12. August 2003, 10:42 | #1 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
XP-Patch (RPC Dienst)
Schock am frühen Abend.
Gestern Abend ging mein PC aus und erst wieder an, als ich komplett das Kaltgerätekabel entfernt und wieder angeschlossen hatte. Danach kam sofort nach dem Onlinegehen folgendes Fenster: Das system wird heruntergefahren. speichern sie alle daten und melden sie sich ab. alle änderungen, die nicht gespeichert werden, gehen verloren. das herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgelöst. Und hier gibt es die Abhilfe: http://www.chip.de/forum/thread.html?bwthreadid=469321 Hier der direkte Link zum Patch: http://microsoft.com/downloads/detai...displaylang=de Und hier der Link zum entfernen des Wurms. http://www.sarc.com/avcenter/venc/da...oval.tool.html |
12. August 2003, 13:18 | #2 |
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
|
Betroffen sind alle Windows-NT-Systeme, von NT 4.0 bis Windows Server 2003.
Das Viech wird (noch) nicht von sich aus aktiv, reagiert aber auf Anweisungen von "außen" - vom Dateilöschen bis hin zu Servertätigeiten für den Angreifer ist alls machbar. Eine Firewall, die die Ports 135, 139 und 445 abschotten kann, läßt das Problem mit dem Wurm erst gar nicht entstehen, auch wenn man sich ihn eingefangen hat. |
12. August 2003, 13:22 | #3 |
Registriert seit: February 2001
Ort: Nathan Road, Hong Kong
Beiträge: 902
|
*lach* Ach Du auch?
Das war gestern der Supergau. Auf einem "anderen bekannten Board" hatten wir denselben Thread. Gestern scheint wohl bei einigen usern dieser Wurm zugeschlagen zu haben. Bei mir hat er sich NICHT installieren können, aber wenn ich ICQ gestartet habe, machte mein Rechner merkwüdrige Zicken: - kein Copy & Paste ging mehr - kein "Link in einem neuen Fenster öffnen" - Desktop-Symbole liessen sich nicht mehr verschieben Nach Einspielung des Patches und Einstellung des Remoteprozeduraufruf-Dienstes (RPC = remote procedure call) war dann aber alles wieder okay. Tira |
12. August 2003, 13:25 | #4 | |
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
|
Tjo,
und kaum hatte ich das obige posting abgeschickt, bekam ich eine Mail: Zitat:
|
|
12. August 2003, 13:36 | #5 | |
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
|
Zitat:
wir hatten auf einem "anderen bekannten Board " innerhalb von einer Stunde 5 Threads, alle mit denselben Klagen. Verständlich, daß die genervten User nicht lange mit der Suchfunktion rumspielen, sondern lieber gleich posten.... Und ich? - mit mir nicht, liebe Viren, Trojaner und anderes Kroppzeugs, nicht mit LT..... |
|
12. August 2003, 13:46 | #6 |
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
|
|
12. August 2003, 13:54 | #7 | |
Registriert seit: February 2001
Ort: Nathan Road, Hong Kong
Beiträge: 902
|
Zitat:
Nein, er verbreitet sich von dem infizierten Rechner aus nicht weiter, das war damit gemeint. Tira |
|
12. August 2003, 16:19 | #8 |
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
|
Danke für die Richtigstellung, Tira,
ich bin ja bloß auf den 15. August gespannt, da soll dat Dingens die MS-Server per DDoS niederziehen... |
12. August 2003, 18:39 | #9 |
Registriert seit: June 2001
Ort: bei Bonn
Beiträge: 935
|
Ich will ja nicht garstig sein, aber wer einigermassen auf den einschlägigen Seiten (heise etc) liest, weiss von der Sicherheitslücke bereits seit 16. Juli. Eine gute Idee ist auch das Abonnement des Microsoft Security Bulletins, das ebenfalls am 16. Juli vor der Schwachstelle warnte und einen Patch zur Verfügung stellte.
Im Übrigen hilft ein ordentlich konfigurierter Router zusammen mit einem aktuell gehaltenen Virenscanner, bei solchen Meldungen locker zu bleiben. Die Problematik ist beschrieben im Microsoft Security Bulletin MS03-026. Betroffen sind folgende Systeme: Microsoft Windows NT 4.0 Microsoft Windows NT 4.0 Terminal Services Edition Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 |
12. August 2003, 20:29 | #10 |
Beiträge: n/a
|
Ich habe mir den Patch gleich heute abend heruntergezogen und zwar von Symantec und die anschliesende Suche war negativ.
Download hier |
12. August 2003, 22:28 | #11 |
Ungültige E-Mail Angabe
Registriert seit: February 2002
Ort: Wien
Beiträge: 541
|
Na, ist ja höchst positiv.
Patch ebenfalls bereits installiert. Bin auch negativ. Ciao Michael |
12. August 2003, 22:43 | #12 |
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
|
Der Patch alleine genügt nicht, um völlig sicher zu sein, muß man in der Firewall die Ports
135 (DCOM), 139 (NETBIOS SESSION), 445 (MICROSOFT DS) und 4444 für das TCP-Protokoll und 69, 135, 139 und 445 für das UDP-Protokoll sperren, egal ob mit W2k oder XP. Erst dann ist sichergestellt, daß der Wurm keine Verbindung zu anderen Rechnern aufnehmen kann. |
12. August 2003, 22:47 | #13 |
Ungültige E-Mail Angabe
Registriert seit: February 2002
Ort: Wien
Beiträge: 541
|
Laut Portscan sind bei mir 10 Ports offen - u.a. auch 135 und 139. Wenn ich die sperre, was bewirkt das sonst noch? Funktioniert trotzdem alles?
Ciao Michael |
12. August 2003, 22:50 | #14 |
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
|
Ich habe sie in Outpost 2.0 Pro gesperrt, bis jetzt sind keine Nebenwirkungen sichtbar...
|
12. August 2003, 22:51 | #15 |
Ungültige E-Mail Angabe
Registriert seit: February 2002
Ort: Wien
Beiträge: 541
|
Na, dann werd ichs mal in Zone Alarm probieren.
|
13. August 2003, 18:56 | #16 |
Registriert seit: September 2002
Ort: Reichsshauptstadt
Beiträge: 50
|
Kumpel hats erwischt: hoch, runter, hoch runter... Der war genervt, bei der Hitze...
Ich update regelmäßig bei MS mein XP und habe NAV so wie NIS auf Liveupdate... bei mir war noch nichts... |
14. August 2003, 08:40 | #17 |
Registriert seit: August 2001
Ort: weiss nich genau..war lange nichtmehr drausen!
Beiträge: 1.312
|
Ich find den virus ganz witzig Erstens hasse ich bill gates, zweitens hab ich noch win98 und drittens könnte man den virus ja quasi als kinderschutz gegen zu langes surfen nutzen.
Prost |
14. August 2003, 09:49 | #18 |
Registriert seit: October 2002
Beiträge: 4.319
|
In diesem Fall würde ich dazu plädieren, dass man auch mit 16 noch als Kind zählt
So, habe mal alles gesichert, trotz der regelmäßigen Updates usw. Vorsicht ist die Mutter der Computer-Kiste. Danke für die Links. |
14. August 2003, 12:16 | #19 |
Beiträge: n/a
|
Würde ich Bill Gates hassen, aus welchen Gründen auch immer, dann würde ich Linux oder Mac einsetzen, aber nicht Microsoft. So viel Rückgrat hätte ich.
|
14. August 2003, 13:01 | #20 |
Registriert seit: February 2001
Ort: Nathan Road, Hong Kong
Beiträge: 902
|
Hassen (wenn überhaupt) muß man nicht Bill Gates, sondern sämtliche Konkurrenzfirmen, die den Anschluss verpasst haben und so Microsoft erst zu dieser Monopolstellung verholfen haben ...
Hass finde ich da eh unangebracht ... Windows ist halt das am weitesten verbreitete BS und da werfen sich Hacker halt zuerst drauf, weil sie damit am meisten Furore machen können. Auch bei anderen BS gibt es signifikante Sicherheitslöcher, aber darum wird nie soviel "Geplärr" gemacht. Tira |
14. August 2003, 13:17 | #21 | |
Beiträge: n/a
|
Zitat:
|
|
16. August 2003, 08:07 | #22 |
Erde, Wind & Feuer
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
|
Hier gibt es eine schöne Erklärung in deutsch, von "höchster" Stelle dazu:
http://www.bsi.de/av/vb/blaster.htm |
14. October 2003, 20:36 | #23 |
Registriert seit: June 2001
Ort: bei Bonn
Beiträge: 935
|
...und wer jetzt glaubt, mit den Updates von Microsoft sei er sicher, der lese bitte HIER.
Es lohnt sich immer noch, einmal pro Woche seinen Rechner auf die Windows-Update Seite loszulassen und im Übrigen einen guten Virenscanner mit stets aktuellen Signaturen (tägliche Aktualisierung) sein Eigen zu nennen. |
14. October 2003, 23:35 | #24 |
Registriert seit: February 2001
Ort: Nathan Road, Hong Kong
Beiträge: 902
|
Nur dieser letzte Pach (MS03-040) hat nichts mehr mit RPC zu tun und gehört somit nicht wirklich in diesen Thread.
Vom automatischen Windows-Update ist weiterhin abzuraten, da man dann NICHT mehr im Griff hat, was genau an Updates und Patches auf dem eigenen Computer landet und welche Informationen ausgelesen werden! Die bessere Wahl ist dann immer noch eine lokale Firewall, entweder als Hardware oder halt eine Softwarelösung wie "ZoneAlarm", "AtGuard" oder ein ähnliches Produkt! Tira |
15. October 2003, 08:11 | #25 |
Registriert seit: June 2001
Ort: bei Bonn
Beiträge: 935
|
Tira, U R right. Ich hatte mich im Artikel vergriffen. Es ist aber dennoch so, dass der von Microsoft veröffentlichte RPC-Patch nicht wirklich funktionierte.
Ich habe auch nicht vom automatischen Windowsupdate gesprochen, sondern von der Windows Update Seite. Diese installiert keine automatischen Updates, sondern vergleicht lediglich die auf dem Rechner installierten Updates mit den für das System zur Verfügugn stehenden. Das Delta bekommt der Anwender angezeigt und kann selbst wählen, welche er installieren möchte und welche nicht. Die Nutzung eines NAT-Routers mit entsprechender Konfiguration ist sicherlich erforderlich, ersetzt aber nicht die Einspielung von Sicherheitspatches und die Nutzung eines Virenscanners. Beide Komponenten können Teil eines Gesamtkonzeptes sein, ersetzen sich aber nicht. |