Oh, da hab ich wohl :O
Doppelt gemoppelt hält besser :kissy:
Hallo Leute, hier mal wieder eine neue Sicherheitslücke bei Windoof:
Windows shutdown!!! W32.Blaster greift an Vielleicht hatten ja bereits einige
von euch diesen Fehler, ich hab jedenfalls letzte zeit oft davon gehört. Bei den
meisten crasht eine exe, danach gibt es einen Countdown, dann reboot. Dieser
Fehler ist warscheinlich eine Schwachstelle im System, die von mini Hackern
genutzt wird, sprich nuke. Hier also die Info was man tun muss wenn das bei euch
passiert: Im Startmenü "Ausführen", danach in der Konsole "shutdown -a"
eingeben, dadurch verhindert ihr den reboot. Danach solltet ihr einen XP Patch
runterladen und installieren. Danach sollte es keine Probleme mehr geben.
------------------------------------------------------------------ Der seit
Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und
XP ausnutzt, ist im Internet unterwegs . Symantec taufte ihn W32.Blaster ,
McAfee nennt ihn W32.Lovsan . Das Bundesamt für Sicherheit in der
Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, !
siehe dazu das BSI-Advisory auf heise Security. Auf befallenenen Systemen (A)
startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf
Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code
ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A
veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in
das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend
installiert sich der Wurm auf System B, schließt Port 4444, startet einen
TFTP-Server und greift weitere Systeme an. Der Wurm versucht nach Angaben von
Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen.
Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen
Systemen werden folgende Registry Einträge erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto
update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "wind!
ows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill Erkennbar
ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf
ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20
TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren
Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar,
Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist
hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf
eingehende Verbindungen warten. Symantec hat bereits ein Removal-Tool
bereitgestellt, um den Wurm von befallenen System zu entfernen. Es wird dringend
empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der
Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht
beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593
gefiltert werden.
Also die NEUESTEN UPDATES ZIEHEN