Thanks-and-Goodbye Geschrieben 13. September 2003 Geschrieben 13. September 2003 Nachdem ich im Urlaub via ICQ und Telefon auch davon verfolgt werde, hier auch mal die Info: Es gibt weitere Viren, die die RPC / DCOM-Lücke der Windows NT-Familie ausnutzen. Im Gegensatz zu W32/Blaster / Loevesan bringt der Backdoor.RPC.IRCBor.C einen Trojaner mit, der es ermöglicht, auf den Datenbestand des lokalen Rechners zuzugreifen. http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.rpcbot.c.html Erste Anzeichen sind unter W2K: SVCHOST-Dateien mit einem Datum aktueller als 1999. Zudem Svchost.ini und / oder *.bat, Probleme mit der Installation vom Servicepack und Fehlermeldungen, die die svchost betreffen. Achtung, meine Beobachtung ITW: Norton Antivirus 2003 erkennt den Virus mit aktuellen Signaturen, kann ihn aber auf Win XP wegen Systemdateienschutz nicht entfernen. Systemwiederherstellung deaktivieren und alle verdächtigen svchost-Dateien per Hand löschen. Zitieren
npeecee Geschrieben 15. September 2003 Geschrieben 15. September 2003 die Symmantec-Site bezieht sich ja auf ein Security Bulletin von Mitte Juli. Kann ich davon ausgehen, dass, wenn ich mein System mit dem Patch behandelt hab das den Lovesan aussperrt, auch den Trojaner nicht am Hals hab? Mittlerweile ist ja ein weiteres Security Bulletin herausgekommen (vom 10 September), das sich auf drei weitere Löcher in DCOM/RPC bezieht. Weis jemand, ob dazu bereits Exploits/Viren im Umlauf sind? Zitieren
Thanks-and-Goodbye Geschrieben 17. September 2003 Autor Geschrieben 17. September 2003 Original geschrieben von npeecee Weis jemand, ob dazu bereits Exploits/Viren im Umlauf sind? Jau, scheinen weitere Viren, die auf die RPC-Schwäche von Windows aufsetzen, rausgekommen zu sein. In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können. Er nutzt dabei eine in der vergangenen Woche gemeldete Sicherheitslücke im RPCSS-Dienst aus, um Administrationzugriff auf das System zu erhalten. Anschließend legt das Tool ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen. http://www.heise.de/newsticker/data/dab-17.09.03-003/ Zitieren
Chris1981 Geschrieben 30. September 2003 Geschrieben 30. September 2003 weiss ja nicht ob das hier schon gesagt worden ist aber was ist wenn ich den rpc-dienst deaktivieren beeinträchtigt diese änderung irgendwie das betriebssystem? oder wird der dienst wieder aktiviert wenn ein virus die lücke ausnutzen will? gibts nen port für den dienst? Zitieren
Thanks-and-Goodbye Geschrieben 30. September 2003 Autor Geschrieben 30. September 2003 Beeinträchtigung des Systems? Naja, unwesentlich... Leliel hat das mal getestet: http://forum.fachinformatiker.de/showthread.php?s=&threadid=51140 Ich würde es nicht nachmachen. Zitieren
Chris1981 Geschrieben 30. September 2003 Geschrieben 30. September 2003 hört sich ja übel naja dann kann man das wohl vergessen sind denn mit dem microsoft patch alle vermeintlichen lücken vom rpc - dienst geschlossen worden? oder kann man sich nicht sicher sein? meiner erfahrung nach nicht, wird sicher wieder neue probleme damit geben Das Du Windows nicht magst, kannst Du auch anders ausdruecken. Auch gibt es diverse Probleme mit Sicherheitsluecken und deren Patches nicht nur bei Windows. Editiert, hades Zitieren
jomama Geschrieben 1. Oktober 2003 Geschrieben 1. Oktober 2003 Die Postings im Thread kann ich ganz und gar nicht bestätigen. Hab XP, den RPC Dienst deaktiviert und keine merklichen Veränderungen festgestellt. Ich war dann auch nicht vom Blaster betroffen. Gut, im genannten Thread war es zwar W2k, aber hier ist ja von Windows allgemein die Rede. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.