MSBlast-Worm

[Hun]

Nope, is kein Thread von der Sorte, 'Hilfehilfe, mein System macht was es will', sondern soll vielmehr eine Sammlung an lustigen (DAU-mäßigen) Diskussionen dazu werden, hoffe es ist in diesem Sinne erlaubt auf andere Foren (NICHT wegen Werbungszwecken) zu verlinken

Babyzimmer

WBC

Original geschrieben von I-Master
"Was hast Du mir da geschickt?"
"Eine Anleitung, damit Dein PC nicht mehr runterfährt."
"Ja und was muss ich da machen?"
"Das hatte ich doch in der Mail geschrieben. Den Patch installieren."
"Die Mail habe ich gelöscht."

(Linuxforen)

WXP

Eins von vielen der CHIP

____________________________________________________________________________
Hoffe ihr habt genau so viel Spaß darüber wie ich und seid momentan nicht davon betroffen

Greetz, Hun

[observer]

Frag mal Guilty was für verrückte Systemnachrichten er im IRC bekommt.

......

[Core]

wahrscheinlich nicht nur er...

vorn paar wochen hat son hacker mein PC gehackt und schickt mir staendig irgendeinen nerventoetenden Nachrichtendienst

Das lustige dabei *doppelpunkt*

Er bietet auf seiner Homepage einen Patch an, der diesen Nachrichtendienst wieder entfernt

komischer hacker. war uebrigens ein schwede...

[TheLoneGunman]

Nachrichtendienst? Meinst Du den von Windows? Den kannst Du ausschalten... entweder installierst Du dir n Antispy-Proggi oder Du nimmst den (etwas) umständlicheren, aber ebenso erfolgreichen Weg:

Geh in die Systemsteuerung -> Leistung und Wartung -> Verwaltung -> Dienste und da suchst du dann den Eintrag Nachrichtendienst -> Rechtsklick drauf und dann bei Eigenschaften - Starttyp deaktivieren

Wenns noch was anderes is, von nem Hacker aus Schweden... dann weiss ich auch net was Du machen kannst . Auf keinen Fall würd ich aber auf dessen Seite gehen... dann doch eher die Festplatte leerräumen .

Von dem Nachrichtendienst hatte ich damals ständig Werbung von irgendwelchen Mädels bekommen, die die letzte Nacht so toll fanden .

mfg

TheLoneGunman

[Nitrat]

oberste Newsmeldung


nen Kumpel von mir ist Selbständig und führt ein PC Laden.
Gestern bzw heute natürlich auch, riefen etliche leute an.
Was er mir bestätigte [um 21.00uhr] ist sehr mysteriös.
Er meint das dieser Hackerangriff von Microsoft
selber verursacht wurde, weil alle die ihn angerufen
haben, hätten eine gecrackte version von WinXP !!

Dies kann ich auch bestätigen, und werd
mir wohl nun mal ne orig bestellen müssen.

Denn was ihm auf den gedanken gebracht hatte war folgendes:
Gestern morgen bekam er (da er eine originalversion hat)
ein update auf dem rechner von Microsoft.
Als der erste fall bekannt wurde, war in sehr kurzer
zeit (mit der angabe von 5 ganzen minuten) der patch
von Microsoft downloadbar.

=> wie kann das denn gehen, schon vorprogrammiert,
fehler in windeseile gefunden und rausgecheckt ??

Fakt ist jedenfalls das keine original version mit
diesem RPC abgestürtzt ist. Nun möcht ich gerne
wissen ob ihr auch eine gecrackte habt oder eine
originalversion !!


PS: Edit !
MFG........

[KyBorg]

http://www.spiegel.de/netzwelt/technolo ... 56,00.html

Ist eine echte Sicherheitslücke a la Microsoft: Nicht einfach nur geschludert, sondern durchaus beabsichtigt. Und jetzt nutzt das ein boeser LovSan aus.

Hach, da freut man sich wenn man sowas im Konqueror liest

[Hun]

aber laut Heise war der Fehler seit dem 16. Juli bekannt, seitdem gibt's auch den Patch

außerdem kenn ich genügend mit OriginalXP die Probleme haben

[Gunny]

tja, da kann ich nur eines sagen... ok, zwei...

mit Win98 wär das nicht passiert

warum müßt ihr auch immer illegale Sachen machen

[icecoldMagic]

Original geschrieben von Gunny
mit Win98 wär das nicht passiert

warum müßt ihr auch immer illegale Sachen machen

hm... um es musikalisch auszudrücken...

"It's my life, it's my life, my life...."

[Darkhunter]

Nuja, ich kenn nur einen, den's erwischt hat und der hat das orginal XP. Ich selbst hab Win2000prof und da ich eigentlich sämtliche Updates installiert habe brauch ich mir da wohl keine Sorge zu machen...und wenn doch was futsch geht...wayne, wollte eh mal wieder formatieren.

[guilty]

hab auch das orginal von winxp; selber gekauft beim händler um die ecke und trotzdem hab ich diese mistbazille bekommen.

zur IRC-nachricht:
bei mir hat sich vorgestern plötzlich ein fenster aufgetan, dass systemnachricht hieß und mich auf dieses sicherheitsproblem hingewießen. als ich daraufhin in den ja-channel schreiben wollte, is dort aber keine antwort von mir angekommen und mein system hat mir geantwortet!



(23:10:40) -Q- [#ja2] .... Erdbeertee und Hirsekekse for free ....
(23:14:39) (Systemnachricht) Ein Angriffsprogramm ist öffentlich verfügbar. Es ist damit zu rechnen, dass dieses zeitnah eingesetzt wird. Ein erfolgreicher Angriff (eines ungepachten Systemes) führt zur Systemkompromittierung. Dies wurde durch das RUS-CERT verifiziert. Der verfügbare Exploitcode nutzt derzeit als Einfallstor zumindest TCP-Port 135 http://cert.uni-stuttgart.de/ticker/art ... p?mid=1124 |http://microsoft.com/downloads/details. ... C-C5B6-44A
(23:15:30) (Guilty|AIM) habt ihr auch so ne systemnachricht bekommen?
(23:16:07) (Systemnachricht) nope aber ich hör von den probs schon den ganzen tag lang
(23:16:29) * Disconnected
Session Close: Mon Aug 11 23:16:30 2003


seitdem schau ich meinen pc etwas krumm an

[Azrael]

Original geschrieben von Hun
Babyzimmer

viel schockierender als die diskussion dort finde ich die tatsache, dass du dich in so einem forum rumtreibst.

[Thor Kaufman]

Original geschrieben von Nitrat
oberste Newsmeldung


nen Kumpel von mir ist Selbständig und führt ein PC Laden.
Gestern bzw heute natürlich auch, riefen etliche leute an.
Was er mir bestätigte [um 21.00uhr] ist sehr mysteriös.
Er meint das dieser Hackerangriff von Microsoft
selber verursacht wurde, weil alle die ihn angerufen
haben, hätten eine gecrackte version von WinXP !!

Dies kann ich auch bestätigen, und werd
mir wohl nun mal ne orig bestellen müssen.

Denn was ihm auf den gedanken gebracht hatte war folgendes:
Gestern morgen bekam er (da er eine originalversion hat)
ein update auf dem rechner von Microsoft.
Als der erste fall bekannt wurde, war in sehr kurzer
zeit (mit der angabe von 5 ganzen minuten) der patch
von Microsoft downloadbar.

=> wie kann das denn gehen, schon vorprogrammiert,
fehler in windeseile gefunden und rausgecheckt ??

Fakt ist jedenfalls das keine original version mit
diesem RPC abgestürtzt ist. Nun möcht ich gerne
wissen ob ihr auch eine gecrackte habt oder eine
originalversion !!


PS: Edit !
MFG........

ne, hat auch andere betroffen

@Gunny na, mit Win9x hast ja eh n offenes Scheunentor, da würd das auch nix mehr ausmachen

[Hun]

ich hab mich da nicht rumgetrieben, ich hab den Link bloß von jemand ausm Linuxforum gekriegt, zum Thema "Probleme haben manche..."...

[Spike Scallion]

Ich hatte den assigen Virus drauf... bei der Firma in der ich arbeite http://www.antivir.de hatten sie nach einem Tag gleich das neue Updatet...jaja so sind die schwaben schnell und professionel....

Spike

[Lokadamus]

mmm...

Spike, wieso glaube ich nicht daran, das du bei antivir arbeitestet ... achja, jeder gute Antivirensoftwarehersteller hatte ein Update gegen Lovesan/Blast innerhalb von 24 Stunden parat ...

[RazorLamont]

ich habe im bekanntenkreis gekaufte und gecrackte versis. von xp

nicht jeder hat den wurm, aber es verteilt sich auf jeden fall auf gekauft oder gecrackt ... soll heissen xp kaufen bringt nix

ich habe keine probs.

der macher des wurms scheint ein wares genie zu sein. die ausbreitungs geschwindigkeit, die ports die geöffnet werden ... wow.

seine ziel sind so löblich das ich dem wurm gerne einen platz auf meinem puter geben würde um von mir aus zu agieren, leider scheint das shiceding ja verdammt aggressive zu werden wenn man ihn blockiert und das tust du ja im prizip sofort wenn du was am rechner machst

[Chumpesa]

Man kann ja noch relativ froh sein, dass der Wurm nur den PC neustartet....
Der Hacker hätte bestimmt auch einbauen können, dass der Virus die HDD formatiert oder sowas.

Glaubt ihr, die Sache mit dem kollektiven Angriff auf den Microsoftserver stimmt? Eigentlich haben doch jetzt alle schon das Update und wenn der PC immer neustartet, dann kann er ja eher schlecht die Attacken auf MS ausführen.

[KyBorg]

Ja, ein Glück dass die Leute die wirklich erfolgreiche Viren programmieren nicht allzu destruktiv denken. Sowohl Melissa wie auch LovSan machen ja kaum mehr als sich zu verteilen. Stellt euch mal vor, LovSan wär von seinem Autor an einem Tag programmiert worden, der "den heiligen Franz von Assisi zum Babykicken gebracht hätte".
Virus installieren, zwanzig andere befallen, dann Bios scramblen, alle Daten Löschen, versuchen den Monitor durch Überlastung zu schrotten...

[Uli]

Original geschrieben von Chumpesa
Man kann ja noch relativ froh sein, dass der Wurm nur den PC neustartet....
Der Hacker hätte bestimmt auch einbauen können, dass der Virus die HDD formatiert oder sowas.

Glücklicherweise nicht! In den zehn Jahren, in denen ich mich mit PCs beschäftige, war das der erste Wurm/Virus, den ich mir eingefangen habe - und zwar gerade als ich mir den Patch downgeloadet hatte und installieren wollte. So ein Glück habe ich. War aber leicht zu Entfernen, da ich gerade vorher einen Restore-Point mit System Restore eingerichtet hatte, und der Wurm ja wirklich relativ harmlos ist.

Nur für die Statistik: Ich habe eine originale US-Version von Windows XP.

Glaubt ihr, die Sache mit dem kollektiven Angriff auf den Microsoftserver stimmt? Eigentlich haben doch jetzt alle schon das Update und wenn der PC immer neustartet, dann kann er ja eher schlecht die Attacken auf MS ausführen.

Den Gedanken hatte ich auch schon.

Uli

[morki]

Original geschrieben von Nargaroth
vorn paar wochen hat son hacker mein PC gehackt und schickt mir staendig irgendeinen nerventoetenden Nachrichtendienst

Das lustige dabei *doppelpunkt*

Er bietet auf seiner Homepage einen Patch an, der diesen Nachrichtendienst wieder entfernt

Noch ne kurze Zwischenfrage, bevor ich mich totlache: Hast du dir auch den Patch noch geladen und installiert?

Wenn ja, dann bist du aufm MSBlast-Opfer-Level angelangt, denn wer betroffen war, dem gehört der PC entzogen und ne Mikrowelle vorgesetzt. Die macht auch lustige Geräusche und piept beim Tastendrücken.

[RazorLamont]

Original geschrieben von Chumpesa
Man kann ja noch relativ froh sein, dass der Wurm nur den PC neustartet....
Der Hacker hätte bestimmt auch einbauen können, dass der Virus die HDD formatiert oder sowas.

Glaubt ihr, die Sache mit dem kollektiven Angriff auf den Microsoftserver stimmt? Eigentlich haben doch jetzt alle schon das Update und wenn der PC immer neustartet, dann kann er ja eher schlecht die Attacken auf MS ausführen.

er ist ja soweit ich gehört habe immer ca. 10 min an bevor er neustartet in den 10 min kann schon ne menge geflutet werden.

ich denke ich nehme die sache zum anlass endlich das zu tun was ich schon immer aus faulheit vor mir herschiebe .... den umstieg auf linux. weniger aus angst, denn aus abneigung MS gegenüber.

[Ironman]

Also mein Bruder hat diesen Virus auch drauf, aber da er die Ziele auch gut findet lässt er ihn drauf. Er meint, dass das Ding einfach die CPU überlastet und der Rechner dann abstürtzt. Ich glaubst selbst nicht aber er meinte man kann das ganz einfach durch ne einstellung in win xp verhindern das die CpU überlastet wird und gut iss.

[observer]

Original geschrieben von morki
Wenn ja, dann bist du aufm MSBlast-Opfer-Level angelangt, denn wer betroffen war, dem gehört der PC entzogen und ne Mikrowelle vorgesetzt. Die macht auch lustige Geräusche und piept beim Tastendrücken.

...Guilty: sie kommen, sie kommen dich holen ...

[Gunny]

Original geschrieben von Ironman
Also mein Bruder hat diesen Virus auch drauf, aber da er die Ziele auch gut findet lässt er ihn drauf. Er meint, dass das Ding einfach die CPU überlastet und der Rechner dann abstürtzt. Ich glaubst selbst nicht aber er meinte man kann das ganz einfach durch ne einstellung in win xp verhindern das die CpU überlastet wird und gut iss.

:weird:

soll ich deinem Bruder ein paar Adressen suchen wo er sich noch mehr so ein Zeug einfangen kann? Ich meine wenn er schon dafür ist, dann wenigstens richtig.

[morki]

Haben Sie sich auch den W32.Blaster eingefangen?

Bisher eingegangene Antworten: 5052

Ja - er hat mich erwischt. (44.6%)
Nein - ich hatte den Patch bereits installiert. (26.2%)
Nein - meine Firewall hat ihn abgefangen. (20.5%)
Ich weiß nicht ob mein Rechner befallen wurde. (8.6%)


... verstehe ich nicht, wie sich sowas so dolle verbreiten kann, wenn doch die Abhilfe schon monatelang bereitsteht.

[Spike Scallion]

Original geschrieben von Lokadamus
mmm...

Spike, wieso glaube ich nicht daran, das du bei antivir arbeitestet ... achja, jeder gute Antivirensoftwarehersteller hatte ein Update gegen Lovesan/Blast innerhalb von 24 Stunden parat ...

1. Die Firma heißt nicht Antivir
2. Sie heißt H+BEDV Datentechnik
3. Innerhalb von 24 Stunden hatten wir ein Update oder glaubst du die Techniker sind die ganze Nacht umsonst dort gesessen?
4. Kommt das Programm ANtivir aus Tettnang
5. Bin ich stoltz da zu wohnen
6. Mache ich dort ne Ausbildung

Und es kamen zig anrufe rein, vor allem von Leuten die Norton haben und und wollte Lizenzen für Antivir kaufen.

Spike

[The Assasin]

So ein Glück! Ich habe einen Mac.
Da konnte ja nichts passieren.
Ja unser Billi. Der sollte wircklich mal sehen das seine Software den Preis auch wert ist.
Einige Dinge bei Microsoft sind ja auch nicht ganz nachvollziehbar. Ein Beispiel:
Microsoft Office für Windows und Microsoft Office X für Mac
Es ist seltsamerweise immer so, das die Mac Version mehr kann als die Windows Version. Zum Beispiel ist in der Mac-Version das erstellen von PDF-Dateien möglich, was aber in der Windows Version nicht so ohne weiteres möglich ist.
Das ist nur ein Beispiel. Ich bin sicher es gibt noch mehr davon

[Buntaro]

Ich werd immer bei Win 98 bleiben !

[Thor Kaufman]

Original geschrieben von Chumpesa
Man kann ja noch relativ froh sein, dass der Wurm nur den PC neustartet....
Der Hacker hätte bestimmt auch einbauen können, dass der Virus die HDD formatiert oder sowas.

Glaubt ihr, die Sache mit dem kollektiven Angriff auf den Microsoftserver stimmt? Eigentlich haben doch jetzt alle schon das Update und wenn der PC immer neustartet, dann kann er ja eher schlecht die Attacken auf MS ausführen.

gibt ja schon verschiedene Versionen von dem Teil

Ma sehen, wann die nächste Sicherheitslücke anvisiert wird

Aber schon krass, nu brauch man nichma mehr was downloaden, um n Virus zu kriegen

[Lokadamus]

mmm...

Die neuen Varianten scheinen schon die gewünschten Funktionen von Office 2003 mitzubringen, naja, Fehlerberichte werden die Würmer wohl nicht erstellen, aber ansonsten ...

Spike

... bei der Firma in der ich arbeite http://www.antivir.de <--- :p

... und ich hoffe, du sollst keine Handbücher schreiben, ansonsten darf die nochmal jemand auf Rechtschreibung überprüfen

[Spike Scallion]

He du Inteligenzbolzen! Schau mal auf http://www.antivir.de oben links ins Eck. Und sag mir was da steht!!!

Nächtes mal genauer hin schauen...

Spike

[Chumpesa]

Frage: Ich habe jetzt den Patch drauf, der den Port schließen soll und die msblast.exe und die pf-Datei entfernt.
Jetzt war da aber doch noch irgendwas mit dem regedit zwecks Autostart oder?
Wo finde ich denn da den Eintrag, den ich entfernen muss?

Ps: Ich traue mich wetten, dass der ersteller - wenn überhaupt - eine gecrackte Windows Version hat.

[Spike Scallion]

Start dann Ausführen. Gib im angezeigten Fenster 'regedit' ein und löschen folgende Registry Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run]
"windows auto update"="msblast.exe"

Das wars auch schon...

Spike

[Thor Kaufman]

Original geschrieben von Chumpesa
Frage: Ich habe jetzt den Patch drauf, der den Port schließen soll und die msblast.exe und die pf-Datei entfernt.
Jetzt war da aber doch noch irgendwas mit dem regedit zwecks Autostart oder?
Wo finde ich denn da den Eintrag, den ich entfernen muss?

Ps: Ich traue mich wetten, dass der ersteller - wenn überhaupt - eine gecrackte Windows Version hat.

Welcher Ersteller ? die Hacker, die den Wurm gecoded haben, oder wie ?

Und was wäre wenn ?
Vielleicht isses ja auch nur ein unzufriedener MS-Mitarbeiter, dem die Gehaltserhöhung versagt geblieben ist

[Hun]

also ich kenn nicht viele Leute die Viren schreiben (und ich kenn einige) die etwas anderes als BSD verwenden

@Lavernac/Razor/whatsoever, schau auf http://www.linuxiso.org/ , da gibt's FTPs wo du dir komplette images der CDs holen kann (für dich als Anfänger ist Mandrake oder RedHat das Beste), sag's mir wenn's Probleme gibt

[KyBorg]

Gestern ist mir bei ein paar Tests aufgefallen dass mein Port 135 von aussen nicht sichtbar ist(auch bei ausgeschalteter Firewall), unter Linux wie auch unter Win98. Der Verdacht liegt also nahe dass mein ISP(derzeit T-online) das schon abblockt. Jetzt frage ich mich ob das schon länger so geht oder ob das eine kurzfristige Reaktion von T-online war.
Ich hab vorher noch nie versucht mir was an Port 135 zu schicken, könnte also auch an meinen Systemen liegen.

[schloßgespenst]

Ich hab' so ein Ding eingefangen - es steht in der Quarantäne herum.
Mein PC ist auch nicht abgestürzt, allerdings spielt er seit Mittwoch verrückt (seit dem 13.) - und erklärt mir immer, ich hätte Probleme mit der svchost.exe
Wenn ich z.B. C:/Programme öffne, zeigt er mir nichts an. Ich habe Probleme im Internet, Probleme mit MS Office, Probleme mit dem Drucker etc.
Und das ist ein PC mit einem offiziellen WinNT2000 und Norton Antivirus...

[Lokadamus]

mmm...

@Schlossgespenst
Hast du das Autoupdate (bzw. Live-Update) mal durchgeführt ? dann solltest du den Virus erkennen und löschen können ... ansonsten bei http://www.symantec.com gibs noch ein Extra-Tool, um den Virus zu löschen

Spike
1. Du hast selber diese Webseite genannt und ich habe gesagt, du arbeitest da nicht ... da du dort wohl doch arbeitest, gehört die Seite http://www.free-av.de nicht auch zu AntiVir ? (den ganzen Namen merke ich mir eh nicht ) ... wenn ja, warum ist die Seite nicht zu erreichen (und das schon seit gestern) ???

[Spike Scallion]

Das problem ist das viele zur Zeit auf den Server zugreifen und somit hat das unser kleiner Server im Keller nicht gepackt und ist abgeschmiert. Unsere Techniker sind zu rZeit dabei die Fehler zu beheben. Seit geraumer Zeit gehen auch ein haufen telefonanrufe bei uns ein wegen dem Virus, warum die Page nicht geht und wollen lizentzen kaufen, das beste ist das viele davon ex-norton antivirus benutzer sind
So viel dazu

bdd

Spike

[observer]

Original geschrieben von KyBorg
Gestern ist mir bei ein paar Tests aufgefallen dass mein Port 135 von aussen nicht sichtbar ist(auch bei ausgeschalteter Firewall), unter Linux wie auch unter Win98. Der Verdacht liegt also nahe dass mein ISP(derzeit T-online) das schon abblockt. Jetzt frage ich mich ob das schon länger so geht oder ob das eine kurzfristige Reaktion von T-online war.
Ich hab vorher noch nie versucht mir was an Port 135 zu schicken, könnte also auch an meinen Systemen liegen.

Japp, T-online blockt derzeit - aber relativ komisch, am ersten Abend als sich der Wurm richtig verbreitet hat war der Port bei einigen nach ein paar Stunden sofort geblockt, bei anderen war bis zum nächsten Mittag nix davon zu spüren.

...dass alle Norton-User zu euch rennen erzählt du jetzt schon mind. zum zweiten Mal Spike ...

[Spike Scallion]

Das hat uns den Monat gerettet, das SOmmerloch ist im August bei uns im GEschäft... ich wollts ja gern nochmal erzählen

Spike

[Pitstop]

@ schlossgespenst
ich glaube net, dass du 'infiziert' bist. du wirst aber die sicherheitupdates benötigen. bleibt nur die frage, wos die aktuell gibt...:/

[Chumpesa]

Wie funktiert das eigentlich so mit den ports?
Warum gibts denn da so viele davon?

[Hun]

die Ports sind eigentlich Wurschd, du kannst alles auf alle Kanäle (bis auf einige SEHR wenige Ausnahmen) umleiten, gibt ja genug (65535)
die wurden geschaffen um den Datenverkehr halbwegs kanalisieren zu können (in der guten alten zeit der Daten/Tonwandler die man aufs Telefon klemmt und so Zeug)

[schloßgespenst]

Original geschrieben von Pitstop
@ schlossgespenst
ich glaube net, dass du 'infiziert' bist. du wirst aber die sicherheitupdates benötigen. bleibt nur die frage, wos die aktuell gibt...:/

Ich bin infiziert - weil die Meldung mit scvhost.exe eindeutig darauf hinweist, und im Systemprotokoll auch so beschrieben wird:

Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Kein Vorgang.

Da ich aber am FirmenPC nicht einfach herumbasteln will/darf, kriege ich nachher die offizielle Erlaubnis, das Tool von Symantec herunterzuladen. Komisch ist nur, dass gar kein Eintrag in der Registry ist und Norton Antivirus doch eigentlich das Tierchen in Quarantäne geschickt hatte?

Wie auch immer: wir werden "dem" Tier schon töten