Informationen zu W32Blaster

Auf dieser Heise-Seite wird noch mal in kurzer Form das Wesenliche zu Blaster zusammengefasst . Man findet auch Links, die die Vorgehnsweise bei Befall detailliert erläutern.

http://www.heise.de/security/news/meldung/39347

franzkat

 

Habe DCOM deaktiviert und die Protokolle gelöscht, allerdings bis jetzt noch keinen Patch bei ihm installiert.
Außerdem müssen noch ein paar Dienste deaktiviert (auf Manuell) gestellt werden.

bei Win2000 wären es
Windows-Verwaltungsinstrumentation
Distributed Transaction Coordinator
Sicherheitskontenverwaltung

Das sind jedenfalls die Dienste, die bei mir (Win2000) nach dem Aufruf der Komponentendienste gestartet werden und danach ist dann der Port 135 wieder offen.
Leider lassen sich nicht alle wieder beenden, man muss also Windows neu starten, wenn man den Port schließen will.

 

Bei mir ist der Port auf zwei XP-Systemen trotz deaktiviertem DCOM und Patch offen.

franzkat

 

bei meinem Schwager ist der Port135 zu und er hat WinXP-SP1

 

Hallo,

ich nutze die Hauptseite von PC-Welt sowieso nicht als Info-Quelle für irgendwelche Dinge, weil sie meist um mind. 12 Std. zu langsam sind.

Die erste Meldung bzgl. des Wurms kam gestern abend gegen 19:00 bereits als "Ticker" bei einer meiner bliebtesten Info-Seiten durch. Einige andere Seiten die ich regelmässig aufsuche um mich mit Info}s rund um den PC, etc. zu "versorgen" haben ab ca. 21:00 die ersten Meldungen verlauten lassen.

Aber PC-Welt schiesst bis jetzt "den Vogel ab" was die Langsamkeit anbelangt *kopfschüttel*.

Andreas

 

Korrektur: Jetzt sind es schon 11 Seiten.

Normalerweise wäre eine Kurzinfo mit den wichtigsten Fakten zu einem wesentlich früheren Zeitpunkt mit einer anschließenden ausführlicheren Meldung die bessere Wahl gewesen.
Besonders wenn man bedenkt wieviel Leute anscheinend von dem Problem betroffen sind.
In der Regel ist es sowieso besser sich aus mehreren Quellen mit Informationen zu versorgen und sich nicht nur auf eine Seite zu verlassen.
Bei so einem Problem aber erst so spät zu reagieren, halte ich nicht für besonders gelungen.

Mfg Manni

 

Es ist ja schon Wahnsinn, dass die PC-Welt es geschafft haben nach ca. 3,75 h Arbeitszeit die Meldung fertig zu bekommen

So wie}s ja aussieht, gehen die Redi}s und andere Mitarbeiter von PC-Welt nach Feierabend net mehr ins Internet um auf solche und ähnliche Dinge sofort reagieren zu können.

Wer Ironie findet, darf sie gern behalten

 

Wahrscheinlich weil sie erst noch die 10 Seiten für die Meldung fertig stellen mußten:
http://www.pcwelt.de/news/viren_bugs/33154/

Mfg Manni

 

Das Problem lag ja auch darin, dass sich der Port 135 ohne Firewall nicht mehr schliessen ließ, auch bei deaktiviertem DCOM und installiertem Patch nicht. Bei meinem XP-System ohne SP1 war das Schließen des Ports mit dieser Maßnahme (DCOM-Deaktivierung) noch möglich.Das heißt, mit dem SP1 muss sich auch etwas an RPC/DCOM verändert haben.

franzkat

 

Nein. Der Artikel heißt :
"Streng geheim : DOS-Speicher mit undokumentierten Einträgen in der config.sys erhöhen " ;-)

franzkat
[Diese Nachricht wurde von franzkat am 12.08.2003 | 10:26 geändert.]

 

Hallo,

wenn man mal bedenkt, dass heise und Co. bereits vor ~ 2 Wochen davor gewarnt http://www.heise.de/security/news/meldung/38913 haben und wie wenig User solche Warnungen wirklich "für bare Münze nehmen" sollte man sie eigentlich "Dumm sterben lassen"

Mein Testsystem welches ohne Firewall jedoch mit entsprechend deaktivierten Ports und Diensten versehen ist, lässt die Attacke "regelrecht kalt" - auch ohne installierten Patch von MS und Anti-Viren-Update.

Gruss

Andreas

 

Wahrscheinlich sind deren XP/2000-Rechner schon mit der DoS-Attacke auf den Microsoft-Server beschäftigt ;-)

franzkat