auch mal das Tool runtergeladen, da ich 3 Rechner ab DSL Router hängen habe ist mir das auch sehr Gefährlich geworden der hat aber nichts gefunden aber was derzeit sehr viel im Umlauf ist sind Viren überhaupt, wenn ich mir vorstelle bekomme jeden Tag min. 2 Mails mit Anhang aber dafür habe ich ja NAV der das ganze immer erkennt ( bis jetzt) also immer auf dem neusten Stand bleiben.
G
Gast29012019_2
Guest
Hi..
Der Wurm soll sich ja am 16 August, sämtliche MS-Server platt machen, sofern der nicht entfernt wird.
Solange er keinen Schaden auf dem heimischen PC erzeugt kann es eigentlich egal sein.
Den so sieht man wieder das MS nicht in der Lage ist, die Sicherheitslücken in MS zu schließen, und wenn dann noch TCPA kommt, kontrollieren bestimmt neben MS noch andere den PC, da MS es nicht schafft ein sicheres BS auf dem Markt zu bringen, und jetzt mit den neuen Features in Longhorn z.b noch mehr schaden anrichten.
Warten wir den nächsten Wurm ab, der eine erneute Sicherheitlücke offenbart.
Aber wahrscheinlich muß hilft nur eine geziehlte Attacke, wo ein Wurm durch so eine Lücke in der Lage währe sämtliche Daten auf dem Server dauerhaft zu löschen, damit die mal Wach werden, und anfangen zu suchen, bis alle Löcher gestopft sind.
Der Wurm soll sich ja am 16 August, sämtliche MS-Server platt machen, sofern der nicht entfernt wird.
Solange er keinen Schaden auf dem heimischen PC erzeugt kann es eigentlich egal sein.
Den so sieht man wieder das MS nicht in der Lage ist, die Sicherheitslücken in MS zu schließen, und wenn dann noch TCPA kommt, kontrollieren bestimmt neben MS noch andere den PC, da MS es nicht schafft ein sicheres BS auf dem Markt zu bringen, und jetzt mit den neuen Features in Longhorn z.b noch mehr schaden anrichten.
Warten wir den nächsten Wurm ab, der eine erneute Sicherheitlücke offenbart.
Aber wahrscheinlich muß hilft nur eine geziehlte Attacke, wo ein Wurm durch so eine Lücke in der Lage währe sämtliche Daten auf dem Server dauerhaft zu löschen, damit die mal Wach werden, und anfangen zu suchen, bis alle Löcher gestopft sind.
Zuletzt bearbeitet:
Lui-Kim-Su
Grand Admiral Special
Dein Rechner fährt nur alle paar minuten runter *g*Original geschrieben von Zidane
Hi..
Solange er keinen Schaden auf dem heimischen PC erzeugt kann es eigentlich egal sein.
Ähnliche Themen
