NT-Autorität fährt PC herunter (XP/2k/NT) -> msblast.exe
-
echter Troll schrieb:
Die Lösung liegt so nah ...
Einfach bis zum 31.12. nicht mehr an den PC gehen
Oder rechtzeitig den Patch installieren (war schon mindestens eine Woche lang bekannt) oder ein anderes Betriebssystem benutzen.
-
Der msblast Wurm ist aber erst seit gestern unterwegs, dafür aber weltweit und ziemlich massiv.
Wenn man unter Google Groups nach msblast.exe sucht findet man 883 Treffer. Alle, bis auf einen, vom 11. August und aus verschiedenen Ländern.
Ausserdem sieht es so aus als wäre der Wurm in Europa gestartet, denn die ersten Postings stammen alle aus europäischen Ländern, dann kommen einige asiatische Postings und erst deutlich später taucht es in den englischen Newsgroups auf.
-
Aber der Fehler im RPC-Dienst war schon länger bekannt und vor 9 Tagen war bereits vor einem Wurm gewarnt worden: http://www.heise.de/newsticker/data/dab-03.08.03-000/
-
hm. bei mir ist der nicht vorbeigekommen.
ist win2003 dafuer nicht anfaellig?
-
Scheint so, da MS auch für den w2003-Server einen Patch im Download hat.
-
Und wie wird man diesen miesen wurm wieder los? Muss man 'Angst haben Daten zu verlieren?
-
Patch von der Microsoft Homepage installieren, msblast.exe aus windows/system32 und aus der Registry löschen.
-
kann mir jemand diese msblast.exe mailen
nur zu forschungszwecken
-
geh einfach ein bisschen ohne Router, Firewall und Patch online, nach 1-2 Stunden wirst du die haben
-
heisst das jetzt mailto.rpd@gmx.net oder rpd@gmx.net ?
-
-
Unter
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
gibt es einen vorläufigen Fix.Devil
-
RPD schrieb:
kann mir jemand diese msblast.exe mailen
nur zu forschungszweckenWillst wohl den Wurm disassemblieren ?
Symantec hat den Wurm analysiert und auch ein wenig Quellcode kommentiert: https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdfUnsere Freaks aus dem ASM-Forum könnten doch mal die kompletten 11 KB des Wurms analysieren und kommentieren, oder ?
So, damit ich das auch mal verstehe...
-
... und schon wieder "buffer overrun".
-
http://packetstorm.icx.fr/0307-exploits/dcom.c
Basiert afaik auf dcom.c
-
msblast.exe I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!