Bagle-Wurm deaktivert Windows Firewall

Pixelman

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
2.871
Renomée
31
Standort
rheinfelden.ch
Wie wir bereits gestern berichteten, schwappt eine neue Welle von Bagle-Viren zurzeit durch das Internet. Neuesten Erkenntnissen der Virenspezialisten von <A HREF="http://www.sophos.de/" TARGET="b">Sophos</A> zufolge, kursieren nun Varianten dieses Wurms, welche die mit dem <A HREF="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1092074603">Service Pack 2</A> für Windows XP eingeführte Windows Firewall ausser Gefecht setzen können.<UL><I>"Just because you are running the latest version of Windows XP you shouldn't think you are necessarily protected from this worm." ... "If you launch it on a PC running Windows XP SP2 it can turn off your firewall opening the door to hackers and other internet attacks."</I>
<FONT SIZE="1">Graham Cluley, Senior Technology Consultant bei Sophos</FONT></UL>Dieses Beispiel zeigt, wie verletzlich die systeminterne Firewall von Windows ist. Und wieder einmal leiden darunter die weniger erfahrenen Nutzer, welche keine andere Firewall im Einsatz haben.

<li><A HREF="http://www.sophos.com/virusinfo/analyses/w32bagleau.html" TARGET="b">Informationen zu Bagle.AU</A> [Sophos]</li><LI><A HREF="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1099046254">Bagle.az - Neuer Virus überflutet die Mailboxen</A> [Planet 3DNow! News]</LI><LI><A HREF="http://www.free-av.de/" TARGET="b">AntiVir PE Freeware-Virenscanner</A></LI>
 
Original geschrieben von Pixelman
Dieses Beispiel zeigt, wie verletzlich die systeminterne Firewall von Windows ist
Sorry, aber wenn eine Firewall deaktivierbar ist, ist sie das natürlich auch per Software. Schlimm wäre es, wenn man sie über's Web ohne Zutun des Nutzers deaktivieren könnte, aber bei Bagle muss der Benutzer die Malware ja selbst ausführen.
Wie sollte Microsoft solche Sachen den Deiner Meinung nach unterbinden? Das Deaktivieren der Firewall nicht mehr ermöglichen? Das Geschrei wäre groß...
 
Es wäre halt schön, wenn auch als nicht Administrator vernünftig arbeiten könnte, aber es gibt dutzende Programme, die ohne Adminrechte gar nicht oder nicht ordentlich funktionieren.
 
Original geschrieben von TiKu
Sorry, aber wenn eine Firewall deaktivierbar ist, ist sie das natürlich auch per Software. Schlimm wäre es, wenn man sie über's Web ohne Zutun des Nutzers deaktivieren könnte, aber bei Bagle muss der Benutzer die Malware ja selbst ausführen.
Wie sollte Microsoft solche Sachen den Deiner Meinung nach unterbinden? Das Deaktivieren der Firewall nicht mehr ermöglichen? Das Geschrei wäre groß...

nunja, mann könnte das deaktivieren der firewall mit einer passwort abfrage unterbinden, so dass bei jeder Windows einrichtiung unbedingt ein passwort eingerichtet werden muss. Wenn ich mich nicht täusche kann das z.B. bei Kerio und evtl. andere lösungen.
 
Original geschrieben von mr_shaba
nunja, mann könnte das deaktivieren der firewall mit einer passwort abfrage unterbinden, so dass bei jeder Windows einrichtiung unbedingt ein passwort eingerichtet werden muss. Wenn ich mich nicht täusche kann das z.B. bei Kerio und evtl. andere lösungen.
Irgendwo im System ist abgespeichert, ob die Firewall an oder aus ist. Den Speicherort rauszubekommen ist einfach. Okay, man könnte den Wert noch verschlüsseln. Aber bis das geknackt wird, wäre nur eine Frage der Zeit. Notfalls fragt die Malware den Benutzer eben nach dem Passwort. Leuten, die Malware starten, kann man IMHO auch recht leicht das Passwort aus der Nase ziehen.

IMHO zeigt Bagle nur 2 Sachen: Wie verletzlich Software-Firewalls sind und wie dumm manche (viele?) User sind.
 
Original geschrieben von TiKu

Wie sollte Microsoft solche Sachen den Deiner Meinung nach unterbinden? Das Deaktivieren der Firewall nicht mehr ermöglichen? Das Geschrei wäre groß...

Fettes Fenster auf dem Bildschirm: "Firewall wird nun Deaktiviert, wollen Sie das wirklich? Und wenn Sie zu dumm zu antworten sind: klicken sie auf NEIN!!!!"

Das ganze so absichern (Hashmässig, oder wie auch immer das MS das bewerkstelligen kann), so dass der Virus dieses Fenster NICHT automatisch bestätigen kann!
 
Original geschrieben von Curacao
Fettes Fenster auf dem Bildschirm: "Firewall wird nun Deaktiviert, wollen Sie das wirklich? Und wenn Sie zu dumm zu antworten sind: klicken sie auf NEIN!!!!"

Das ganze so absichern (Hashmässig, oder wie auch immer das MS das bewerkstelligen kann), so dass der Virus dieses Fenster NICHT automatisch bestätigen kann!
Irgendwo im System ist abgespeichert, ob die Firewall an oder aus ist. Den Speicherort rauszubekommen ist einfach. Okay, man könnte den Wert noch verschlüsseln. Aber bis das geknackt wird, wäre nur eine Frage der Zeit. Notfalls fragt die Malware den Benutzer eben nach dem Passwort. Leuten, die Malware starten, kann man IMHO auch recht leicht das Passwort aus der Nase ziehen.
 
Original geschrieben von Patkilla
Es wäre halt schön, wenn auch als nicht Administrator vernünftig arbeiten könnte, aber es gibt dutzende Programme, die ohne Adminrechte gar nicht oder nicht ordentlich funktionieren.

Du sagst es. Und Spiele sind das Musterbeispiel für Deine Aussage. Wobei das Problem wohl sogar bei älteren Spielen "Made by Microsoft" vorhanden ist ... .

Ja es gibt inzwischen auch einige Hilfsmittel und Tricks. Aber 95% der PC-Nutzer kennen diese Dinge garnicht oder sind damit heillos überfordert.
 
Wenn ein Virus einmal auf dem System läuft, dann ist es sowies o schon zu spät. Was will man da noch die Firewall deaktivieren. Es geht doch einfacher, wenn man dem Nutzer einfach ein selbstgestricktes Outookupdate unterschiebt, das dann alle Dateien mit einem gewissen Anfang ausführt. So kann man auch automatisch updaten und ein User, der auf komische Mails klickt ist in der Regel auch nicht so ein Fachmann, dass er die Outlookversionen genau auseinanderhalten kann. Solange Konfigurationsdateien importiert werden und die Oberfläche gleich ausschaut wird das keiner merken, dass die Verknüpfung in Wirklichkeit wo anders hinzeigt. Da braucht man nicht einmal die Dateien von Outlook überschreiben. Einfacher wird es noch gehen, indem ich einfach ein kleines Filesharingtool als Dienst aktiviere, das mir automatisch von alle verbundenen Usern die aktuelle Version meines Virus zieht. Zur Not in den Autostart das fällt dem DAU normalerweise auch nicht auf, wenn nicht gerade ein Riesenfenster erscheint. Firewall aktivieren ist zwar schön und gut, macht aber nicht wirklich einen Schaden. Ich komme auch ohne Firewall aus (nicht einmal die windowsinterne) und bekomme genauso keine Viren. Falls doch fliegen sie einfach wieder raus.
 
und auch da würde es wieder helfen, wenn man als nicht Admin arbeiten könnte. Dann wäre nur der eine Useraccount betroffen.
 
Original geschrieben von TiKu
Wie sollte Microsoft solche Sachen den Deiner Meinung nach unterbinden? Das Deaktivieren der Firewall nicht mehr ermöglichen? Das Geschrei wäre groß...
Naja, mir fällt dazu einfach diese Sicherheitsabfrage von ZoneAlarm ein, die immer erscheint, wenn es deaktiviert wird.
Die Abfrage lautet in etwa so:
"Es wird gerade versucht, ZoneAlarm zu deaktivieren.
Klicken Sie OK, wenn sie dies erlauben möchten.
(z.B. im Falle eines Updates der ZoneAlarm-Software)"
[OK] [Abbrechen]
Sowas ist vielleicht nicht die perfekte Lösung, aber immerhin ein Anfang.
 
Aber wir alle wissen doch auch was von Softwarefirewalls die auf der zu schützenden Maschine zu halten sind, oder?
 
Hi

1. Gebt MS eine Chance, immerhin ist es die Version 1.0 der FW

2. ich hatte ENDLICH mal den richtigen Richer ... wenn ein Virus eine FW angreift, dann die von MS.

Kali
 
Original geschrieben von Kali
Hi

1. Gebt MS eine Chance, immerhin ist es die Version 1.0 der FW

2. ich hatte ENDLICH mal den richtigen Richer ... wenn ein Virus eine FW angreift, dann die von MS.

Kali

Unter Linux heisst sowas 0.1
 
glaubst du ein program kann da nicht draufklicken ?
??? *lol*


du kannst ALLES programmieren
(auch dass er paint öffnet und dort ein bild zeichnet ... :D )


sobald der user draufklickt ist es zu spät ...
 
Original geschrieben von FLOI

du kannst ALLES programmieren
(auch dass er paint öffnet und dort ein bild zeichnet ... :D )

das wäre doch mal witzig, wenn auf einmal paint anfängt draufloszumalen, während der user anfängt an geister zu glauben *lol*

würde zumin. genauso auf sichherheitslücken hinweisen...


Der Vorschlag von Pixelman wäre tatsächlich hilfreich, aber sowas könnte sicherlich auch rel. unkompliziert unterbunden werden :/
Besser wäre vielleicht, wenn der Status der Firewall permanent sichtbar wäre...z.B. in der Taskleiste incl. Popup bei Veränderung....aber letztendlich gilt tatsächlich: Gegen Dummheit ist kein Kraut gewachsen ;)
 
Zuletzt bearbeitet:
Mal 'ne Frage:
Erkennen die Vierenscanner inzwischen das Würmli oder immernoch nicht?
Und ich find's zwar super, dass ihr (Antivirus)tools zum Thema gleich in die Links stellt, aber wieso, wenn selbst die den Wurm selbst niht erkennen (und ev. sogar abgeschossen werden), wie es in eurer ersten Meldung zum Thema stand.
Aber wenn die erste Frage mit ja beantwortet werden kann, ziehe ich alles zurürck und halte lieber den Mund.

Viele Grüße und Respekt für eure Arbeit von
Berlioz
 
ich hab gestern eienen mit dem scanner 'symantec antivirus 2005' gefunden. hat mich gewundert, da der virus erst ein paar stunden drausen war. und eigentlich hab ich glaub auch gelesen, das symantec den virus noch nicht in die virendefinition aufgenommen hat...
 
Blödsinn!

Wenn man nicht unbedingt jede E-Mail (Anhang) öffnet, sich auf bunten klicki-Titti-Warez Seiten herumtreibt oder zu faul ist die Patches von MS zu laden, bekommt man zu 99% keinen Virus aufs System.

Selbst Blaster/Sasser hätten sich nie verbreitet wenn jeder sein System aktuell halten würde.

P.S. Die Windoof-FW ist nicht so schlecht wie ihr Ruf (besonders die SP2-FW), als "kleiner Schutz" ist sie durchaus zu gebrauchen.
 
P.S. Die Windoof-FW ist nicht so schlecht wie ihr Ruf (besonders die SP2-FW), als "kleiner Schutz" ist sie durchaus zu gebrauchen.
Bitte :o
ein primitivster Portfilter der lediglich EINgehende Pakete, noch nichtmal stateful, ueberpruefen kann, nennst du im Zuammenhang mit einem Schutz...

Wie schon noch und noecher gesagt, MS haette sich von Anfang ein vernuenftiges Sicherheitskonzept ueberlegen koennen, aber nein dafuer war man zu faul, also muss fuer viele Automatismen Juergen Jedermann, immer als Administrator arbeiten.
Mac OS X machts vor, wozu braucht man auf einem Homerechner bitte Root/Administrator? ...Ubuntu-Linux machts nach ;)

Ist eindeutig MS" Fehler, haben dumme User gezuechtet, ein Konzept ignoriert, und DAS ist die Retourkutsche. KEINE AUSREDEN.

Wenn ich als `tom` auf meinem DragonFly ein Script ausfuehre was mir "pf" Filternregeln aendern will, wird das einfach nicht gemacht, weil `tom` das nicht darf.

So einfach ist das, aber dann waere Windows ja nicht so "benutzerfreundlich" :]

1. Gebt MS eine Chance, immerhin ist es die Version 1.0 der FW

Unter Linux heisst sowas 0.1
ich wuerde Linux nicht so hoch halten, sondern ganz einfach sagen Systeme bei denen nicht so geschludert wird wie bei MS.
Denn 1.0 heisst, es sind alle Features enthalten die am Anfang geplant worden, und wenn man sich diese Windows"Firewall" anguckt, bezweifle ich recht stark, dass das alles sein soll, dafuer sind die MS Leute zu gut. :o
Aber bei MS ist es ja ueblich, fuer den eh zu eng angesetzten Terminplan Features zu streichen. Das Management ist dafuer verantwortlich, weil es nur um Geld geht, nicht um Qualitaet. MS sind wahrlich grandios darin, den Leuten den groessten Mist zu verhoekern.
Zitat ex-MS Entwickler:"The shipping date comes closer and closer, bugs become acceptable, and as long as the system isn't blowing up completly, they will ship it"
 
Zuletzt bearbeitet:
@Pixelman:
Naja, mir fällt dazu einfach diese Sicherheitsabfrage von ZoneAlarm ein, die immer erscheint, wenn es deaktiviert wird.
Die Abfrage lautet in etwa so:
Wie schon gesagt: Bei einer Softwarefirewall muss irgendwo im System hinterlegt werden, ob die Firewall läuft oder nicht (um diesen Status beim nächsten Systemstart wiederherzustellen). Und dieser Wert lässt sich normalerweise per Software ändern ohne dass die Firewall davon selbst etwas mitbekommt.

Windows krankt wirklich daran, dass man kaum produktiv ohne Adminrechte arbeiten kann, da es zuviel Software gibt, die da nicht mitspielt. Warum gibt es soviel dieser Software? Zum Einen hat Microsoft da früher selbst nicht groß drauf geachtet und schon gar nicht Fremdherstellern auf die Finger gehauen, zum Anderen ist es derzeit ein bisschen das Henne-Ei-Prinzip: Solange ein Großteil der Software nicht ohne Adminrechte kann, wird Microsoft sich hüten, dem Standardnutzer ein eingeschränktes Nutzerkonto zu geben. Andererseits werden die meisten Fremdhersteller erst dann ihre Software ändern, wenn sie müssen, sprich, wenn Microsoft dem Standardnutzer die Adminrechte entzieht.
 
Original geschrieben von I²K
Aber wir alle wissen doch auch was von Softwarefirewalls die auf der zu schützenden Maschine zu halten sind, oder?

Es bringt etwas mehr Sicherheit ins System, aber hat genau den Nachteil dass die Firewall durch einen Schädling abgeschaltet werden kann.

Eine "Hardwarefirewall" hat dieses Problem nicht, ist aber komplizierter zu konfigurieren und einige Ports bleiben dennoch offen.

Eine Lösung wäre vielleicht einen Proxy einzurichten über den die Daten dann ins Netz gelangen.
 
Original geschrieben von CapJo
Es bringt etwas mehr Sicherheit ins System, aber hat genau den Nachteil dass die Firewall durch einen Schädling abgeschaltet werden kann.

Eine "Hardwarefirewall" hat dieses Problem nicht, ist aber komplizierter zu konfigurieren und einige Ports bleiben dennoch offen.

Eine Lösung wäre vielleicht einen Proxy einzurichten über den die Daten dann ins Netz gelangen.

Wäre "Alle Ports zu" nicht gleichzusetzten mit Stecker ziehen?
 
Windows krankt wirklich daran, dass man kaum produktiv ohne Adminrechte arbeiten kann, da es zuviel Software gibt, die da nicht mitspielt.
sehr richtig.
Microsoft eigene Software, wie Office, ist da miteinzuschliessen. MS traegt einen ganzen Batzen Schuld mit.

Warum gibt es soviel dieser Software? Zum Einen hat Microsoft da früher selbst nicht groß drauf geachtet und schon gar nicht Fremdherstellern auf die Finger gehauen
vie schlimmer, es ist IHRE Erfindung, wer war durch DOS das Single User Prinzip gewoehnt? Wer wollte Automatismen bis zum Umfallen? Wer schaffte den Mythos des Rechners, der alles alleine kann, MS hat ihre Achillesferse _selbst_ erschaffen.

zum Anderen ist es derzeit ein bisschen das Henne-Ei-Prinzip: Solange ein Großteil der Software nicht ohne Adminrechte kann, wird Microsoft sich hüten, dem Standardnutzer ein eingeschränktes Nutzerkonto zu geben. Andererseits werden die meisten Fremdhersteller erst dann ihre Software ändern, wenn sie müssen, sprich, wenn Microsoft dem Standardnutzer die Adminrechte entzieht.

Hennei-Ei? Nein MS hat's erfunden, vorgemacht, und die Masse hat's etabliert, Betriebssysteme vor MS Windows haben soetwas nie gemacht, bei Unix und dessen nachbauten, gab es immer diese strikte Trennung, und Applikationen, mussten dieses Prinzip einhalten, sonst waeren sie nutzlos. Bei Windows war es genau anders herum, nutzlos als Nicht-Administrator.
Richtig ist jedoch, dass Microsoft ihrer Installbase und damit sich selbst ins Bein schiessen, denn ohne sie waere Microsoft mit einem Schlag tot.
 
Zurück
Oben Unten