zum Bauser-Enterprises IT Online Helpdesk
PHP Scripts: Formular-Generator, Glossar-Wörterbuch Gästebuch-KOMPLETT, Professionelles Newslettersystem, Tellafriend, Formmailer, Counter
zur Startseite
Diese Webseite an Freunde, Bekannte...weiterempfehlen

Seite weiterempfehlen
zum Gästebuch von Bauser-Enterprises IT

Aktuelles Archiv 1 (IT-Blog von Thomas Murr)

Wurm Sasser (01.05.2004)

Verbreitet sich ohne Zutun des Anwenders (Internetverbindung reicht) und nutzt die LSASS (Local Authority Subsystem Service) Sicherheitslücke von Microsoft zu den Betriebssystemen Windows 2000 und XP. Ohne entsprechenden Patch kann “Sasser” Code auf dem System injizieren, welcher den eigentlichen Wurm dann nachlädt (FTP-Server auf Port 5554). Auf Port 1068 lauscht er auf eingehende Verbindungen.

Vorbeugung: Microsoft-Patch KB835732 installieren

bei Befall:

System im abgesicherten Modus booten und folgende Dateien entfernen:

  • \%WINDIR%\AVSERVE.EXE
  • \%WINDIR%\%SYSTEMDIR%\<%5 variable Zahlen%>_up.exe
  • c:\WIN.LOG

Anschließend aus der Registry (Regedit) folgende Einträge löschen:

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avserve.exe"="C:\\%WinDir%\\avserve.exe"

Würmer über Würmer (08.03.2004)

Da momentan täglich neue Schädlinge oder Mutationen von vorhandenen Würmern ausbrechen, ist es gar unmöglich diese Liste aktuell zu halten. Deshalb verweisen wir auf entsprechende Seiten von AntiVirenSoftware-Herstellern, um sich einen genauen Überblick zu verschaffen.

Derzeit tummeln sich im Netz hauptsächlich der “Bagle-Virus” (viele Varianten) sowie vielzählige Varianten des “Netsky”- und des “MyDoom”-Virus. Auch ist noch immer     “W32.Sober” (Varianten a, b, c und D) tätig sowie eine Infektion von Windows 2000/XP über “Lovsan/W32Blaster” ohne jegliches Zutun möglich, sofern das entsprechende Patch von Microsoft nicht installiert wurde (siehe unten).

Halten Sie das Betriebssystem, die Antivirensoftware sowie Firewall auf dem aktuellsten Stand. Passen Sie die Regeln und Filter der Firewall den aktuellen Gegebenheiten (Lovsan o.ä.) an oder beauftragen uns, dies für Sie fachgerecht zu erledigen.

Wurm MyDoom/Novarg (27.01.2004)

Eine Wurm-Variante des Mimail. Versendet sich selbstständig aus infizierten Rechnern per e- mail mit den Anlagen-Endungen .bat, .cmd, .exe, .pif, .scr, .zip und per KaZaA. Bei Infektion erfolgt die Installation einer Backdoorsoftware (Fernsteuerung), welche die TCP- Ports 3127 bis 3198 (verantwortlich: shimgapi.dll im Systemverzeichnis von Windows) öffnet und einem Angreifer so Zugang verschafft.

Abhilfe:

Grundsätzlich NIEMALS Anhänge in mails unbekannter Herkunft öffnen und bei bekannter Herkunft genau prüfen, ob der Absender dies wissentlich getan hat (oder der mail-client missbraucht wurde). Bei Infektion, Removal-Tool von der Firma Symantec herunterladen und ausführen. Antiviren-Scanner updaten !

Wurm W32.Sober.C (20.12.2003)

Keine wesentliche Neuerungen zum bereits bekannten Sober-Wurm, außer den e-mail- Inhalten: Es wird vorgegeben, von der Kriminalpolizei zu sein und behauptet, daß ein Ermittlungsverfahren gegen den Empfänger eingeleitet werde, weil er illegalerweise Filme und Musik aus dem Internet geladen hätte. Auch gibt es eine Variante, welche behauptet, auf dem PC des Empfängers befände sich ein Dialer bzw. Trojaner. In allen Fällen führt das Öffnen der Anlage (mit den Endungen .bat, .pif, .exe) zur Infektion des Rechners. Abhilfe wie bei W32.Sober.

Wurm W32.Paylap@mm (14.11.2003)

Verbreitet sich als sog. Mass-Mailing-Wurm über das Internet und ist ähnlich “gestrickt” wie W32.Sober. Der Empfänger bekommt eine e-mail mit der Aufforderung (in englisch) die Anlage “paypal.asp.scr” (o.ä.) auszuführen. Der Wurm gibt vor, vom elektronischen Zahlungssystem PayPal (von ebay) zu sein und fordert den User u.a. auf, seine Kreditkartennummer zur Nutzung des Systems erneut einzugeben. Die Daten werden anschließend an vier verschiedene Adressen (natürlich nicht PayPal) versendet und dort sicherlich zu kriminellen Aktionen weiter verwendet. Bereits infizierte Systeme werden als Weiterverbreitungsmedium benutzt, indem der Wurm sich über das Einlesen der gespeicherten e-mail-Adressen weiter verschickt. Es schützen dieselben Maßnahmen wie beim Wurm W32.Sober, sprich Virensignaturdateien durch Update des Anti-Viren-Scanners downloaden und die Festplatte(n) durchsuchen.

Wurm W32.Sober (28.10.2003)

Verbreitet sich als sog. Mass-Mailing-Wurm über das Internet und ist in Visual Basic programmiert. Er durchsucht den infizierten PC nach weiteren e-mail-Adressen, um sich weiter zu verbreiten. Er verwendet deutsche Inhalte und Betreffszeilen, um weniger Misstrauen zu erwecken und tarnt sich u.a. als Antiviren-Tool (also VORSICHT !)

Abhilfe:

  • Grundsätzlich NIEMALS Anhänge in mails unbekannter Herkunft öffnen und bei bekannter Herkunft genau prüfen, ob der Absender dies wissentlich getan hat (oder der mail-client missbraucht wurde).
  • Update des Antiviren-Scanners, da die Hersteller bereits entsprechende Viren- Definitionen hierzu erstellt haben.

RPC/DCOM-Sicherheitslücken in Windows (15.10.2003)

Microsoft warnt, dass sich noch drei Sicherheitslücken im RPC/DCOM-Dienst entdeckt wurden, zwei davon ermöglichen die Ausführung von beliebigen Befehlen. Betroffen sind wie bei Lovsan Windows NT, 2000, XP und Server 2003. Die Firma Microsoft empfiehlt Anwendern und Netzwerk-Administratoren dringend, die bereitgestellten Patches schnellstmöglich einzuspielen, da die Sicherheitslücken als kritisch eingestuft werden.

Abhilfe:

  • Einspielen der patches MS03-039 von Microsoft.
  • Des weiteren schützen jene Maßnahmen wie schon vom Blaster/Lovsan her bekannt. Eine (Personal-)Firewall kann Angriffe gegen den RPC-Dienst abwehren, indem sie den Verkehr über die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593 blockt. Sollten Sie den RPC-Dienst über HTTP oder COM Internet Services aktiviert haben, kann dieser auch über die Ports 80 (http) und 443 (https) angesprochen werden. Windows XP verfügt zwar über eine eingebaute Firewall, die aber von verschiedener Internet-Einwahlsoftware, zum Beispiel T-Online und AOL, einfach umgangen bzw. ignoriert wird. Auch einige ISDN-Karten bzw. deren Treiber umgehen die Firewall, indem sie eigene Verbindungen anlegen.
  • Vorbeugung: Deaktivierung DCOM/NetBIOS, sofern nicht benötigt (Einzelplatzsystem)

Lovsan/W32.Blaster A (14.08.2003)

Verbreitet sich ohne jegliches menschliche Zutun und benötigt lediglich eine Internetverbindung. Der Wurm startet auf dem infizierten System (A) einen TFTP-Server und greift so weitere Windows-Systeme (B) auf Port 135 an. Der eingeschleuste Code (cmd.exe) erstellt einen Shellprozess zur Überwachung von TCP-Port 4444. Über TFTP (UDP-Port 69) wird (B) von (A) aufgefordert die Datei msblast.exe (tftp <host a> get msblast.exe) in das Verzeichnis %WinDir%\System32 zu laden sowie anschließend zu starten. Jetzt installiert sich der Wurm auf System (B) vollständig, schließt den Port 4444 wieder, startet eine neue TFTP-Server- Session und greift weitere Systeme (C) in der Manier von (A) an. Mutationen des Wurms sind zu erwarten.

Abhilfe:

  • Bedingten Schutz für Windows2000 und XP gibt es in Form eines patches MS03-026 von Microsoft. 
  • Zur Entfernung bereits infizierter Systeme hat die Firma Symantec ein Removal-Tool zum Download bereitgestellt.
  • Um ganz sicher zu gehen, sollten zusätzlich über eine Firewall die UDP- und TCP-Ports 135-139 (DCOM RPC), 445 und 593 gefiltert bzw. geblockt werden. Evtl. auch noch UDP-Port 69

zurück zur Seite Aktuelles

 zum Empehlungs-Formular Diese Seite weiterempfehlen   zum Gästebuch ins Gästebuch eintragen

 
© Copyright Bauser-Enterprises-IT Thomas Murr: Secured with Digital Watermarking and Patent Protection 

zum Seitenanfang  

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |