VIRUSALARM | RPC Msblast.exe

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • VIRUSALARM | RPC Msblast.exe

    Für alle, die gestern nicht im Channel waren

    Seit vergangener Nacht verbreitet sich ein neuer Wurm namens "Blaster" oder "Lovsan" explosionsartig im Web. Nachdem verschiedene Antiviren-Software-Hersteller den Schädling als äußerst gefährlich einstuften, warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik vor dem sich rasant ausbreitenden Internet-Wurm. Experten zufolge befiel der Wurm am Montag bereits tausende von PCs in den USA. Auch in Deutschland gab es bereits gestern Abend die ersten Fälle. Symptom für den erfolgreichen Angriff ist ein Fenster, das mitteilt das System müsste heruntergefahren werden, da der Dienst "Remoteprozeduraufruf" unerwartet beendet wurde.

    Suche nach nicht gesicherten Rechnern im WWW
    Auf befallenenen PCs startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme auf Port 135 an. Findet er einen Computer ohne installierten Patch, öffnet er eine Remote-Shell auf TCP-Port 4444, lädt den Wurm-Code Msblast.exe über TFTP auf den Rechner und kopiert diesen in das Windows-Systemverseichnis. Auf einem infizierten PC lauscht der Wurm fortan am UDP-Port 69 und versendet den Wurm-Code von dort auf Anfrage weiter, um sich so weiter zu verbreiten.

    Denial-of-Service-Attacke steht bevor
    Der Schädling sorgt dafür, dass er bei jedem Rechner-Neustart geladen wird, indem er einen entsprechenden Eintrag in der Registry vornimmt. Bedingt durch die zufällig ausgewählten Daten, die der Wurm an andere Rechner sendet, können Systeme so auch gezielt zum Absturz geführt werden. Ab dem 16. August 2003 startet der Wurm außerdem eine Denial-of-Service (DoS)-Attacke auf die Website windowsupdate.com, was verhindern soll, dass sich Anwender entsprechende Patches auf den Rechner laden können. Die DoS-Attacke läuft dann ununterbrochen bis Ende des Jahres

    Patches gibts hier: microsoft.com/germany/ms/techn…etin/bulletinms03-026.htm

    Remover für den Virus hier: h**p://securityresponse.symantec.com/avcenter/FixBlast.exe
  • Ich habe mal eine Frage zu dem Sicherheitspatch. wenn man eine Raubkopie von WinXP hast, ist es dann ratsam den Patch zu installieren ? Oder kann man dadurch irgendwie ärger mit microsoft bekommen ?

    mfG
    Tavaresh
  • Zur Info:

    Das Teil löscht nichts, fährt nur den PC innerhalb von 60 s (oder so) runter. Zum Abbrechen des Shutdownvorgangs einfach nur Start | Ausführen und dort: "shutdown -a" eingeben. Dann kann man den Patch ohne Stress runterladen.
    Also: nervig aber harmlos
  • wenn man ne firewall an hat dann kommt der shutdown auch net weil die firewall den wurm irgendwie blockt zumindest bei mir und sobald ich sie ausschalte kommt gleich die meldung vom runterfahren *g* naja zum glück hab ichs wegbekommen
  • Original geschrieben von SECk
    Das Thema Blast ist zwar schon fast veraltet, aber wollt mal nebenbei erwähnen, das ich seid ich nen fli4l Router hab keinen Virus, Wurm oder sonstwas hatte. :cool:


    Hat absolut gar nichts damit zu tun. Ich hatte auch diesen Wurm, trotz meines fli4l Routers. Der blockt ja nicht den Download von einem Virus/Wurm, sondern verhindert, falls man die Firewallsettings richtig gesetzt hat, nur, dass der Wurm/Virus sich mit dem Netz verbinden kann.
    Aber eine wirkliche Sicherheitsstufe ist ein fli4l Router sicherlich nicht.

    pralle
    -=Wer anderen eine Bratwurst brät, der hat ein Bratwurstbratgerät=-

  • ...
    Auf befallenenen PCs startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme auf Port 135 an. Findet er einen Computer ohne installierten Patch, öffnet er eine Remote-Shell auf TCP-Port 4444, lädt den Wurm-Code ...


    Und wenn die Ports dicht sind, kann er das nicht oder?

    Und damit gehört mein Rechner nicht zu den Gefärdeten oder?


    Suche nach nicht gesicherten Rechnern im WWW


    Oder gilt das mit den Ports nur fürs interne LAN?
    Und der Wurm verbreitet sich übers www nur per Datenaustausch (E-Mail und so)?
  • Hallo SECk,
    genau, wenn die Ports dicht sind, kann er sich nicht connecten. Das ist dann fli4l zu verdanken.
    Aber nichts desto rotz hast du ihn dir dennoch eingefangen, auch wenn der Wurm seine eigentliche Aufgabe nicht erfüllen kann, da dein Router ihn blockt.
    Somit hast du dennoch einen (wenn auch nicht wirklich gefährlichen) Virus, bzw. Wurm auf deiner Platte. Da kann auch der fli4l nichts dran ändern :)

    pralle
    -=Wer anderen eine Bratwurst brät, der hat ein Bratwurstbratgerät=-
  • nix formatieren. Also als erstes, besorg dir ne firewall wie zonealarm, die hat mir damals auch geholfen. Wenn msblast runterfahren will, dann einfach unter ausführen:

    Shutdown -a eingeben

    so wird verhindert, dass der pc runterfährt. Nachdem du die firewall installiert hast suchst du in deinem system32 ordner nach msblast und löschst diesen. Wenn dies nicht geht, dann wird er noch ausgeführt und du must via taskmanager msblast beenden. und danach deleten. Als nächsten schritt würde ich mir vielleicht mal überlegen den Sicherheitspatch von Microsoft einzuspielen.

    Warum immer alles gleich formitieren ??? *GG* Wenns sonst noch probleme gibt, einfach melden. Ich hatte das problem auch.

    Greetz The Game