Virenwarnung: SVCHOST-Probleme, RPC-Vulnerability

[Chief Wiggum]

Nachdem ich im Urlaub via ICQ und Telefon auch davon verfolgt werde, hier auch mal die Info:

Es gibt weitere Viren, die die RPC / DCOM-Lücke der Windows NT-Familie ausnutzen.

Im Gegensatz zu W32/Blaster / Loevesan bringt der Backdoor.RPC.IRCBor.C einen Trojaner mit, der es ermöglicht, auf den Datenbestand des lokalen Rechners zuzugreifen.

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.rpcbot.c.html

Erste Anzeichen sind unter W2K: SVCHOST-Dateien mit einem Datum aktueller als 1999. Zudem Svchost.ini und / oder *.bat, Probleme mit der Installation vom Servicepack und Fehlermeldungen, die die svchost betreffen.

Achtung, meine Beobachtung ITW: Norton Antivirus 2003 erkennt den Virus mit aktuellen Signaturen, kann ihn aber auf Win XP wegen Systemdateienschutz nicht entfernen. Systemwiederherstellung deaktivieren und alle verdächtigen svchost-Dateien per Hand löschen.

[npeecee]

die Symmantec-Site bezieht sich ja auf ein Security Bulletin von Mitte Juli. Kann ich davon ausgehen, dass, wenn ich mein System mit dem Patch behandelt hab das den Lovesan aussperrt, auch den Trojaner nicht am Hals hab?

Mittlerweile ist ja ein weiteres Security Bulletin herausgekommen (vom 10 September), das sich auf drei weitere Löcher in DCOM/RPC bezieht. Weis jemand, ob dazu bereits Exploits/Viren im Umlauf sind?

[Chief Wiggum]

Original geschrieben von npeecee

Weis jemand, ob dazu bereits Exploits/Viren im Umlauf sind?

Jau, scheinen weitere Viren, die auf die RPC-Schwäche von Windows aufsetzen, rausgekommen zu sein.

In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können. Er nutzt dabei eine in der vergangenen Woche gemeldete Sicherheitslücke im RPCSS-Dienst aus, um Administrationzugriff auf das System zu erhalten. Anschließend legt das Tool ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen.

http://www.heise.de/newsticker/data/dab-17.09.03-003/

[Chris1981]

weiss ja nicht ob das hier schon gesagt worden ist

aber was ist wenn ich den rpc-dienst deaktivieren beeinträchtigt diese änderung irgendwie das betriebssystem?

oder wird der dienst wieder aktiviert wenn ein virus die lücke ausnutzen will?

gibts nen port für den dienst?

[Chief Wiggum]

Beeinträchtigung des Systems?

Naja, unwesentlich...

Leliel hat das mal getestet:

http://forum.fachinformatiker.de/showthread.php?s=&threadid=51140

Ich würde es nicht nachmachen.

[Chris1981]

hört sich ja übel

naja dann kann man das wohl vergessen

sind denn mit dem microsoft patch alle vermeintlichen lücken vom rpc - dienst geschlossen worden?

oder kann man sich nicht sicher sein?

meiner erfahrung nach nicht, wird sicher wieder neue probleme damit geben

Das Du Windows nicht magst, kannst Du auch anders ausdruecken. Auch gibt es diverse Probleme mit Sicherheitsluecken und deren Patches nicht nur bei Windows.

Editiert, hades

[jomama]

Die Postings im Thread kann ich ganz und gar nicht bestätigen. Hab XP, den RPC Dienst deaktiviert und keine merklichen Veränderungen festgestellt. Ich war dann auch nicht vom Blaster betroffen.

Gut, im genannten Thread war es zwar W2k, aber hier ist ja von Windows allgemein die Rede.