nicht angemeldet
Hi,
Habe zwar nix mit Windows am Hut, war aber gerade auf /. ;-)
Ich gestehe, mein Windows XP hat es auch erwischt. Ist nicht ganz so schlimm, fahre ich eben ein anderes System - aber ärgern tut es einen ja doch.
Immer noch? >;->
http://isc.sans.org/diary.html?date=2003-08-11
http://slashdot.org/articles/03/07/16/2218216.shtml?tid=172
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
http://developers.slashdot.org/developers/03/08/11/2048249.shtml?tid=126&tid=172&tid=185&tid=190&tid=201
Habe ich teilweise mit Vergnügen, teilweise auch etwas zornig gelesen. Und ich habe mir auch den Patch, auf den in [pref:t=55168&m=307388] hingewiesen wurde, geholt - nur kann ich das Ding nicht verwenden, es sagt mir, mein Windows XP hätte nicht die richtige Sprache.
Das ist mir allerdings unverständlich. Was hat ein ein Sicherheitsupdate in diesem Bereich mit i10n zu tun?
Ich verstehe da übrigens etwas nicht. In allen (auch deinen) Erläuterungen wird angegeben, dieser Wurm benutzt tftp, bloß habe ich das Teil nun wirklich nicht. Wie kommt er dann daran?
Genaues weiß ich auch nicht, aber auf der /. Seite steht allerhand.
Es hat mir übrigens auch nichts genutzt, die angegebenen ports zu sperren und die registry gründlich zu schrubben. Nach dem nächsten Systemstart mit Windows ist das Teil wieder da, und wenn es mich auch die ersten zweimal belustigt hat, bin ich langsam doch "not amused".
Das Dingen kopiert sich selber unter verschiedenen Dateinamen bunt in den Dateibaum. Es ist aber jedesmal _exakt_ die gleiche Datei, also würde ich einmal eine Dubblettensuche via MD5 o.ä. starten.
Aber schau wirklich mal in den /. Bericht, da ist einiges beschrieben.
Momang, habe ich noch im Dillocache:
Beschreibung:
http://developers.slashdot.org/comments.pl?sid=74395&cid=6669394
Kurze Hilfe (Hast Du wahrscheinlich schon gemacht, aber trotzdem)
http://developers.slashdot.org/comments.pl?sid=74395&cid=6669679
Etwas mehr:
http://developers.slashdot.org/comments.pl?sid=74395&cid=6669555
So, mehr habe ich nicht mehr im Cache und leider auch nur einen Dialup.
Sind aber zwischenzeitlich noch 150 Postings hinzugekommen, vielleicht findet sich dabei ja mehr.
Ports sperren nützt übrigens nichts, da sich das Dingen lokale Rechte (so heißen doch Rootrechte unter Win, oder? Also keine irgendwie beschränkten Adminrechte, volle Rootrechte meine ich) ergattert (recht einfach unter Win, das kann man gar nicht verhindern) und dann einfach einen Port aufmacht (4444, wenn ich mir das richtig gemerkt habe).
Firewall?
"I am root, bow before me!" ;-)
Wie kann man sich das Ding eigentlich einfangen? Über mail-Anhänge geht das jedenfalls nicht.
Der übliche BO in eienr Schnittstelle, die wohl automatisch einen Port aufmacht (137? Ach ne, das war etwas anderes, RPC, also 135 ;-)
Und: ja, auch über Mailanhänge kann man sich sowas einfangen. Und wenn der Mailanhang nur dafür sorgt, das der passende Port geöffnet wird, sofern das MS nicht eh schon selber besorgt hat.
Nein, solange sich nichts grundlegendes ändert, ist Windows nicht sicher genug für's Netzwerk, nur für Spielchen.
Obwohl: die _wirklich_ guten Spiele laufen auch unter sicheren Betriebsystemen ;-)
so short
Christoph Zurnieden