WICHTIG - NEUER VIRUS

[Smutje]

Neuer Computer-Wurm verbreitet sich rasend schnell im Internet

12. August 2003 Der neue Computer-Wurm „Lovesan“ hat sich in der Nacht zum Dienstag weltweit mit großer Geschwindigkeit über die Datennetze verbreitet. Er kursiert alternativ unter dem Namen „Blaster“. Betroffen sind die Windows-Versionen NT, 2000 und XP.

„Der Wurm ist geradezu explodiert“, sagte der Karlsruher Sicherheits- und Virenexperte Christoph Fischer am Dienstag. Der Schädling nutze eine bekannte Sicherheitslücke in Computern mit Microsofts Betriebssystem Windows aus. Bei Befall würden zwar zunächst keine Daten zerstört, der Rechner verlöre jedoch jeden Schutz für Angriffe von Außen. „Besonders betroffen sind Privatleute und kleine Unternehmen, die etwa über Modem oder DSL- Leitung ans Internet angeschlossen sind“, sagte Fischer.

Weniger gefährlich als „Code Red“

Nach Angaben des amerikanischen Antivirus-Software-Unternehmens Network Associates verbreitet sich der Wurm aber nicht annähernd so schnell wie „Code Red“ oder „Nimda“, die 2001 ebenfalls über Windows massive Störungen verursacht haben. Viele Computer-Nutzer würden einen Angriff nicht sofort bemerken, da sich der Wurm nicht über E-Mail verbreite, wurde mitgeteilt.

Der Wurm bewegt sich nach Angaben von Network Associates ohne jegliches Zutun der Nutzer. Daten würden bei Befall zunächst nicht zerstört. „Lovesan“ könne aber zu unkontrollierten Rechnerabstürzen führen und öffne den Computer für Angriffe von Außen, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Der Wurm enthalte in englischer Sprache einen Seitenhieb auf Microsoft-Gründer Bill Gates, der jedoch nicht angezeigt wird: „Billy Gates, warum ermöglichst Du das? Hör auf, Geld zu machen und mach Deine Software sicher.“

Schwachstellen schon länger bekannt

Die Schwachstelle in Microsofts Betriebssystemen Windows 2000, NT und XP ist seit längerem bekannt. Seit dem 16. Juli bietet das Redmonder Software-Unternehmen auf seinen Internet-Seiten aber auch einen entsprechenden Schutz (Patch) zum Herunterladen an. Microsoft habe seine Kunden seit Monaten aufgefordert, sich damit zu schützen, sagte Microsoft-Sprecher Sean Sundwall.

Symptome dafür, daß der Rechner befallen ist, sind eine Datei namens msblast.exe mit zirka sechs bis elf Kilobyte Größe im Windows-Verzeichnis und der Registry-Eintrag „windows auto update = msblast.exe“ im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\.

In Amerika verbreitete sich Lovesan am Montagmorgen rasend schnell und wurde erst am Nachmittag langsamer. Nutzer, die bislang noch keinen Schutz vor dem Wurm haben, sollten unverzüglich reagieren, rät Virenexperte Fischer. Denn am 16. August werde „Lovesan“ eine so genannte DoS-Attacke gegen den Microsoft-Server starten. Dabei wird der Server mit so vielen Anfragen überflutet, daß er nicht mehr antworten kann.

Informationen zur Entfernung des Wurms finden Sie über unseren Link.

http://www.faz.net/s/Rub21...~ATpl~Ecommon~Scontent.html

Link-Text angepasst. Der Link bleibt der selbe. Seekreuzer

[Cyrus]

Na wenn er nur den Microsoft Server angreift...
Dann hat der Wurm meine Erlaubnis.

[Smutje]

wie setzt man eigentlich ein schwarzes Wichtig vor den thread??

[Cyrus]

Das können nur die Mods....

Mehr Info zum Wurm gibt es hier:

http://www.heise.de/security/result....347&words=Love

moin,

ja, mein Rechner ist vor kurzem abgestürzt und mach seit dem Mucken.... Ich bin schon dabei eine Formatierung vorzubereiten und alle Daten zu sichern, allerdings hindern mich diese Mucken heftigst daran!!!
Kleines Beispiel: Ich kann keine Dateien oder Ordner kopieren oder einfügen....

Holla die Waldfee... versucht so mal ca. 2GB (Ja Cyrus, für dich und andere wenig, aber für noch mehr User verdammt viel) "Eigene Dateien" ohne sie zu kopieren auf eine andere Festplatte zu transferieren....

"Scotti, beam dat ab!"

[Tilo]

Guido,
vielleicht hilft Dir das:
----------------------------
[...] verbreitet sich seit
einigen Tagen ein neuer Computer-Virus mit dem Namen "W32.Blaster" über
das Internet. Dieser ist auch bekannt unter der Bezeichnung "W32/Lovsan".

Dieser sog. "Wurm" befällt ausschließlich Rechner, die eines der
folgenden Betriebssysteme verwenden:
- Windows 2000
- Windows NT 4.0
- Windows XP
- Windows 2003 Server

Sollten Sie eines dieser Betriebssysteme installiert haben, ist es
durchaus möglich, dass auch Sie sich bereits mit diesem als äußerst
gefährlich und kritisch eingestuften Wurm infiziert haben.


Was passiert, wenn mein Computer sich mit dem Wurm infiziert hat?
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
Der Wurm nutzt eine bekannte Sicherheitslücke in den o.g. Windows
Betriebssystemen aus. Er verbreitet sich direkt über das Internet, also
nicht wie in vielen anderen Fällen beispielsweise als E-Mail-Anhang.
Er sucht selbstständig nach Rechnern, die über eine bestimmte
Schwachstelle angreifbar sind, und bei denen die Sicherheitslücke noch
nicht geschlossen wurde. Die bloße Verbindung mit dem Internet kann also
bereits zu einer Infizierung Ihres Rechners führen. Der Wurm sorgt beim
Anwender dafür, dass das System instabil wird und im Extremfall auch
abstürzt. Dabei erscheint eine Fehlermeldung über den Ausfall des
"RPC-Dienstes" und das System startet neu. Dem Anwender signalisiert
dabei ein Countdown die verbleibende Zeit bis zum Neustart. Außerdem werden
durch den Wurm über 20 zufällig ausgewählte TCP-Ports geöffnet, die der
Wurm zum "Lauschen" nutzt. Der Rechner wird also auch für eventuelle
zukünftige Attacken leichter angreifbar.

Somit verursacht der Virus bei Ihnen unter Umständen Kosten durch
vermehrte Einwahlen in das Internet; mal vom Ärger abgesehen, wenn der
Rechner plötzlich nicht mehr reagiert und ohne Eingriffsmöglichkeit
runterfährt.


Wie kann ich feststellen, ob ich mich bereits infiziert habe?
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
Antiviren-Spezialisten, wie z.B. Symantec haben bereits Tools zur
Erkennung und Beseitigung dieses Wurms zur Verfügung gestellt.
Weitere Informationen dazu erhalten Sie unter:
http://www.symantec.de/techsupp/ssi/...ster_worm.html

Sie können das Programm zur Erkennung und Beseitigung auch direkt
runterladen:
http://securityresponse.symantec.com...r/FixBlast.exe

Führen Sie vor dem Start des Programms bitte folgende Schritte aus:

- Melden Sie sich als Administrator an Ihrem Rechner an.
- Schließen sie alle geöffneten Programme.
- Deaktivieren Sie die automatische Systemwiederherstellung von
Windows XP unter
"Start" > "Systemsteuerung" > "System" > "Systemwiederherstellung".
- Starten Sie das Tool mit dem Aufruf der Datei "FixBlast.exe".
- Sollte der Wurm erkannt werden, rebooten Sie bitte den Rechner und
starten das Tool erneut. So können Sie sichergehen, dass auch wirklich
alle Reste des Wurms entfernt werden.


Wie kann ich eine erneute Infizierung verhindern?`
= = = = = = = = = = = = = = = = = = = = = = = = =
Bringen Sie Ihr Windows-System durch die von Microsoft angebotenen
Patches auf den neuesten Stand. Bitte wählen Sie unter folgender URL
Ihr Betriebssystem aus. Bitte beachten Sie dabei, dass Windows XP in der
Regel als 32-Bit Version installiert ist:

http://www.microsoft.com/germany/ms/...-026.htm#Patch

Wir raten dazu, bei Windows-Systemem die automatische Windows-Update-
Funktion zu aktivieren oder Ihr Betriebssystem regelmäßig manuell auf
dem neusten Stand zu halten.

----------------
Gruß
Tilo

[Seekreuzer]

Zitat:

Zitat von Guido-E

Kleines Beispiel: Ich kann keine Dateien oder Ordner kopieren oder einfügen....

Das blöde Spiel kenn ich. Mein Windows Explorer stürzt auch nach jedem Dateivorgang ab (aber glücklicherweise können auch 100 Dateiein kopiert werden, und wenn er fertig ist, raucht er ab).
Demnächst ist wohl eine Neuinstallation dran.
Der maxblast hat damit nix zu tun... System ist clean.

Guido, such Dir doch nochmal den Thread zu Drive-Image raus. Steht auch im Wiki mit Anleitung und Link zum Download. Dann kannst Du ohne Betriebssystem alle Dateien sichern.

[ralfschmidt]

Hallo Guido-E,
ich benutze um den Inhalt von einer Festplatte auf eine andere zu Kopieren XCOPY32 mit den Schaltern K/R/E/I/S/C/H, das geht aber bei Windows 2000/XP vermutlich nicht mehr.

Ralf Schmidt

[Seekreuzer]

Übrigens:

Einfacher Check, ob ihr überhaupt Träger des Virus seid.

Per Suchfunktion nach Dateien mit dem Namen "maxblast" suchen. Falls erfolgreich -> löschen.
Ebenfalls nach "tftp" suchen. "tftp.exe" sollte gefunden werden. Wenn noch weitere außer dieser gefunden werden, dann nur diese löschen. Nicht "tftp.exe" löschen

Dann könnt ihr entscheiden, ob ihr noch ein paar neue Produkte auf euer System loslassen wollt!

P.S. XCOPY gibt's auch unter Win2000 in der DOS-Box

Code:

XCOPY Quelle [Ziel] [/A | /M] [/D[:Datum]] [/P] [/S [/E]] [/V] [/W]
                    [/C] [/I] [/Q] [/F] [/L] [/H] [/R] [/T] [/U]
                    [/K] [/N] [/O] [/X] [/Y] [/-Y] [/Z]
                    [/EXCLUDE:Datei1[+Datei2][+Datei3]...]

  Quelle    Die zu kopierenden Dateien.
  Ziel      Position und/oder Name der neuen Dateien.
  /A        Kopiert nur Dateien mit gesetztem Archivattribut,
            ändert das Attribut nicht.
  /M        Kopiert nur Dateien mit gesetztem Archivattribut,
            setzt das Attribut nach dem Kopieren zurück.
  /D:M-T-J  Kopiert nur die an oder nach dem Datum geänderten Dateien.
            Ist kein Datum angegeben, werden nur Dateien kopiert,
            die neuer als die bestehenden Zieldateien sind
  /EXCLUDE:Datei1[+Datei2][+Datei3]...
            Gibt eine Liste von Zeichenfolgen an. Wenn eine der
            Zeichenfolgen Teil des absoluten Verzeichnispfads
            der zu kopierenden Datei ist, wird diese Datei vom
            Kopiervorgang ausgeschlossen. Beispiel: Bei der
            Zeichenfolge \obj\ oder .obj werden alle Dateien
            unterhalb des Verzeichnisses OBJ bzw. alle Dateien mit
            der Erweiterung .obj vom Kopiervorgang ausgeschlossen.
  /P        Fordert vor dem Erstellen jeder Zieldatei eine Bestätigung.
  /S        Kopiert Verzeichnisse und Unterverzeichnisse, die nicht leer sind.
  /E        Kopiert alle Unterverzeichnisse (leer oder nicht leer).
            Wie /S /E. Mit dieser Option kann die Option /T modifiziert werden.
  /V        Überprüft jede neue Datei auf Korrektheit.
  /W        Fordert vor dem Beginn des Kopierens zu einem Tastendruck auf.
  /C        Setzt das Kopieren fort, auch wenn Fehler auftreten.
  /I        Falls Ziel nicht vorhanden ist und mehrere Dateien kopiert
            werden, nimmt XCOPY an, dass das Ziel ein Verzeichnis ist.
  /Q        Zeigt beim Kopieren keine Dateinamen an.
  /F        Zeigt die Namen der Quell- und Zieldateien beim Kopieren an.
  /L        Listet die Dateien auf, die ggf. kopiert werden.
  /H        Kopiert auch Dateien mit den Attributen 'Versteckt' und 'System'.
  /R        Überschreibt schreibgeschützte Dateien.
  /T        Erstellt die Verzeichnisstruktur, kopiert aber keine Dateien.
            Leere oder Unterverzeichnisse werden nicht kopiert. Um auch diese
            zu kopieren, müssen Sie die Optionen /T /E angeben.
  /U        Kopiert nur Dateien, die bereits im Zielverzeichnis vorhanden sind.
  /K        Kopiert Attribute. Standardmäßig wird 'Schreibgeschützt' gelöscht.
  /N        Beim Kopieren werden die erzeugten Kurznamen verwendet.
  /O        Kopiert Informationen über den Besitzer und ACL.
  /X        Kopiert Dateiüberwachungseinstellungen (bedingt /O).
  /Y        Unterdrückt die Aufforderung zur Bestätigung, dass eine
            vorhandene Zieldatei überschrieben werden soll.
  /-Y       Fordert zur Bestätigung auf, dass eine bestehende
            Zieldatei überschrieben werden soll.
  /Z        Kopiert Dateien in einem Modus, der einen Neustart ermöglicht.

Die Option /Y kann in der Umgebungsvariable COPYCMD vordefiniert sein.
Sie kann mit /-Y in der Befehlszeile deaktiviert werden.

[ralfschmidt]

wichtig, das Dos Programm xcopy32 läuft nur in der Dos Box unter Windows und nicht vom Prompt aus.

Ralf Schmidt

[Seekreuzer]

Jetzt fängt der Spaß erst richtig an...

Zitat:

RPC/DCOM-Wurm W32.Blaster mutiert

Nach dem Auftauchen der ersten Variante WORM_RPCSDBOT über die bereits gestern berichtet wurde, sind weitere Mutationen von W32.Blaster alias Lovesan gesichtet worden. W32.Blaster.B und Blaster.C unterscheiden sich vom Ursprungsschädling nur durch die Umbenennung der Wurmdatei "msblast.exe" in "penis.exe" und "teekids.exe" sowie den entsprechend geänderten Einträgen in der Registry (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run) unter "windows auto update" beziehungsweise ”Microsoft Inet xp..". Die Hersteller von Antivirensoftware haben ihre Signaturen auf den neuesten Stand gebracht und zum Download bereitgestellt.

Neben WORM_RPCSDBOT wird der Wurm auch als Transportmittel für weitere Trojaner mißbraucht. TROJ_MSBLAST.DRP ist eine Kombination aus W32.Blaster.C und dem Backdoor-Programm BKDR_LITH.103.A, das sich als ROOT32.EXE im Windows-Systemverzeichnis breit macht. Damit sind nun auch PCs von Heimanwendern direkt bedroht, da die Backdoor den Zugriff für jedermann auf das System ermöglicht. Bisher benutzte der Wurm die PCs nur als Verbreitungsplattform und hatte keine Schadfunktion.

Microsoft hat am 12. August, also dem Tag des Ausbruchs des Wurms, einen Artikel des Kolumnisten Tony Northrup auf seinen Seiten veröffentlicht, der den Einsatz von Firewalls empfiehlt. Darin werden sowohl Hardware-Firewalls als auch Personal-Firewalls beschrieben, mit denen Angriffe aus dem Internet abgeblockt werden können. Windows XP hat eine Software-Firewall bereits fest installiert, die bei vielen aber deaktiviert ist. Standardmäßig sollte sie auf DFÜ-Verbindungen aktiviert sein, einige ISDN-Karten benutzen aber proprietäre Schnittstellen, bei denen dies nicht der Fall ist.

Quelle: heise

[Esmeralda]

Was bin ich froh, daß ich Windoof 98 habe

Aber heute nacht rief ein Freund an, der hat ihn wohl - jedenfalls ist sein Rechner mit dieser blöden Fehlermeldung auf einmal runtergefahren. Kann man den Virus jetzt nur mit so einem Entfernungstool wieder eliminieren oder geht das auch "von hand"? Und kann er jetzt wieder (mit dem Virus) ins Internet gehen und das Tool runterladen?
(Mein Freund hat eigentlich so gaaaaaa keine Ahnung von Computers.....wohnt aber zu weit wech als daß ich an seinen Rechner kann)

Zweite Frage: Bisher dachte ich immer, Viren kommen über emails bzw. über ausführbare Programme, die man im Internet anklickt, also exe Dateien oder meinetwegen auch ActiveX oder Java-Sachen. Mein Rechner warnt mich vor jedem Active-X und fragt ob er darf oder nicht.
Wie verteilt sich dieser Wurm denn nun? Rauscht der auch durch firewalls so durch? Als es bei meinem Freund passierte, guckte er gerade eine Seite an, die eine Freundin von mir erst vor 4 Tagen ins Netz gestellt hat mit Fotos......

Anneke

[Seekreuzer]

Es ist der auf allen 2k und XP-Systemen laufende Dienst RPC/DCOM, der fehlerhaft ist (das Thema Nachrichtendienst hatten wir ja schon), und sich z.B. in Win2k erst ab Servicepack3 vollständig deaktivieren lässt. Daher die Patches.

Einfache Erläuterung:
Wenn Dein Rechner am Netz ist, dann lauscht er, ob da was kommt, was für ihn bestimmt sein könnte und nimmt es freudestrahlend entgegen. War dann aber sowas wie 'ne Briefbombe. Oder in diesem Fall sowas wie ein R-Gespräch, weil der Virus erst übertragen wird, wenn eine Verbindung über DCOM hergestellt wurde.

Das manuelle Verfahren habe ich oben beschrieben. Damit ist zwar die Sicherheitslücke nicht geschlossen und es bleiben noch Reste im System, aber der Virus ist seiner Hauptdateien beraubt und somit tot.

Zitat:

Der Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135. Zwei Schritte helfen, um einen Angriff des Wurms abzuwehren: Patch einspielen oder Port 135 blockieren -- im Zweifelsfall sollte man beides machen.

Der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst. Ein Paketfilter oder eine Firewall kann eingehende Verbindungsversuche über Port 135 sperren. Schon handelsübliche ISDN- und DSL-Router mit eingebauter Firewall blockieren derartige Angriffe erfolgreich. Ankommende Verbindungsversuche werden grundsätzlich ignoriert.

Wer über keinen Router zum Filtern verfügt, kann unter Windows XP die systemeigene Firewall unter den erweiterten Netzwerkeigenschaften einschalten. Windows-2000-Benutzern wird empfohlen, sich eine Personal Firewall, zum Beispiel Kerio Personal Firewall, zu installieren. Zusätzlich sollten die UDP- und TCP-Ports 137 bis 139, 445 und 593 blockiert werden. Ein Abschalten des RPC-Dienstes wird nicht empfohlen, da viele andere Dienste RPC benötigen.

W32.Blaster zeigt beim Angriff auf Systeme störende Nebeneffekte: Eine Fehlermeldung erscheint bei einigen Systemen in einem Pop-up-Window, mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Dieser Effekt beruht auf fehlender Kenntnis des Wurms über die Plattform des angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes auf dem Stack. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.

heise

[Cyrus]

Mist der Patch braucht das Service Pack 3 ... = 124 MB

[MB-Mobil]

Zitat:

Zitat von Anneke

Was bin ich froh, daß ich Windoof 98 habe

Kann man den Virus jetzt nur mit so einem Entfernungstool wieder eliminieren oder geht das auch "von hand"? Und kann er jetzt wieder (mit dem Virus) ins Internet gehen und das Tool runterladen?
(Mein Freund hat eigentlich so gaaaaaa keine Ahnung von Computers.....wohnt aber zu weit wech als daß ich an seinen Rechner kann)

Anneke

Um den s.g. "W32/Blaster" (a/k/a "W32.LovSan") von Hand zu entfernen, sollte wie folgt vorgegangen werden:

Den Rechner im "Abgesicherten Modus" starten (Wurm Executable wird dadurch nicht gestartet)
Folgende Schlüssel in der Registry wurden durch den Wurm in der Systemregistrierung erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run, name: 'windows auto update'
Dieser Schlüssel muss gelöscht werden.

Auf dem Laufwerk C:\ nach der Datei "Msblast.EXE" suchen und die gefundene Datei aus dem Systemverzeichnis löschen

Rechner neu starten, Security-Patch von Microsoft herunterladen und installieren.

Freuen

gut, ich formatiere dann mal in den nächsten Tagen

Hat denn jemand einen Tip, wie ich nach dem Wiederherstellen aller "lebenswichtigen" Programme dies speichern kann um beim nächsten Befall einfach diesen Zustand wiederherstellen kann?

Ich will nicht

Zitat:

Zitat von Seekreuzer

Zitat:

Das blöde Spiel kenn ich. Mein Windows Explorer stürzt auch nach jedem Dateivorgang ab (aber glücklicherweise können auch 100 Dateiein kopiert werden, und wenn er fertig ist, raucht er ab).
Demnächst ist wohl eine Neuinstallation dran.
Der maxblast hat damit nix zu tun... System ist clean.

Guido, such Dir doch nochmal den Thread zu Drive-Image raus. Steht auch im Wiki mit Anleitung und Link zum Download. Dann kannst Du ohne Betriebssystem alle Dateien sichern.

Hast du mal den Link zum Wiki?

[Esmeralda]

Guckst Du hier: http://www.50n.de/bf-wiki/BooteForumWiki

und dann auf Drive Image gehen.....

Anneke

[Rauti]

http://www.acronis.de

bietet auch sowas an. Heisst Trueimage, funzt und ist einfach zu bedienen. Einfach mal die Demo laden.

[nautipro]

Hier noch ein Link zu dem Removal-Tool "FixBlast" von Symantec.
Für alle, die sich - wie meine Schwester dieses "Würmchen" eingafangen haben..
(Bei ihr war beispielweise das Problem, dass sich Rechner nach 90 sec. Internet komplett abgeschaltet hat - da war also nix mit Patch downloaden.)

Hiermit hat es dann aber funktioniert und nach der "Wurmkur" ist alles wieder OK.

http://securityresponse.symantec.com...oval.tool.html

Grüße, Lars