Lovsan Worm Virus / svchost.exe Absturz

Beitrag von **bugscout** » 12.08.2003, 23:31

moin moin,

Mcafee hat das scheiß virus nicht erkannt

hab noch nen orginal karton zu verschenken.
kasperky ist das zauberwort wenn man support macht.
oder für alle fischköppe komtel hat nen virenscanner auf dem
server, da kommt nichts durch.

ansonsten calypso als email (html aus), das programm ist zu blöd für
würmer, kann aber ansonsten alles was man braucht.

personal firewall ist ganz nett, aber wie wärs mit port 135 und 139 blocken.

dann klappts auch mit den nachbarn

grüsse

von **Anzeige von ABAKUS** »

Beitrag von **Webby** » 12.08.2003, 23:52

Ich hb agerade ZoneAlarm installiert. Sieht echt gut aus.
Und hat schon...
83 versuche auf meine rechner zukommen blockiert lol. Ohje, am meisten die edonkey port 4662 (glaub ich).

Beitrag von **bugscout** » 13.08.2003, 00:27

moin webby,

die application firewall ist halt eher ne beruhigungs tablette.

damit hindere ich meine windows systemkomponenten daran andauernd mit bill kontakt aufzunehmen.

ansonsten bringt die nicht viel.

einige tips: https://www.trojaner-info.de//faq/anlei ... erhei1.htm

von **Anzeige von ABAKUS** »

Beitrag von **Webby** » 13.08.2003, 10:15

Danke fürs Tipps Bugscout. Ist mir eine bischen zu technisch aber vielleicht für andere lol.

Beitrag von **Noki** » 13.08.2003, 10:23

meine arme Firewall... alle paar Minuten ein Angriffsversuch:

Mittwoch, 13. August 2003 10:14:50 Unrecognized access from 62.134.76.170:1561 to UDP port 135
Mittwoch, 13. August 2003 10:14:51 Unrecognized access from 62.134.76.170:1561 to UDP port 135
Mittwoch, 13. August 2003 10:14:53 Unrecognized access from 62.134.76.170:1561 to UDP port 135
Mittwoch, 13. August 2003 10:14:57 Unrecognized access from 62.134.76.170:1561 to UDP port 135
Mittwoch, 13. August 2003 10:15:05 Unrecognized access from 62.134.76.170:1561 to UDP port 135
Mittwoch, 13. August 2003 10:24:22 Unrecognized access from 217.229.91.238:1394 to TCP port 135
Mittwoch, 13. August 2003 10:27:36 Unrecognized access from 217.229.95.192:1396 to TCP port 135
Mittwoch, 13. August 2003 10:28:52 Unrecognized access from 217.225.213.89:3046 to TCP port 135
Mittwoch, 13. August 2003 10:29:23 Unrecognized access from 217.217.172.234:3508 to TCP port 135
Mittwoch, 13. August 2003 10:29:28 Unrecognized access from 217.224.151.63:4557 to TCP port 135
Mittwoch, 13. August 2003 10:29:39 Unrecognized access from 217.217.134.244:1929 to TCP port 135
Mittwoch, 13. August 2003 10:29:42 Unrecognized access from 80.136.23.140:3303 to TCP port 135
Mittwoch, 13. August 2003 10:52:21 Unrecognized access from 217.96.226.161:3483 to TCP port 135
Mittwoch, 13. August 2003 10:55:07 Unrecognized access from 217.229.96.31:2136 to TCP port 135
Mittwoch, 13. August 2003 11:03:08 Unrecognized access from 217.229.22.112:4621 to TCP port 135
Mittwoch, 13. August 2003 11:03:13 Unrecognized access from 217.229.81.18:3950 to TCP port 135
Mittwoch, 13. August 2003 11:03:24 Unrecognized access from 217.228.230.224:1468 to TCP port 135
Mittwoch, 13. August 2003 11:03:37 Unrecognized access from 217.228.228.49:1957 to TCP port 135
Mittwoch, 13. August 2003 11:03:42 Unrecognized access from 217.229.71.121:3646 to TCP port 135
Mittwoch, 13. August 2003 11:11:51 Unrecognized access from 217.5.62.51:3073 to TCP port 135

ist echt schlimm was der Wurm an Traffic macht...

Beitrag von **daniel_k** » 13.08.2003, 10:29

ich habe gerade das symantec-tool fix-blast über meinen rechner gejagt und der ist tatsächlich nochmal fündig geworden, nachdem ich gestern dachte, das Microsoft-Update hatte ausgereicht. aber der wurm war dann wohl nur betäubt und konnte nicht mehr den rechner runterfahren

Beitrag von **Noki** » 13.08.2003, 10:33

ich bin so froh über eine sehr gute Hardwarefirewall

Bisher gingen alle Würmer, Trojaner usw. noch spurlos an mir vorbei...

Beitrag von **Webby** » 13.08.2003, 11:03

Ja, TCP port 135 ist laut meine ZoneAlarm logdatei wirklich gehammert. Bis lang aber alles blockiert. Mann kan nicht eine sekunde ohne eine Firewall haben. Das ist jetzt mir langsam klar.

Beitrag von **Noki** » 13.08.2003, 11:22

ja, sicherer ist es auf jeden Fall... aber der aktuelle Wurm kann eigentlich nur Leuten ohne Firewall gefährlich werden. Unternehmensnetzwerke sollten also sofern sie nicht gerade auf Windowsserver für die Interneteinwahl setzen weitestgehend verschont bleiben. Wer hinter einem Hardwarerouter sitzt braucht sich eigentlich garkeine Gedanken zu machen. Interessant wird es ab dem 16. wenn der Wurm eine massive DOS-Attacke gegen den Microsoft Updateserver startet. Ich habe gelesen das es ein Zeitfenster für diese Attacke bis in den Dezember rein geben soll. Im Moment verursacht der Wurm scheinbar 10-25 Prozent des kompletten Traffics im Internet, das ganze wird aber eher noch ansteigen.

Beitrag von **regeurk78** » 13.08.2003, 11:33

Tja, bei mir ist noch nix angekommen. Mein Router hält alles auf und dazu gibts noch ne Firewall auf meinem Rechner für Spyware

Beitrag von **viggen** » 14.08.2003, 16:04

angelbich gibts schon varianten von diesem Worm
also alle updaten

https://portale.web.de/Internet/?msg_id=3502522

Beitrag von **computerdirk** » 14.08.2003, 16:17

Hallöchen,

wer den Patch von Microsoft installiert hat ist sicher vor den Varianten des Wurms. Der Patch schließt ja den Port 135 über den sicher der Wurm überträgt... also PC säubern und dann den Patch drauf und Ruhe ist...

Beitrag von **daniel_k** » 14.08.2003, 16:22

computerdirk hat geschrieben:Hallöchen,

wer den Patch von Microsoft installiert hat ist sicher vor den Varianten des Wurms. Der Patch schließt ja den Port 135 über den sicher der Wurm überträgt... also PC säubern und dann den Patch drauf und Ruhe ist...

und nicht vergessen, nach dem Patch nachzuschauen, ob der Wurm sich nicht schon vor dem Update eingenistet hat.
Dafür gibt es bei Symantec ein Tool:
https://www.symantec.com/avcenter/venc/ ... .tool.html

Dieses habe ich nach installation des Patches eingesetzt und dadurch erfahren, das der Wurm schon drauf war. Hiermit wurde der Wurm dann endgültig beseitigt (hoffe ich jedenfalls

)

Beitrag von **Jörg** » 14.08.2003, 16:35

computerdirk hat geschrieben:wer den Patch von Microsoft installiert hat ist sicher vor den Varianten des Wurms. Der Patch schließt ja den Port 135 über den sicher der Wurm überträgt... also PC säubern und dann den Patch drauf und Ruhe ist...

es gibt noch weitere sicherheitskritische ports: 137 bis 139, 445 und 593

siehe heise-meldung von vorgestern

Beitrag von **Thor** » 14.08.2003, 17:35

regeurk78 hat geschrieben:Tja, bei mir ist noch nix angekommen. Mein Router hält alles auf und dazu gibts noch ne Firewall auf meinem Rechner für Spyware

Ich dachte auch immer mein Anschluß ist sicher (Win2000SP4 Router mit NAT und immer Top aktueller Virenscanner, kein ICQ, kein Edonkey u.s.w).
Der Wurm hatte die Antivirensoft ausgehebelt war aber anscheinend nicht aktiv. Wie der Wurm heißt weis ich nicht mehr, mußte die Antivirensoft neu aufspielen. Ports waren auch alle dicht.
Arbeitsaufwand 4h