Wurm W32.Blaster befällt PC -> System Shutdown

    Zitat

    Original geschrieben von Mirko
    Das passiert doch nicht so einfach?


    Um es mal etwas ausführlicher zu erklären ;). Diesen Wurm handelst du dir automatisch ein, wenn du ohne Security-Patch, der eben diese Schwachstelle behebt und ohne Firewall, die den Port 135 dicht macht ins Internet gehst. Hast du dann noch ein Betriebssystem wie Windows 2000, XP oder Server 2003, dann war es das.


    Da ich rechtzeitig die Patches aufgespielt hatte und ohne Firewall sowieso nicht unterwegs bin, hat es mich z.B. nicht getroffen, trotz XP.

    Der Wurm scannt so viele Rechner wie er kann auf einen offenen Port 135 durch, schiebt sich unter Ausnutzung eben dieser Lücke per tftp auf den Rechner, klinkt sich da ein und scannt von da aus weiter.
    Es ist *keine* Interaktion des Users notwendig!
    Wie Merlin schon schreibt: Anfällig ist jeder, der ein MS Betriebssystem ab 2000 und den Port 135 offen hat. Dieser ist standardmäßig auf.


    Die Verbreitung des Wurm wird übrigens grade daran gehindert, dass einige Provider bei sich den Port 135 einfach komplett blocken.


    -SF³

    So ein Router ist schon praktisch... :D In einem NAT dürfte ich wohl nur verwundbar sein, wenn ich den 135 forwarde zu meinem höchst selten verwendeten Win Client. ;)



    Auch ohne Firewall kann einem in einem NAT IMHO nix passieren, oder?!


    Mickey09 (der natürlich trotzdem die Router Firewall anhat um sein Red Hat zu schützen... *g*)


    Lustig wirds am 16.8., wenn mal eben alle infizierten Rechner windowsupdate.com heimsuchen.... :D



    Mickey09


    „Der Mann, der gesagt hat ‚Ich hätte lieber Glück als Talent.’ hat tiefe Lebensweisheit bewiesen. Manchmal will man nicht wahrhaben, wie viel im Leben vom Glück abhängt. Es ist erschreckend, wie viel außerhalb der eigenen Kontrolle liegt. Es gibt Augenblicke in einem Tennismatch, da trifft der Ball die Netzkante und kann für den Bruchteil einer Sekunde nach vorn... oder nach hinten fallen. Mit einem bisschen Glück fällt er nach vorn... und man gewinnt oder vielleicht auch nicht und man verliert.“

    Da hat mich dann Zonealarm (pro) wohl gut geschützt :)
    Danke für die Erklärung!
    Ich war bisher immer der Meinung, dass sich dieses Gewürm nur über Mails und Dateien verbreitet.
    Verbreiten sich Würmer (und auch Viren?) oft auf solchen Wegen, oder war das bei diesem Wurm das besondere?

    Zitat

    Original geschrieben von Mickey09
    Lustig wirds am 16.8., wenn mal eben alle infizierten Rechner windowsupdate.com heimsuchen.... :D


    Mickey09


    Abgesehen von der Tatsache, das es mich mit meinem W2k auch erwischt hat und ich ohne diesen Thread hier bestimmt so verzweifelt wäre das ich (mal wieder) neu installiert hätte scheine ich doch etwas verpasst zu haben..


    Warum sollten am 16.08. alle infizierten (mit was infiziert?) windowsupdate.com heimsuchen? Ist das noch so ein zusätzliches Feature dieses Wurms oder wie?


    Wär für ne Erklärung dankbar.


    Gruß,


    Tom

    Nutze den Tag


    Das Wort "Würde" kennen manche Menschen nur noch als Konjunktiv II in dem Satz: "Für Geld würde ich alles machen."

    Zitat

    Original geschrieben von Tom_le_ours


    Warum sollten am 16.08. alle infizierten (mit was infiziert?) windowsupdate.com heimsuchen? Ist das noch so ein zusätzliches Feature dieses Wurms oder wie?



    Zitat


    Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:




    Quelle




    Mickey09


    „Der Mann, der gesagt hat ‚Ich hätte lieber Glück als Talent.’ hat tiefe Lebensweisheit bewiesen. Manchmal will man nicht wahrhaben, wie viel im Leben vom Glück abhängt. Es ist erschreckend, wie viel außerhalb der eigenen Kontrolle liegt. Es gibt Augenblicke in einem Tennismatch, da trifft der Ball die Netzkante und kann für den Bruchteil einer Sekunde nach vorn... oder nach hinten fallen. Mit einem bisschen Glück fällt er nach vorn... und man gewinnt oder vielleicht auch nicht und man verliert.“


    So ist es.
    Am 16.08. starten anscheinend alle infizierten Rechner eine DenialOfService-Attacke auf oben genannte Domain, was wohl den Server lahmlegen wird. Denn bis dahin werden wohl Millionen von Rechnern ungeschützt durchs Internet "gondeln".
    :flop:


    Carsten

    Zitat

    Original geschrieben von Mirko
    Ich war bisher immer der Meinung, dass sich dieses Gewürm nur über Mails und Dateien verbreitet.
    Verbreiten sich Würmer (und auch Viren?) oft auf solchen Wegen, oder war das bei diesem Wurm das besondere?


    Der Mailweg ist der einfachere, da muss man sich mit dem System nicht besonders gut auskennen ;). Die "direkte" Methode ist aber oft effektiver (was sich ja gezeigt hat), da sie praktisch vollautomatisch abläuft, aber man muss dazu die Systemschwächen recht genau kennen und ausnutzen.


    Bei Linux ist es bisher der "übliche" Weg gewesen. Wenn man also ein Linuxsystem nicht auch auf den neuesten Stand, was Securitypatches anbelangt, hält, dann ist das auch nicht sicher, sondern ebenfalls sehr angreifbar. Ich kenne etliche Exploits und RootKits für Linux und damit brichst du in ein nicht geschütztes System schneller ein, als du "Pinguin" sagen kannst ;).

    Zitat

    Original geschrieben von Dunken
    Mein Betriebssystem ist Win2K, habe auch den Patch runtergeladen,
    aber dann erscheint eine Meldung :
    Service Pack ist zu alt, bräuchte Service Pack 2 .
    Wo bekomme ich das jetzt her ?
    ...


    W2k Service Pack 1, 2, 3 und 4 findest Du hier: http://www.microsoft.com/windo…/servicepacks/default.asp



    cu
    Thomas

     iMac 27Zoll 5K mit 2TB Fusion-Drive
     iPad 6 & iPad Air Wi-Fi/Cellular
     iPhone 16 Pro Max White Titanium
     Watch 6 44er Edelstahl Gliederarmband

     HomePods, HomePod mini & ATVs 4/4k

    Nochmal für die, die nicht den ganzen Thread durchlesen:
    Der Wurm kommt diesmal nicht per email, sondern klammheimlich übers Netz: einloggen genügt, wenn man Pech und zB keine Firewall hat.


    Und noch ein Link, diesmal von der bsi
    Enthält recht ausführliche und lesbare Infos.
    Unten auf der Seite wird zu Gegenmitteln verlinkt.


    (Falls er schon mal unter sowas wie "Quelle" verlinkt wurde, ist es meiner Aufmerksamkeit entgangen ;))


    << Kann mal jemand zu den 3? wichtigsten Postings hier im Thread verlinken? Am besten im Anfangsposting? >>

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden