msblast.exe - was und wie ?

Re(4): msblast.exe - was und wie ?

Dennis666 — Thu, 14 Aug 2003 13:21:22 GMT

Wieso denn ? Manche Lehrer sind doch sehr locker !

Re(3): msblast.exe - was und wie ?

Glockman — Thu, 14 Aug 2003 08:51:34 GMT

Und dann noch ein Rechtschreibfehler hinterher:

legasthenischer

Sorry, nicht ernst nehmen. Meine Eltern sind Lehrer, das prägt

Re(2): msblast.exe - was und wie ?

Dennis666 — Wed, 13 Aug 2003 23:13:12 GMT

Ups legastenischer Flüchtigkeitsfehler !

Re(2): msblast.exe - was und wie ?

LoNlYnEsS — Wed, 13 Aug 2003 22:24:12 GMT

Als ich das lange Blabla geschrieben habe, hats noch gar kein Removal Tool gegeben von Symantec ...

Re(2): msblast.exe - was und wie ?

toor — Wed, 13 Aug 2003 21:53:07 GMT

yup! btw. exploit nicht expolit

Re(2): msblast.exe - was und wie ?

jobaco — Wed, 13 Aug 2003 13:55:00 GMT

passiert bei mir seit ca. 1 Woche auch regelmäßig - so ca. 1x in 2 Stunden - immer auf Port 27374 - lt. Visual tracking immer aus Amerika

patch habe ich schon vorige Woche eingespielt - msblast.exe finde ich keine auf meinen Festplatten

PC läuft normal (wie sonst auch) - Ausfälle, so wie in div. Postings beschrieben gibt's keine

Re: msblast.exe - was und wie ?

nGin — Wed, 13 Aug 2003 13:46:35 GMT

ich hatte gestern den selben Virus
die letzten paar Tage bekommt ich von der Norton Firewall immer wieder Meldungen, dass jemand mit Sub7 auf mich zugreifen will, kann das vielleicht zusammenhängen?

Re(2): msblast.exe - was und wie ?

promillo — Wed, 13 Aug 2003 11:26:37 GMT

hatte eine ähnliche meldung mit "svchost.exe"

ms-patch saugen, installieren und alles passt wieder.. hoffentlich

Re: msblast.exe - was und wie ?

Moe — Wed, 13 Aug 2003 11:21:59 GMT

statt dem langem blablabla (owohl zutreffend) wäre der link zum symantec removal-tool angebrachter gewesen:

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Re: msblast.exe - was und wie ?

Infosauger — Wed, 13 Aug 2003 06:15:41 GMT

Ich bekomme seit gestern kurz nach dem einwählen mit dem modem die Fehlermeldung, dass svchost.exe einen fehler verursacht hat usw.

nachdem ich nun im netz gesucht habe (von meinem Firmenrechner), habe ich mir einige patches heruntergeladen, die ich dann zuhause installier.

Hängt diese fehlermeldung eh sicher mit dem mxblast-wurnm zusammen, und sind kann man den eh "so einfach" beseitigen?

Re: msblast.exe - Verständnissfrage

GriLLe — Wed, 13 Aug 2003 05:57:03 GMT

Hi
@all: Zum Wissensaufbau und beseren Verständniss: Ich habe mir die Beschreibungen auf ein paar Seiten angesehen und überlegt: Manchsemal wird ja Network Adress Translation (NAT) eines Routers als Schutz gepriesen. IMHO wirkt die in so einem Fall nicht, weil ja von msblast ganze IP-Bereiche gescannt werden. Die werden von der NAT einfacherweise "Translated". Da ist zum Schutz eine FW zum sperren von Ports (135 ....) am/vor'm Router notwendig! Habe ich das richtig verstanden?
@vang: Darf ich Dir diese Sig klauen, zu meiner Sammlung hinzufügen und sie für eine/zwei Woche verwenden?
Gruß und *zirp*
GriLLe
--
Merke: Ein PC wird niemals abstür~H78g/(vs9+89b._äs)&r2?*ds]co2l

Re: msblast.exe - was und wie ?

vanq — Tue, 12 Aug 2003 18:46:40 GMT

http://www.chip.de/artikel/c_artikelunterseite_10835269.html

Re: msblast.exe - was und wie ?

Dennis666 — Tue, 12 Aug 2003 14:40:02 GMT

Hier ist schon genauere Info zu dem neuen Wurm !

Re: msblast.exe - was und wie ?

Dennis666 — Tue, 12 Aug 2003 11:44:33 GMT

Vielleicht könnte man diese vielen Probleme gleicher Art (RPC-EXPOLIT) zu einem Zusammenfassen !

Re(2): msblast.exe - was und wie ?

MikE_ — Tue, 12 Aug 2003 11:40:52 GMT

Siehe: http://forum.geizhals.at/t180215.html

Re: msblast.exe - was und wie ?

hardware.com.tw — Tue, 12 Aug 2003 11:37:07 GMT

Tja das kommt davon wenn man keine Windows-Updates macht ! lg,
Fred

Re: msblast.exe - was und wie ?

Funki — Tue, 12 Aug 2003 06:49:06 GMT

OT]: Sicherheitslücke lässt Rechner crashen - Bionex 12.08.2003 01.11
Seit einigen Stunden wird Sicherheitslücke im RPC (Remote) von Windows ziemlich stark attackiert. Betroffene User erhalten eine Nachricht, dass ihr PC in 60 Sekunden neu gestartet werde. Nach kurzer Zeit taucht diese Meldung erneut auf. Betroffen sind die Systeme Windows 2000/XP/Server 2003 & NT 4.0.

Microsoft hat aber bereits einen Patch seit 2 Monaten dagegen auf ihren Download Servern.

Re(2): msblast.exe - was und wie ?

LoNlYnEsS — Tue, 12 Aug 2003 06:08:32 GMT

Du kannst dein Modem nit vom PC Abstecken ? Is zwar radikal, aber das Problem ist, dass sich alles wieder von vorne installiert, wenn du nebst dem aktiver Internetverbindung die Reinigung vornehmen willst.

Die msblast.exe lauscht nämlich an TCP Port 135 und sobald du da ein paar Commands bekommst, wird das Programm aktiv und versucht eine Verbindung zu einem IRC Server herzustellen.

Re: msblast.exe - was und wie ?

CYNDiC8 — Mon, 11 Aug 2003 22:00:08 GMT

Hallo!

Hab auf meinem PC gerade die gleiche Datei entdeckt. Der Wurm machte den Inhalt von den Ordnern 'Programme' und 'System32' bei mir unsichtbar, und ich konnte die Internet-Verbindung nicht trennen. Herunterfahren oder Neustarten ließ sich das Ding auch nicht. Nur der Satz 'I just want to say LOVE YOU SAN!! bill' stand nicht in der Registry neben der Datei.

MfG CYNDiC8

msblast.exe - was und wie ?

LoNlYnEsS — Mon, 11 Aug 2003 21:50:46 GMT

Guten Abend

Nachdem sich mein PC heut nach gut 16 Tagen mal wieder von selbst neugestart hat, hab ich mich mal auf die Suche gemacht nach dem Warum.

Und wurde fündig bei einer Datei namens msblast.exe, die sich im /Windows/System32 Verzeichnis einnistet.

msblast.exe klingt sich über den Mitte Juli bekanntgewordenen RPC Exploit in ein System ein. Dafür stellt MS allerdings schon lange ein Update zur Verfügung - dies ist für WinXP hier zu beziehen -> http://microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074

Anschliessend bitte I-Netverbindung kappen (wichtig !!) und den Patch einspielen, ohne den Rechner neu zu starten. Die msblast.exe über den Taskmanager beenden und anschliessend aus der Registry entfernen -> Start, Ausführen, rededit und diesen Key suchen und löschen "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill"

Anschliessend PC neu starten und mit Antivirensoftware nach Trojanern suchen, die die msblast.exe eingespielt haben. Da sich dieser Wurm über IRC als auch über befallene Systeme per tftp primär verteilt, sollten zum Eliminieren dieses Wurms die Trojaner "BDS/IRCBot.Gen.3" und "BDS/IRCBot.Gen.1" vom Virenkiller gelöscht und erkannt werden.

Soweit ein kleines Feedback - über Ergänzungen bin ich dankbar !