Hallihallo, habe durch die Medien durch diesen Wurm erfahren, der direkt für W2000 gefährlich sein soll. Ist das auch für Privatuser mit der Client Version von W2000 so? Wie kann man das vermeiden und wie kommt der Wurm zu mir???
Viren, Spyware, Datenschutz 11.254 Themen, 94.795 Beiträge
GarfTermy Hannes Tiger „Neuer Wurm speziell für W 2000 auch für Private User?“
"...auch für Privatuser mit der Client Version von W2000 so? ..."
ja.
"...Wie kann man das vermeiden und wie kommt der Wurm zu mir???..."
* windowsupdate ausführen und alle patches installieren
* virenscanner aktualisieren
* ...und das sonst übliche an sicherheitsvorkehrungen treffen...
;-)
hulk 8150 Hannes Tiger „Neuer Wurm speziell für W 2000 auch für Private User?“
Der.Lenni Hannes Tiger „Neuer Wurm speziell für W 2000 auch für Private User?“
Die duzenden Varianten, die da erschienen sind, sind meiner Ansicht nach nicht mehr mit diesem Patch zu bändigen, selbst MS räumt ein, dass die Varienten nicht alle den Port 445 verwenden. Daher kannst du patchen oder auch nicht, schützen musst du dich doch zusätzlich, indem deine Ports zu sind und zwar alle, die du nicht brauchst:
Meine Ports sehen so aus, und mehr kannst du nicht machen, sie sehen im Übrigen gepatched mit Firewall so aus sowie ungepatched mit Firewall - ist also Jacke wie Hose. PS Den Link hab ich über TWs Bericht gefunden im Archiv
Tyrfing Der.Lenni „Der Patch nutzt einen Furz“
>>Die duzenden Varianten, die da erschienen sind, sind meiner Ansicht nach nicht mehr mit diesem Patchbild zu bändigen, selbst MS räumt ein, dass die Varienten nicht alle den Portbild 445 verwenden. Falsch, der Patch behebt die Schwachstelle, die dieser Wurm ausnutzt, also ist es vollkommen egal, über welchen Port der Wurm auf ein gepatchtes System angreifen will, es wird nicht klappen.
Aber danke für die tollen Bilder, sind wirklich sehr interessant
Der.Lenni Tyrfing „ Die duzenden Varianten, die da erschienen sind, sind meiner Ansicht nach nicht...“
Falsch, der Patch behebt die Schwachstelle, die dieser Wurm ausnutzt
Na dann will ich mal hoffen, dass sich die Virenprogrammierer auch daran halten. Symantec hat mittlerweile Variante E im Programm, einige Virenprogrammierer melden schon die verbreitung über SMTP Maschinen - also ich bleib bei meiner Firewall mit deaktivierten Diensten.
Laut MCAfee wären NBC nicht infiziert worden, wenn sie ihre Firewalls korrekt installiert und konfiguriert hätten.
Derzeit ist Port 445 betroffen, wer sagt, dass das der einzige bleibt? Es sind laut Heise.de mehrere Konkurrenten am Werk, die sich gegenseitig die Viren ausschalten, warum soll sich da jemand an MS Sicherheitspatch halten? Es gibt genug andere Lücken, die man freudig nutzen kann, gerade vor einigen Tagen ist im IE ja wieder ein Hammer entdeckt worden.
Na dann will ich mal hoffen, dass sich die Virenprogrammierer auch daran halten. Symantec hat mittlerweile Variante E im Programm, einige Virenprogrammierer melden schon die verbreitung über SMTP Maschinen - also ich bleib bei meiner Firewall mit deaktivierten Diensten.
Laut MCAfee wären NBC nicht infiziert worden, wenn sie ihre Firewalls korrekt installiert und konfiguriert hätten.
Derzeit ist Port 445 betroffen, wer sagt, dass das der einzige bleibt? Es sind laut Heise.de mehrere Konkurrenten am Werk, die sich gegenseitig die Viren ausschalten, warum soll sich da jemand an MS Sicherheitspatch halten? Es gibt genug andere Lücken, die man freudig nutzen kann, gerade vor einigen Tagen ist im IE ja wieder ein Hammer entdeckt worden.
Tyrfing Der.Lenni „Falsch, der Patch behebt die Schwachstelle, die dieser Wurm ausnutzt Na dann...“
Nochmal für die zum Mitschreiben: Dieser Wurm nutzt eine Lücke in der Plug and Play-Komponente von Windows aus, wenn diese Lücke geschlossen ist, ist es vollkommen egal, auf welchem Weg versucht wird, sie auszunutzen.
Ports zu schließen ist sicherlich eine gute Idee (vor allen Dingen wenn man es ohne Pseudofirewall und Stealth-Hokupokus macht), aber was du schreibst ist trotzdem falsch. Wenn ich gegen einen Virus immun bin, ist es auch egal, ob ich den Virus nun in die Halsschlagader oder in den kleinen Zeh gespritzt bekomme.
ostseekrabbe Tyrfing „Nochmal für die zum Mitschreiben: Dieser Wurm nutzt eine Lücke in der Plug and...“
ich hab mal über den stealth mechanismus gelesen das ist kalter kaffe. mehr eine pseudosicherheit.
meine firewall blockt alles von aussen, emule und konsorten brauch ich nicht. unnötige dienste sind abgeschaltet, regelmässige updates und schon ist man recht sicher. auf hokuspokus die mir sicherheit vorgaukelt verzichte ich.
xafford Der.Lenni „Falsch, der Patch behebt die Schwachstelle, die dieser Wurm ausnutzt Na dann...“
Laut MCAfeebild wären NBC nicht infiziert worden, wenn sie ihre Firewalls korrekt installiert und konfiguriert hätten.
Da erzählt McAffe Schwachsinn. Ein infiziertes Notebokk ins LAN gehängt reicht aus um das ganze Netz von Innen zu infizieren, wo keine Firewall mehr steht. Wenn die Küche brennt ist es sinnvoller zu löschen anstatt die Tür zu schließen, damit man es nicht mehr sieht. Genauso ist es sinnvoller eine Lücke in einem System zu patchen statt einen Schutz in Form einer DTFW davor zu hängen, der eventuell aus irgendeinem dummen Grund vielleicht mal nicht startet.
Da erzählt McAffe Schwachsinn. Ein infiziertes Notebokk ins LAN gehängt reicht aus um das ganze Netz von Innen zu infizieren, wo keine Firewall mehr steht. Wenn die Küche brennt ist es sinnvoller zu löschen anstatt die Tür zu schließen, damit man es nicht mehr sieht. Genauso ist es sinnvoller eine Lücke in einem System zu patchen statt einen Schutz in Form einer DTFW davor zu hängen, der eventuell aus irgendeinem dummen Grund vielleicht mal nicht startet.
Der.Lenni xafford „Laut MCAfeebild wären NBC nicht infiziert worden, wenn sie ihre Firewalls...“
Naja, klar ... ich gehe aber nicht davon aus, dass ein book in ein netzwerk dringt, sondern ich ging vom normalen Rechner aus, der ins netz geht. und da hilft eine firewall.
MS schreibt selbst, das NUR die Rechner sicher sind, die vor dem 11. 8. gepatched wurden und ich sage immer - es hängt fast kein normaler mensch vorm rechner und patched das teil den ganzen lieben tag. denn selbst wenn patches als nicht kritisch eingestuft sind, sind sie immer zu updaten.
MS schreibt, dass es keinen schutz gibt, wenn man nach dem 11.8. gepatched hat. MS schreibt weiter (sinngemäss), dass man ein dickes Problem hat, wenn man den Rechner erst jetzt patched, da der Virus schon auf dem PC sein kann oder da der Virus sogar während des patchens kommen kann und MS empfiehlt hierfür eine FIrewall. Wenn ich die Seite aus Österreich finde, dann melde ich mich - leider hab ich sie nicht mehr im Verlauf.
desweiteren schreibt MS auf dieser Seite, dass der Patch nur vor der Originären Variante schützt, dass derivative Varianten des Virus doch auch durch andere Ports als den 445er eindringen können.
Da frage ich mich doch ... was brauch ich diesen Patch überhaupt, wenn er "nur" gegen die A Variante sichert??? Da muss ich also dennoch selbst meine Ports (wie auch immer) schliessen
xafford Der.Lenni „Naja, klar ... ich gehe aber nicht davon aus, dass ein book in ein netzwerk...“
Naja, klar ... ich gehe aber nicht davon aus, dass ein book in ein netzwerk dringt, sondern ich ging vom normalen Rechner aus, der ins netz geht. und da hilft eine firewall.
Ich bezog mich auf die Meldung von McAfee zu NBC, nicht auf einen normalen Rechner. Ergo bezog ich mich auf ein Firmennetzwerk und wenn ein Admin sich da nur auf eine Firewall verlässt handelt er fahrlässig, allein schon weil für die meisten Angriffe auf Firmennetze leute innerhalb der Firma verantwortlich sind.
Naja, klar ... ich gehe aber nicht davon aus, dass ein book in ein netzwerk dringt, sondern ich ging vom normalen Rechner aus, der ins netz geht. und da hilft eine firewall.
Für sowas gibt´s die Funktion der automatischen Updates für Privatanwender, für Firmen gibt´s SUS. Wer da Patchen verschlampt ist natürlich nicht mehr sicher, aber das ist ja die Ursache, nciht die Folge. Du zäumst also das Pferd von hinten auf, wenn Du die Notwendigkeit einer Desktopfirewall damit begründest, daß jemand beim Patchen gepennt hat. Ursachenbeseitigung ist das aktuell halten des Systems, nicht das provisorische verrammeln mit einer Softwarefirewall. Diese kann höchstens zusätzliche Vorsichtsmaßnahme sein. Was machst Du wenn die Softwarefirewall aus irgendeinem dummen Grund nicht startete und Du hast es nicht bemerkt (sowas kommt ab und an durchaus vor und nicht jede DTFW verhindert dann automatisch Netzwerkzugriffe)?
desweiteren schreibt MS auf dieser Seite, dass der Patchbild nur vor der Originären Variante schützt, dass derivative Varianten des Virus doch auch durch andere Ports als den 445er eindringen können.
Eindringen kann der Wurm der den Dienst angreift nur auf Ports, auf denen der Dienst auch lauscht. Wenn der Dienst auf Port 445 lauscht, dann kann der Wurm gerne Port 4711 angreifen, so lange er will.
Da frage ich mich doch ... was brauch ich diesen Patch überhaupt, wenn er "nur" gegen die A Variante sichert??? Da muss ich also dennoch selbst meine Ports (wie auch immer) schliessen
Mir kommt so vor, als kapierst Du nicht ganz, wie ein Exploit auf Basis einen Buffer Overlow funktioniert und was ein Patch macht. Beseitigt ein Patch einen Buffer Overflow im Programmcode dann ist eben diese Lücke nicht mehr ausnutzbar, egal mit welcher Wurmvariante. Wenn in deinem Haus eine Tür fehlt und jemand namens Meier spaziert rein und Du mauserst die Tür zu, dann kann weder ein herr Meier, noch ein Herr Schulz noch der.lenni durch dieses Loch rein, weil es eben nicht mehr existiert.
Du kannst gerne Ports sperren, eine Softwarefirewall verwenden und andere Leute vom Sinn des Portsperrens oder Softwarefirewalls überzeugen, das ist persönlicher Gusto. Wenn Du allerdings darauf beharrst, daß diese Lösungen besser sind als die Lücken innerhalb des Systems zu schließen, bzw mehr oder weniger aussagst, daß eine Softwarefirewall die Notwendigkeit des Schließens verhindert dann ist das fahrlässiger Unsinn den Dir jeder professionelle Admin zu Recht um die Ohren hauen würde.
Ich bezog mich auf die Meldung von McAfee zu NBC, nicht auf einen normalen Rechner. Ergo bezog ich mich auf ein Firmennetzwerk und wenn ein Admin sich da nur auf eine Firewall verlässt handelt er fahrlässig, allein schon weil für die meisten Angriffe auf Firmennetze leute innerhalb der Firma verantwortlich sind.
Naja, klar ... ich gehe aber nicht davon aus, dass ein book in ein netzwerk dringt, sondern ich ging vom normalen Rechner aus, der ins netz geht. und da hilft eine firewall.
Für sowas gibt´s die Funktion der automatischen Updates für Privatanwender, für Firmen gibt´s SUS. Wer da Patchen verschlampt ist natürlich nicht mehr sicher, aber das ist ja die Ursache, nciht die Folge. Du zäumst also das Pferd von hinten auf, wenn Du die Notwendigkeit einer Desktopfirewall damit begründest, daß jemand beim Patchen gepennt hat. Ursachenbeseitigung ist das aktuell halten des Systems, nicht das provisorische verrammeln mit einer Softwarefirewall. Diese kann höchstens zusätzliche Vorsichtsmaßnahme sein. Was machst Du wenn die Softwarefirewall aus irgendeinem dummen Grund nicht startete und Du hast es nicht bemerkt (sowas kommt ab und an durchaus vor und nicht jede DTFW verhindert dann automatisch Netzwerkzugriffe)?
desweiteren schreibt MS auf dieser Seite, dass der Patchbild nur vor der Originären Variante schützt, dass derivative Varianten des Virus doch auch durch andere Ports als den 445er eindringen können.
Eindringen kann der Wurm der den Dienst angreift nur auf Ports, auf denen der Dienst auch lauscht. Wenn der Dienst auf Port 445 lauscht, dann kann der Wurm gerne Port 4711 angreifen, so lange er will.
Da frage ich mich doch ... was brauch ich diesen Patch überhaupt, wenn er "nur" gegen die A Variante sichert??? Da muss ich also dennoch selbst meine Ports (wie auch immer) schliessen
Mir kommt so vor, als kapierst Du nicht ganz, wie ein Exploit auf Basis einen Buffer Overlow funktioniert und was ein Patch macht. Beseitigt ein Patch einen Buffer Overflow im Programmcode dann ist eben diese Lücke nicht mehr ausnutzbar, egal mit welcher Wurmvariante. Wenn in deinem Haus eine Tür fehlt und jemand namens Meier spaziert rein und Du mauserst die Tür zu, dann kann weder ein herr Meier, noch ein Herr Schulz noch der.lenni durch dieses Loch rein, weil es eben nicht mehr existiert.
Du kannst gerne Ports sperren, eine Softwarefirewall verwenden und andere Leute vom Sinn des Portsperrens oder Softwarefirewalls überzeugen, das ist persönlicher Gusto. Wenn Du allerdings darauf beharrst, daß diese Lösungen besser sind als die Lücken innerhalb des Systems zu schließen, bzw mehr oder weniger aussagst, daß eine Softwarefirewall die Notwendigkeit des Schließens verhindert dann ist das fahrlässiger Unsinn den Dir jeder professionelle Admin zu Recht um die Ohren hauen würde.
GarfTermy xafford „Naja, klar ... ich gehe aber nicht davon aus, dass ein book in ein netzwerk...“
...und da patchen NICHT weh tut, auch NICHT viel zeit kostet und auch NICHT besonders u,ständlich - sondern extrem einfach ist - gibt es KEINE ausrede für ein ungepatchtes system mehr.
außer faulheit. ...dummheit ist keine ausrede, sondern nur faulheit zu lernen.
;-)
Der.Lenni GarfTermy „...und da patchen NICHT weh tut, auch NICHT viel zeit kostet und auch NICHT...“
....komisch eben nur, dass ich mit meinen 6 Pc, alle ungepatched, ausser dem letzten Service Pack, von Sasser, Blaster und Co verschont blieben und das trotz 24 H DSL Anbindung, und ... ich wurde angegriffen, die LOG bestätigt mir das :-)
Naja... aber ist wohl nur Einbildung.
Übrigends - ich behaupte nie, dass das eine perfekte Lösung ist, sicher ist Patchen besser und sauberer - aber WAS (das hat mir immernoch keiner beantwortet, obwohl ich es schon zum 4. Mal frage), macht man, wenn man mal eine Woche nicht am Rechner war, sagen wir am 1.8.05 war ich am Rechner, stand der Patches ist also 1.8. Und am 11. 8. taucht der Zotob auf, ich gehe am 20.8.05 wieder ins Netz und fange mir beim ersten Netzaufbau dieses Teil ein, weil ich noch garnicht so schnell alle kritischen Updates machen konnte. DAS möchte ich beantwortet wissen, denn hier kannst du nichts dagegen tun, ausser von einem anderen Rechner offline den Patch einspielen was nicht jeder kann.
hulk 8150 Der.Lenni „....komisch eben nur, dass ich mit meinen 6 Pc, alle ungepatched, ausser dem...“
Ist
Der Patch nutzt einen Furz..
vs.
..sicher ist Patchen besser und sauberer
..kein Widerspruch??
h.
Der.Lenni xafford „Naja, klar ... ich gehe aber nicht davon aus, dass ein book in ein netzwerk...“
Mir kommt so vor, als kapierst Du nicht ganz, wie ein Exploit auf Basis einen Buffer Overlow funktioniert
Wenn du mich unsachlich anmachst, können wir das Gespräch hiermit beenden. Ich fahre mit Firewall ohne Patches nämlich komischerweise virenfrei, aber mag sein, dass ich auch nur ein Riesen Glückspilz bin.
Ahhh by the way - was mache ich denn, wenn ich Windows neu aufsetze? Das erste Mal, wenn ich ins netz gehe, bin ich nämlich mindestens schonmal ungepatched, und nicht jeder hat T3 Anbindung, um sich im Nullkommanix alle Patches zu ziehen :-) Genau das ist es nämlich, was ich mit meinem MS Zitat sagen wollte, aber scheinbar hast du das nicht verstanden oder du wolltest es nicht verstehen.
Wenn du mich unsachlich anmachst, können wir das Gespräch hiermit beenden. Ich fahre mit Firewall ohne Patches nämlich komischerweise virenfrei, aber mag sein, dass ich auch nur ein Riesen Glückspilz bin.
Ahhh by the way - was mache ich denn, wenn ich Windows neu aufsetze? Das erste Mal, wenn ich ins netz gehe, bin ich nämlich mindestens schonmal ungepatched, und nicht jeder hat T3 Anbindung, um sich im Nullkommanix alle Patches zu ziehen :-) Genau das ist es nämlich, was ich mit meinem MS Zitat sagen wollte, aber scheinbar hast du das nicht verstanden oder du wolltest es nicht verstehen.
xafford Der.Lenni „Mir kommt so vor, als kapierst Du nicht ganz, wie ein Exploit auf Basis einen...“
Wenn Du das als dumm von der Seite anmachen siehst, dann können wir das Gespräch wirklich hier beenden.
Der.Lenni xafford „Wenn Du das als dumm von der Seite anmachen siehst, dann können wir das...“
gut ... beendet ... du gehst ja doch nicht auf meine Frage ein, sondern leierst mir Standard herunter, den ich auf jeder mittelmässigen Privatseite eines selbsternannten Security-Experten nachlesen kann.
Wenn du die Frage beantwortest, die ich jetzt zum 5. Mal gestellt habe, können wir sehr gerne weitermachen, da ich deine Meinung eigentlich sehr schätze, aber solange ich mir vorkomme, eine Standard Info ala "Patchen sie und alles ist gut" zu lesen, ohne über Alternativen nachzudenken, die auch in die Zukunft schauen und gleich dicht machen, was offen ist, brauchen wir wirklich nicht weiterzureden, denn wie gesagt, alles andere hab ich ja von dir und garftermy ausführlich gehört, da brauch ich keine Wiederholung mehr.
GarfTermy Der.Lenni „gut ... beendet ... du gehst ja doch nicht auf meine Frage ein, sondern leierst...“
ja lennie...
ab heute stehst du mit unserem mexicanischen sicherheitsberater in einer reihe.
"...alles andere hab ich ja von dir und garftermy ausführlich gehört, da brauch ich keine Wiederholung mehr. ..."
du mußt es jetzt nur noch verstehen.
klick-klack-...ie
;-)
TAsitO Hannes Tiger „Neuer Wurm speziell für W 2000 auch für Private User?“
Hallo.
Dieser Wurm - WELCHER ???
Okay ;
suche ich halt danach erst.
Gruss.
hulk 8150 TAsitO „Hallo. Dieser Wurm - WELCHER ??? Okay suche ich halt danach erst. Gruss.“
zotop
Prosseco hulk 8150 „zotop“
Ich bin wieder da garftermy, ausser noch ich benutze keine scheiss Firewall mehr sondern nur noch Router. War uaf Lehrgang durch Microsoft Mexico und Microtik.
www.microtik.com
Ich schliesse meine nicht benoetigten ports zu, draussen bleiben die Trojaner. Wuermer oder Viren die kommen uebers mail oder die schwachstellen im Windows rein, sonst gar nichts anderes, und die Scheiss Spyware tja das ist das User schuld wg, sein ueberall klich klick machen im Internet.
Sonst gibt es nichts und schon wie ich sagte eine MAschine kriegst du immer sauber.
Das Liebe Registry solltest mal auswendig lernen und wenn du das kannst dan kannste auch den Rest machen.
Schoene gruesse aus dem Sonnigen Sueden
Sascha
P.S> Es stimmt du musst dein Windows aktualisiert haben und ein gutes Antivirus haben und das reicht vollkommen aus, wie Olaf19 mal sagte>> Das sichere Surfen ist die ½ Miete
Prosseco Nachtrag zu: „Ich bin wieder da garftermy, ausser noch ich benutze keine scheiss Firewall mehr...“
Noch was vergessen hier ein Link
http://www.iana.org/assignments/port-numbers
