Der Wurm: nicht nur Attacken auf Windows

[biblio]

Wenn Viren das ganze Problem wären

Ich habe mal eine Internetfunkecke mit iMac`s betrieben. Bei den 5 hatte ich nie was zu tun, ausser einer der Kiddies schmiss die Festplatte in den Mülleimer (im 9 ner System). Hier auf der Arbeit laufen 4 NT PC - Tägliches Platte putzen von Dialern und so ganz nette Seiten umgehen jeden Sicherheitsschutz und installieren sich automatisch als Startseite und sicherheitshalber gleich mit ins Profil (z.B. http://www.hardcore.de - keine Werbung, eher Warnung). Der Jubel ist dann immer groß.

Und das obwohl die NT Rechner abgeschottet sind bis zum geht nicht mehr, hinter Routern und Firewalls versteckt sind. Leider haben sich die macs als Internetecke im öden Dienst noch nicht rumgesprochen.

Tschüss - mach nun Feierabend - da tummeln sich nur macs

Der Schleiku

 

[Apfel-Lover]

"Wir haben Fehler gemacht"...

....mein ein Microsoft-Sprecher im Interview mit tagesschau.de.

 

[lemonstre]

Re: "Wir haben Fehler gemacht"...

Original geschrieben von Apfel-Lover
....mein ein Microsoft-Sprecher im Interview mit tagesschau.de.

 

das kommt microsoft doch nur recht. ein weiterer grund ihr konzept vom pc mit tcpa durchzusetzen...

diesen "fehler" und den "lernprozess" werden sie uns noch in jahren vor die nase setzen wenn es darum geht tcpa an den kunden zu bringen.

für alle verschwörungstheoretiker: nein ich glaube nicht das m$ etwas mit der verbreitung des virus zu tun hat.... aber wer weiss

hab gerade mal zum spass das log meiner firewall geparsed es gab in den letzten 7 tagen 153 anfragen auf port 135... ganz schön was los da draussen.

gruss
lemonstre

 

[Gomiaf]

Baumgärtner: Wir weisen nur auf Sicherheitslücken hin, wenn wir ein Gegenmittel haben.

 

[Hugoderwolf]

Mensch, gute Idee!
Hab auch grad mal das Log vom Router gecheckt. Alleine in den letzten paar Stunden ging so einiges. Was ist denn Port 4662? Hat der was mit dem Wurm zu tun oder ist das so ein standard-Trojanerport? Ich meine bei dem Wurm wäre noch ein anderer Port zugange...

Edit: OK, Google sagt mir, dass 4662 wohl zu eDonkey gehört, aber wieso kriege ich da so viele Requests? Hab keinen eDonkey drauf...

 

[Apfel-Lover]

Port 4662 wird von Tauschbörsen genutzt; vermutlich war jemand, der vor Dir die IP vom Provider zugeteilt bekommen hatte, ein Anbieter, der in einigen Client-"Warteschleifen" gespeichert ist.

 

[Hugoderwolf]

Axo, cool. Was es nicht alles gibt.

Gibt's einklich 'ne Möglichkeit, mal mit dem Ethereal Sniffer die Pakete abzufangen, die vor meiner Firewall im Router landen? Habe jetzt mal (Riiiiisikooooo!) mein iBook als Demilitarized Zone eingestellt und schaue mal ob was kommt, aber bisher läuft scheinbar nichts...

 

[mattmiksys]

So richtig glauben kann ich nicht, wieviel Schreiberei dieser Thread offenbar hergibt!
Dabei dreht es sich eigentlich immer nur im Kreis: Keiner will irgendeinen Virus, Microsoft hat die meisten Installationen, muss also verstärkt mit Attacken rechnen. Wenn andere auch solch (bewundernswerten) Absatz hätten, wäre es dort nicht anders. Wer sich etwas einfängt, hat selber Schuld, weil er nicht rechtzeitig die letzten Sicherheitsupdates geladen hat... immer dieselbe Argumentationskette.
Hundert Mal habe ich den Computer als Werkzeug bezeichnet, aber hält er in der derzeitigen Form einem Vergleich stand? Noch lange nicht!: Jedes andere Werkzeug wäre längst in der Versenkung verschwunden, wenn sich der Benutzer immer darauf verlassen müsste, dass das Nachfolgewerkzeug wirklich das hält, was der Vorgänger verspricht, wenn die nächste Zange "wirklich" den Nagel auszieht, an der die letzte zugrunde gegangen ist.
Das ist das, was ich weiter oben mit "Selbstzweck" meinte: Kann es sein, dass man einen Computer zunehmend dafür betreibt, Sicherheitslücken auf der Spur zu bleiben und zu beseitigen, nur, weil man ihn weiterhin benutzen möchte??
Wer mich kennt, weiß, dass die Kritik nicht ausschließlich, aber in erster Linie an Microsoft gerichtet ist. Solange ich denken kann, war das Hauptbestreben bei Microsoft das Nachbessern von Software NACH Auslieferung. Das Internet erlaubt es, die Nachbesserung auch noch dem Benutzer, vieltausendfach, aufzubürden, statt zentral, weitab von der Marketingabteilung, eine effektive Qualitätssicherung einzurichten.
Als ob der Endbenutzer nichts besseres zu tun hätte, als Systempflege zu betreiben!

Grüße,
Matthias

 

[Fidelkoven]

Hallo,
in meinem firewall log steht über gestern und heute sehr viel vom port 135 aber immer denied. und in demselben masse der port 113 auch denied aber während bei port 135 immer "unknown" als service angegeben ist steht bei port 113 immer "Authentication (AUTH)" ..... weiss jemand was das bedeutet? hat dieser komische wurm versucht bei meinem mac was zu erreichen und was ist port 113?
FIdel

 

[Apfel-Lover]

@mattmiksys:

clap clap clap

Unterschreibe ich sofort !

 

[r.tosh]

häääääääääääääh!?

...ich versteh nur noch : "Firewall-check.."

wie geht das?

 

[west11]

Original geschrieben von Hugoderwolf
Mensch, gute Idee!
Hab auch grad mal das Log vom Router gecheckt. Alleine in den letzten paar Stunden ging so einiges. Was ist denn Port 4662? Hat der was mit dem Wurm zu tun oder ist das so ein standard-Trojanerport? Ich meine bei dem Wurm wäre noch ein anderer Port zugange...

Edit: OK, Google sagt mir, dass 4662 wohl zu eDonkey gehört, aber wieso kriege ich da so viele Requests? Hab keinen eDonkey drauf...

 

 

[west11]

hi wie checke ich das

Original geschrieben von west11
 

 

hi wie checke ich das?
ich möchte auch unseren router prüfen und das ding verstehen
west

 

[Hugoderwolf]

Was heißt genau das Ding verstehen? Wenn du die Funktionsweise des Wurms verstehen willst, dann viel Spaß. Wenn du das könntest, dann wüsstest du auch, wie du an die Log vom Router kommst.
Ansonsten müsste irgendwo im Admin-Bereich vom Router (normalerweise ein Web-Interface auf der Ip des Routers, im Browser einfach die Ip des Routers eingeben) was von "View Log" oder so stehen. Notfalls hilft sicher die Anleitung, ist von Router zu Router verschieden.

Hier aber mal ein Text, der ungefähr beschreibt, wie der Wurm arbeitet:

Technische Details:



Bei Ausführung geht W32.Blaster.Worm folgendermaßen vor:
Er erzeugt eine Mutex mit dem Namen "BILLY." Ist diese Mutex vorhanden, so wird der Wurm ausgeführt.
Er fügt den Wert "windows auto update"="msblast.exe" dem folgenden Registrierungsschlüssel hinzu:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.
Er berechnet eine zufällige IP-Adresse, A.B.C.0, wobei A, B und C auf beliebige Werte zwischen 0 und 255 gesetzt werden.



HINWEIS: In 40% der Fälle wird, wenn C größer als 20 ist, ein beliebiger Wert unter 20 abgezogen.



Nach Berechnung dieser IP-Adresse versucht der Wurm, auf Basis von A.B.C.0 einen Computer im lokalen Teilnetz zu finden und auszunutzen. Der Wurm zählt dann von 0 aufwärts und versucht dabei, andere Computer auf Grundlage der neuen IP-Adresse zu finden und auszunutzen.



Er sendet Daten auf dem TCP-Port 135, durch die die DCOM RPC-Sicherheitslücke ausgenutzt werden kann.



HINWEISE:
Das bedeutet, dass das lokale Teilnetz mit Anfragen für den Port 135 überlastet wird.
Aufgrund der zufälligen Art und Weise, auf die der Wurm die Angriffsdaten konstruiert, können Computerabstürze verursacht werden, wenn der Wurm falsche Daten sendet.
Obwohl W32.Blaster.Worm sich nicht auf Windows NT oder Windows 2003 Server ausbreiten kann, können nicht aktualisierte Computer mit diesen Betriebssystemen aufgrund der Angriffsversuche des Wurms abstürzen. Wenn der Wurm jedoch auf Computern mit diesen Betriebssystemen manuell eingebracht und gestartet wird, wird er ausgeführt und kann sich ausbreiten.



Er erstellt mithilfe von Cmd.exe einen versteckten, entfernten Shell-Prozess, der den TCP-Port 4444 überwacht. Dies ermöglicht einem Angreifer, auf dem infizierten System entfernte Befehle einzugeben.

Er überwacht den UDP-Port 69. Wenn der Wurm eine Anfrage von einem Computer erhält, mit dem er über die DCOM RPC-Sicherheitslücke eine Verbindung aufbauen konnte, schickt er diesem Computer msblast.exe und weist ihn an, den Wurm auszuführen.



Wenn der aktuell eingestellte Monat ein Monat nach August ist, oder wenn das aktuelle Datum nach dem 15. liegt, führt der Wurm einen DoS-Angriff auf Windows Update aus. Der Wurm aktiviert den DoS-Angriff am 16. dieses Monats und fährt hiermit bis zum Ende des Jahres fort.



Der Wurm enthält den folgenden Text, der jedoch nie angezeigt wird:



I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

 

[Seidi]

Backup zur Sicherheit - aber wie?

Hallo!


Beim Lesen des Threats wurde mir klar, dass es jetzt nach 5 Monaten iMac auch mal Zeit wäre, ein Backup zu ertsellen. Aber wie?
Welche Möglichkeiten gibt es und worauf muss man dabei überhaupt achten? Vielleicht weiss jemand eine gute Seite zu dem Thema?
Mit der Suchfunktion hab ich leider keine umfassende Beschreibung gefunden.

Danke
Chris

P.S.: Ich würde gern auf DVD sichern.

 

[Lynhirr]

Carbon Copy Cloner

Wenn du nur Daten und User-Ordner sichern willst, dann reicht Sichern, oder brennen von Hand.

Ansonsten suche mal nach "Carbon Copy Cloner" hier im Forum. Da gibt es einiges zu.

Ich sicher mit Apples Backup Software auf der iDisk, von Hand auf CD und zusätzlich auf dem iPOd.

Merke: Backup ist wirklich eine ganz wichtige Angelegenheit!

Es grüßt

Lynhirr

 

[Lazarus2k]

Täusche ich mich oder müsste ein Linux/Unix Wurm oder Virus nicht erstmal Rootaccess haben damit er was kaputt machen könnte?
Das hiesse ja dann es müsste erst der User nach dem Rootpassword gefragt werden, oder nicht?

 

[mattmiksys]

Hi Lazarus,
das eben sind die Sicherheitslücken, an denen Würmer ansetzen! Denn nach den Rechten wirst du vom System gefragt, man kommt normaler Weise nicht daran vorbei. Wenn es aber "nicht ganz dicht" ist, können dessen Abschirmfähigkeiten ausgehebelt werden.
Gruß,
Matthias

 

[Apfel-Lover]

Ich will das Thema nicht unnötig wieder hochkochen, allerdings muss ich paar Beobachtungen/Gedanken doch loswerden:

habe mir eben mal wieder das Protokoll der Firewall angeschaut, und nach wie vor wimmelt es hier von Zugriffsversuchen auf den berühmt-berüchtigten Port 135 ( übrigens zu über 90 % von .de- oder .at-Domains ).

Seit drei Tagen ist der Wurm in allen Medien ( TV, Hörfunk, Print, online sowieso ) verschärft präsent.....und dennoch soviele ungepatchte Rechner.

Oder sind die nur alle online, um vergeblich und verzweifelt die Microsoft-Updateseiten zu erreichen ( die wohl angeblich schon fleissig DoS-mässig vom Blaster bombardiert werden, da z.B. in Australien schon der 16.8. ist....) ?

 

[celsius]

hoffentlich bleiben uns solche probleme erspart!