Hiho,
es gibt anscheinend ein großes Problem mit WIN XP Rechnern und Modem.
Bei Nutzung der Internet Verbindung erscheint eine Meldung das der Rechner nach 45 Sekunden herunter gefahren wird, da ein schwerwiegendes Problem aufgetaucht ist. Nach Ablauf dieser Frist wird der Rechner tatsächlich gebootet!
Da auch ich Gestern Abend zu Hause das gleiche „Problem“ hatte und dieses (anscheinend) mit der Aktivierung der Internet Firewall der DFÜ Verbindung abschalten konnte, rate ich jedem der dieses Problem hat/bekommt einfach diese Firewall zu aktivieren
Win XP Rechner bootet automatisch
7 Beiträge
• Seite 1 von 1
Win XP Rechner bootet automatisch
von Fercon » 12 Aug 2003 8:07
Ferrak Da'Mak
"Who is General Failure and why is he reading my Harddisk?"
"Who is General Failure and why is he reading my Harddisk?"
-
Fercon 
- Beiträge: 216
- Registriert: 18 Dez 2002 13:58
- Wohnort: Flensburg
von Flatline » 12 Aug 2003 8:59
Scheint eine größere Sache zu sein und je mehr Rechner der Wurm (siehe z.B. http://cert.uni-stuttgart.de/ticker/art ... p?mid=1132 ) befallen hat, umso mehr Rechner scannen auch wild in der Gegend rum, um nach anderen ungepatchten Rechnern, Ausschau zu halten. Hat also nix mit angesurften Seiten etc. zu tun...
... M's zu verkaufen ...
-
Flatline 
- Beiträge: 5913
- Registriert: 21 Jul 2002 13:48
- Wohnort: Hamburg
von Fercon » 12 Aug 2003 10:09
Worm/Lovsan.A
Virusname: Worm/Lovsan.A
Alias: W32/Lovsan.worm; WORM_MSBLAST.A; W32.Blaster.Worm
Viren Typ: Wurm
Dateigröße: 6.176 Bytes
Betriebsysteme: Microsoft Windows 9x/ME/NT/2000/XP
Ursprung: -
Datum: 11.08.2003
Schadensroutine: DDOS Attacke
VDF Version: 6.21.0.10
Allgemeine Beschreibung:
Der infizierte Rechner versucht andere verwundbare Rechner mit nahe liegend IP Adresse zu finden. Der mit dem Laufzeitkomprimierungsprogramm UPX gepackter Wurm versucht eine Verbindung über den Port 135 aufzubauen. Wenn ein verwundbares System gefunden wird, sendet er spezielle Kommandos zu dem Programm TFTP (Trivial File Tranfere Protocol) welches hier zu finden ist: (%system%\tftp.exe). Das Programm lädt den Wurm herunter und führt ihn aus.
Im der UPX entpackten Datei ist folgender ASCII Text ist in der Datei sichtbar:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Auf der Microsoft Homepage ist ein Update verfügbar um die Sicherheitslücke zu schließen. Technische Details zur Sicherheitslücke und das Update finden Sie hier.
Windows 9x/ME sind von der Sicherheitslücke nicht betroffen können jedoch diesen Wurm auch weiterverbreiten sofern er manuell ausgeführt wird.
Technische Details:
Auf dem infizierten System existiert folgende Datei: %system%\msblast.exe
Außerdem wird folgender Regisrty Eintrag erstellt
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update"="msblast.exe"
Virusname: Worm/Lovsan.A
Alias: W32/Lovsan.worm; WORM_MSBLAST.A; W32.Blaster.Worm
Viren Typ: Wurm
Dateigröße: 6.176 Bytes
Betriebsysteme: Microsoft Windows 9x/ME/NT/2000/XP
Ursprung: -
Datum: 11.08.2003
Schadensroutine: DDOS Attacke
VDF Version: 6.21.0.10
Allgemeine Beschreibung:
Der infizierte Rechner versucht andere verwundbare Rechner mit nahe liegend IP Adresse zu finden. Der mit dem Laufzeitkomprimierungsprogramm UPX gepackter Wurm versucht eine Verbindung über den Port 135 aufzubauen. Wenn ein verwundbares System gefunden wird, sendet er spezielle Kommandos zu dem Programm TFTP (Trivial File Tranfere Protocol) welches hier zu finden ist: (%system%\tftp.exe). Das Programm lädt den Wurm herunter und führt ihn aus.
Im der UPX entpackten Datei ist folgender ASCII Text ist in der Datei sichtbar:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Auf der Microsoft Homepage ist ein Update verfügbar um die Sicherheitslücke zu schließen. Technische Details zur Sicherheitslücke und das Update finden Sie hier.
Windows 9x/ME sind von der Sicherheitslücke nicht betroffen können jedoch diesen Wurm auch weiterverbreiten sofern er manuell ausgeführt wird.
Technische Details:
Auf dem infizierten System existiert folgende Datei: %system%\msblast.exe
Außerdem wird folgender Regisrty Eintrag erstellt
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update"="msblast.exe"
Ferrak Da'Mak
"Who is General Failure and why is he reading my Harddisk?"
"Who is General Failure and why is he reading my Harddisk?"
-
Fercon - Beiträge: 216
- Registriert: 18 Dez 2002 13:58
- Wohnort: Flensburg
von Cronus » 12 Aug 2003 10:37
...und ich dachte ich werde langsam verruekt. Fast zur gleichen Zeit waren mein und ein anderer Rechner mit dem gleichen Problem betroffen. Alle 2-10 minuten kommt eine remouteprozeduraufruf Fehlermeldung, der rechner bootet neu und jedes mal laueft eine komische msblast.exe im hintergrund. Lokaliesiert ist sie bei mir abere im system32 Verzeichniss. Auch die ausgehenden singnale ueber Port 135 sind interessant. Naja ich werd mir jetzt mal besser einen aktuellen Virenscanner besorgen. :-) Mir ein Raetzel wie ich mir diesen Wurm einfangen konnte.
Cronus, formerly known as Ilase Llitor.
-
Cronus 
- Beiträge: 47
- Registriert: 11 Jul 2003 10:14
- Wohnort: Berlin
von Fercon » 12 Aug 2003 11:22
Der Wurm kommt über eine Sicherheitslücke im WIN XP und NICHT über Mail. Mit Hilfe der Verbindungs Firewall verhindert man das der Virus wieder auf den Rechner kommt. Zudem gibt es ein WIN Update das man ausführen sollte.
Ferrak Da'Mak
"Who is General Failure and why is he reading my Harddisk?"
"Who is General Failure and why is he reading my Harddisk?"
-
Fercon - Beiträge: 216
- Registriert: 18 Dez 2002 13:58
- Wohnort: Flensburg
von Ofih-Chro Oda » 15 Aug 2003 15:35
Umgehen kann man die Funktionsweise des Virus über die
Windows-Registry.
Die Umgehung funktioniert wie folgt (Erklärung Step by Step)
Start - Ausführen
In der erscheinenden Zeile tippe bitte "regedit" (Ohne
Anführungszeichen)
Der Registrierungseditor erscheint.
Doppelklick auf "HKEY_LOCAL_MACHINE"
Doppelklick auf "Software"
Doppelklick auf "Microsoft"
Doppelklick auf "Ole"
Auf der rechten Seite findest Du nun den Eintrag "EnableDCOM"
Klicke doppelt auf diesen Eintrag und gib als
neuen Wert "N" ein
Schließe den Registrierungseditor und starte den
Rechner neu.
*ACHTUNG* Der Virus wurde dadurch *NICHT* entfernt. Bitte auf
jeden Fall einen Virenscanner benutzen, um den Virus zu entfernen.
Um das Sicherheitsloch in Windows zu schließen existiert
bereits ein Patch der unter der Adresse:
http://www.microsoft.com/technet/treevi ... p?url=/tec
hnet/security/bulletin/MS03-026.asp
heruntergeladen werden kann.
Bitte stellen Sie sicher, das sie beim Download als Sprache "Deutsch" auswählen.
Windows-Registry.
Die Umgehung funktioniert wie folgt (Erklärung Step by Step)
Start - Ausführen
In der erscheinenden Zeile tippe bitte "regedit" (Ohne
Anführungszeichen)
Der Registrierungseditor erscheint.
Doppelklick auf "HKEY_LOCAL_MACHINE"
Doppelklick auf "Software"
Doppelklick auf "Microsoft"
Doppelklick auf "Ole"
Auf der rechten Seite findest Du nun den Eintrag "EnableDCOM"
Klicke doppelt auf diesen Eintrag und gib als
neuen Wert "N" ein
Schließe den Registrierungseditor und starte den
Rechner neu.
*ACHTUNG* Der Virus wurde dadurch *NICHT* entfernt. Bitte auf
jeden Fall einen Virenscanner benutzen, um den Virus zu entfernen.
Um das Sicherheitsloch in Windows zu schließen existiert
bereits ein Patch der unter der Adresse:
http://www.microsoft.com/technet/treevi ... p?url=/tec
hnet/security/bulletin/MS03-026.asp
heruntergeladen werden kann.
Bitte stellen Sie sicher, das sie beim Download als Sprache "Deutsch" auswählen.
A candid smile for all my friends,
but black tears of sorrow and pain
for all who betray my trust.
Ofih-Chro Oda
Master Scout
Naboo - New Aldera
but black tears of sorrow and pain
for all who betray my trust.
Ofih-Chro Oda
Master Scout
Naboo - New Aldera
-
Ofih-Chro Oda - Beiträge: 93
- Registriert: 31 Jul 2003 14:42
- Wohnort: Recklinghausen / NRW
von Ofih-Chro Oda » 15 Aug 2003 15:40
Noch ne Info....
Der Wurm ist mittlerweile auf mehr Rechnern zu finden als viele meinen.
Er wird meistens nur bemerkt weil der PC immer wieder Rebootet.
Der Sinn des Wurms ist aber NICHT den Rechner permanent neu starten zu lassen.
Ganz im Gegenteil - das ist ein Bug im Wurm der auftritt, wenn die Erkennungsroutine Win2k und Win-XP vertauscht.
Es ist daher empfehlenswert einen wirklich aktuellen Virenscanner zu verwenden.
Der Wurm ist bereits x-fach gemorphet worden.
Es existieren auch 3 Varianten die eine Backdoor Funktion haben.
Also Obacht geben!
Der Wurm ist mittlerweile auf mehr Rechnern zu finden als viele meinen.
Er wird meistens nur bemerkt weil der PC immer wieder Rebootet.
Der Sinn des Wurms ist aber NICHT den Rechner permanent neu starten zu lassen.
Ganz im Gegenteil - das ist ein Bug im Wurm der auftritt, wenn die Erkennungsroutine Win2k und Win-XP vertauscht.
Es ist daher empfehlenswert einen wirklich aktuellen Virenscanner zu verwenden.
Der Wurm ist bereits x-fach gemorphet worden.
Es existieren auch 3 Varianten die eine Backdoor Funktion haben.
Also Obacht geben!
A candid smile for all my friends,
but black tears of sorrow and pain
for all who betray my trust.
Ofih-Chro Oda
Master Scout
Naboo - New Aldera
but black tears of sorrow and pain
for all who betray my trust.
Ofih-Chro Oda
Master Scout
Naboo - New Aldera
-
Ofih-Chro Oda - Beiträge: 93
- Registriert: 31 Jul 2003 14:42
- Wohnort: Recklinghausen / NRW
7 Beiträge
• Seite 1 von 1
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 18 Gäste