Wurm W32.Blaster befällt PC -> System Shutdown

Also,

Ich war gerade bei meinem Nachbar. Der hat ebenfalls XP Pro. Haben die suche gestartet, hat keine Datei mit MSBLAST gefunden.

Ich habe jetzt beide Datein gelöscht, und habe das Häckchen im msconfig entfernt. Den Key in der Reg. hab ich ebanfalls gelöscht. Bis jetzt läuft alles stabil.

Hoffe ich bin jetzt mal länger als ne halbe std im Netz...

Bei mir sind die Probleme mittlerweile auch wieder verschwunden.

Ich bin so froh, wenn ich endloch mein Powerbook hab

Marcel

Hiermit kann man laut Heise-Artikel auf die Schwachstellen überprüfen:

http://www.eeye.com/html/Research/Tools/RPCDCOM.html

Freeware, Ralf

msblast ist ein WURM!

Zitat

Beschreibung
Seit etwa 19:00 Uhr MESZ ist ein Wurm im Umlauf, der die Schwachstelle im DCOM/RPC-Service für Microsoft Windows ausnutzt (siehe [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle). Der Wurm verwendet offenbar den Servicepack-unabhängigen Exploit für Windows 2000, wodurch Windows-XP-Systeme eventuell durch diesen Wurm nicht gefährdet sind. Die Übertragung des Wurmes nach erfolgreicher Kompromittierung erfolgt wahrscheinlich mit TFTP (UDP-Port 69) und TCP-Port 4444. Zur Eindämmung ist es also empfehlenswerte, diese Ports zu filtern.

Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird.

Quelle und weitere Details.

Hier hat noch einer rausgefunden:

Zitat

nach dem Entpacken mit UPX konnt ich per HEX-Editor rausfinden dass die Datei sich in die Registry schreibt (Autostart). Ausserdem befindet sich in der Datei folgender Text:

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Gruß, Ralf

Infos dazu von Symantec:

http://securityresponse.symant…ata/w32.blaster.worm.html

na und ich dachte schon da hätte es einer nur auf mich abgesehen

achja, wenn die meldung bei euch kommt geht ins startmenü->ausführen und gebt "shutdown.exe -a" ein (herunterfahren abbrechen)

msblast arbeitet mit der shutdown.exe (windows eigenes programm) zusammen

ich frag mich nur wirklich wie ich den wurm auf nen frisch aufgesetzen pc ohne downloads und e-mails bekommen hab..

mfg
lynco

Zitat

Original geschrieben von Handyjunkie
Nur wie soll ich die Updates downloaden und installieren, wenn ich nur ein paar Minuten online sein kann?

Microsoft zeigt mir insgesamt über 60 Updates.

Die beiden MSBlast-Dateien habe ich gelöscht, in der MSConfig habe ich es deaktiviert, und er beendet trotzdem munter weiter.

UI ui ui, da wirds aber mal Zeit für ein Update.

Also das nächste mal wenn Du deinen Rechner Neu startest, gehst du nicht ins Netz. Gehe auf Start > Ausführen > dort gebe "regedit" ein. Dort auf bearbeiten gehen und die such funktion benutzen. folgendes eingeben > WINDOWS AUTO UPDATE, und suchen. Der findet dan einen Ordner, in dem Ordner befinden sich glaubich 2 oder 3 Werte mit MSBLAST. Einfach rechte Maustaste und löschen. Dann nochmal auf suchen gehen und MSBLAST eingeben. Dann findet er glaubich wieder 2werte. Die auch löschen.

Es ist deswegen wichtig diesen Wert zu löschen, da er bei jedem neuem starten des Rechners aktiv wird. Praktisch wie ein Trojaner. Nachdem Du die Einträge in der Reg. gelöscht hast, scann nochmal zur sicherheit deine Platte nach den MSBLAST Datein, und schau sichertshalber nochmal in der msconfig nach. Danach sollte das Monster endgültig weg sein. Dann empfehl ich dir ein Windows Update vorzunehmen.

Wie gesagt, ich konnte das Problem so beheben

Viel Glück:top: