>> "Alle ports von aussen kann man nämlich sperren ..." <<
Hallo WoZi,
kannste das vielleicht mal etwas detaillierter beschreiben, wie das geht? Denn bei A-DSL ist doch meines Wissens überhaupt kein Modem nötig und ein vorhandenes sollte man eh besser deaktivieren, damit z. B. die 0190er Nummern ausgesperrt bleiben. - - - Meintest Du das?
Gruß bjk
Reife ist schärfer zu trennen und inniger zu verbinden
hmm, ich muß Dir jetzt ein Geheimnis verraten - - - ich nutze schon fast 2 Jahre A-DSL bzw. T-DSL und seit etwa 1 Jahr T-DSL 1500 und selbstverständlich braucht es auch dafür ein Modem, allerdings kein Analog- oder K56-Modem sondern ein Spezial-DSL-Modem. In meinem Beitrag von gestern 10:23 Uhr meinte ich auch nur ein Analog-Modem.
Und via DSL-Modem in Verbindung mit Splitter und Netzwerkkarte wird dann eine schnelle DSL-Verbindung entweder über einen Analog-Telefonanschluß oder einen ISDN-Anschluß aufgebaut. So weit, so gut!
Aaaaber ein A-DSL-PC bzw. T-DSL-PC ist mindestens genauso wenig sicher vor Internetangriffen wie eine herkömmliche Analog- onder ISDN-Verbindung. Eher im Gegenteil, denn weil die A-DSL-Anbindung wesentlich schneller und die Internetverbindung ständig bzw. dauerhaft besteht, bietet eine solche A-DSL-Anbindung einem potentiellen Angreifer wesentlich mehr Möglichkeiten.
WoZi, Du schreibst stolz: "Bei mir kommt niemand so ohne weiteres hinein, es sei denn er entschlüsselt das password des Modems und den User." - - - Hmm, Du kannst natürlich sämtliche Ports schließen, dazu braucht es aber kein A-DSL sondern geht z. B. bei Windows über Netzwerkeinstellungen, nur wirst Du dann bei manchen Providern, Diensten oder auch im CDU-Forum sicher Probleme bekommen, - Du kannst, wenn überhaupt, wahrscheinlich nicht alle Funktionen aufrufen.
Auch Cookies, Java, Javascript, ActiveX, VBScript etc. sowie Viren und eMail-Würmer lassen sich durch entsprechende Browsereinstellungen und zusätzlichen Firewall weitgehend verhindern. Aber eine absolute Sicherheit kann es natürlich nicht geben - - - auch nicht bei völlig geschlossenen Ports. Letztere locken bei Profi-Hackern nur ein müdes Lächeln hervor.
Gruß bjk
ach ja, noch was, man kann bei A-DSL natürlich nebenher sein Analog-Modem weiter aktiviert lassen, darüber freuen sich dann die berüchtigten 0190er-Dialer trotz vermeintlichem A-DSL-Schutz wie über ein offenes Scheunentor! Deshalb bei A-DSL-Betrieb unbedingt das Analog- oder K56-Modem deaktivieren! So der Rat auf meine Anfrage beim Support der Deutschen Telekom.
Reife ist schärfer zu trennen und inniger zu verbinden
Stimmt, Norton hat bei mir nur exat die Hälfte der betroffenen Dateien gesäubert.....
------------------------------------------------------ Now its the time for a change-the days of your childhood are gone The fool and the wise man had burned at the stake Confusion remaining too long...... Violence and hate we've to face once again The innocent victims of fate..... The prophets have written their words of war, We must fight before it's too late....
Erstellt: 11.09.03, 13:06 Betreff: Schon wieder muß Microsoft nachbessern!druckenweiterempfehlen
RPC-Dienst immer noch offen -- Microsoft bessert nach [11.09.2003 00:42]
Microsoft hat am Mittwochabend neue Patches für den RPC/DCOM-Dienst herausgebracht, in dem sie erst kürzlich schwerwiegende Sicherheitslücken[1] gestopft hatten. Der Blaster/Lovsan-Wurm machte sich diese Sicherheitslücken zu Nutze, um sich Mitte August massiv zu verbreiten[2].
Das jüngste Security Bulletin MS03-039[3] warnt, dass sich offenbar noch immer drei Sicherheitslücken im RPC/DCOM-Dienst befinden, zwei davon ermöglichen die Ausführung von beliebigen Befehlen. Betroffen sind wiederum Windows NT, 2000, XP und Server 2003. Die Patches im aktuellen Bulletin bezeichnet Microsoft als Ersatz für die in MS03-026[4] aufgeführten. Microsoft stuft die neuen Lücken als kritisch ein und empfiehlt Anwendern und Administratoren dringend, die Patches schnellstmöglich einzuspielen.
Bei den Informationen, um was es sich bei den Problemen genau handelt, halten sich die Redmonder jedoch sehr bedeckt. Aus ihren Ausführungen lässt sich nicht einmal entnehmen, ob es sich um neue Lücken handelt oder um die bereits bekannten, die womöglich fehlerhaft gestopft wurden. Mehr Informationen liefert die Firma eEye Digital Security[5], bei der sich Microsoft für Berichte über das Problem bedankt. Ein parallel veröffentlichtes eEye-Advisory[6] spricht von einer neuen Schwachstelle, die zu einer "Heap Corruption" führen kann. Der Heap ist ein Speicherbereich, in dem Variablen und auch dynamisch allozierter Speicher liegen. Heap-Overflows sind schwieriger auszunutzen als die klassischen Buffer-Overflows auf dem Stack, insbesondere weil es keinen generischen Weg gibt, einmal eingeschleusten Code anzuspringen. eEye hat jedoch anscheinend einen Weg gefunden, die Schwachstelle auszunutzen, stellt aber keinen konkreten Exploit-Code bereit. Dafür haben die Sicherheitsexperten ihren Retina-Security-Scanner so modifiziert, dass er in Netzwerken anfällige Systeme identifizieren kann. Eine spezieller RPC-Scanner steht zum kostenlosen Download[7] bereit. Auch Microsoft stellt einen Scanner[8] bereit, der verwundbare Systeme identifiziert.
Ob der bereits vor einiger Zeit berichtete, weitere Fehler im RPC-Dienst von Windows 2000[9] durch den aktuellen Microsoft-Patch beseitigt wird, ist derzeit noch offen.
Siehe dazu auch:
Microsofts Security Bulletin MS03-039[10] Microsofts Scanner[11] Das eEye-Advisory[12] eEye RPC-Scanner[13] heise Security Hintergrund:-Artikel: Buffer-Overflows und andere Sollbruchstellen[14] (pab[15]/c't)
Gestern hat Microsoft den zweiten Patch für den RPC-Dienst[1] herausgebracht -- und es wird wohl kaum der letzte sein. Das ist noch nicht so ungewöhnlich -- schließlich gibt es auch immer wieder Sicherheitslücken in den Diensten anderer Betriebssystemen, die bereits gepatcht waren. Zur Erinnerung: Der Blaster/Lovsan-Wurm hat auch auf Unix-Systemen den DCE-Dienst zum Absturz[2] gebracht.
Was man Microsoft jedoch nicht durchgehen lassen darf, ist die Mißachtung der einfachsten Regel der IT-Sicherheit, die sich mit dem Blaster-Wurm gerächt hat und die jetzt auch dem aktuellen Patch wieder besondere Bedeutung zukommen lässt. Diese Regel lautet: "Gehe keine unnötigen Risiken ein."
Konkret auf Netzwerke angewandt, bedeutet das: "Biete auf deinem Rechner keine Dienste an, die du nicht brauchst". Microsoft verstösst gegen diesen elementaren Grundsatz seit Jahren immer wieder; Windows bietet in der Default-Konfiguration kritische Dienste auch über Internet-Schnittstellen an. Früher waren bei Windows 98 die "Windows Datei- und Druckdienste" per Default an das DFÜ-Interface gebunden. Mittlerweile ist das nicht mehr der Fall, doch trotzdem hat sich die Situation eher verschlimmert. Auf Rechnern mit Windows NT/2000/XP/2003 sind die Dienste RPC (Port 135) und SMB over TCP (Port 445) auf allen Netzwerkschnittstellen aktiv -- und das kann der Anwender nicht einmal ohne weiteres abschalten.
Dabei nutzt der normale Endanwender diese Dienste bestenfalls in lokalen Netzen, im Internet hat er nicht den geringsten Nutzen davon. Für ihn sind die (Internet-)Dienste auf Port 135 und 445 nur ein unnötiges Risiko. Wer tatsächlich seine Laufwerke für den Zugriff übers Internet freigeben will, sollte dies selbst aktivieren müssen.
Dieses Problem ist seit Jahren bekannt und wird seit Jahren von Crackern und Würmern ausgenutzt. Mit den sogenannten Personal Firewalls hat sich sogar eine ganze Software-Gattung darauf spezialisiert, diese Einfallstore notdürftig zu verriegeln. Auch Microsoft hat die Gefahr erkannt und Windows XP die Internetverbindungsfirewall spendiert, die unangeforderte Pakete aus dem Internet verwirft.
Doch vom Sicherheitsstandpunkt ist das die falsche Herangehensweise. Wenn man weiß, dass das Türschloss leicht zu öffnen ist, engagiert man keinen Privatdetektiv, der unerwünschte Gäste abweist, sondern tauscht das Schloss aus. Der Privatdetektiv bedeutet zusätzliche Kosten und irgendwann macht er auch mal Pause. Der Blaster-Wurm konnte sich vor allem deshalb so weit verbreiten, weil viele Anwender die Internetverbindungsfirewall abgeschaltet hatten oder sie mit ihrer T-Online/AOL-Software gar nicht funktionierte.
Mir ist es ein Rätsel, warum Microsoft immer noch auf den Privatdetektiv Personal Firewall setzt, statt das Schloss zu wechseln. Dazu müssten sie nur dafür sorgen, dass bei einer Standard-Windows-Installation an die Internet-Schnittstelle keine Dienste gebunden sind. Vermutlich hat das mal jemand anders implementiert, weil es einfacher war und jetzt ist es zu teuer, den Code so grundlegend zu modifizieren. Doch in Anbetracht der Schäden, die der Blaster-Wurm und seine absehbaren Nachfolger anrichten, darf dieses Argument nicht zählen. Es ist höchste Zeit, endlich das Schloss zu wechseln.
Hinweis vor kritischen Sicherheitsluecken in Microsoft Produkten
In Microsoft Windows Betriebssystemen und in Microsoft Office Anwendungen sind als "kritisch" eingestufte Sicherheitsluecken entdeckt worden, die unverzueglich durch die Installation der entsprechenden Sicherheitsupdates (Patches) behoben werden sollten.
Im einzelnen:
In Microsoft Betriebssystemen sind neue Sicherheitsluecken im Remote Procedure Call (RPC) Protokoll aufgedeckt worden.
Betroffen sind die Microsoft-Betriebssysteme:
Windows NT 4.0 Windows 2000 Windows XP Windows Server 2003
Nicht betroffen sind die Microsoft-Betriebssysteme: Windows 95 Windows 98 Windows 98 SE Windows ME
Microsoft stellt hierzu das Sicherheitsupdate MS03-039 zur Verfuegung.
Dieses Update (Patch) sollte unbedingt eingespielt werden, da diese Sicherheitsluecke zu einer aehnlichen Bedrohung wie beim W32.Blaster.Worm (alias W32/Lovsan.Worm ) fuehren kann.
Ausserdem sind Sicherheitsluecken in Office-Anwendungen entdeckt worden, von denen eine als "kritisch" und zwei als "hoch" eingestuft worden sind:
Sicherheitsupdate fuer Microsoft Visual Basic fuer Applikationen (MS03-037, kritisch) "Ein Fehler in Visual Basic fuer Applikationen (VBA) kann Ausfuehrung von beliebigem Code ermoeglichen (KB822715)"
Sicherheitsupdate fuer Word und Works Suite (MS03-035, hoch) "Makros koennen unabhaengig von den Sicherheitseinstellungen in Word ohne Warnung ausgefuehrt werden."
Sicherheitsupdate fuer Office (Word, PowerPoint), FrontPage, Publisher und Works Suite (MS03-036, hoch) "Durch eine Sicherheitsluecke kann es beim Umwandeln einer WordPerfect-Datei mit dem WordPerfect-Konverter in das Word-Dateiformat zu Ausfuehrung von Programmcode kommen."
Diese als kritisch und hoch eingestuften Sicherheitsupdates sollten unverzueglich eingespielt werden, wenn Sie die entsprechenden Produkte im Einsatz haben.
=============================================== Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den Seiten des CERT-Bund
Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund aufgefuehrt und erlaeutert.
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird ausgeschlossen. Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden. Eine kommerzielle Nutzung ist ausdruecklich untersagt.
_________________________
"Ich vertraue auf den Keim des Guten (wer mag: des Göttlichen) im Menschen - wie hart auch immer ihn die Verhältnisse gemacht haben mögen !" www.rhellbart.de
Vorsicht: Fatale Sicherheitslücke im Internet Explorer!
Hallo,
ich halte ja normalerweise nichts davon, ein Forum mit fachfremden Themen zu behelligen, aber in diesem Fall kann ich davon leider nicht absehen.
Im Verlauf des heutigen Tages ist eine neue Sicherheitslücke im Microsoft Internet Explorer bekannt geworden, die die meisten bisherigen Fehler in den Schatten stellt. Durch diese Sicherheitslücke ist es möglich, daß bereits durch das simple Besuchen einer Webseite fremde Programme auf Windows-Rechnern installiert und ausgeführt werden können. Ein solches Programm kann im schlimmsten Fall sämtliche Daten löschen.
Im Gegensatz zu vielen anderen Sicherheitslücken, funktioniert diese auf sämtlichen Windows-Rechnern bei Benutzung des Internet Explorers. Es gibt bisher kein Update, welches das Problem behebt. Wenn man einen Virenscanner oder eine Desktop-Firewall installiert hat, bekommt man mit etwas Glück noch eine Warnung - ansonsten hat man keine Chance, einzugreifen.
Wer es nicht glaubt, der sollte den heise-Browsertest machen. Dieser lädt selbständig eine Datei namens "browsercheck.exe" herunter und legt diese in C:\ ab. Anschließend führt er dieses Programm selbständig aus. Dabei öffnet sich ein Fenster mit einem Warnhinweis. Stattdessen könnte man natürlich auch ein beliebiges böswilliges Programm ausführen.
Da diese Sicherheitslücke auf ActiveX beruht, sollte man eigentlich annehmen, daß man sich durch Deaktivieren von ActiveX in den Sicherheitseinstellungen schützen kann. Wie Tests ergeben haben, funktioniert dies aber NICHT unter den DOS-basierten Windows-Derivaten 95, 98, 98SE und ME. Wer eines dieser Betriebssysteme benutzt, kann sich zur Zeit ausschließlich durch die Benutzung eines anderen Browsers schützen. Hierzu bietet sich z.B. der freie Browser Firebird an.
Ich empfehle dringend, zumindest bis zum Erscheinen eines Updates die Finger vom Internet Explorer zu lassen, es sei denn man benutzt eine Desktop-Firewall mit restriktiver Konfiguration. Und das sage ich jetzt nicht etwa, weil ich generell etwas gegen MS-Produkte habe. Ich habe bisher selbst meistens den Internet Explorer genutzt, aber diese Sicherheitslücke ist mir doch eine Spur zu heiß.
> Bei mir passiert nichts. Nur ein leeres Fenster und dann Ruhe, eine halbe Stunde lang
Glück für Sie
> Arbeite mit DSL.
Hat nix damit zu tun. Schließlich hat die Übertragungstechnik und das zwischengeschaltete Protokoll (bei DSL in Deutschland normalerweise PPPOE) nichts damit zu tun, welche ActiveX-Progrämmchen oder andere Schweinereien jemand auf Ihrer Kiste ausführt. Sie brauchen nur für den Notfall oder für das Fax einen Capi-Treiber zu installieren (bei ISDN) oder ein analoges Modem anzuschließen. Schon können Dialer bei Ihnen ihr Unwesen treiben. Auch wenn Sie dies nicht haben, ist Ihr Rechner nicht sicher vor Sabotage. Oder meinen Sie wirklich, über DSL lassen sich keine Daten ausspionieren?
Ich habe einen DSL-Modem (Alcatel), in dem man alle ports auf der line-Seite sperren kann. Das bedeutet, niemand kann meinen PC sehen. Bei mir werden nur meine eigenen Befehle ausgeführt. Jeder Versuch von aussen endet im Nichts, weil man von aussen bei mir keine ports sehen kann.
Also bei mir hat die Firewall gehalten Liebe Redaktion
Allerdings nur, bis ich sie abschalten musste, um hier diesen Beitrag einstellen zu können.
Wenn sich daran nicht mal bald was ändert, werd ich wohl hier aussteigen.
Alternativ dazu die Frage, ob jemand einen Rat hat, wie man Norton Internet Security 2002 so einstellen kann, dass die Referer Adresse des Browsers mitgeliefert wird, auch dann, wenn man die Firewall eingeschaltet hat.
Es hatten sich bereits kürzlich im Zusammenhang mit dem Blaster Thema einige User gemeldet, bei ihnen wäre Schreiben hier mit eingeschaltetet Firewall möglich.
PS: Zu XP. NT und 2000 gabs gestern wieder ein neues Sicherheitsupdate für ne andere Lücke bei t-online zum DL.
# Ich habe einen DSL-Modem (Alcatel), in dem man alle ports auf der line-Seite sperren kann. #
Es geht vermutlich um IP-Masquerading. Das ist aber definitiv nicht der Grund dafür, daß die Schwachstelle bei Ihnen nicht auftaucht. Ich konnte den Fehler auch hinter einem Router mit IP-Masquerading reproduzieren und dies ist auch zu erwarten.
Schreiben Sie doch mal, mit welcher Windows- und IE-Version Sie arbeiten und was Sie sonst noch so an sicherheitsrelevanter Software installiert haben.
# Das bedeutet, niemand kann meinen PC sehen. #
Das hindert Sie aber nicht daran, SELBST irgendwelche schadhaften Inhalte auszuführen, und genau das tut man ja im vorliegenden Fall indem man die Webseite aufruft.
# Bei mir werden nur meine eigenen Befehle ausgeführt. Jeder Versuch von aussen endet im Nichts, weil man von aussen bei mir keine ports sehen kann. #
Die Sicherheitslücke, um die es geht, funktioniert anders. Sie rufen eine böswillige Webseite auf (dies wird das DSL-Modem schon zulassen, denn sonst könnten Sie ja nicht surfen). Diese böswillige Webseite enthält Befehle, die ihren Browser dazu veranlassen, ein Programm von einer beliebigen Internetadresse herunterzuladen und auszuführen. Sie sehen also: es ist hierzu nicht nötig, daß jemand von außen auf Ihren Rechner zugreift.
Im übrigen hilft hier auch keine herkömmliche Firewall, die als Portfilter arbeitet, denn es läuft ja alles ganz normal über Port 8080 (HTTP) ab. Das einzige was helfen könnte, ist eine sogenannte Apllication Firewall, die also anwendungsbezogen filtert. Die ungewünscht Datei wird nämlich nicht vom IE selbst, sondern von einem Hilfsprogramm heruntergeladen, das sonst nicht in Erscheinung tritt. Die Application Firewall würde also u.U. bemerken, daß ein unbekanntes Programm einen nicht genehmigten Internetzugriff vornehmen will.
Desktop-Firewalls wie ZoneAlaram und Keria können hier im vorliegenden Fall vielleicht helfen (denn sie arbeiten ja im Prinzip wie eine Apllication Firewall). Man sollte sich aber auch MIT diesen Programmen nicht allzu sicher fühlen, denn es kommt entscheidend auf ihre Konfiguration an. Auch Virenscanner bieten keinen ultimativen Schutz, denn Sie erkennen nur diejenigen Schädlinge, auf die sie "abgerichtet" wurden.
yo, auch ich muss da mal fragen, was an Norton so schlecht sein sollte? Ich fahre noch die 2002-er Version und hab kürzlich erst mein Abbo für Downloads der Virenkennung und Internet Security um ein Jahr velängert.
Zone Alarm wird oft gepriesen, habs selber mal getestet, fand es jedoch sehr benutzerunfreundlich und umständlich. Als ich es dann deinstallieren wollte, war format c fällig, denn anschließend lief nix mehr.
Gut, ich will nicht behaupten, dass sich Norton besser aus dem System entfernen ließe, das hab ich bisher auch nicht versucht und auch keinerlei Veranlassung dazu gehabt, da ich hochzufrieden damit bin.
Ansonsten hat Norton bisher alle Würmer schadlos überstanden, allerdings eben nur dann, wenn man ihn nicht dauernd abschalten muss, weil sonst die blöde Software im CDU Forum streikt :((
Also liebe Redaktion, in Zeiten, wo alle Naselang neue Würmer und Viren im Netz ihr Unwesen treiben, ist das einfach ne Zumutung, wenn die Software von einem verlangt, dass man den zumindest kleinen vorhandenen Schutz im Internet auch noch abschalten muss.
Es gibt auch jede Menge andere Foren, die die IP mitloggen und da kann man seine Beiträge einwandfrei MIT eingeschalteter Firewall einstellen. Das Problem liegt also eindeutig an Eurer Software und ich finde, Euer Inder müsste doch mit sowas spielen, denn er wurde ja schließlich geholt, weil deutsche IT Fachkräfte zu dämlich (oder vielleicht nur zu teuer????) sind :-)
>> yo, auch ich muss da mal fragen, was an Norton so schlecht sein sollte? Ich fahre noch die 2002-er Version und hab kürzlich erst mein Abbo für Downloads der Virenkennung und Internet Security um ein Jahr velängert.>>
habe ich genau so auch gemacht , ging ganz problemlos :-)
>> Ansonsten hat Norton bisher alle Würmer schadlos überstanden, allerdings eben nur dann, wenn man ihn nicht dauernd abschalten muss, weil sonst die blöde Software im CDU Forum streikt :(( >>
also ich brauche mein Norton Internet-Security 2002 , das ich mit Windows 1998 nutze , nicht zu deaktivieren
ganz selten kommt eine Fehlermeldung, wegen fehlender IP-Adresse, alle paar Monate mal, nach wenigen Wiederholungen ist es dann wieder in Ordnung
mein Programm übermittelt die IP-Adresse immer mit, obgleich ich ansonsten alles auf höchster Sicherheitsstufe "dicht" gemacht habe, bis auf einige Programme bei der Zugriffssteuerung
Erstellt: 05.02.04, 13:13 Betreff: WARNUNG! INFIZIERTE MAILS IM UMLAUF!druckenweiterempfehlen
Seit ein paar Tagen werde ich mit Mails überflutet, die zwar einen unverfänglichen Absender, oft mit @t-online.de am Schluß haben aber im Betreff steht immer nur HELLO, Hi oder Test.
Zwei dieser Mails hatte ich anfangs geöffnet und sofort hat mein Norton Internet Security Alarm geschlagen und den verdächtigen Inhalt isoliert. In den nächsten Tagen habe ich diese Mails gar nicht erst geladen sondern gleich gelöscht.
Als ich heute wieder Mails erhielt, wurde es mir zu dumm und ich habe den T-online-Service informiert, ob man den/die Absender nicht feststellen könne, weil sie ja teilweise @t-online.de trügen. Diese Adressen seien in der Regel gefälscht und es sei leider technisch derzeit noch nicht möglich, sie zweifelsfrei zurückzuverfolgen aber in nächster Zeit käme eine solche Software auf den Markt. Der Service empfahl mir zur zusätzlichen Sicherheit außer Norton noch den t-online-eigenen Spamschutz Plus zu aktivieren, der 0,95 Cent Monatsgebühr koste. Das habe ich mittlerweile getan. Ich werde Euch auf dem laufenden halten, und von meinen Erfahrungen mit diesem Spamschutz berichten.
Hier schon mal einige dieser obskuren Mailabsender zum Vergleichen und als Warnung, keinesfalls zu öffnen:
usw.
unter Betreff steht wie gesagt entweder nix oder HELLO, Hi oder test und alle sind zwischen 30 bis 32 kb groß und haben keinen Anhang, der sowieso stutzig machen würde.
Scheinbar harmlos also - und trotzdem oder gerade deshalb besteht höchste Infektionsgefahr!
bjk
Reife ist schärfer zu trennen und inniger zu verbinden
Ich werde in den letzten Tagen überflutet mit Hunderten von "Mail-delivery-failed"-Mails - Gottseidank fängt mein AV-Programm die meisten davon gleich ab
Dann weisst Du, was es war. Diese mails kommen auch als angeblich zurück geschickte Irrläufer als Mailer Deamon. Es handelt sich dabei um einen Wurm, der sich selber versendet und ständig Absender und Emfänger selbständig ändert.
Vor einigen Tagen wurde damit bereits in den USA ein Firmenserver abgeschossen.
unter t-online.de kann man das tool
stinger.exe downloaden, welches den PC überprüft und entwurmt
Seit vergangenem Samstag hat sich immer wieder mal mein ständig aktualisiertes Norton Internet Security gemeldet, es sei eine Infektion mit dem Virus W32.Welchia.B.Worm festgestellt und Reparatur dieser Datei sei nicht möglich. Sofort nach der ersten Meldung habe ich einen Virencheck durchgeführt aber da war nix! Hat auch alles reibungslos weiterfunktioniert.
Im Vertrauen auf meinen mehrfach abgesicherten PC dachte ich mir nichts weiter - bis heute vor gut einer Stunde wieder diese Meldung und diese gleich mehrfach kam.
Meine eMail-Prüfung zeigte Fehler an und nix ging mehr bei Norton. Auch eine Mail an einen externen Support konnte ich nicht versenden, t-online meldete ebenfalls Fehler - nun wurde ich doch so langsam unruhig! Und weil die Hotline ständig besetzt war, habe ich nach diesem häßlichen Worm gegoogelt, nachdem ich sicherheits- und probehalber einen Neustart durchgeführt habe - - - und plötzlich die Mail verschicken konnte obwohl die Norton-Warnmeldung wieder erschienen ist.
Unter W32.Welchia.B.Worm war im Bundesamt für Sicherheit im Internet, also unter www.bsi.de/av/vb/welchiabc.htm folgendes zu finden:
Computer-Viren: Beschreibungen zu Computer-Viren
Informationen zu Programmen mit Schadensfunktionen Erläuterungen der Standardeinträge
-------------------------------------------------------------------------------- Name: W32.Welchia.B.Worm Alias: W32/Nachi.worm.b [McAfee] W32/Nachi-B [Sophos] Win32.Nachi.B [CA] WORM_NACHI.B [Trend] Art: Wurm Größe 12.800 Bytes Betriebssystem: Windows 2000, Windows XP Art der Verbreitung: Ausnutzung von verschiedenen Schwachstellen (keine E-Mail) Verbreitung: mittel Risiko: mittel Schadensfunktion: Systeminstabilität, Löscht Dateien, die vom Wurm Mydoom installiert sind Spezielle Entfernung: Tool bekannt seit: 11. Februar 2004
Beschreibung von W32.Welchia.C.Worm
Beschreibung:
W32.Welchia.B ist ein Wurm, der sich über nicht geschlossene Sicherheitslücken in den Betriebssystemen Windows 2000 und Windows XP verbreitet. Dabei handelt es sich um
DCOM RPC Schwachstelle (siehe Microsoft Security Bulletin MS03-026)
WebDav Schwachstelle (siehe Microsoft Security Bulletin MS03-007)
"Workstation Service Buffer Overrun" Schwachstelle (siehe Microsoft Security Bulletin MS03-049)
"Locator Service" Schwachstelle (siehe Microsoft Security Bulletin MS03-001)
Durch Ausprobieren der Schwachstellen auf unbekannten Zielsystemen kann es zu Instabilitäten der angegriffenen Computer kommen.
Im infizierten System existiert Welchia.B als Datei %System%\drivers\svchost.exe
Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.
Achtung: Es gibt eine Windowsdatei svchost.exe. Diese befindet sich jedoch in %System%, nicht in %System%\drivers.
W32.Welchia.B entfernt eine Infektion mit Mydoom.A und Mydoom.B, indem er die entsprechenden Dateien löscht und Einträge aus der Windows-Registry entfernt.
Die Verbreitung geschieht über zufällig gewählte IP-Adressen. Er sendet Daten zu den Ports
TCP Port 135 (DCOM RPC) TCP Port 80 (WebDav) TCP Port 445 (Workstation Service) TCP Port 445 (Locator service)
Bei erfolgreicher Kontaktaufnahme lädt das Zielsystem die Wurmdatei WksPatch.exe und führt sie aus.
Bei Windows-Betriebssystemen in japanischer Sprache, auf denen der Internet Information Servcer (IIS) installiert ist, werden zusätzlich Internet-Dateien verändert.
Außerdem versucht Welchia.B auf koranischen, chinesischen oder englischen Systemen Sicherheitpatches von Microsoft zu installieren:
Microsoft Workstation Service Buffer Overrun Microsoft Messenger Service Buffer Overrun
Welchia.B deaktiviert sich nach 120 Tagen selbständig, spätestens jedoch am 1. 7.2004.
Welchia.C
W32.Welchia.C.Worm ist eine leicht veränderte Variante von Welchia.B. Er ist seit dem 15.2.2004 bekannt.
Nutzt die gleichen Schwachstellen zur Verbreitung
Kopiert sich auch als Datei %System%\drivers\svchost.exe
Entfernt Infektionen mit Myddoom.A und Mydoom.B
Installiert die gleichen Sicherheitspatches wie Welchia.A
Deaktiviert sich auch nach 120 Tagen (spätestens am 1.7.2004)
Entfernung von Welchia
Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden. Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden. Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung. Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.
Symantec (FixWelch.exe): Direkt-Download oder Download mit englischer Beschreibung (FixWelch.exe erkennt alle Varianten des Wurms) NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Ich habe natürlich sofort das Symantec-Tool (FixWelch.exe) heruntergeladen und den Check durchgeführt - - - es wurde kein Befall festgestellt! Norton hat also doch den Wurm abgewehrt und mich mit der etwas irreführenden Warnmeldung von der angeblichen Infektion nur irritiert. Trotzdem werde ich Euch informieren, sobald die Antwort von dem eingangs erwähnten Support eintrifft.
Übrigens danke ich hiermit auch dem Gast für seinen Tip in anderer Angelegenheit vom Januar.
Den Link des Bundesamtes werde ich auch in unserer Wed-Adressen-Seite im Subforum "Bekanntmachungen der Administration" einstellen.
Gruß bjk
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° Macht Stimmzettel zu Denkzetteln! Bei Unschlüssigkeit nicht das "kleinere Übel" oder gar nicht wählen sondern ungültig wählen!
Erstellt: 16.09.04, 12:38 Betreff: Installation von ServicePack 2 für WINDOWS XP - Probleme!!!druckenweiterempfehlen
Das SP2 macht trotz gegenteiliger Beteuerung von Microsoft offenbar noch immer große Probleme bei der Installation bestehender Konfigurationen. Meist gehen fehlgeschlagene Installationsversuche relativ glimpflich ab, man kann das SP2 in der Regel wieder deinstallieren und die alte Konstellation funktioniert ohne größere Blessuren wieder.
Oft gibt's aber irreparable Schäden bis hin zur kompletten Neuinstallation. Eine solche "Erfahrung" mußte ich dieser Tage auch machen - darüber berichte ich demnächst.
Deshalb unbedingte Vorsorge vor der Installation des SP2 treffen, vor allem an Datensicherung denken!
bjk
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° Macht Stimmzettel zu Denkzetteln! Bei Unschlüssigkeit nicht das "kleinere Übel" oder gar nicht wählen sondern ungültig wählen!
Ein recht guter Schutz ist es nach meiner Erfahrung, einfach das gute alte Windows 98 weiter zu verwenden, da sämtliche Hacker usw. natürlich immer zeigemäß sein wollen und sich daehalb auf die jeweils neueste Windows-Version stürzen!
Das Ding ist topaktuell, verbreitet die heißesten Schlagzeilen und kommt perfekt gestylt als Newsletter des US-Nachrichtensenders CNN daher - und doch ist es nichts als ein Trojaner. "Crowt-A" habe es auf vertrauliche Daten abgesehen, warnt das IT-Sicherheitsunternehmen Sophos.
Gefährliche Sache: In vielen heute verschickten, angeblichen CNN-News zu George Bushs zweiter Amtseinführung ist der Wurm drin
Die Zeit der nackten Tatsachen scheint vorbei. Lang ist es her, dass ein Virus, das mit Nacktheiten lockte, größere "Erfolge" feiern konnte. Zeit umzusatteln, fanden da wohl findige Virenautoren, und die Internet-Nutzer mit einer Ware zu ködern, auf die sie ganz besonders heiß sind: Nachrichten.
Tatsächlich gehören Newsseiten neben P2P-Downloads und E-Mail zu den populärsten Nutzungen des Internet. Der Web-Verkehr konzentriert sich dabei weltweit wie in den einzelnen Ländern vor allem auf große, als vertrauenswürdig gesehene Medienmarken - und CNN, das eilige TV-Network aus den USA, ist eine der Top-Adressen für besonders aktuelle Nachrichten.
Den weltweiten Bekanntheitsgrad des Nachrichtensenders versucht nun auch ein Virus auszunutzen, das die Internet-Nutzer als angeblicher Newsletter von CNN erreicht. Man kennt das von den Phishing-Mails her, mit denen Trickbetrüger versuchen, persönliche Daten, Passworte und andere Zugangscodes zu erschleichen: Sie kommen meist als Newsletter oder elektronische Briefe bekannter Firmen oder Banken daher. Doch "Crowt-A", wie das IT-Sicherheitsunternehmen Sophos den Schädling getauft hat, geht noch weiter.
Bei jedem Versand holt sich das Virus frische Schlagzeilen von der CNN-Webseite ab, montiert sie zu einem aktuellen Newsletter und verschickt ihn mit einer entsprechend aktuellen Betreffzeile. Eine völlig neue, potenziell durchaus gefährliche Masche, findet Carole Theriault von Sophos: "Virenschreiber suchen ständig nach neuen Tricks, um arglose Computernutzer dazu zu bringen, ihre Schadprogramme auszuführen." "Crowt-A" nutze da geschickt den weit verbreiteten Hunger nach Nachrichten.
Das Virus selbst ist kein Killer, auch nicht sonderlich weit verbreitet - aber es ist eine Art Prototyp: Mit ähnlichen Attacken wird man in Zukunft wohl öfter rechnen müssen.
"Crowt-A" hinterlegt auf betroffenen Rechnern ein Trojaner-Programm, das über den so genannten Port 80, über den der Datenaustausch zwischen Rechner und Internet läuft, Kontakt zu einem Webserver hält und auf weitere Befehle wartet. Der Trojaner verfügt über eine Keylogger-Funktion, mit der er Tastatureingaben aufzeichnen kann, um diese an den fremden Server weiterzumelden. So könnte "Crowt-A" beispielsweise PIN-Nummern und Passworte "abfischen".
Wie viele andere Viren auch versucht "Crowt-A", Virenschutzprogramme außer Funktion zu setzen, löscht dafür auch Daten und verbreitet sich selbst weiter, indem es E-Mail-Adressen aus dem Adressbuch und dem Posteingang des betroffenen Rechners stiehlt. Solche selbstverbreitenden Viren nennt man "Würmer".
Die IT-Sicherheitsunternehmen Sophos, Trend Micro und Kasperksy (hier heißt "Crowt-A" "Cocoazul.e") stellen bereits schützende Filterupdates zur Verfügung. Der effektivste Schutz aber, meint Carole Theriault von Sophos, beginne im Kopf des PC-Nutzers: "Es ist ganz einfach: Unternehmen müssen sicherstellen, dass ihre Anti-Virenfilter ständig auf dem neuesten Stand gehalten werden, und PC-Nutzer sollten äußerst misstrauisch mit allen unerwarteten E-Mails umgehen, egal ob sie Fotos von Prominenten versprechen oder die neuesten Nachrichten."
Nachsatz für alle Apple-Nutzer: Ja, auch dieses Virus betrifft - wie weit über 90 Prozent aller Viren - nur die Windows-Betriebssysteme. Die massenhafte Zusendung entsprechender Triumph-Mails ist darum überflüssig. So etwas tun Linux-Nutzer, obwohl ebenfalls so gut wie nie betroffen, ja auch nicht.
Im Internet treibt ein neuer Wurm sein Unwesen. Das Programm mit dem Namen Bagle.ay verbreitet sich als E-Mail-Anhang und wird aktiviert, sobald der Adressat den Anhang öffnet.
Betroffen sind laut Bundesamt für Sicherheit in der Informationstechnik Windows-PCs. Der Wurm sendet sich selbst an alle auf dem infizierten Computer gefundenen E-Mail- dressen. Den Experten zufolge deaktiviert der Wurm auch auf dem Rechner befindliche Schutzprogramme. Außerdem lädt er ein als Bild getarntes Programm aus dem Internet. Bagle.ay versendet E-Mails mit den Betreffzeilen "Delivery service mail", "Delivery by mail", "Registration is accepted", "Is delivered mail" und "You are made active" sowie einer angehängten Zip-Datei. Das Zip Archiv beinhaltet eine HTML Datei, sowie eine versteckte .exe Datei. Sobald die HTML Datei gestartet wird, wird auch die .exe Datei ausgeführt.
Die Bagle-Variante beendet aktive Prozesse im Speicher und stoppt damit auch Antivirenprogramme und Software-Firewalls.
Wie immer in solchen Fällen gilt die Empfehlung der Redaktion: Halten Sie Ihr Windows immer auf dem neuesten Stand und spielen Sie regelmäßig die notwendigen Sicherheitsupdates ein! Außerdem unbedingt ein Anti-Virus-Programm installieren und täglich aktualisieren. Daneben kann auch eine Software- (besser eine Hardware-)Firewall die Sicherheit erhöhen. Außerdem dubiose Emails unbekannter Herkunft ungelesen löschen.
Bei der Ausführung der angehängten Datei kopiert Sober.J mehrere Dateien in das %System%-Verzeichnis von Windows. Die dabei verwendeten Dateinamen werden aus unterschiedlichen Fragmenten zufällig zusammengesetzt.
Liste der zufälligen Fragmente:
* host * dir * explorer * win * run * log * 32 * disc * crypt * data * diag * spool * service * smss32
Mit Hilfe von Schlüsseln der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert:
Vor einer neuen Variante des Wurms Sober warnen jetzt die Hersteller von Antiviren-Software. Der elektronische Schädling befällt ausschließlich Windows-PCs. Tückisch am neuen Sober: Attackiert der Wurm Adressen, die auf .de, .ch, .at oder .li enden oder "gmx" enthalten, dann versendet er sich in deutscher Sprache.
Zu erkennen ist eine solche Mail an dem Betreff "FwD: Ich bin's nochmal". Auch der Text suggeriert, dass der Empfänger den Absender kennt und dass es sich um eine "normale" Nachricht handelt. Er lautet: Verdammt,,,, ich hatte vergessen Dir meinen Text mitzuschicken. Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren! Ich melde mich. Bis bald". Wer sich von der Nachricht blenden lässt und die angehängte Datei "Private-Texte.zip" öffnet, setzt automatisch den Wurm frei. Er verbreitet sich danach selbstständig an alle E-Mail-Adressen, die er auf dem Computer findet.
Zudem öffnet der Schädling den Editor/Notepad und zeigt den Text "UnPack failed" an, gefolgt von diversen Zeichenketten. Außerdem fügt er der Windows Registry bestimmte Einträge hinzu, so dass er bei jedem Systemstart automatisch gestartet wird.
Falls der Wurm in englischer Sprache ins Mailfach kommt, ist er übrigens an der Betreffzeile "I've_got your Email on my_account!" zu erkennen. Die angehängte Datei trägt in diesem Fall den Namen "your_text.zip".
Die Experten raten dringend dazu, E-Mails mit entsprechenden Betreffzeilen auf keinen Fall zu öffnen und sofort zu löschen. Zudem sollte der Virenschutz auf dem PC aktualisiert werden.
Erstellt: 15.08.05, 00:31 Betreff: Achtung - Trojanerwarnung! "Sokets de Trois v1." greift andruckenweiterempfehlen
Liebe community, liebe Leserschaft,
obwohl ich meinen PC völlig neu konfiguriert habe, deshalb die tagelange bjk-Auszeit werde ich erneut alle paar Minuten von einem Trojaner namens "Sokets de Trois v1." angegriffen. Wie schon vielen anderen UserInnen im Netz ist auch mir dies aufgefallen, nachdem ich kürzlich ein Update von Norton Internet Security geladen hatte. Das Biest wird zwar ständig von Norton geblockt aber versucht unter immer neuen URL's einzudringen.
Hab vorhin danach gegoogelt und dabei festgestellt, daß es vielen anderen derzeit ebenso geht. Werde erst mal drüber schlafen und morgen bzw. heute vormittag nach Abwehr z. B. beim Bundesinstitut suchen. Warum Norton das Biest nicht eliminieren kann, ist mir schleierhaft. Ach ja, Spybot meldet übrigens nix
hab auch mal "gegoogelt" Vielleicht nutzen Dir diese Informationen ja etwas:
Socket de Troie ist ein Trojanisches Pferd der besonderen Art, worüber man kaum etwas zu lesen findet. Der Trojaner kann nicht auf manuellem Weg entfernt werden, da er auch einen Virus beinhaltet.
Der dazugehörige Dateivirus hängt sich an auszuführende Dateien. - Wird eine infizierte Datei gestartet, "sorgt" der enthaltende Virus dafür, dass der Trojaner/Server ebenfalls ausgeführt wird. Daher ist eine vollständige/manuelle Entfernung so gut wie unmöglich.
Das Kaserspy Anti-Virus (ehemals AVP) ist in der Lage diesen Trojaner mit Virus in infizierten Dateien zu entfernen. Kaspersky bietet Interessenten auch eine zeitbeschränkte Testversion an. - Diese könnt Ihr unter der URL: http://www.datsec.de herunterladen.
danke für die Tips hab mir das Kapersky-Tool schon mal heruntergeladen aber installieren werde ich es erst dann, wenn ich mich mit meinem Bruder kurzgeschlossen habe, er ist ja PC-Profi wie Du ja weißt. Ich hätte das Tool zwar schon installiert aber da wird verlangt, daß ich zuvor Norton deinstalliere - nu ja, so schnell schießen die Preußen denn doch nicht denn ich bin ja nicht befallen sondern das Biest will ja erst mal rein kommt aber nicht rein, weil Norton blockiert. Ist zwar nervend, den Alert Tracker alle paar Minuten hüpfen zu sehen aber mein System ist clean, hab's vorhin erst mit Norton und dann mit Spybot durchgecheckt - alles okay.
Nochmals danke! So hab ich wenigstens schon mal wieder ein paar URL's, denn ich muß ja ganz von vorne mit dem Sammeln anfangen, dieweil ich noch immer nicht an die alten Daten meines 160er Laufwerks rankomme. Werde dieses in den nächsten Tagen meinem Bruder zwecks Wiederherstellung geben. Wäre schade, wenn auch er nix mehr machen könnte, denn da sind u.a. all meine Demo- und vor allem die Katjuscha-Fotos und das Album drauf hoffe aber, er kriegt das wieder hin.
Derweil könntest Du mir ja schon mal die URL's Deiner Foren und auch die von Ralf rübermailen, dann brauch ich nicht danach zu googeln.
na, das freut mich aber, dass ich Dir mal einen guten Tipp geben konnte
Als ich damals meinen neuen PC kaufte, riet man mir ausdrücklich zum Kaspersky und die Leute sagten, dass NAV schon lange nicht mehr zu empfehlen sei......Naja, ich bin bisher immer noch recht zufrieden damit - hab aber außerdem eben noch Spybot und Stinger (von McAfee) installiert, der immer nach den neusten Trojanern sucht.
Ich selbst schau auch öfter noch unter http://de.trendmicro-europe.com/ - allerdings hatte ich da heute morgen nix über Dein Pferdchen gefunden, deshalb suchte ich weiter.
Was die Foren-URLs anbelangt - ich hab Dich online gesehen, also bist Du fündig geworden? Sonst schick ich Dir das gern privat nochmal
Herzliche Grüße nach Berlin aus dem immer noch verregneten Mainz
Anja
"Existieren heißt sich verändern, sich verändern heißt reifen, reifen heißt sich selbst endlos erschaffen (Henri Bergson)"
bin schon über Linux drüber probiere gerade Knoppix 4.0 und Suse 9.2 wobei ich mehr zu Suse neige, beides ist aber nicht sonderlich anwenderfreundlich für Windows-Junkies werde die Entziehungskur aber durchhalten - auch wenn's Wochen dauert
Login
Kostenlos anmelden
Beiträge
Suche
Hilfe
Statistik
Dateien
Kalender
Computersicherheit!
Schon wieder muß Microsoft nachbessern!
Re: Computersicherheit!
Höchste Warnstufe!
Re: Computersicherheit!
werde ich erneut alle paar Minuten von einem Trojaner namens "Sokets de Trois v1." angegriffen. Wie schon vielen anderen UserInnen im Netz ist auch mir dies aufgefallen, nachdem ich kürzlich ein Update von Norton Internet Security geladen hatte. Das Biest wird zwar ständig von Norton geblockt aber versucht unter immer neuen URL's einzudringen.
Vielleicht nutzen Dir diese Informationen ja etwas:
Re: Computersicherheit!