-
Wie letztes Jahr von einigen gewünscht, hier eine Erinnerung zur Unterstützung.
-
Hallo Gast, falls du dich wunderst, wieso Bilder und Videos nicht mehr sofort angezeigt werden, schau mal hier.
Alle Schotten dicht -- W32.Blaster greift an
- Ersteller Fersy
- Erstellt am
Mike
Administrator
W32.Blaster attackiert auch Nicht-Windows-Systeme
In einer Vulnerability Note weist CERT/CC darauf hin, dass beliebige andere Betriebssystem-Plattformen ebenfalls vom Wurm W32.Blaster über Port 135 angegriffen werden können. Dazu muss allerdings das plattform-spezifische Distributed Computing Environment (DCE) auf Basis der Entwicklungen der Open Software Foundation (OSF) installiert sein. DCE ermöglicht es verschiedenen Systemen, untereinander zu kommunizieren, und verwendet dazu auch RPCs über Port 135. Insbesondere in heterogenen Umgebungen mit einer Vielzahl verschiedener Betriebssysteme wird DCE zur Verwaltung der Ressourcen und zum Zugriff auf sie eingesetzt.
Eine Schwachstelle in der Implementierung einiger Hersteller ermöglicht eine Denial-of-Service-Attacke gegen den DCE-Dienst. Da W32.Blaster nicht erkennen kann, welche Plattform er attackiert, werden alle Systeme mit offenem Port 135 angegriffen. In der Folge kann der DCE-Dienst zum Absturz gebracht werden, der nicht mehr auf Anfragen von Clients antwortet. Bestätigt haben diese Schwachstelle bisher IBM für die DCE-Implementierung unter AIX, Solaris und Windows sowie Entegrity für die DCE-Software unter Linux und Tru64. Beide Hersteller haben Patches sowie Anweisungen zum Beseitigen der Sicherheitslücke zur Verfügung gestellt. Crays Unicos ist ebenfalls als verwundbar bestätigt, an einem Patch wird noch gearbeitet. Die anderen Hersteller sind informiert, haben bisher aber noch keine Stellungnahme abgegeben.
Quelle
In einer Vulnerability Note weist CERT/CC darauf hin, dass beliebige andere Betriebssystem-Plattformen ebenfalls vom Wurm W32.Blaster über Port 135 angegriffen werden können. Dazu muss allerdings das plattform-spezifische Distributed Computing Environment (DCE) auf Basis der Entwicklungen der Open Software Foundation (OSF) installiert sein. DCE ermöglicht es verschiedenen Systemen, untereinander zu kommunizieren, und verwendet dazu auch RPCs über Port 135. Insbesondere in heterogenen Umgebungen mit einer Vielzahl verschiedener Betriebssysteme wird DCE zur Verwaltung der Ressourcen und zum Zugriff auf sie eingesetzt.
Eine Schwachstelle in der Implementierung einiger Hersteller ermöglicht eine Denial-of-Service-Attacke gegen den DCE-Dienst. Da W32.Blaster nicht erkennen kann, welche Plattform er attackiert, werden alle Systeme mit offenem Port 135 angegriffen. In der Folge kann der DCE-Dienst zum Absturz gebracht werden, der nicht mehr auf Anfragen von Clients antwortet. Bestätigt haben diese Schwachstelle bisher IBM für die DCE-Implementierung unter AIX, Solaris und Windows sowie Entegrity für die DCE-Software unter Linux und Tru64. Beide Hersteller haben Patches sowie Anweisungen zum Beseitigen der Sicherheitslücke zur Verfügung gestellt. Crays Unicos ist ebenfalls als verwundbar bestätigt, an einem Patch wird noch gearbeitet. Die anderen Hersteller sind informiert, haben bisher aber noch keine Stellungnahme abgegeben.
Quelle
Mike
Administrator
Microsoft und der Wurm: "Da sind Fehler gemacht worden"
Der Wurm W32.Blaster und seine Abkömmlinge ziehen immer noch ihre Kreise, auch die Gefahren etwa durch den im Wurm-Code vorgesehenen DDoS-Angriff auf Microsoft-Seiten sind noch nicht ausgeräumt -- trotzdem beginnen auch bei Microsoft langsam die Aufräum- und Nacharbeiten. So meinte Thomas Baumgärtner, Sprecher von Microsoft Deutschland, gegenüber der Tagesschau: "Da sind Fehler gemacht worden." Man frage sich, ob man mit den eigenen Informationen gegenüber dem Kunden verantwortungsvoll genug umgegangen sei, meinte Baumgärtner in dem Interview: "Für uns hat in dieser Woche ein Denkprozess eingesetzt." Die Kommunikation mit den privaten Kunden müsse intensiviert werden.
Baumgärtner sieht Microsoft aber entgegen aller Kritik auch in einer schwierigen Lage, wenn es darum geht, Firmenkunden und Privatnutzer dazu zu bewegen, Patches für Sicherheitslücken zu installieren. Microsoft habe ja bereits am 16. Juli einen Patch für die Sicherheitslücke bereitgestellt. Bei den Unternehmen habe man intensiv darauf hingewiesen, dass der Patch gegen die DCOM/RPC-Sicherheitslücke, die W32.Blaster ausnutzt, installiert werden solle -- daher seien auch so wenige Firmen von dem Wurm betroffen gewesen, meinte Baumgärtner. "Wir analysieren derzeit aber, warum die privaten Nutzer den Patch nicht umfassend genutzt haben – ob wir es nicht breit genug gestreut haben, ob die Kunden es nicht ernst genommen haben oder ob es einfach mit der Art zusammenhängt, wie Computer privat genutzt werden." Aber Microsoft könne auch nicht zu sehr bei den privaten Nutzern auf Updates drängen, "denn wir unterliegen ja der Gefahr, als führender Spanner der IT-Wirtschaft bezeichnet zu werden".
Mittlerweile hat auch Microsoft ähnlich wie in Deutschland auch in den USA eine neue Dokumentation im Internet veröffentlicht, die den Nutzern zu mehr Sicherheit auch vor W32.Blaster verhelfen soll. Darin empfiehlt Microsoft, Personal Firewall einzusetzen, den eigenen Rechner immer mit den neuesten Patches auszustatten und eine Antiviren-Software zu nutzen. Außerdem fordert Microsoft zum regelmäßigen Besuch der Security-Site des Redmonder Konzerns auf.
Sowohl die Security-Site, das Dokument mit den Sicherheitshinweisen als auch andere Seiten von Microsoft waren aber im Laufe der vergangenen Nacht und des heutigen Morgens gar nicht oder nur sehr schlecht erreichbar. Ob dies eine der Folgen des Stromausfalls an der Ostküste der USA und Kanadas ist, der das Internet im Allgemeinen recht unberührt ließ, oder ob es sich um etwaige Auswirkungen des Wurms selbst handelt, war von Microsoft bislang nicht zu erfahren.
Derweil kritisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Konzern nicht nur, weil er PC-Nutzer nicht intensiv genug auf Sicherheitsprobleme hinweise. Auch die Methoden zur Bereitstellung von Patches scheinen dem BSI unzureichend, wie die Behörde durch die Blume andeutet: "Das BSI hatte sich bemüht, die Sicherheits-Patches auf dem BSI-Server zur Verfügung zu stellen. Microsoft ist jedoch aus grundsätzlic
hen Erwägungen in puncto Haftung (Was ist mit vermeintlichen oder tatsächlichen fehlerhaften Patches?) nicht bereit, Dritten die Funktion eines Spiegel-Servers für Patches zu übertragen. Dies gilt auch für das BSI."
Quelle
Der Wurm W32.Blaster und seine Abkömmlinge ziehen immer noch ihre Kreise, auch die Gefahren etwa durch den im Wurm-Code vorgesehenen DDoS-Angriff auf Microsoft-Seiten sind noch nicht ausgeräumt -- trotzdem beginnen auch bei Microsoft langsam die Aufräum- und Nacharbeiten. So meinte Thomas Baumgärtner, Sprecher von Microsoft Deutschland, gegenüber der Tagesschau: "Da sind Fehler gemacht worden." Man frage sich, ob man mit den eigenen Informationen gegenüber dem Kunden verantwortungsvoll genug umgegangen sei, meinte Baumgärtner in dem Interview: "Für uns hat in dieser Woche ein Denkprozess eingesetzt." Die Kommunikation mit den privaten Kunden müsse intensiviert werden.
Baumgärtner sieht Microsoft aber entgegen aller Kritik auch in einer schwierigen Lage, wenn es darum geht, Firmenkunden und Privatnutzer dazu zu bewegen, Patches für Sicherheitslücken zu installieren. Microsoft habe ja bereits am 16. Juli einen Patch für die Sicherheitslücke bereitgestellt. Bei den Unternehmen habe man intensiv darauf hingewiesen, dass der Patch gegen die DCOM/RPC-Sicherheitslücke, die W32.Blaster ausnutzt, installiert werden solle -- daher seien auch so wenige Firmen von dem Wurm betroffen gewesen, meinte Baumgärtner. "Wir analysieren derzeit aber, warum die privaten Nutzer den Patch nicht umfassend genutzt haben – ob wir es nicht breit genug gestreut haben, ob die Kunden es nicht ernst genommen haben oder ob es einfach mit der Art zusammenhängt, wie Computer privat genutzt werden." Aber Microsoft könne auch nicht zu sehr bei den privaten Nutzern auf Updates drängen, "denn wir unterliegen ja der Gefahr, als führender Spanner der IT-Wirtschaft bezeichnet zu werden".
Mittlerweile hat auch Microsoft ähnlich wie in Deutschland auch in den USA eine neue Dokumentation im Internet veröffentlicht, die den Nutzern zu mehr Sicherheit auch vor W32.Blaster verhelfen soll. Darin empfiehlt Microsoft, Personal Firewall einzusetzen, den eigenen Rechner immer mit den neuesten Patches auszustatten und eine Antiviren-Software zu nutzen. Außerdem fordert Microsoft zum regelmäßigen Besuch der Security-Site des Redmonder Konzerns auf.
Sowohl die Security-Site, das Dokument mit den Sicherheitshinweisen als auch andere Seiten von Microsoft waren aber im Laufe der vergangenen Nacht und des heutigen Morgens gar nicht oder nur sehr schlecht erreichbar. Ob dies eine der Folgen des Stromausfalls an der Ostküste der USA und Kanadas ist, der das Internet im Allgemeinen recht unberührt ließ, oder ob es sich um etwaige Auswirkungen des Wurms selbst handelt, war von Microsoft bislang nicht zu erfahren.
Derweil kritisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Konzern nicht nur, weil er PC-Nutzer nicht intensiv genug auf Sicherheitsprobleme hinweise. Auch die Methoden zur Bereitstellung von Patches scheinen dem BSI unzureichend, wie die Behörde durch die Blume andeutet: "Das BSI hatte sich bemüht, die Sicherheits-Patches auf dem BSI-Server zur Verfügung zu stellen. Microsoft ist jedoch aus grundsätzlic
hen Erwägungen in puncto Haftung (Was ist mit vermeintlichen oder tatsächlichen fehlerhaften Patches?) nicht bereit, Dritten die Funktion eines Spiegel-Servers für Patches zu übertragen. Dies gilt auch für das BSI."
Quelle
Mike
Administrator
Original geschrieben von Gregor
Nunja, langsam wird der Wurm von den Medien etwas arg viel gepusht...
Solange die User nicht die Sicherheitspatches einspielen, kann das gar nicht hochgenug gepusht werden. Nicht mal alle Firmen haben den Patch drauf. Haste ja bei dem amerikanen Stromblackout gesehen, da wird auch der Wurm hinter vermutet. Skynet...
Mike
Administrator
Wurm jagt Wurm
Der Antiviren-Firma TrendMicro zufolge ist seit dem 18.8. im Internet eine neue Version des Wurms W32.Blaster/LovSAN unterwegs. Sie nutzt zwar die gleichen Einfallstore und Mechanismen wie LovSAN -- enthält aber auch eine neue Funktion: Wenn der Wurm den Original-Blaster auf dem befallenen Rechner entdeckt, beendet er den zugehörigen Prozess, löscht die Wurmdatei msblast.exe und versucht den Microsoft-Patch zu installieren. Danach startet er den Rechner neu und macht sich auf die Jagd nach weiteren Opfern. Zu Beginn des Jahres 2004 hat der Spuk dann ein Ende; der Wurm entfernt sich selbst von den befallenen Systemen. Eine echte Schadroutine hat er laut TrendMicro nicht.
Der offenbar gut gemeinte Wurm dürfte Anlass zu heftigen Debatten über die Legitimität eines solchen Vorgehens geben. Der Anti-Viren-Hersteller Trend Micro hat jedoch seine Entscheidung schon getroffen: Da der Wurm ohne Einverständnis des Benutzers agiert, wird er als Schädling klassifiziert und von der Anti-Viren-Software gestoppt beziehungsweise entfernt. Ähnlich sieht das offenbar auch Network Associates, die ebenfalls entsprechende Updates ihrer Software und Virensignaturen bereitstellen.
Wer ein deutsches Windows XP verwendet, sollte keinesfalls auf die "Heilungskräfte" des neuen Wurms spekulieren: In TrendMicros Liste der Patches, deren Adresse der Wurm enthält, findet sich kein deutscher. Der beste Schutz ist nach wie vor, die Patches von Microsoft selbst zu installieren [...]
Update: Network Asscoiates stuft den Wurm nicht als Variante von W32.Blaster/LovSAN ein. Der von NAI W32/Nachi.worm getaufte neue Wurm unterscheide sich grundsätzlich von W32.Blaster. So könne er über RPC auf Port 135 nur Windows-XP-Systeme befallen; Windows-2000-Rechner atttackiert Nachi dafür über eine bekannte Schwachstelle in WebDAV (MS03-007).
Quelle
Der Antiviren-Firma TrendMicro zufolge ist seit dem 18.8. im Internet eine neue Version des Wurms W32.Blaster/LovSAN unterwegs. Sie nutzt zwar die gleichen Einfallstore und Mechanismen wie LovSAN -- enthält aber auch eine neue Funktion: Wenn der Wurm den Original-Blaster auf dem befallenen Rechner entdeckt, beendet er den zugehörigen Prozess, löscht die Wurmdatei msblast.exe und versucht den Microsoft-Patch zu installieren. Danach startet er den Rechner neu und macht sich auf die Jagd nach weiteren Opfern. Zu Beginn des Jahres 2004 hat der Spuk dann ein Ende; der Wurm entfernt sich selbst von den befallenen Systemen. Eine echte Schadroutine hat er laut TrendMicro nicht.
Der offenbar gut gemeinte Wurm dürfte Anlass zu heftigen Debatten über die Legitimität eines solchen Vorgehens geben. Der Anti-Viren-Hersteller Trend Micro hat jedoch seine Entscheidung schon getroffen: Da der Wurm ohne Einverständnis des Benutzers agiert, wird er als Schädling klassifiziert und von der Anti-Viren-Software gestoppt beziehungsweise entfernt. Ähnlich sieht das offenbar auch Network Associates, die ebenfalls entsprechende Updates ihrer Software und Virensignaturen bereitstellen.
Wer ein deutsches Windows XP verwendet, sollte keinesfalls auf die "Heilungskräfte" des neuen Wurms spekulieren: In TrendMicros Liste der Patches, deren Adresse der Wurm enthält, findet sich kein deutscher. Der beste Schutz ist nach wie vor, die Patches von Microsoft selbst zu installieren [...]
Update: Network Asscoiates stuft den Wurm nicht als Variante von W32.Blaster/LovSAN ein. Der von NAI W32/Nachi.worm getaufte neue Wurm unterscheide sich grundsätzlich von W32.Blaster. So könne er über RPC auf Port 135 nur Windows-XP-Systeme befallen; Windows-2000-Rechner atttackiert Nachi dafür über eine bekannte Schwachstelle in WebDAV (MS03-007).
Quelle
Wie unsere Schwesterpublikation TecChannel berichtet, verbreitet sich seit eingen Stunden ein neuer Virus mit rasender Geschwindigkeit auf Windows-PCs. Antiviren-Experten warnen vor ernsten Schäden: Die Version F des Internet-Wurms "Sobig" verbreitet sich über eine integrierte SMTP-Engine via E-Mail.
Der Wurm versucht sogenannte Trojaner einzuschleusen, die vertrauliche Daten wie Passworte ausspioniert werden können. Weiter kann Sobig.F ein Spam-Relay installieren, über das Massen-Mails geschickt werden. Laut Antiviren-Spezialist Symantec öffnet Sobig.F außerdem die UDP-Ports 995 bis 999.
Wir raten dringend Antivirensoftware sofort mit aktuelle Signaturen auszurüsten und Datenanhänge von E-Mails zweifelhafter Herkunft auf keinen Fal zu öffnen. Der Wurm hinterlässt Spuren: Unter der Bezeichnung "winppr32.exe" setzt er sich im Windows-Verzeichnis fest und sammelt E-Mail-Adressen, an die er sich selbstständig weiterverschickt. Außerdem legt Sobig.F die Datei "winsst32.dat" und einen Eintrag in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" an. Der Wurm aktiviert sich automatisch mit dem Windows-Start. (Computerwoche/uba)
Der Wurm versucht sogenannte Trojaner einzuschleusen, die vertrauliche Daten wie Passworte ausspioniert werden können. Weiter kann Sobig.F ein Spam-Relay installieren, über das Massen-Mails geschickt werden. Laut Antiviren-Spezialist Symantec öffnet Sobig.F außerdem die UDP-Ports 995 bis 999.
Wir raten dringend Antivirensoftware sofort mit aktuelle Signaturen auszurüsten und Datenanhänge von E-Mails zweifelhafter Herkunft auf keinen Fal zu öffnen. Der Wurm hinterlässt Spuren: Unter der Bezeichnung "winppr32.exe" setzt er sich im Windows-Verzeichnis fest und sammelt E-Mail-Adressen, an die er sich selbstständig weiterverschickt. Außerdem legt Sobig.F die Datei "winsst32.dat" und einen Eintrag in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" an. Der Wurm aktiviert sich automatisch mit dem Windows-Start. (Computerwoche/uba)
