Heute hatte es uns erwischt, hier die Anleitung für zukünftig Geschädigte:
Der Wurm heißt W32.Blaster und ist anders als die bisher bekannt gewordenen Viren. Denn der Wurm verbreitet sich nicht per E-Mail und auch nicht über Internet-Seiten, sondern einfach so. Jeder der ins Internet geht, kann sofort von W32.Blaster befallen werden – vorausgesetzt, das System ist Windows NT, Windows 2000 oder Windows XP. Davon merkt man, wenn's schlecht läuft, überhaupt nichts. Wenn man Glück hat, merkt man den Virenbefall, weil der Computer von sich aus darauf hinweist, dass er in 60 Sekunden neu starten wird.
W32.Blaster macht erst mal nichts anderes als sich selbst auf möglichst viele Computer zu verteilen. Ab dem 16. August wird dann eine Attacke auf eine Microsoft-Webseite gestartet – die kriegt dann so viele Anfragen auf einmal von den befallenen Computern, dass sie zusammenbricht. Im Moment wird der eigene Computer dabei noch nicht beschädigt, das kann aber jederzeit passieren. Zum Beispiel durch einen Wurm, der sich genauso verbreitet wie W32.Blaster, aber statt nur eine Microsoft-Website anzugreifen, den eigenen Computer zerstört.
Deswegen: Jeder, der Windows NT, Windows 2000 oder Windows XP hat, sollte sein System auf den neuesten Stand bringen! Damit ist wirklich jeder gemeint, denn auch Firewalls bieten bei der Standard-Einstellung keinen Schutz. Außerdem sollte das ganze möglichst schnell passieren: Spätestens am 16.8. wird das sicher zum Problem, wenn der Angriff auf windowsupdate.com gestartet ist.
Microsoft Security Bulletin (english)
Microsoft Security Bulletin (deutsch)
Entfernungsprogramm
Neuartiger Wurm: „W32.BLAST“
-
Naja, FAST richtig geschrieben...
Wer sich umfassend informieren will sei dieser Link empfohlen:
http://www.heise.de/newsticker/data/dab-12.08.03-000/
und
http://www.heise.de/newsticker/data/dab-12.08.03-001/
gruß, Texx
PS: Wer XP hat, macht bitte seine Firewall auf Port 135 scharf. (Port 135 blockieren), dann ist auch ruhe. Noch besser ist aber der Patch, aber wer den nicht einspielen will, kann, etc ... -
naja, nicht wirklich ein grund für mich den wurm loszuwerden
Joe -
Mann wusste früh genug, das der Port 135 offen steht. Es wundert mich nur, das immer noch welche offen stehen.
Selbst auf meinem privaten Rechner habe ich den Patch, den es übrigens schon seit 3-4 Wochen gibt, installiert.
Bei DC ist vor 3 Wochen schon eine Grossaktion angelaufen, in der alle NT und 2000 Rechner gepatched wurden. Zusätzlich wurde auf den Firewalls explizit die Port geschlossen.
Kleine Bösartigkeit des Worms ist es, Windows Updateserver zu befallen.
Grübel an
warum wohl?
Grübel aus
Mit sicherheitsfanatischen Grüssen -
öh, dann bin ich sicher wenn ich letzte Woche alle Windowsupdates gemacht habe...?? (31 an der Zahl, w2k...)
-
Wenn du den Q823980 hast dann:
korrekt -
...zu diesem Thema „W32.BLAST“
hier noch`n paar Link`s:
So sichert man seinen PC
Der Großangriff auf das Internet hat begonnen -
Wer erst mal das ständige neubooten unterbinden möchte, welches insbesondere unter XP auftritt, sollte nach dem hochfahren sofort in die Dienste gehen und dort den 'Remote.....(RPC)' Dienst in Eigenschaften von 'Neustart des PC bei Fehler' auf 'Neustart des Dienstes' umstellen. Und zwar in allen drei Fällen die NT anbietet. Damit hab ich noch in unwissen des Virus, habe ja URLAUB
, Brigit ihren PC wieder zur 'vollen' Funktionstüchtigkeit, ohne ständigem Neustart, gebracht. Heute werde ich dann den Virus, eigentlich ja ein Wurm, endgültig beseitigen. Aber nach dem Ihr PC jetzt nicht dauernd neu starten möchte, sollte dieses viel einfacher sein. 
Oliver -
Hallo Oliver,
ist bereits geschehen....Frau hört ja Radio und wusste sich (mit großer Hilfe) zu helfen... -
Birgit!!! -
-
@Birgit
Wie hast du den Virus entfernt?
Removal-Tool von Symantec?
Mit Sicherheitsfanatischen Grüssen -
(sagzumerstenmalnix) -
Wo ist der Kalender?
Das muss rotangekreuzt werden.
Viele Grüsse von der Virusfront -
Tja, jetzt hats uns doch erwischt. Mann bekommt leider nicht alle Rechner in der richtigen Zeit in Zugriff.
Die Laptops der Vertriebler haben ihn nun doch eingeschleppt.
Wir konnten zwar gut reagieren und die betreffenden Geräte IP-mässig sperren, allerdings sind da ein paar kleine Bösartigkeiten des Virus aufgefallen.
1. Der Reboot
hierbei handelt es sich (man höre und staune) um einen Fehler im Virus
Er kann nicht klar erkennen um was für eine Maschine es sich handelt und durch seine Anragen killt er den RPC-Dienst.
2. Wie kann mann den Virus erkennen?
Taskmanager öffnen --> Prozesse ansehen
Ist hier der "W32Blast.exe" gestartet "herzlichen Gückwunsch"
Was dann?
Sofort einen Scan mit dem Virusscanner durchführen
"hier ist doch wohl niemand der keinen hat, oder"
Sofort den Patch von der MS-Updateseite installieren.
3. Selbst nach der Bereinigung kann es zu Problemen kommen.
Testet, falls Ihr den Virus hattet, wenn möglich alle Funktionen durch, es könnte sein, das so manches nicht mehr funktioniert. Im schlimmsten Fall ist sogar ein Neuaufsetzen der Maschine notwendig.
Ich hoffe, das ich einigen nicht zu viel Angst gemacht habe.
Aber wer jetzt noch keine Maßnahmen ergriffen hat, dem ist eh nicht mehr zu helfen.
Mit sicherheitsfanatischen Grüssen -
argh... meine schwester hat sich das ding eingefangen, und
nun darf ich an meinem feierabend mich mit dem scheiss
rumschlagen...
-
Tja, das Mail ging Heute bei uns an alle Users raus:
Sehr geehrte UserInnen
Letzte Nacht ist ein neuer Wurm namens "MSBlast", auch als "Blaster" oder "LuvSan" bekannt, im Internet aufgetaucht. Offenbar soll sich der Wurm innert kürzester Zeit weit verbreitet haben und könnte laut Experten ähnliche Dimensionen annehmen wie damals CodeRed.
Aufgrund unserer IT-Konfiguration der Firewall- und Virenschutzsysteme ist ein Angriff auf unsere Systeme nicht möglich, wir sind also kein potentielles Ziel für diesen neuen "Wurm".
Wir werden jedoch zum potentiellen Ziel für Angriffe, wenn unsere Laptop/Notebook-User Ihre Geräte der xxxx zu Hause oder an anderen externen Orten ans Internet anschliessen, dies via ADSL, Kabelinternet, Modem, etc. und diese Geräte danach wieder an unser Netzwerk anschliessen.
Wie Ihnen schon bekannt, ist es deshalb ohne Rücksprache mit der EDV-Abteilung nicht zugelassen, EDV-Geräte der xxxxx an andere Netzwerke oder Internet anzuschliessen. Dies gilt auch für externe Geräte, welche an unser xxxxx-Netzwerk eingebracht werden sollen (Lieferanten).
Müssen Sie zwingend Geräte im obigen Sinne verwenden, rufen Sie mich an.
Hatten Sie ein xxxxx-Laptop/Notebook in den vergangenen 14 Tagen an einer externen Stelle im Netzwerk angeschlossen, hängen Sie dieses Gerät sofort aus dem Netzwerk und melden Sie sich bei mir. Dieses Geräte muss sofort überprüft werden, bevor es wieder in xxxxx-Netzwerk integriert wird.
Ein entsprechender Fall ist bereits eingetreten, ich konnte diesen jedoch noch glücklicherweise "retten". Wäre dieser Laptop ins Netzwerk der xxxx angeschlossen worden, hätte dieser evtl. alle weiteren PCs mit dem Virus befallen.
Zusätzlich werden die Zugänge via VPN ab sofort gesperrt. Home-PCs von VPN-User müssen zuerst nach Anleitung EDV-Support (xxx) upgedated werden.
Denken Sie daran, es können enorme Schäden entstehen, wenn Sie sich nicht an diese Regeln halten.
Ein notwendiger Sicherheits-Update von Microsoft werde ich Ihnen demnächst zur Verfügung stellen.
Bei Unklarheiten wenden Sie sich bitte an mich.
Mit freundlichen Grüssen
än, noch eine Frage an die Spezis: bin ich sicher wenn meine Firewall anfragen von aussen nicht auf meinem PC weiterroutet?? (Hab natürlich auch einen aktuellen AV laufen und alle Windowsupdates gemacht...) -
Mit den neuen Patch und einem aktuellen Virenscanner bist du sicher.
-
ah, Frage war so gemeint: würde nur eine Firewall oder ein Router genügen??
-
wenn deine Firewall den entsprechenden Port dicht macht: Ja
