Aldan
nicht mehr wegzudenken
@all 
Diesen Beitrag habe ich im AUCE-Board gefunden, da waren etliche Member davon betroffen.
Von bofh_de
seit gestern abend auch bei uns :
Netzwerkwurm W32/Lovsan
er nutzt eine bekannte Sicherheitslücke (DCOM/RPC-Verwundbarkeit) von Windowssystemen zur Verbreitung ausnutzt. Der Wurm sendet zunächst den Exploit an den TCP-Port 135. Dadurch wird eine Backdoor auf TCP-Port 4444 geöffnet. Auf infizierten Systemen lädt W32/Lovsan dann über TFTP (UDP-Port 69) den Wurmcode auf das überlistete System. Dazu wird im %WinDir%\System32 die Datei msblast.exe angelegt und gestartet.
Auf befallenen Systemen werden folgende Registry Einträge erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Nach erfolgreicher Installation auf einem befallenen System wird der Port 4444 geschlossen und ein TFTP-Server gestartet um anschließend weiter Systeme anzugreifen. Ein Befall ist am offenen UDP-Port 69 erkennbar, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Zusätzlich werden auf infizierten Systemen 20 TCP-Ports im Bereich 2500 bis 2522 geöffnet und versucht Verbindungen mit weiteren Systemen aufzunehmen.
p.s. ist doch ein hübscher liebesbeweis oder ?
und wie man das Tier wieder los wird>>>>
von NNW98
Hi
mein Nachbar ist davon schon betroffen und noch viele User mehr auf verschiedene Boards.
diese anleitung ist für das "ihr pc fährt sich in 60 sek runter" problem bzw systemabstürze wegen msblast.exe
eine anleitung für das problem unter win2k findet ihr unter der winxp anleitung
WinXP Anleitung von XX5|Deadi
1. start --> ausführen --> msconfig eingeben dann enter
2. unter dienste und unter systemstart nachschauen ob da noch irgendwo "msblast.exe" steht
3. wenn ja deaktivieren
4. NOCH NICHT NEU STARTEN
5. strg + alt + entf
6. im taskmanager unter prozesse nach "msblast.exe" suchen
7. wenn dieser prozess gerade läuft rechte maustaste drauf und diesen beenden
8. start --> suchen --> dateien und ordner
9. nach "msblast" suchen
10. wenn ihr die datei findet löschen (wenn ihr 2 dateien findet beide löschen)
11. reboot
12. microsoft sicherheitspatch runterladen und installieren
---> WinXP:
http://www.microsoft.com/downloads/...6c-c5b6-44ac-9532-3de40f69c074&displaylang=de
und
---> Win2K:
http://www.microsoft.com/downloads/...46-f541-4c15-8c9f-220354449117&displaylang=de
13. dannach sollte alles wieder gehen viel erfolg :/
_________________
Gruß NNW98
Ich hoffe es ist keiner Sauer das ich die Postings dierkt übernommen habe, aber es sollte ja allen helfen die davon Betroffen sind und noch werden.
Hier noch ein Link zu Symantec zu diesem Thema
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
:bier
Nunja :confused also doch doppelt gemoppelt :sleep :uzi
Gruß Aldan
Diesen Beitrag habe ich im AUCE-Board gefunden, da waren etliche Member davon betroffen.
Von bofh_de
seit gestern abend auch bei uns :
Netzwerkwurm W32/Lovsan
er nutzt eine bekannte Sicherheitslücke (DCOM/RPC-Verwundbarkeit) von Windowssystemen zur Verbreitung ausnutzt. Der Wurm sendet zunächst den Exploit an den TCP-Port 135. Dadurch wird eine Backdoor auf TCP-Port 4444 geöffnet. Auf infizierten Systemen lädt W32/Lovsan dann über TFTP (UDP-Port 69) den Wurmcode auf das überlistete System. Dazu wird im %WinDir%\System32 die Datei msblast.exe angelegt und gestartet.
Auf befallenen Systemen werden folgende Registry Einträge erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Nach erfolgreicher Installation auf einem befallenen System wird der Port 4444 geschlossen und ein TFTP-Server gestartet um anschließend weiter Systeme anzugreifen. Ein Befall ist am offenen UDP-Port 69 erkennbar, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Zusätzlich werden auf infizierten Systemen 20 TCP-Ports im Bereich 2500 bis 2522 geöffnet und versucht Verbindungen mit weiteren Systemen aufzunehmen.
p.s. ist doch ein hübscher liebesbeweis oder ?
und wie man das Tier wieder los wird>>>>
von NNW98
Hi
mein Nachbar ist davon schon betroffen und noch viele User mehr auf verschiedene Boards.
diese anleitung ist für das "ihr pc fährt sich in 60 sek runter" problem bzw systemabstürze wegen msblast.exe
eine anleitung für das problem unter win2k findet ihr unter der winxp anleitung
WinXP Anleitung von XX5|Deadi
1. start --> ausführen --> msconfig eingeben dann enter
2. unter dienste und unter systemstart nachschauen ob da noch irgendwo "msblast.exe" steht
3. wenn ja deaktivieren
4. NOCH NICHT NEU STARTEN
5. strg + alt + entf
6. im taskmanager unter prozesse nach "msblast.exe" suchen
7. wenn dieser prozess gerade läuft rechte maustaste drauf und diesen beenden
8. start --> suchen --> dateien und ordner
9. nach "msblast" suchen
10. wenn ihr die datei findet löschen (wenn ihr 2 dateien findet beide löschen)
11. reboot
12. microsoft sicherheitspatch runterladen und installieren
---> WinXP:
http://www.microsoft.com/downloads/...6c-c5b6-44ac-9532-3de40f69c074&displaylang=de
und
---> Win2K:
http://www.microsoft.com/downloads/...46-f541-4c15-8c9f-220354449117&displaylang=de
13. dannach sollte alles wieder gehen viel erfolg :/
_________________
Gruß NNW98
Ich hoffe es ist keiner Sauer das ich die Postings dierkt übernommen habe, aber es sollte ja allen helfen die davon Betroffen sind und noch werden.
Hier noch ein Link zu Symantec zu diesem Thema
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
:bier
Nunja :confused also doch doppelt gemoppelt :sleep
:uzi Gruß Aldan
Zuletzt bearbeitet: