Mich hats diesmal mal nicht erwischt! Einige Bekannte leider schon.
Bemerkbar macht sich der Wurm dadurch, dass das System immer langsamer wird und häufig abstürzt.

Weitere Infos:

-----------------------------
Win32.Msblast.A



NameWin32.Msblast.A
Alias: W32.Blaster.Worm (NAV), W32/Blaster-A (Sophos)
Typ: Ausführbarer Wurm
Größe: 6176 (mit UPX gepackt)
Bemerkt: 12.08.2003
Entdeckt: 12.08.2003, 11:30 (GMT+2)
Verbreitung: Hoch
Schaden: Niedrig
ITW: Ja
Technische Beschreibung

Wenn ausgeführt, erstellt der Wurm ein Mutex mit der Benennung “BILLY”, um seine Anwesenheit im System zu signalisieren, danach installiert er sich in %SYSTEM%\MSBlast.exe (z.B.. C:\Windows\System32) und erstellt einen Registry Eintrag in HKLM\Software\Microsoft\Windows\CurrentVersion\Run den er “windows auto update” benennt und der auf die in %SYSTEM%\MSBlast.exe kopierte Datei hinweist damit der Wurm im Speicher des Rechners bei jedem Neustart vorhanden ist.

Er verbreitet sich, indem er die Microsoft Windows DCOM RPC Sicherheitslücke ausnutzt. Wenn er ein ungeschütztes System entdeckt gibt er einen TFTP Befehl mittels der Sicherheitslücke ein, um eine Kopie des Wurms abzurufen, die danach ausgeführt wird.

Als Payload löst der Wurm nach dem 15. August eine Denial-of-Service Attacke (DoS) an windowsupdate.com aus.

In seinem Körper sind folgende zwei Zeilen eingebunden: “I just want to say LOVE YOU SAN!!” und “billy gates why do you make this possible ? Stop making money and fix your software!!” die nicht benutzt werden.

Der Wurm wurde in C geschrieben und mit LCC-Win32 kompiliert.

Entfernung
- Automatische Entfernung:
o Lassen Sie BitDefender die infizierten Dateien löschen
o Benutzen Sie das kostenlose Removal Tool das BitDefender anbietet
- Manuelle Entfernung
o Drücken Sie die Tastenkombination CTRL+ALT+DEL und öffnen Sie den Task Manager. Beenden Sie den msblast.exe Prozess.
o Löschen Sie die %SYSTEM%\MSBlast.exe Datei.
o Löschen Sie den Registry Schlüssel: HKLM\Software\Microsoft\Windows\CurrentVersion\Run \windows auto update indem Sie regedit benutzen.
o Starten Sie Ihren Rechner neu

Virus analysiert von:
Mircea CIUBOTARIU
BitDefender Virus Researcher

Quelle: www.bitdefender.de
-----------------------

Bitdefender stellt auch gleich ein kostenloses Tool zum scannen und löschen zur Verfügung.
Norton hat ebenfalls schon mit einen Update reagiert.
Möget ihr verschont bleiben.


Gruss


Bruce

:)

Läuft der auch under Linux :D :p

Aber im geschäft wird man trozdem net von den Sametime Warn popups verschohnt.... :(

@Bruce

Wie haben Deine Bekannten den Virus bekommen ?

Gruß Micha

Mich hatte es auch erwischt!
Hier ein Direktlibk zu einem Removal-Tool für Betroffene

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

@Rocco

Und wie hast Du den Virus bekommen und wie hast Du gemerkt, daß Du ihn hast ???

Gruß Micha

@ micha

Wissen die leider nicht genau.
Sie vermuten über den Yahoo-Chat. Der Virus nutzt eine Sicherheitslücke bei Windows.


Gruss


Bruce

Original geschrieben von Bruce1962

Sie vermuten über den Yahoo-Chat.

Na ok, den nutze ich net... aber in den Nachrichten habe ich es gestern auch gesehen... soll ja ein richtiger Hackergroßangriff sein... :rolleyes:

Gruß Micha

Okay, mal zu bekommen:

Ihr müsst keine Email-Anhänge ausführen oder in einen Chat. Der Virus verteilt sich ohne euer zutun. Er nutzt dazu die Sicherheitslücke des "RPC" (Remote Process Control) und die offenen Ports 4444 und 135. Dann meldet sich bei euch der RPC und der Rechner macht ohne euer zutun einen Neustart. Und schwupps, XP, NT und 2000 haben ihn. Von nun an sitzt er im Arbeitsspeicher und verteilt sich wieder auf weitere Rechner, indem er wahllos IP Adressen auf die offenen Ports scannt und sich dann dort einnistet. Also: wenn euer Rechner in den letzten 2 Tagen eine RPC Meldung von sich aus schickte und dann einen Neustart machte, ist die Chance gross, das ihr befallen seit.

Grüsse

Original geschrieben von jkdberlin
Von nun an sitzt er im Arbeitsspeicher und verteilt sich wieder auf weitere Rechner


Naja, wenn er nur im Arbeitspeicher sitzt, reicht es ja den Rechner einmal auszumachen und ihn wieder anzuschalten, dann ist nämlich der Arbeitsspeicher unwiederruflich gelöscht.
Aber ich bezweifle sehr das du als Speicherort den Arbeitspeicher meinst....



BTW: Das sind KEINE Hacker, sondern lächerliche kleine Cracker... Ich finde das wort Hacker in den Medien sowas von unverschämt.

Da sich der Virus in der Registry unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run einträgt, wird er bei jedem Neustart wieder geladen. Und er ist somit als laufender Prozess im Arbeitsspeicher.
Der physikalische Speicherplaz ist das Windows System Verzeichnis.

Grüsse

Original geschrieben von -=Basti=-

BTW: Das sind KEINE Hacker, sondern lächerliche kleine Cracker... Ich finde das wort Hacker in den Medien sowas von unverschämt.

Wie auch immer... ich nenne sie meinetwegen auch Stricher... Fakt ist, daß mich solche Typen anko****, die sich daran aufgeilen, wenn sie mal wieder ein paar fremde Rechner injiziert haben...
10 Jahre Steinbruch... Mindestens !!! :mad:

Gruß Micha

hi,

wie ich gestern im tv gesehen habe tut der wurm euren rechnern im grunde nix (ausser das dieser als werkzeug missbraucht wird) und greift am 16.08. einen windoof-server (der, wo man updates runterladen kann) an um ihn zuzumüllen, damit das dingen abschmiert. ansonsten bleiben eure dosen wohl heile.

ist wohl ein protest gegen die mangelhaften programme wie windoof XP, die teuer sind, aber große sicherheitslücken haben.

Original geschrieben von hanzaisha

wie ich gestern im tv gesehen habe tut der wurm euren rechnern im grunde nix ... ansonsten bleiben eure dosen wohl heile.

Wieso EUREN ??? Um Deinen Rechner (oder Dose :p ) hast Du wohl gar keine Angst ???
Klingt ja, als wäre der Wurm von Dir... :D

Gruß Micha

Original geschrieben von JuMiBa
Wieso EUREN ??? Um Deinen Rechner (oder Dose :p ) hast Du wohl gar keine Angst ???
Klingt ja, als wäre der Wurm von Dir... :D

Gruß Micha

nee, ich hab einen MAC, ich brauch mir da keine sorgen machen!!! :p :D

Problem: Dieser Wurm tut wohl erstmal nix, dass heisst aber nicht, dass nicht spätere Würmer die gleiche Sicherheitslücke für auch dem Wirt gefährliche Payloads nutzen.

Und: Auch für MAC gibt es Viren ;)

Grüsse

also wenn er ungefährlich ist... aber diese beiden unbenutzten zeilen (I just want to say LOVE YOU SAN!!” und “billy gates why do you make this possible ? Stop making money and fix your software!!”) sind irgendwie interessant.....

Original geschrieben von jkdberlin
Problem: Dieser Wurm tut wohl erstmal nix, dass heisst aber nicht, dass nicht spätere Würmer die gleiche Sicherheitslücke für auch dem Wirt gefährliche Payloads nutzen.

Und: Auch für MAC gibt es Viren ;)

Grüsse

das ist das problem, wenn diese vermeindlich "kleinen leute" schon die sicherheitslücken kennen, dann kennen die leute die einem wirklich schaden wollen erstrecht diese lücken!:mad:

jau, für den mac gibt`s auch viren, allerdings nur sehr wenige. und die verbreitung ist auch nicht so groß, da die meisten leute eine dose haben->umso größer ist der schaden.

und hier geht`s ja eindeutig um einen dosen-wurm!

@ivan: jou, ist eben ne protestaktion gegen bill gates, der teure programme mit riesen sicherheitslücken anbietet (bzw. microsoft, ich glaub der herr gates wird selber nichtmehr viel arbeiten).

der wurm befällt aber nur ME XP 2000 Rechner????

Nein! NT, XP und 2000 sowie Server 2003.

ME, 98, 98SE und 95 sowie andere Betriebssysteme nicht.

Grüsse

:D


Hatte den Wurm auch vor kurzem konnte ihn aber löschen auf der offizielen microsoft seite kann man sich ein Update saugen das den Wurm löscht .



:D :D :D :D

Hmm, der Patch von der Microsoft Seite stopft die Lücke im RPC, Port 4444 und 135, aber der löscht den Wurm? Echt? Mir neu ...

Grüsse

Nein! NT, XP und 2000 sowie Server 2003.ME, 98, 98SE und 95 sowie andere Betriebssysteme nicht


wohow also wenn ich einen alten rechner habe bin ich gegen bills dummheiten immun man man man das gibt stoff zum nachdenken

Das er erst mal nix tut heisst soviel wie: Er beschädigt keine Dateien.
Allerdings vermehrt er sich auf den Rechner furchtbar. Und er fährt ständig das System runter.
Na ja, wenn er erst mal gelöscht ist, gibt es wenigstens keine beschädigten Dateien.


Gruss

Bruce

Schnell Windows abschotten: W32.Blaster-Nachfolger bereits im Anmarsch


Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.

Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.

Der Code des neuen Wurms gleicht größtenteils dem des "Blaster"-Wurms. Er verbreitet sich auch auf die gleiche Art und Weise wie sein Vorgänger. Von einem befallenen Rechner aus sucht der Wurm über den Port 135 per zufällig generierter IP-Adressen nach neuen Rechnern, bei denen die Windows-Sicherheitslücke noch nicht geschlossen wurde und infiziert diese dann, in dem er sich per TFTP überträgt.

Im Gegensatz zum "Blaster" enthält der Nachfolger auch eine Backdoor-Funktion und stellt damit eine größere Gefahr dar. Der Wurm öffnet auf einem befallenen System eine Verbindung zu einem IRC-Server (Internet Relay Chat) und wartet auf Befehle. Dies könnte es dem Angreifer erlauben, per Fernzugriff die Kontrolle über den Rechner zu übernehmen.

So setzt sich der Wurm fest


Während beim "Blaster"-Wurm eine Datei mit dem Namen "Msblast.exe" auf den Rechner geladen wird, nutzt der Nachfolger für den Dateinamen die unauffälligere Bezeichnung "winlogin.exe". Diese Datei wird ebenso wie die Datei " yuetyutr.dll" in das System-Verzeichnis von Windows kopiert.

Damit der Wurm bei jedem Systemstart aktiviert wird, werden folgende Registry-Einträge vorgenommen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

NdplDeamon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = "explorer.exe winlogin.exe"

Wurm versucht hartnäckig zu "überleben"


Einmal im Speicher geladen, versucht der Wurm zu "überleben". Alle zehn Sekunden installiert er sich neu. Außerdem erstellt er ein Backup der Datei "Winlogin.exe" in einem temporären Ordner und nutzt diese Kopie, um die Datei wiederherzustellen, falls sie vom Anwender gelöscht wurde.

Alle 30 Sekunden versucht der Wurm über den API-Befehl "InternetGetConnectedState()" festzustellen, ob eine Internet-Verbindung besteht, die er dann für seine Weiterverbreitung nutzt.

So kann der Wurm bekämpft werden


Für die Erkennung und Beseitigung des Wurms bietet Trend Micro das kostenlose Tool "Sysclean" an, dessen Download Sie auf dieser Website finden. Außerdem wird dringend empfohlen, die von dem Wurm ausgenutzte Windows-Sicherheitslücke zu schließen. Nur so sind Sie auch vor allen künftigen Wurm-Varianten geschützt, die die Windows-Sicherheitslücke ausnutzen.

Wie Sie die Sicherheitslücke schließen können erfahren Sie in der PC-WELT Nachricht "Virenalarm: W32.Blaster verbreitet sich explosionsartig im Internet" . Dort finden Sie auch die Details zu dem derzeit im Internet wütenden Blaster/Lovsan-Wurm.

Quelle: PC-Welt

Grüsse

PC-WELT Tool sagt W32.Blaster/Lovsan & Co. den Kampf an


Der Wurm W32.Blaster/Lovsan hat für gehörige Aufregung in der Windows-Welt gesorgt und bereits viel Unheil angerichtet ( wir berichteten ). Die Malware nutzt für seine Verbreitung eine Sicherheitslücke in Windows. Das nur drei Kilobyte große, von PC-WELT erstellte Tool "RPC Patcher Checker 1.0" überprüft Ihren Rechner und stellt fest, ob auf Ihrem PC diese Sicherheitslücke besteht. Wenn ja, dann bietet das Tool Ihnen gleich den Download des passenden Microsoft-Updates an.

Mit dem "RPC Patch Checker 1.0" können Sie schnell und bequem überprüfen, ob das Update gegen die RPC-Schwachstelle von Windows 2000/XP bereits installiert ist. Gerade für Laien ist es nicht immer leicht festzustellen, welche Updates bereits auf dem Rechner installiert wurden. Der übliche Weg zu kritischen Updates führt viele End-Anwender auf www.windowsupdate.com. Ein Active-X-Control auf dieser Seite überprüft, welche aktuellen Updates für das System vorliegen und installiert werden sollen.

W32.Blaster attackiert auch Nicht-Windows-Systeme

In einer Vulnerability Note weist CERT/CC darauf hin, dass beliebige andere Betriebssystem-Plattformen ebenfalls vom Wurm W32.Blaster über Port 135 angegriffen werden können. Dazu muss allerdings das plattform-spezifische Distributed Computing Environment (DCE) auf Basis der Entwicklungen der Open Software Foundation (OSF) installiert sein. DCE ermöglicht es verschiedenen Systemen, untereinander zu kommunizieren, und verwendet dazu auch RPCs über Port 135. Insbesondere in heterogenen Umgebungen mit einer Vielzahl verschiedener Betriebssysteme wird DCE zur Verwaltung der Ressourcen und zum Zugriff auf sie eingesetzt.

Eine Schwachstelle in der Implementierung einiger Hersteller ermöglicht eine Denial-of-Service-Attacke gegen den DCE-Dienst. Da W32.Blaster nicht erkennen kann, welche Plattform er attackiert, werden alle Systeme mit offenem Port 135 angegriffen. In der Folge kann der DCE-Dienst zum Absturz gebracht werden, der nicht mehr auf Anfragen von Clients antwortet. Bestätigt haben diese Schwachstelle bisher IBM für die DCE-Implementierung unter AIX, Solaris und Windows sowie Entegrity für die DCE-Software unter Linux und Tru64. Beide Hersteller haben Patches sowie Anweisungen zum Beseitigen der Sicherheitslücke zur Verfügung gestellt. Crays Unicos ist ebenfalls als verwundbar bestätigt, an einem Patch wird noch gearbeitet. Die anderen Hersteller sind informiert, haben bisher aber noch keine Stellungnahme abgegeben. (dab/c't)

Ja, aber dieser Dienst der anfällig ist muss auf den anderen Systemen Explizit installiert sein.

Desweiteren Stürtzt auch nicht der Rechner ab, sondern nur der Dienst und es gibt auch nicht die Möglichkeit beliebigen Code auszuführen....

<werbung>
Übrigens, wenn Ihr sogerne über den Virus Diskutiert, in diesem Topic ist auchnoch Platzfür ;)
http://www.xbks.de/html2/index.php?showtopic=34&

</werbung>

Denial of Service reicht doch, wenn der Dienst als Schnittstelle in heterogenen Netzen läuft oder???

Ja, das sind aber schnittstellen zu Windows PCs.... wenn der Dienst z.B. unter Linux abstürtzt, sind die Windows PCs schon lange weg, und dann braucht man auch die Schnittstelle nicht ;)

lustiglustig:

ich war gestern bei nem kumpel, der mal so gar keine ahnung von computern hat. der hat sich gestern prompt den wurm eingefangen. ich also mit ihm hier in`s board, dem link gefolgt, wurm deinstalliert.
gut.
die software sagt dann: "wollen sie denn jetzt dieses update haben und die sicherheitslücke schliessen?"
klaro!
der IE springt auf, wählt sich auf der microsoft hp ein… und bums, wieder der wurm da!:rolleyes:

jetzt hamwer den wurm nochma rausgekickt und den rechner abgeschaltet. der kumpel hat seinen pc jetzt kein halbes jahr und möchte ihn verständlicherweise am liebsten aus dem fenster schmeissen.

http://suse.de
http://redhat.com
http://debian.org

Zeit für ein neues OS ;)

:D





Hmm, der Patch von der Microsoft Seite stopft die Lücke im RPC, Port 4444 und 135, aber der löscht den Wurm? Echt? Mir neu ...



Yop stimmt musste mir den Stinger Instalieren um ihn zu löschen.:D :D

Auf http://www.zdnet.de/downloads/index-wc.html gibt es heute im Top-Artikel eine Menge Tools zur Abwehr und Beseitigung der Würmer u.a. Eine ganze Menge davon ist Freeware, deswegen poste ich das hier mal!

Grüsse

Original geschrieben von -=Basti=-
Zeit für ein neues OS ;)

also, wenn du mich damit meintest (bzw. meinen kumpel), der hat kein OS, der hat natürlich ne Dose!!!
OS hat keine probs mit dem wurm!!!:)

Habe die Letzten 2 Tage mit diesem Wurm zu tun gehabt,sehr hartnäckig,gibt mehrere Version von dem Wurm.
Selbst die Updates nützten nichts.
Schickt mir den Erfindern mal vorbei:mad:

Gruß Michael

ich freu mich ja auf morgen (angeblich großangriff auf microsoft server)

und? weiß jemand ob und was passiert ist?
und ist der virus noch aktiv?

muss du Zeitung lesen, dann weißt du es :)

die Seite von microkotz ..ähm oder wie hiess der Laden von klein Billi noch gleich?.. die angeriffen werden sollte wurde vom netz genommen und das ganze verlief im Sand.

Ob der Wurm noch aktiv ist weiss ich nicht.. gute Frage so an sich

Original geschrieben von Sirona
muss du Zeitung lesen, dann weißt du es :)

lesen kann ich doch nicht, solltest du langsam wissen! :rolleyes:


Original geschrieben von Sirona
die Seite von microkotz ..ähm oder wie hiess der Laden von klein Billi noch gleich?.. die angeriffen werden sollte wurde vom netz genommen und das ganze verlief im Sand.

jo, danke für die info… i don`t do windows


Original geschrieben von Sirona
Ob der Wurm noch aktiv ist weiss ich nicht.. gute Frage so an sich

gelle? ;) :D

also die D Variante des WM Blaster haben wir auf paar Kundenrechnern nun Life erleben dürfen.
Also Jungs Virenpattern chekcn und Patches kontrollieren nicht dass wieder ein Patch den anderen aufgehoben hat