msblast.exe -- neuer wurm Einstellungen

[Catweazle]

OHA da habe ich das ganze missverstanden.

Danke Skep für deine Infos.


Catweazle

[Gast_SHAKAL_*]

Hi Leute, der Wurm ist nunmehr schon als 3 Varianten in the wild, aber es dürfte kein Schaden entstehen wenn man sich ein wenig an die Steps hält:

1. FIX laden um MSBLAST zu finden
2. Hotfix Microsoft laden
3. Offline gehen
4. Hotfix von Microsoft installieren
5. FIX scan laufen lassen, entfernen, neustarten
6. entspannt weiter surfen
7. zur Sicherheit den TFTP Daemon tftp.exe umbenennen
8. Have Fun

Die 2.Variante steht unter anderem auch in meinem Bericht.

[Internetfan1971]

Hallo Leute!

Ich hatte auf Yahoo Deutschland einen Bericht über Blaster / Lovesan gelesen und natürlich auch auf Eure Homepage!

Bei Euch ist zu lesen, dass die neue Variante nicht mehr UPX gepackt, sondern mit FSG gepackt ist.

Meine erste, ja vielleicht etwas absurde Idee war es, einer aus der Security-Szene hat diesen Wurm gebastelt um den Nutzern von Microsoft-Produkten dessen Sicherheitsmängel und die Mängel von vielen Antivirenprogrammen in bezug auf laufzeitkomprimierte Dateien vor Augen zu führen...

Aber als ich jetzt im Forum gelesen hatte das der Dauer-Angriff bis Weihnachten dauern soll und man ggf. keine Patches herunterladen kann, ist dies wohl zu absurd!

Naja. Mich als Nutzer von Windows 98 SE trifft das ja eh nicht, aber andere wie meinen Bruder mit Win XP Home schon.

Also habe ich da mal einige generelle Fragen!

Ihr schreibt

„So ist diese neue Variante nicht mehr UPX gepackt, sondern mit FSG. Dieser Umstand macht es einer Reihe von AV Programmen unmöglich, den Wurm per Heuristik zu erkennen. Lediglich Programme, die dieses Format unterstützen, sind hier im Vorteil (z.B. Kaspersky und McAfee)“

Und was ist mit BitDefender Free Edition 7? Handelt es sich bei der Free-Version eigentlich um die selbe Scan-Engine wie etwa bei der Home-Version 6.5?

Und welche außer o. g. AV-Programmen kennt das FSG-Format?

Von verschiedenen Herstellern wurden Removal Tools zum Entfernen des Wurms bereitgestellt. Sind AV-Programme also nicht dazu in der Lage Würmer (nicht nur diesen) zu entfernen, sondern nur zum Erkennen?

Ist dieser Port 135 ein Port der nur in Netzwerken offen ist bzw. offen sein kann? Sprich: Sind Einzelplatzrechner nicht befallen?

Schon mal Danke im voraus!

[Gast_vampire_*]

Mit diesen Informationen sollte man sich effektiv vor Blaster schützen können, auch ohne Firewall *g*

Aber sich mit 'ner Firewall zu schützen ist halt viel viel cooler...

wizard

daß die rokop profies keine FW brauchen ist ja wohl selbstverständlich...

und für dich wizard, der zauberer am computer, gelten sowieso völlig andere maßstäbe. wer wollte daran zweifeln...

ich spreche vom gemeinen fußvolk, das weit entfernt von deinem sagenumwobenen durchblick und expertentum, zu füßen deines FW-losen elfenbeinturms sein tumbes dasein fristet...für diese personengruppe ist eine FW in der tat VIIIIIIIEEEEL cooler...

[Gast_skep_*]

und für dich wizard, der zauberer am computer, gelten sowieso völlig andere maßstäbe. wer wollte daran zweifeln...   
   

ich spreche vom gemeinen fußvolk, das weit entfernt von deinem sagenumwobenen durchblick und expertentum, zu füßen deines FW-losen elfenbeinturms sein tumbes dasein fristet...für diese personengruppe ist eine FW in der tat VIIIIIIIEEEEL cooler...

Der Beitrag wurde von skep bearbeitet: 14.08.2003, 16:50

[Gast_SHAKAL_*]

Ich finde ja Gemeinheiten schlecht, aber das Ding ist einfach GEIL

ROFL ~ Treffer ~ Versenk oder Wizard

[wizard]

ich spreche vom gemeinen fußvolk, das weit entfernt von deinem sagenumwobenen durchblick und expertentum, zu füßen deines  FW-losen elfenbeinturms sein tumbes dasein fristet...für diese personengruppe ist eine FW in der tat VIIIIIIIEEEEL cooler...

Diese Logik werde ich eh nie verstehen:

Auf der einen Seite kann das "fußvolk" angeblich nicht das System sauber konfigurieren und upgedated halten, aber auf der anderen Seite, können sie eine (Personal-) Firewall konfigurieren....

Die "Wissensgrundlage" ist übrigens in beiden Fällen die gleiche: Was passiert in meinem Netzwerk und welche Dienste benötige ich wirklich?

Aber was soll's als Scriptkiddie würde ich auch (Personal-)Firewalls propagieren. Das sorgt dafür, dass sich die "Kunden" nicht ernsthaft mehr um ihre "Sicherheit" bemühen.

wizard

[Gast_vampire_*]

Diese Logik werde ich eh nie verstehen:

Auf der einen Seite kann das "fußvolk"  angeblich nicht das System sauber konfigurieren und upgedated halten, aber auf der anderen Seite, können sie eine (Personal-) Firewall konfigurieren....

Die "Wissensgrundlage" ist übrigens in beiden Fällen die gleiche: Was passiert in meinem Netzwerk und welche Dienste benötige ich wirklich?

Aber was soll's als Scriptkiddie würde ich auch (Personal-)Firewalls propagieren. Das sorgt dafür, dass sich die "Kunden" nicht ernsthaft mehr um ihre "Sicherheit" bemühen.

wizard

du verstehst so vieles nicht...

dir scheint die sattsam vorhandene ironie vollständig entgangen zusein ( wundert mich nicht... ) wenn ich vom "gemeinen fussvolk" spreche. jeder durchschnittlich begabte und bemühte user ist in der lage eine firewall zu konfigurieren. wird doch immer einfacher.

da sich deine wissensgrundlage nicht wesentlich von der eines scriptkiddie's unterscheidet, habe ich keine lust weiter mit dir über "scheinsicherheit" usw. zu diskutieren B) das hatten wir ausführlich im februar...

gruss,

vampire

[Gast_SHAKAL_*]

Soziale Abgründe und Angriff mittels Floskeln?
Lasst das sein Leute, das steht niemandem zu Gesicht.

[Gast_vampire_*]

Soziale Abgründe und Angriff mittels Floskeln?
....

hi shakal,

kann dir im moment nicht ganz folgen....

ist auch egal, das ganze hat ne vorgeschichte auf nem anderen board, liegt monate zurück...

EDIT:

morgen ist blaster-day, für dürfen gespannt sein....ich freu mich drauf

Der Beitrag wurde von vampire bearbeitet: 15.08.2003, 10:35

[Tibor Budzinski]

...  wird doch immer einfacher.

Wobei man hier vorsichtig sein muss. Wenn es in dem Sinne einfacher geht, dass man anstatt drei Optionen bei einem Schieberegler nun vier hat, dann ist es wohl nicht gerade sinnvoll .

Aber stimmt schon, einfach ist es im Grunde in der Tat. Die einzigen Mängel, die ich noch sehe, sind die der Aufklärung. Es sollte bei der Meldung, ob man ein Programm durchlassen möchte oder nicht, evtl. mehr Info über das Programm gegeben werden. Nicht nur der *.exe Namen - wie es bei manchen Firewalls leider der Fall ist.

Eine Information, ob das Programm bei irgendwelchen Startpunkten irgendwann einen Eintrag gemacht hat würde mir zum Beispiel gefallen. Naja, anderes Thema...

Bye, Tibor.

[Gast_skep_*]

Microsoft decided to no longer resolve 'windowsupdate.com'. The Blaster worm will not start its DDOS attack as a result. 'www.windowsupdate.com' and 'windowsupdate.microsoft.com' continue to be reachable.

Der DoS läuft also ins Leere und das Wochenende ist gerettet

[JFK]

Down Under bläst zum Angriff

JFK

[Gast_SHAKAL_*]

Hi Leute, ich habe nochmals einige Fakten und Daten zusammen getragen und in einem Paper zusammen gefasst.
Könnte durchaus Informativ sein:
http://www.brain-pro.de/risk.htm

[docprantl]

ihr könnt euch auf den kopf stellen, mit einer firewall kann das ding wirkungsvoll abgewehrt werden...

Mit einer Gasmaske können auch Grippeviren abgewehrt werden, trotzdem bevorzuge ich nur die Schutzimpfung.

HTH&HAND
docprantl

[JhOE]

um nochmal genau nachzufragen..
ich war bisher der Meinung, 98er- Rechner hätten Glück gehabt und können/werden nicht infiziert.
Stimmt das?

[Rokop]

Ja, es stimmt ! Betroffen sind nur W2k, XP und einige Server Versionen.

[JhOE]

Ja, es stimmt ! Betroffen sind  nur W2k, XP und einige Server Versionen.

ok *beruhig*
Thanks!

ich fragte wegen:
Welche Systeme sind betroffen(www.sophos.de/support/disinfection/blastera.html)

das hatte mich dann doch irritiert..

Aber nu kann ich schlafen

[Rokop]

Der Link zu Sophos irritiert mich jetzt aber auch ein wenig. Andere Hersteller sprechen da nur von den vom mir genannten Betriebssystemen. Ich kann es mir im Moment nur so erklären: Der Wurm ist auf allen Windows 32 Plattformen lauffähig und kann diese theoretisch auch infizieren, eine direkte Bedrohung über das Internet ist aber nur bei 2000, XP und Co. möglich. Wie es um eine Infizierung über das LAN aussieht, entzieht sich meiner derzeitigen Kenntnis.

[Gast_SHAKAL_*]

Hi, das mit Windows98 ist so nicht richtig, ich verweise da nochmal auf meinen Artikel, da die Mutationen des Wurms bereits andere Möglichkeiten nutzen:
http://www.brain-pro.de/risk.htm