Viren/Trojaner Wurm Win32/Conficker.A verbreitet sich über gepatchte Windows-Schwachstelle

Supernature

Supernature

Und jetzt?
Teammitglied
Der Windows-Wurm Win32/Conficker.A breitet sich derzeit rasend schnell über eine RPC-Schwachstelle in WindowsXP und Vista aus.
Das ist so ärgerlich wie unnötig, denn diese Ende Oktober entdeckte Sicherheitslücke wurde umgehend durch einen außerplanmäßigen Patch von Microsoft gestopft.
Leider gibt es jedoch noch unzählige Computer, auf denen der Patch noch nicht installiert wurde. Wenn jemand zur Gruppe derer gehört, die das Update bislang noch nicht durchgeführt haben, dann ist JETZT ein guter Zeitpunkt dafür.

Hier die Links zu den entsprechenden Patches:


Windows Vista:
Downloaddetails: Sicherheitsupdate für Windows Vista
Downloaddetails: Sicherheitsupdate für Windows Vista für x64-Systeme (KB958644)


Windows XP:
Downloaddetails: Sicherheitsupdate für Windows XP (KB958644)
 
Windows XP SP2 + SP3
Sicherheitsrisiko im Dienst "Server" kann die Codeausführung von Remotestandorten aus ermöglichen (KB958644)
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms08-067.mspx
http://support.microsoft.com/kb/958644

Dateiname: WindowsXP-KB958644-x86-DEU.exe
Version: 958644
Security Bulletins: MS08-067
Knowledge Base-Artikel (KB-Artikel): KB958644
Veröffentlichungsdatum: 22.10.2008
Sprache: Deutsch
Downloadgröße: 641 KB

Windows XP
http://www.microsoft.com/downloads/...FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03
http://download.microsoft.com/downl...2-a61a86a0d97e/WindowsXP-KB958644-x86-DEU.exe
Zum Vergrößern anklicken....

Liegt seit Mitte Oktober hier.

Parallel seien auch noch folgende Updates empfohlen:
(kamen per advisory bzw bulletin reingeflogen letzte Tage)
* Microsoft Security Advisory (953839)
- Title: Cumulative Security Update of ActiveX Kill Bits
- http://www.microsoft.com/technet/security/advisory/953839.mspx
- Revision Note: November 25, 2008: Added an entry to
Frequently Asked Questions to communicate that users with
Windows Server 2008 Server Core installation will still be
offered but do not need to install this update.
Zum Vergrößern anklicken....
Kumulatives Sicherheitsupdate für ActiveX Killbits für Windows XP (KB953839)
http://support.microsoft.com/kb/953839
http://go.microsoft.com/fwlink/?LinkID=122002
http://www.microsoft.com/technet/security/advisory/953839.mspx
Downloadgröße: 496 KB , Weniger als 1 Minute
Es wurden Sicherheitslücken in ActiveX-Steuerelementen entdeckt, durch die ein Angreifer in ein System
mit Microsoft Internet Explorer eindringen und die Steuerung übernehmen könnte. Durch die Installation
dieses Updates von Microsoft können Sie zum Schutz Ihres Computers beitragen. Nach der Installation
müssen Sie den Computer gegebenenfalls neu starten. Weitere Informationen...
http://www.microsoft.com/downloads/...FamilyID=7441fb22-590d-40c9-962b-31a3a84730ae
http://download.microsoft.com/downl...a-67ebfbbb3afb/WindowsXP-KB953839-x86-DEU.exe
Zum Vergrößern anklicken....
* MS07-068 - Critical

- http://www.microsoft.com/technet/security/bulletin/ms07-068.mspx
- Reason for Revision: V2.3 (November 25, 2008): Bulletin updated
to correct the filename of wwmasf.dll to wmasf.dll in the
file information for Windows Media Format 9.5 Runtime for
Windows Server 2003 x64 Edition.
- Originally posted: December 11, 2007
- Updated: November 25, 2008
- Bulletin Severity Rating: Critical
- Version: 2.3

* MS06-078

- http://www.microsoft.com/technet/security/bulletin/ms06-078.mspx
- Reason for Revision: V6.1 (November 25, 2008): Bulletin updated
to correct the filename, Wwmvcore.dll, to Wmvcore.dll for
file information for Windows Media Format 9.5 Series Runtime
on Windows XP Professional x64 Edition and Windows Server
2003 x64 Edition.
- Originally posted: December 12, 2006
- Updated: November 25, 2008
- Bulletin Severity Rating: Critical
- Version: 6.1
Zum Vergrößern anklicken....
* MS07-005

- http://www.microsoft.com/technet/security/bulletin/ms07-005.mspx
- Reason for Revision: V2.0 (November 25, 2008): Bulletin updated:
added Windows XP Service Pack 3 as an Affected Product.
Step-by-Step Interactive Training is not installed on Windows
by default and therefore this security update should be
applied to systems running Windows XP Service Pack 3.
- Originally posted: February 13, 2007
- Updated: November 25, 2008
- Bulletin Severity Rating: Important
- Version: 2.0
Zum Vergrößern anklicken....
 
Von Würmern & Gegenmitteln

Hi all :rollin
Ich dachte immer der schlimmste Wurm fängt mit "XP" an :unsure:
Habe die Kiste gerade neu installiert, bis jetzt noch alles Shiny :angel

By the Way, es wundert mich überhaupt nicht, daß das Internet zu einem Bermuda Dreieck wird Alles läuft Gut - und auf einmal Stress ohne Ende :cry:

War ja klar :mad - und ich bin Einigermaßen Erschüttert !

Greetz & watch out ! :weg


PS: Der Beschiß lauert an Allen Ecken - Das kann man (leider) auch vom Internet behaupten


.
 
Zuletzt bearbeitet:
Also wenn ich das Update starten will, kommt nur die Meldung "Das Update gilt nicht für Ihr System". Liegt das daran, dass ich SP1 nicht installiert habe?
 
Nochmal aus aktuellem Anlass.
Eine weitere Variante des Wurms mit dem Namen "Conficker.B" hat auf befallenen Systemen zum 1. Januar 2009 seine Tätigkeit aufgenommen.
Noch immer sind so viele Systeme ungepatcht, dass die Microsoft-Hotline unter der Last der Anfragen in den vergangenen Tagen mehrfach zusammenbrach.
Ob es als Arbeitsunfall gilt, wenn ein Hotliner sich die Zunge abbeißt, weil er nicht sagen darf, was er gerne würde (und eigentlich sogar sollte)?
Wurmbefall überlastet die Hotline von Microsoft EMEA - Software | ZDNet.de News
 
Grad mal nachgeschaut - der Patch ist drauf hier, allerdings Dez noch nicht.
Ich frag mich allerdings, wie man sich sowas einfangen kann, wo doch "alle"
ne Firewall oder "gute" AV-Software installiert haben, nebst Router ;)
 
Also wenn ich das Update starten will, kommt nur die Meldung "Das Update gilt nicht für Ihr System".
Zum Vergrößern anklicken....

Hallo - bitte um Korrektur, falls das Unsinn...aber ist das nicht die Standardmeldung, die auch erscheint, wenn der Patch als bereits vorhanden festgestellt wird...?

...und...trifft nicht nur private User, der Wurm...zum Beispiel, dort aber offenbar auch in Folge fahrlässiger Versäumnisse:
Computervirus erweist sich als hartnäckig - oesterreich.ORF.at

Gruß, Növize
 
IMO nicht, die Installation wird durchgezogen, aber nichts installiert.
Dafür hat es ja Logbücher --> \Windows\KBxxxxxx.log
 
Die Meldung "Update gilt nicht für Ihr System" erscheint tatsächlich auch dann, wenn der entsprechende Patch bereits installiert ist. Da wird leider unnötig Verwirrung gestiftet.
 
W32 Removal Tool ?

Hi all :rolleyes:
Die Firma Symantec bietet ein Freeware Removal Tool an. Hier die URL:
W32.Downadup Removal Tool | Symantec

Auf der Seite wird noch Explizit erwähnt, das man "vorher offline" gehen soll,
damit der Wurm nicht "nachladen" kann (Das ist ja fast wie bei Counterstrike, wo ich meine Desert Eagle nachlade :ROFLMAO: ) .Und Alle laufenden Anwendungen schließen und Last but not least, unter Sinnlos XP , müsst ihr vorher noch die Systemwiederherstellung deaktivieren !! Also Falls ihr das "Vieh" auffe Platte habt - hoffe ich, das ihr es bald wieder los seid.

Ihr könnt ja mal damit rumspielen - vielleicht taucht das Tool ja was ? :unsure:

tty.


PS: SERVER: ~ # apt-get install reallive -y
Paketlisten werden gelesen..... Fertig
Abhängigkeitsbaum wird aufgebaut....Fertig
E: konnte Paket reallive nicht finden
Server: ~ # verdammt noch mal........

.
 
Zuletzt bearbeitet:
Das taugt bestenfalls dafür etwas, dass man das $%&§ Teil entfernen kann, bevor man seine persönlichen Daten sichert und das System plättet - damit man nicht direkt wieder das $%&§" Teil aufspielt, wenn man die gesicherten Daten zurück schreibt.

Leider ist bei Malware mit Nachladefunktion nie klar, was sie sonst noch geladen oder geändert hat, nachdem sie etwas nachgeladen hat und man kann auch Einstellungen, die im System verändert wurden, nicht unbedingt wieder auf einen sicheren Stand bringen. Das bedeutet letzendlich:

Der Wurm ist weg, die Lücken bleiben.

Fazit:
Plätten, System und alle Updates neu aufspielen, Benutzer - nicht Administrator! - Konten einrichten, System mit Sicherheitsrichtlinien absichern, Programme und alle Sicherheitsupdates für alle Programme neu aufspielen, persönliche Daten extern prüfen lassen, bevor man sie wieder aufspielt, in Zukunft beim surfen, chatten, Mail empfangen etc. pp. Brain 1.0 nicht deaktivieren und aktive Inhalte nur bei Seiten zulassen, denen man wirklich vertraut.
 
F-Secure bietet ebenfalls ein Tool
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Ich mag diese Tools insgesamt irgendwie nicht. Gerade F-Secure hat
die Angewohnheit, noch einen Treiber ins System zu installieren.

Was mich an solchen Tools erschreckt, ist der Umstand, dass sowas
überhaupt benötigt werden soll. Entweder ist auf den meisten Systemen
gar nichts installiert - oder Mist. Ebenso der Umstand über verpatzte
Updates. Nicht gering ist der Anteil an illegelalen Windowssystemen.
Updates werden ausgelassen, weil damit die Klatsche WGA zuschlägt,
das muss man einfach mal sagen - das ist die pure Naivität.
 
W32 Removal Tool ?

Hi :)
hey,hey, kommt wieder runter!
So war das nicht gemeint, immerhin mache ich keine Werbung für Symantec.Es bleibt immerhin noch jedem selbst überlassen welches *§$&{[* - Tool er sich aufspielt, bzw. seinem System zumutet. :weg
Ausserdem sagte ich nicht, das jeder Krams etwas taugt - Ich bin kein Codeaffe! :)
Also Relax!


PS: Schönes Wochenende ! :blaster

.
 
Brummelchen schrieb:
das ist die pure Naivität
Zum Vergrößern anklicken....

Auch, aber nicht nur! Verbreitet herrscht immer noch die Meinung, wer für ein Betriebssystem
bezahlt ist doof! Und solche Leute wissen alles besser, weil sie einfach ignorant sind.
Aber in der Regel bekommen sie auch was sie verdienen, nämlich Würmer, Viren & Co. :p

Doof ist nur, dass über solche Schießbudenrechner sich solche Parasiten erst recht
vermehren können! :devil
 
Brummelchen schrieb:
Updates werden ausgelassen, weil damit die Klatsche WGA zuschlägt, das muss man einfach mal sagen - das ist die pure Naivität.
Zum Vergrößern anklicken....
Würde ich nicht als einzigen Grund nennen. Seit dem ersten Versuch mit SP6 für NT 4 kenne ich einige Systemadministratoren, die bei jedem Update erstmal vier Wochen mit der Einspielung warten, um zu sehen ob die Fachpresse über Fehler in den Updates berichtet.
 
Hat sich leider bislang nichts dran geändert, auch wenn die Häufigkeit geringer ist.
Wobei ich 4 Wochen als grob fahrlässig halte, wenn keine sonstigen Massnahmen
getroffen werden bzw wurden (kontrollierter Gateway/Proxy). Letzteres scheint sich
aber durchgesetzt zu haben aufgrund diverser andere Aktivitäten im Web.
(konnte man gut an der Menge der verfügbaren STROs ablesen)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben