W32.Blaster.Worm

Dieses Thema im Forum "Sicherheit" wurde erstellt von koecks, 23. November 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. koecks

    koecks ROM

    Registriert seit:
    23. November 2003
    Beiträge:
    1
    Hallo,

    ich habe da mal ein "kleines" Problem mit dem W32.Blaster.Worm.
    Vor ein paar Wochen habe ich mir den W32.Blaster.Worm eingefangen.
    Norton Antivirus hat den Wurm zwar erkannt konnte aber nix dagegen machen (ich sollte wohl öfters mal ein update durchführen).
    Nungut, also habe ich mir von Symatec FixBlast.exe heruntergeladen um diesen Wurm zu beseitigen, was auch wunderbar klappte.
    FixBlast.exe hat W32.Blaster gefunden und das Ding zertreten. :)
    Danach habe ich erstmal ein Update meiner Firewall und von Antivirus vorgenommen.


    Naiv wie ich nun mal bin dachte ich, weg is er. Pustekuchen
    Sobald ich meine Firewall abschalte um z.b eine Datei an GMX hochzuladen, kommt von Norton Antivirus eine Virus Warnung:

    Virus Name: W32.Blaster.Worm
    Action Taken: Automatically Deleted

    Der Wurm schafft es aber noch mir den Tag zu versauen und fährt mein Windows XP, mit der üblichen Meldung von W32.Blaster runter.
    Außerdem läuft mein Rechner ziemlich langsam was ich auch auf den Wurm zurückführe.

    Das Beste kommt aber jetzt, wenn ich ein Virusscan durchführe kann er ihn nicht finden.
    Ich habe schon vier verschiedene Virenscaner ausprobiert !!!!!!!
    Wenn ich nun anfange das Ding manuell zu suchen z.b. mit dem Registry Editor kann ich W32.Blaster auch dort nicht finden wo er eigentlich stehen sollte.

    Wo zum Teufel steckt das Ding und wie werde ich ihn wieder los????????

    Gruß Koecks

    :aua:
     
  2. Gast

    Gast Guest


    Eine DTFW schließt keine Ports. Weder mit dem Paketfilter (der filtert nur, wie der Name schon sagt) noch mit einem IDS oder einer Sandbox. Letztere beiden haben damit gar nichts zu tun.
    Sehr witzig. Dann müsste man sämtliche Programme, die man bereits hat, komplett neuinstallieren, um von denen vertrauenswürdige Prüfsummen zu erhalten. Und dann gibts ja immer noch genug Malware, die der User als vertrauenswürdig einstuft, die der DTFW dann also vertrauenswürdig erscheinen.
    Und schlussendlich: Eine DTFW läuft auf dem zu schützenden System. Ergo: Grober Unfug.
    Du kennst http://www.ntsvcfg.de/
    Eben. Also gar nicht gut und nochmal: ES GIBT KEIN STEALTH. Sagst du ja selbst.
    Das ist eine Seite, die etwas verkaufen will. Die Tests sind unzuverlässig.
     
  3. qwertz25

    qwertz25 Byte

    Registriert seit:
    6. Oktober 2003
    Beiträge:
    10
    Hi,

    hier einige hilfreiche Seiten. Bei Worm Lovesan schauen, gibt sich als Blaster zu erkennen.

    http://www.antivir.de/vireninfo/index.htm

    Dort findest du alle Dateien die du suchen mußt, auch mit Registratureinträgen.
    Hat mir auch schon geholfen.

    Gruß
    Qwertz25
     
  4. UKW

    UKW Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.438
    Hallo,

    natürlich ist es kein "Dummfug" mit einer Desktop-Firewall seine Ports zu schließen. Heutige moderne Firewalls dieser Art sind keine einfachen "dummen" Portfilter mehr sondern haben weitreichende Zusatzfunktionen wie IDS u. Sandbox. Es wird bei den meisten die Anwendungssoftware über Prüfsummenfunktionen überwacht (fremde Programme lassen sich nicht starten) oder sie warnen wenn eine Anwendung versucht, unerlaubt Kontakt zum Internet aufzunehmen.

    Das Problem mit Port 135 ist ja nunmal, dass man den dahinterstehenden Dienst nur in bestimmten Fällen problemlos daktivieren kann und dass das gerade für einen Anfänger auch nicht einfach zu bewerkstelligen ist. Da sich derzeit die Verwundbarkeitsmeldungen dieses Dienstes überschlagen, bleibt einem oft nichts anderes übrig, als den Port per Firewall o.ä. zu blocken bzw. er ist "stealth". Gut .. ein potentieller Angreifer hat dann zwar die Information dass das System durch eine Firewall geschützt wird und er kann diese dann direkt angreifen.

    Wie gut eure Firewall einen solchen Angriff übersteht könnt ihr hier testen (der Test ist auch für vorgeschaltete Hardware-Router sinnvoll, manche dieser Teile hängen sich auf):

    http://www.pcflank.com/ Exploits Test (gehört zu den härteren seiner Art)

    übrigens die BlackIce Firewall/IDS von ISS wird mit diesem Test mit Leichtigkeit fertig. Andere wie die Kerio 4 verabschieden sich kommentarlos..

    Grüße
    UKW
     
  5. Gast

    Gast Guest

    Dummfug!
    Ports schließt man nicht mit einer Desktopfirewall und schon gar nicht mit der hoffnungslos veralteten AtGuard, sondern dadurch, dass man keine Dienste laufen lässt, die Ports öffnen könnten.
    BTW: Durch rechtzeitiges Patchen von Windows wäre ein Schließen von Port 135 gar nicht nötig.
     
  6. Fehlerchen

    Fehlerchen Kbyte

    Registriert seit:
    30. Dezember 2002
    Beiträge:
    483
    Du solltest nicht nur Deinen Virenscanner aktuallisieren und die Updates für Windows installieren, sondern auch gewisse Ports sperren.


    mfg
     
  7. wu-wolle

    wu-wolle Halbes Gigabyte

    Registriert seit:
    26. Juli 2003
    Beiträge:
    5.305
    Du solltest nicht nur deinen Virenscanner aktualliesieren, sondern auch die Uptades für Windows installieren.

    Gruß
    wolle
     
  8. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Koecks.

    Vermutlich versteckt sich der Wurm im Verzeichnis System Volume Information. Deaktiviere mal vorübergehend die Systemwiederherstellung und führe Fixblast nochmal aus. Wie du die Systemwiederherstellung deaktivierst, erfährst du über's Hilfe- und Supportcenter. Gib dazu als Suchbegriff Systemwiderherstellung an. Nach Abschluß der Säuberung aktivierst du die Systemwiedherstellung wieder.

    Aktiviere dann die XP-interne Firewall und lade dir über die Windows-Update-Seite den Patch gegen den Blaster-Wurm herunter falls du das noch nicht getan hast.

    Ansonsten solltest du, wie dir bereits geraten wurde, bestimmte Dienste, wie z. B. den Windows-Nachrichtendienst, deaktivieren.

    Hinweis:

    Das Deaktivieren der Systemwiederherstellung löscht sämtliche Wiederherstellungspunkte.
    Falls das System ansonsten einwandfrei läuft, ist das aber keine Problem.

    Gruß
    Patrick
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen