Zum Inhalt springen

Virenwarnung: SVCHOST-Probleme, RPC-Vulnerability


Empfohlene Beiträge

Geschrieben

Nachdem ich im Urlaub via ICQ und Telefon auch davon verfolgt werde, hier auch mal die Info:

Es gibt weitere Viren, die die RPC / DCOM-Lücke der Windows NT-Familie ausnutzen.

Im Gegensatz zu W32/Blaster / Loevesan bringt der Backdoor.RPC.IRCBor.C einen Trojaner mit, der es ermöglicht, auf den Datenbestand des lokalen Rechners zuzugreifen.

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.rpcbot.c.html

Erste Anzeichen sind unter W2K: SVCHOST-Dateien mit einem Datum aktueller als 1999. Zudem Svchost.ini und / oder *.bat, Probleme mit der Installation vom Servicepack und Fehlermeldungen, die die svchost betreffen.

Achtung, meine Beobachtung ITW: Norton Antivirus 2003 erkennt den Virus mit aktuellen Signaturen, kann ihn aber auf Win XP wegen Systemdateienschutz nicht entfernen. Systemwiederherstellung deaktivieren und alle verdächtigen svchost-Dateien per Hand löschen.

Geschrieben

die Symmantec-Site bezieht sich ja auf ein Security Bulletin von Mitte Juli. Kann ich davon ausgehen, dass, wenn ich mein System mit dem Patch behandelt hab das den Lovesan aussperrt, auch den Trojaner nicht am Hals hab?

Mittlerweile ist ja ein weiteres Security Bulletin herausgekommen (vom 10 September), das sich auf drei weitere Löcher in DCOM/RPC bezieht. Weis jemand, ob dazu bereits Exploits/Viren im Umlauf sind?

Geschrieben
Original geschrieben von npeecee

Weis jemand, ob dazu bereits Exploits/Viren im Umlauf sind?

Jau, scheinen weitere Viren, die auf die RPC-Schwäche von Windows aufsetzen, rausgekommen zu sein.

In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können. Er nutzt dabei eine in der vergangenen Woche gemeldete Sicherheitslücke im RPCSS-Dienst aus, um Administrationzugriff auf das System zu erhalten. Anschließend legt das Tool ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen.
http://www.heise.de/newsticker/data/dab-17.09.03-003/
  • 2 Wochen später...
Geschrieben

weiss ja nicht ob das hier schon gesagt worden ist

aber was ist wenn ich den rpc-dienst deaktivieren beeinträchtigt diese änderung irgendwie das betriebssystem?

oder wird der dienst wieder aktiviert wenn ein virus die lücke ausnutzen will?

gibts nen port für den dienst?

Geschrieben

hört sich ja übel

naja dann kann man das wohl vergessen

sind denn mit dem microsoft patch alle vermeintlichen lücken vom rpc - dienst geschlossen worden?

oder kann man sich nicht sicher sein?

meiner erfahrung nach nicht, wird sicher wieder neue probleme damit geben

Das Du Windows nicht magst, kannst Du auch anders ausdruecken. Auch gibt es diverse Probleme mit Sicherheitsluecken und deren Patches nicht nur bei Windows.

Editiert, hades

Geschrieben

Die Postings im Thread kann ich ganz und gar nicht bestätigen. Hab XP, den RPC Dienst deaktiviert und keine merklichen Veränderungen festgestellt. Ich war dann auch nicht vom Blaster betroffen.

Gut, im genannten Thread war es zwar W2k, aber hier ist ja von Windows allgemein die Rede.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...