Skats

Datenschutzerklärung Letzten 7 Tage (Beiträge) Stichworte Fussball Tippspiel Sakniff Impressum
Zurück   Skats > Technik & Digitales > Software > Treiber und Updates
Registrieren Hilfe Benutzerliste Kalender


 
 
12. August 2003, 10:42   #1
Bandwurm
Erde, Wind & Feuer
 
Benutzerbild von Bandwurm
 
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
XP-Patch (RPC Dienst)

Schock am frühen Abend.
Gestern Abend ging mein PC aus und erst wieder an, als ich komplett das Kaltgerätekabel entfernt und wieder angeschlossen hatte.
Danach kam sofort nach dem Onlinegehen folgendes Fenster:
Das system wird heruntergefahren. speichern sie alle daten und melden sie sich ab. alle änderungen, die nicht gespeichert werden, gehen verloren. das herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgelöst.

Und hier gibt es die Abhilfe:
http://www.chip.de/forum/thread.html?bwthreadid=469321
Hier der direkte Link zum Patch:
http://microsoft.com/downloads/detai...displaylang=de

Und hier der Link zum entfernen des Wurms.
http://www.sarc.com/avcenter/venc/da...oval.tool.html
 
12. August 2003, 13:18   #2
little tyrolean
 
Benutzerbild von little tyrolean
 
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
Betroffen sind alle Windows-NT-Systeme, von NT 4.0 bis Windows Server 2003.

Das Viech wird (noch) nicht von sich aus aktiv, reagiert aber auf Anweisungen von "außen" -
vom Dateilöschen bis hin zu Servertätigeiten für den Angreifer ist alls machbar.

Eine Firewall, die die Ports 135, 139 und 445 abschotten kann, läßt das Problem mit dem Wurm erst gar nicht entstehen,
auch wenn man sich ihn eingefangen hat.
 
12. August 2003, 13:22   #3
Tiramisu
 
Benutzerbild von Tiramisu
 
Registriert seit: February 2001
Ort: Nathan Road, Hong Kong
Beiträge: 902
*lach* Ach Du auch?
Das war gestern der Supergau. Auf einem "anderen bekannten Board" hatten wir denselben Thread. Gestern scheint wohl bei einigen usern dieser Wurm zugeschlagen zu haben.

Bei mir hat er sich NICHT installieren können, aber wenn ich ICQ gestartet habe, machte mein Rechner merkwüdrige Zicken:

- kein Copy & Paste ging mehr
- kein "Link in einem neuen Fenster öffnen"
- Desktop-Symbole liessen sich nicht mehr verschieben



Nach Einspielung des Patches und Einstellung des Remoteprozeduraufruf-Dienstes (RPC = remote procedure call) war dann aber alles wieder okay.



Tira
 
12. August 2003, 13:25   #4
little tyrolean
 
Benutzerbild von little tyrolean
 
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
Tjo,
und kaum hatte ich das obige posting abgeschickt, bekam ich eine Mail:
Zitat:
Derzeit verbreitet sich ein neuer Wurm mit dem Namen Lovesan (W32/Lovesan.worm, W32/Blaster-A) stark im Internet.
Lovesan nutzt eine Sicherheitsschwachstelle der Remote Procedure Call (RPC)-Schnittstelle von Microsoft aus, wie der
Entwickler von Anti-Viren-Software, Sophos, mitteilte. Der Wurm überprüft Netzwerke und sucht dabei nach Computern,
die für diese Sicherheitslücke anfällig sind. Bei der Suche nach einem passenden Opfer gelangt durch den Wurm eine
Kopie von ihm mittels TFTP auf den Remote-Computer. Der Wurm erstellt zusätzlich einen Registrierungseintrag, so dass
er beim Systemstart aktiviert wird.
Der Wurm wird also doch von sich aus aktiv....
 
12. August 2003, 13:36   #5
little tyrolean
 
Benutzerbild von little tyrolean
 
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
Zitat:
Zitat von Tiramisu
Gestern scheint wohl bei einigen usern dieser Wurm zugeschlagen zu haben.
Das kannste laut sagen, Tira,
wir hatten auf einem "anderen bekannten Board " innerhalb von einer Stunde 5 Threads, alle mit denselben Klagen.
Verständlich, daß die genervten User nicht lange mit der Suchfunktion rumspielen, sondern lieber gleich posten....

Und ich? - mit mir nicht, liebe Viren, Trojaner und anderes Kroppzeugs, nicht mit LT.....
 
12. August 2003, 13:46   #6
little tyrolean
 
Benutzerbild von little tyrolean
 
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
Nachtrag - last minute information:

http://www.equaliza.com/page/?page=n...omments&nid=70
 
12. August 2003, 13:54   #7
Tiramisu
 
Benutzerbild von Tiramisu
 
Registriert seit: February 2001
Ort: Nathan Road, Hong Kong
Beiträge: 902
Zitat:
Zitat von little tyrolean
Tjo,
Der Wurm wird also doch von sich aus aktiv....

Nein, er verbreitet sich von dem infizierten Rechner aus nicht weiter,
das war damit gemeint.


Tira
 
12. August 2003, 16:19   #8
little tyrolean
 
Benutzerbild von little tyrolean
 
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
Danke für die Richtigstellung, Tira,
ich bin ja bloß auf den 15. August gespannt, da soll dat Dingens die MS-Server per DDoS niederziehen...
 
12. August 2003, 18:39   #9
Silentvoice
 
Benutzerbild von Silentvoice
 
Registriert seit: June 2001
Ort: bei Bonn
Beiträge: 935
Ich will ja nicht garstig sein, aber wer einigermassen auf den einschlägigen Seiten (heise etc) liest, weiss von der Sicherheitslücke bereits seit 16. Juli. Eine gute Idee ist auch das Abonnement des Microsoft Security Bulletins, das ebenfalls am 16. Juli vor der Schwachstelle warnte und einen Patch zur Verfügung stellte.

Im Übrigen hilft ein ordentlich konfigurierter Router zusammen mit einem aktuell gehaltenen Virenscanner, bei solchen Meldungen locker zu bleiben.

Die Problematik ist beschrieben im Microsoft Security Bulletin MS03-026.


Betroffen sind folgende Systeme:

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
 
12. August 2003, 20:29   #10
tschubbl
 
Beiträge: n/a
Ich habe mir den Patch gleich heute abend heruntergezogen und zwar von Symantec und die anschliesende Suche war negativ.
Download hier
 
12. August 2003, 22:28   #11
mhritter
Ungültige E-Mail Angabe
 
Registriert seit: February 2002
Ort: Wien
Beiträge: 541
Na, ist ja höchst positiv.

Patch ebenfalls bereits installiert. Bin auch negativ.

Ciao Michael
 
12. August 2003, 22:43   #12
little tyrolean
 
Benutzerbild von little tyrolean
 
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
Der Patch alleine genügt nicht, um völlig sicher zu sein, muß man in der Firewall die Ports

135 (DCOM), 139 (NETBIOS SESSION), 445 (MICROSOFT DS) und 4444 für das TCP-Protokoll

und 69, 135, 139 und 445 für das UDP-Protokoll sperren, egal ob mit W2k oder XP.

Erst dann ist sichergestellt, daß der Wurm keine Verbindung zu anderen Rechnern aufnehmen kann.
 
12. August 2003, 22:47   #13
mhritter
Ungültige E-Mail Angabe
 
Registriert seit: February 2002
Ort: Wien
Beiträge: 541
Laut Portscan sind bei mir 10 Ports offen - u.a. auch 135 und 139. Wenn ich die sperre, was bewirkt das sonst noch? Funktioniert trotzdem alles?

Ciao Michael
 
12. August 2003, 22:50   #14
little tyrolean
 
Benutzerbild von little tyrolean
 
Registriert seit: September 2002
Ort: auf der Alm
Beiträge: 977
Ich habe sie in Outpost 2.0 Pro gesperrt, bis jetzt sind keine Nebenwirkungen sichtbar...
 
12. August 2003, 22:51   #15
mhritter
Ungültige E-Mail Angabe
 
Registriert seit: February 2002
Ort: Wien
Beiträge: 541
Na, dann werd ichs mal in Zone Alarm probieren.
 
13. August 2003, 18:56   #16
mortyrium
 
Benutzerbild von mortyrium
 
Registriert seit: September 2002
Ort: Reichsshauptstadt
Beiträge: 50
Kumpel hats erwischt: hoch, runter, hoch runter... Der war genervt, bei der Hitze...

Ich update regelmäßig bei MS mein XP und habe NAV so wie NIS auf Liveupdate... bei mir war noch nichts...
 
14. August 2003, 08:40   #17
Darknesz
 
Benutzerbild von Darknesz
 
Registriert seit: August 2001
Ort: weiss nich genau..war lange nichtmehr drausen!
Beiträge: 1.312
Ich find den virus ganz witzig Erstens hasse ich bill gates, zweitens hab ich noch win98 und drittens könnte man den virus ja quasi als kinderschutz gegen zu langes surfen nutzen.

Prost
 
14. August 2003, 09:49   #18
Glühwürmchen
 
Registriert seit: October 2002
Beiträge: 4.319
In diesem Fall würde ich dazu plädieren, dass man auch mit 16 noch als Kind zählt

So, habe mal alles gesichert, trotz der regelmäßigen Updates usw.
Vorsicht ist die Mutter der Computer-Kiste.

Danke für die Links.
 
14. August 2003, 12:16   #19
tschubbl
 
Beiträge: n/a
Würde ich Bill Gates hassen, aus welchen Gründen auch immer, dann würde ich Linux oder Mac einsetzen, aber nicht Microsoft. So viel Rückgrat hätte ich.
 
14. August 2003, 13:01   #20
Tiramisu
 
Benutzerbild von Tiramisu
 
Registriert seit: February 2001
Ort: Nathan Road, Hong Kong
Beiträge: 902
Hassen (wenn überhaupt) muß man nicht Bill Gates, sondern sämtliche Konkurrenzfirmen, die den Anschluss verpasst haben und so Microsoft erst zu dieser Monopolstellung verholfen haben ...

Hass finde ich da eh unangebracht ... Windows ist halt das am weitesten verbreitete BS und da werfen sich Hacker halt zuerst drauf, weil sie damit am meisten Furore machen können. Auch bei anderen BS gibt es signifikante Sicherheitslöcher, aber darum wird nie soviel "Geplärr" gemacht.



Tira
 
14. August 2003, 13:17   #21
tschubbl
 
Beiträge: n/a
Zitat:
Hassen (wenn überhaupt) muß man nicht Bill Gates, sondern sämtliche Konkurrenzfirmen, die den Anschluss verpasst haben und so Microsoft erst zu dieser Monopolstellung verholfen haben ...
...und dann noch die Frechheit besitzen, Microsoft auf die Herausgabe des Quellcodes zu verklagen.
 
16. August 2003, 08:07   #22
Bandwurm
Erde, Wind & Feuer
 
Benutzerbild von Bandwurm
 
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
Hier gibt es eine schöne Erklärung in deutsch, von "höchster" Stelle dazu:
http://www.bsi.de/av/vb/blaster.htm
 
14. October 2003, 20:36   #23
Silentvoice
 
Benutzerbild von Silentvoice
 
Registriert seit: June 2001
Ort: bei Bonn
Beiträge: 935
...und wer jetzt glaubt, mit den Updates von Microsoft sei er sicher, der lese bitte HIER.

Es lohnt sich immer noch, einmal pro Woche seinen Rechner auf die Windows-Update Seite loszulassen und im Übrigen einen guten Virenscanner mit stets aktuellen Signaturen (tägliche Aktualisierung) sein Eigen zu nennen.
 
14. October 2003, 23:35   #24
Tiramisu
 
Benutzerbild von Tiramisu
 
Registriert seit: February 2001
Ort: Nathan Road, Hong Kong
Beiträge: 902
Nur dieser letzte Pach (MS03-040) hat nichts mehr mit RPC zu tun und gehört somit nicht wirklich in diesen Thread.


Vom automatischen Windows-Update ist weiterhin abzuraten, da man dann NICHT mehr im Griff hat, was genau an Updates und Patches auf dem eigenen Computer landet und welche Informationen ausgelesen werden!

Die bessere Wahl ist dann immer noch eine lokale Firewall, entweder als Hardware oder halt eine Softwarelösung wie "ZoneAlarm", "AtGuard" oder ein ähnliches Produkt!




Tira
 
15. October 2003, 08:11   #25
Silentvoice
 
Benutzerbild von Silentvoice
 
Registriert seit: June 2001
Ort: bei Bonn
Beiträge: 935
Tira, U R right. Ich hatte mich im Artikel vergriffen. Es ist aber dennoch so, dass der von Microsoft veröffentlichte RPC-Patch nicht wirklich funktionierte.

Ich habe auch nicht vom automatischen Windowsupdate gesprochen, sondern von der Windows Update Seite. Diese installiert keine automatischen Updates, sondern vergleicht lediglich die auf dem Rechner installierten Updates mit den für das System zur Verfügugn stehenden. Das Delta bekommt der Anwender angezeigt und kann selbst wählen, welche er installieren möchte und welche nicht.

Die Nutzung eines NAT-Routers mit entsprechender Konfiguration ist sicherlich erforderlich, ersetzt aber nicht die Einspielung von Sicherheitspatches und die Nutzung eines Virenscanners. Beide Komponenten können Teil eines Gesamtkonzeptes sein, ersetzen sich aber nicht.
 
Antwort

  Skats > Technik & Digitales > Software > Treiber und Updates

Stichworte
dienst, rpc, xppatch




Alle Zeitangaben in WEZ +1. Es ist jetzt 00:35 Uhr.


Powered by vBulletin, Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Online seit 23.1.2001 um 14:23 Uhr

Die hier aufgeführten Warenzeichen und Markennamen sind Eigentum des jeweiligen Herstellers.