W32.Blaster

Diskutiere W32.Blaster im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hallo als ich heute morgen im Internet war hat mein Norton Antivirus mir angezeigt das W32.Blaster meinen PC infected hat. Im Reedit hab ihn nicht...
snake

snake

Threadstarter
Dabei seit
18.01.2003
Beiträge
1.516
Hallo als ich heute morgen im Internet war hat mein Norton Antivirus mir angezeigt das W32.Blaster meinen PC infected hat. Im Reedit hab ihn nicht gefunden. Was macht dieser Virus? Kann er großen Schaden anrichten?



Screenshot
 
M

MGWIESEL

Dabei seit
13.08.2002
Beiträge
720
Alter
47
Alle Schotten dicht -- W32.Blaster greift an:
=============================================

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgr! eich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf! dem der TFTP-Server auf ankommende Verbindungen wartet. Darüb! erhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool (http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html) bereitgestellt, um den Wurm von befallenen System zu entfernen.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.

Download der Patches:
http://winboard.org/Portal/faq/index.php?s...&id=145&lang=de
 
Sykar

Sykar

Dabei seit
26.08.2003
Beiträge
194
Alter
40
Hi Leute

Da ich nur ein kleiner dummer Praktikant eines Systemadministrators bin (der das Internet meidet wie das Weihwasser) in einem Krankenhaus bin und nur über wenig Erfahrung verfüge würde ich doch gerne wissen wo man im Web
Grundlagenkenntnisse bezüglich TCP/IP,Ports,Firewalls,etc. bekommen kann

Vielen Dank schon mal im voraus

cu all
 
virus

virus

Dabei seit
26.10.2002
Beiträge
214
heute schon gegoogelt? :D
 
Thema:

W32.Blaster

W32.Blaster - Ähnliche Themen

Wlan funktioniert nicht mehr: Hallo, als ich heute mein altes f4 Bios auf ein neues Bios updaten wollte in dem Falle F60c, hatte ich danach das Problem das ich keine Internet...
LAN Kabel eingesteckt aber wird nicht erkannt: Hallo, ich habe das Problem wenn ich ein LAN Kabel in meinem PC eingesteckt habe wird mir kein Ethernet angezeigt. Ich habe 2 LAN Kabel, beide...
Internet funktioniert nur wenn Hotspot an ist: Hallo, ich hatte noch nie ein ähnliches Problem dieser Art und da ich nach langer Suche auch nichts dazu im Internet finden konnte, bin ich gerade...
Bildschirm bekommt Streifen und stürzt der PC ab: Hallo bräuchte hier mal Hilfe von Fachleuten, habe einen etwas älteren Acer PC; seit einiger Zeit habe ich das Problem, dass mein Bildschirm...
Microsoft Defender AntiVirus legt mein PC lahm beim Scan, 100% CPU-Auslastung: Hallo zusammen liebe Community, ich habe ein großes Problem mit dem Microsoft Defender Anti Virus auf Windows 10 Pro. Bei einem gezielten...
Oben