Quelle: heise security

Meldung vom 12.08.2003 13:17

Schutz vor RPC/DCOM-Wurm W32.Blaster
Der Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135. Zwei Schritte helfen, um einen Angriff des Wurms abzuwehren: Patch einspielen oder Port 135 blockieren -- im Zweifelsfall sollte man beides machen.

Der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst. Ein Paketfilter oder eine Firewall kann eingehende Verbindungsversuche über Port 135 sperren. Schon handelsübliche ISDN- und DSL-Router mit eingebauter Firewall blockieren derartige Angriffe erfolgreich. Ankommende Verbindungsversuche werden grundsätzlich ignoriert.

Wer über keinen Router zum Filtern verfügt, kann unter Windows XP die systemeigene Firewall unter den erweiterten Netzwerkeigenschaften einschalten. Windows-2000-Benutzern wird empfohlen, sich eine Personal Firewall, zum Beispiel Kerio Personal Firewall, zu installieren. Zusätzlich sollten die UDP- und TCP-Ports 137 bis 139, 445 und 593 blockiert werden. Ein Abschalten des RPC-Dienstes wird nicht empfohlen, da viele andere Dienste RPC benötigen.

W32.Blaster zeigt beim Angriff auf Systeme störende Nebeneffekte: Eine Fehlermeldung erscheint bei einigen Systemen in einem Pop-up-Window, mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Dieser Effekt beruht auf fehlender Kenntnis des Wurms über die Plattform des angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes auf dem Stack. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.

Zu der Technik des Wurms und zur Beseitigung siehe auch:

Alle Schotten dicht -- W32.Blaster greift an

Microsofts Patch
Symantec Cleaner (Download-Link)

Na da bin ich ja froh das weder Win2000 noch WinXP auf meinem Rechner zum Laufen zu bringen ist.

Lang lebe Windoooooof 98 Soll angeblich nicht davon befallen sein. Aber meine Kiste schwirrt auch so schon oft genug ab.

Gruß, Ralf

Lang lebe Windoooooof 98 Soll angeblich nicht davon befallen sein. Aber meine Kiste schwirrt auch so schon oft genug ab.

Also mein Win98SE läuft tagelang ohne Absturz.

Es steht ja jetzt das neue Windows RG (Real Good) kurz vor der Auslieferung, das soll ja neue Maßstäbe bzgl. Systemstabilität setzen!

Für die, die es noch nicht kennen hier kann man schon mal einen ersten Eindruck gewinnen:

Das neue Windows RG! Total Geil!

OOOCh meine Verbindung ist so lahm, bis der Wurm hier ist, hab ich den Rechner längst wieder runter gefahren. Aber mal was anderes... Mir fällt auf, dass ich auf die eBay Mail Adresse in letzter Zeit ziemlich oft irgendwelche dubiose Werbung erhalte... Ob da wohl die Käufer die Mail Adressen weiter geben????

Teilweise macht sogar eBy das.

Hallo,
Hmm, so ganz richtig kann deine Quelle ja auch nicht sein @Mercy, denn sonst würde Windows XP ja nicht neustarten.

Übrigens reicht es, bevor man ins Internet geht, den Dienst "Remoteprozeduraufruf (RPC)" auf "Dienst neustarten" zu stellen. Dann startet Windows auch nicht mehr andauernd neu.

Ich hab ihn draufgehabt , und ihn auch wieder VERNICHTET (per Hand).

@rg_z:
Ich glaube da eher das der Wurm schneller dein PC runterfährt wie du. , vor allem weil du davon gar nichts merkst, das du ihn empfängst - erst wenns zu spät ist.
Mal ehrlich, wer von euch nutzt NetStat - kenne so gut wie keinen.

mfg
Sinclair