LOVSAN !!!

17.08.2003, 22:22

ZITAT : von Dennis aus dem mymtw forum

Als erstes solltet ihr eure Festplatte nach einer Datei namens msblast.exe durchsuchen. Wenn ihr eine Datei findet, löscht ihr sie.
Danach öffnet ihr unter Ausführen -> regedit den Registrierungs-Editor und geht zu dem Schlüssel namens HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Findet ihr dort einen Eintrag namens windows auto update, löscht ihr diesen auch!

Nun müsst ihr euch von Microsoft einen Patch runter laden. Es gibt zwei Hotfixes, jedoch funktioniert davon nur einer!

Windows 2000 : http://microsoft.com/downloads/detai...DisplayLang=de

Windows XP : http://microsoft.com/downloads/detai...2-3DE40F69C074

Windows 2003 Server : http://www.microsoft.com/downloads/d...DisplayLang=en

Die Installation des Patches kann durchaus bis zu 10 Minuten dauern, also einfach ein wenig abwarten, wenn es mal nicht weiter gehen sollte.

Sollte das alles nicht funktionieren, gibt es noch ein paar Alternativen.

Unter "Systemsteuerung -> Verwaltung -> Dienste" findet ihr den Dienst Remote-Registrierung. Diesen öffnet ihr und stellt bei "Starttyp" Deaktiviert ein!
Damit ist es von außen (also dem Internet) unmöglich (naja, vielleicht schon ) Einträge in die Registry zuschreiben.

Dann zu dem Dienst Remoteprozeduraufruf (RPC). Hier stellt ihr unter "Wiederherstellen" nicht "Computer neu starten" ein, sondern "Dienst neu starten".
Diesen Dienst komplett zu beenden ist nicht so gut, weil dann unter Umständen andere Programme/Windows interne Dinge nicht mehr funktionieren!

Ihr könnt auch einfach die Ports 135 bis 139 sperren, auf die der Angriff durch geführt wird. Dazu gibt es zwei Wege:

Eigenschaften der DFÜ- und Netzwerkverbindungen -> TCP/IP der jeweiligen Netzwerkkarte auswählen -> im Register "WINS" wird das Häkchen an "NetBIOS über TCP/IP deaktivieren" gesetzt
oder
Gerätemanager -> Ansicht -> Ausgeblendete Geräte anzeigen -> Nicht-PnP-Treiber -> Netbios über TCP/IP -> Eigenschaften -> den Startart "System" auf "Bedarf" stellen

Sollte nun immer noch gar nichts gehen, kann man das Herunterfahren noch durch den Befehl shutdown -a in der Eingabeaufforderung (oder Ausführen) verhindern!

Natürlich solltet ihr eine Firewall installiert haben und die Ports 135 bis 139 gesperrt haben.

Symactec hat auch bereits reagiert und eine Anleitung zu diesem Problem bereit gestellt.

Wer noch etwas zu den Ursachen wissen möchte, kann sich das hier durch lesen. Oder wie schon von mir beschrieben:

Quote:
Es wird der Port 135 angegriffen. Da dieser standardmäßig offen ist und nun mal der Fehler in Windows existiert, ist es nicht schwer einen Buffer Overflow zu erreichen und damit dann die Remote-Registrierung zustarten. Damit kann ich dann die msblast.exe in den Autostart schreiben. Die msblast.exe selber lässt sich einfach auf der System hochladen, z.B. mit TFTP.

Der Wurm basiert auf dem Exploit vom 18 Oct 2002. Es ist ein simples Programm, dass einfach den Dienst beendet und dann so Zugriff auf das System erlangt.

Quote:
This is an exploit for Microsoft Windows RPC Service Denial of
Service Vulnerability
More information at :
http://www.securityfocus.com/bid/6005/info/
Please use it only test your systems
References :
Microsoft Windows RPC DoS code from Spike v2.7
Published exploit by lion on www.cnhonker.com
and Security Focus Web Site www.securityfocus.com

--------------------------------------------------------------------------------

17.08.2003, 22:22	- 1
fuller Gast Beiträge: n/a	ZITAT : von Dennis aus dem mymtw forum Als erstes solltet ihr eure Festplatte nach einer Datei namens msblast.exe durchsuchen. Wenn ihr eine Datei findet, löscht ihr sie. Danach öffnet ihr unter Ausführen -> regedit den Registrierungs-Editor und geht zu dem Schlüssel namens HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Findet ihr dort einen Eintrag namens windows auto update, löscht ihr diesen auch! Nun müsst ihr euch von Microsoft einen Patch runter laden. Es gibt zwei Hotfixes, jedoch funktioniert davon nur einer! Windows 2000 : http://microsoft.com/downloads/detai...DisplayLang=de Windows XP : http://microsoft.com/downloads/detai...2-3DE40F69C074 Windows 2003 Server : http://www.microsoft.com/downloads/d...DisplayLang=en Die Installation des Patches kann durchaus bis zu 10 Minuten dauern, also einfach ein wenig abwarten, wenn es mal nicht weiter gehen sollte. Sollte das alles nicht funktionieren, gibt es noch ein paar Alternativen. Unter "Systemsteuerung -> Verwaltung -> Dienste" findet ihr den Dienst Remote-Registrierung. Diesen öffnet ihr und stellt bei "Starttyp" Deaktiviert ein! Damit ist es von außen (also dem Internet) unmöglich (naja, vielleicht schon ) Einträge in die Registry zuschreiben. Dann zu dem Dienst Remoteprozeduraufruf (RPC). Hier stellt ihr unter "Wiederherstellen" nicht "Computer neu starten" ein, sondern "Dienst neu starten". Diesen Dienst komplett zu beenden ist nicht so gut, weil dann unter Umständen andere Programme/Windows interne Dinge nicht mehr funktionieren! Ihr könnt auch einfach die Ports 135 bis 139 sperren, auf die der Angriff durch geführt wird. Dazu gibt es zwei Wege: Eigenschaften der DFÜ- und Netzwerkverbindungen -> TCP/IP der jeweiligen Netzwerkkarte auswählen -> im Register "WINS" wird das Häkchen an "NetBIOS über TCP/IP deaktivieren" gesetzt oder Gerätemanager -> Ansicht -> Ausgeblendete Geräte anzeigen -> Nicht-PnP-Treiber -> Netbios über TCP/IP -> Eigenschaften -> den Startart "System" auf "Bedarf" stellen Sollte nun immer noch gar nichts gehen, kann man das Herunterfahren noch durch den Befehl shutdown -a in der Eingabeaufforderung (oder Ausführen) verhindern! Natürlich solltet ihr eine Firewall installiert haben und die Ports 135 bis 139 gesperrt haben. Symactec hat auch bereits reagiert und eine Anleitung zu diesem Problem bereit gestellt. Wer noch etwas zu den Ursachen wissen möchte, kann sich das hier durch lesen. Oder wie schon von mir beschrieben: Quote: Es wird der Port 135 angegriffen. Da dieser standardmäßig offen ist und nun mal der Fehler in Windows existiert, ist es nicht schwer einen Buffer Overflow zu erreichen und damit dann die Remote-Registrierung zustarten. Damit kann ich dann die msblast.exe in den Autostart schreiben. Die msblast.exe selber lässt sich einfach auf der System hochladen, z.B. mit TFTP. Der Wurm basiert auf dem Exploit vom 18 Oct 2002. Es ist ein simples Programm, dass einfach den Dienst beendet und dann so Zugriff auf das System erlangt. Quote: This is an exploit for Microsoft Windows RPC Service Denial of Service Vulnerability More information at : http://www.securityfocus.com/bid/6005/info/ Please use it only test your systems References : Microsoft Windows RPC DoS code from Spike v2.7 Published exploit by lion on www.cnhonker.com and Security Focus Web Site www.securityfocus.com --------------------------------------------------------------------------------