hades

Kommt auf den Wurm drauf an, ob eine Firewall vor diesem schuetzt. Im Falle von W32.Blaster alias Lovesan alias MSBlast, der ein RPC-Sicherheitsloch bei einem ungepatchten Windowssystem (gibt auch Varianten, die die DCE- und Corba-Umgebungen auf Linux attackieren) ausnutzt und einen ohne aktives Handeln befaellt, ja. Bei anderen Wuermern, die gerne an dubiosen Mails dranhaengen, hilft keine Firewall. Dort hilft nur, den Virenscanner mit aktuellen Signaturen zu fuettern und gegenueber Mails mit unerwartet zugesandten Anhaengen sehr misstrauisch zu sein.

Koenntet Ihr zum eigentlichen Thema zurueckkehren? Hier war nicht nach dem Verhalten von Usern gefragt (die meist einen grossen Anteil am Bekommen von Viren, Wuermern, Trojanern u.ae. haben), sondern nach einer Empfehlung welche der im Eingangsposting genannten Personal Firewalls eingesetzt werden kann oder ob andere Personal Firewalls besser geeignet sind. Ich sag es mal so: Wenn eine PFW eingesetzt wird (aus welchen Gruenden auch immer), dann kein Geld ausgeben und auf die kostenlosen Alternativen wie Kerio und Outpost zurueckgreifen. U.v.a nicht denken, mit einer PFW gibt es einen 100%igen Schutz.

Versucht es mit einem Onlinevirenscan. Die Signaturen vom Symantec-OnlineVirenscanner waren zumindest im Falle beim W32.Blaster aktueller als die per LiveUpdate zur Verfuegung standenen NortonAV-Signaturen.

Passt besser in die Hardwareecke. ~~~moved~~~

Die Information zum Sorbig-Wurm reicht aus. Wie immer gilt auch hier: Keine HTML-Mails (die aktiven Code enthalten koennen) nutzen, keine unbekannten Mails mit Anhaengen oeffnen, an die Internetverbindung nicht die Datei- und Druckerfreigabe und auch nicht den Client fuer MS-Netzwerke binden. Und immer nach aktuellen Virensignaturen Ausschau halten. ~~~closed~~~

Das von Dir zitierte Umgehen bzw. Ausschalten von PFWs durch Trojaner. Einige Trojaner suchen nach Registryschluesseln bzw. Autostarteintraegen von PFWs (und auch von anderen Programmen). Das nuetzt bei NT-artigen Systemen nicht viel, denn bei diesen werden einige PFWs (Bsp. sind Outpost, Kerio, Tiny) durch Dienste gesteuert. D.h. der betreffende Dienst muesste dann nicht nur beendet, sondern auch deaktiviert werden, um eine PFW dauerhaft ausser Gefecht zu setzen. Das Aendern der Startart von Diensten geht nur mit Administratorrechten. Auch sollten angebotene Sicherheitsmechanismen wie Passwordabfragen beim Beenden bzw. beim Zugriff auf die Konfiguration einer PFW (Tiny und Kerio haben diese Funktionen) eingesetzt werden, um ein Herunterfahren bzw. Konfigurationsaenderungen der PFW zu bemerken.

Bevor hier das Verhalten von Trojanern ausdiskutiert wird moechte ich nur daran erinnern, das dann auch themenbezogen also ausschliesslich fuer NT-artige Betriebssysteme (NT4, 2000, XP, 2003 Server) zu machen. Denn was es nuetzt es hide, wenn hier das Trojanerverhalten auf Windows 95, 98 und ME ausdiskutiert wird. Auch immer dazu schreiben, welche PFW in der Aussage gemeint ist. Denn leider basieren viele im Internet veroeffentlichten PFW-Tests nur auf der sehr einfach gehaltenen Freewareversion von ZoneAlarm und auf Windows 95/98/ME. Und bitte Aussagen immer durch serioese Quellen nachweisen, nicht einfach in den Raum stellen.

Wenn es der Blaster nicht ist und ein Hitzeproblem ausgeschlossen werden kann: Passiert das nur bei hochgefahrenem Windows oder auch eher, z.B. im BIOS?

Hast Du auf beiden Rechnern alle Firewalls deaktiviert? Manche selbst installierten Personal Firewalls muessen auch erst deinstalliert werden, damit ein Zugriff (wieder) moeglich ist.

@drob: Erst informieren, dann Gehirn einschalten, nochmal nachdenken und dann posten. Dein Posting hat rein gar nichts mit dem Thema zu tun, oben drein ist es noch gespickt mit Falschaussagen. Deine Wortwahl ist auch verbesserungswuerdig, denn es gibt hier absolut keine Punkte, wer am meisten die Boardzensur in Anspruch nimmt. Sieh dies als Verwarnung an. Zum Thema: Zusammenfassend sei nur auf das Schliessen von nicht benoetigten Ports, das Einspielen von bereitstehenden Patches und das Lesen von www.heisec.de verwiesen. ~~~closed~~~

(XP-Verbindungs-)Firewall. Lies dazu die oben gepostete FAQ.

Nachtrag: Die Microsoft-Download- und Updateserver sind in der Tat sehr schlecht erreichbar. Haengt wahrscheinlich mit dem W32.Blaster-Wurm (heise-Meldung von heute) zusammen. Auf dem heise Server sind die Updates gegen das RPC-Leck fuer NT4 Server, 2000 (Professional und Server), XP (Home, Professional und 64-bit-Version) und 2003 Server (32- und 64-bit) vorraetig.

In einem Netzwerk erfolgt der Zugriff ueber Protokolle, unterschiedliche Dateisysteme spielen hier keine Rolle. Nur beim lokalen Zugriff (Stichwort Multibootsysteme) spielt es eine Rolle, welche Dateisysteme verwendet werden. Bei Deiner vorgestellten Loesung kann immer nur einer ins Netz. Ein Hub/Switch ermoeglicht allein keinen mehrfachen, gleichzeitigen Zugriff auf eine DSL-Leitung. Dazu brauchst Du einen Router bzw. einen Proxy.

@karsten_p: Welchen Sicherheitspatch meinst Du? Es gibt nicht nur einen. @Kampfkater: Kennst Du karsten_p oder woher weisst Du, dass er den gegen das RPC-Leck sucht?

Er sollte alle nicht benoetigten Ports schliessen. Laufen auf den Ports 135, 139, 427, 515 und 1038 zwingend benoetigte Dienste?

Wende Dich an den Provider. Und zwar mit den Eintraegen aus dem Gaestebuch, der verwendeten IP-Adresse und der Uhrzeit, wann das geschehen ist. Die andere Moeglichkeit ist eine Anzeige zu erstatten, der Grund haengt von den geposteten Eintraegen ab. Was anderes gibt es nicht. Ende der Diskussion. ~~~closed~~~

@Fogo123: Bitte liefere zu Deiner Aussage eine serioese Quelle (per PN/Email). So wie es im Moment dasteht ist fuer mich eine Ente. ~~~closed~~~

@Sassa: Wir koennen leider Dein Thema nicht einordnen. Beide Threads sind bis zur Klaerung, was Key Scripte sein sollen, erst mal zu. Wer den entscheidenden Hinweis geben kann, was Key Scripte sein sollen, der melde sich bei mir oder bei Wolle per PN/Email. ~~~closed~~~

Beides sind Personal Firewalls. Da gibt es auch kostenlose Alternativen, die einen aehnlichen Funktionsumfang aufweisen: Kerio: http://www.kerio.com/us/kpf_download.html Outpost: http://www.agnitum.com/download/outpostfree.html Allgemein laesst sich Deine Frage nicht beantworten. Wieviele Rechner mit welchen Betriebssystemen sollen vor welchen Gefahren/Problemen geschuetzt werden? Eine Bitte an alle anderen: Ich moechte hier nur konstruktive Beitraege sehen, keine abschweifenden Diskussionen ob eine bestimmte Firewallart besser oder schlechter ist. Denn erst mit den gestellten Anforderungen laesst sich feststellen, welche Firewallart hier eingesetzt werden kann.

Auch nach der Entfernung von W32.Blaster besteht das oben genannte Problem. ~~~thread opened~~~

Das ist ein Seiteneffekt vom W32.Blaster-Wurm. Weiter gehts im von EvilNick verlinkten Thread. ~~~closed~~~

Alle Telefonanschluesse in Deutschland unterstuetzen Tonwahl, Impulswahl ist veraltet. @Pacc: Welches Betriebssystem ist jetzt drauf? Welche T-Onlineversion wird verwendet?

msblast ist der z.Z. kursierende RPC-Wurm. Loesungen: MS-Bulletin lesen und den dort angebotenen Patch einspielen: http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm sowie die Ports 135, 137-139, 445, 593 nach draussen sperren. Wenn zum msblast weitere Fragen sind, hier ranhaengen: siehe http://fachinformatiker-world.de/forums/showthread.php?s=&threadid=51038 Falls Dein Problem nach der Beseitigung von msblast noch besteht, einfach per PN/Email melden. ~~~closed~~~

Um welches Windowssystem handelt es sich hier? Hast Du schon versucht, die Nutzerrechte der administrativen Freigabe zu veraendern, so dass nur Administratoren der Zugriff erlaubt ist?

Wie heissen die betreffenden Profildateien, ntuser.dat oder ntuser.man? Wenn diese ntuser.man heisst, dann kann das Profil vom User nicht veraendert werden.