Wie verbreitet sich der Wurm, durch welches Loch kommt er rein?

http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html

Port 135 und 445

P.S.
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
Die orig. Version des eigentlich "guten" Wurms, da er den RPC Patch runterlädt und Blaster entfernt.

Ich war vorhin erschrocken, als ich gerade ein frisch aufgesetztes XP SP1 zwecks Windowsupdate ans Netz hing und das Ding Blastersymptome zeigte (60s etc). Dann fand free-av "Nachi B.1" in der svchost.exe, die ja integraler Bestandteil von Win XP ist. Tjo, toll sowas. /:

Original geschrieben von Sephirot
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html

Port 135 und 445

P.S.
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
Die orig. Version des eigentlich "guten" Wurms, da er den RPC Patch runterlädt und Blaster entfernt.
Mit aktivierter Firewall ist das auch kein Problem, aber manchmal muss ich mir DMZ-Access geben. ... Ich habe jetzt mal den "Q810833_WXP_SP2_x86_DEU.exe" drauf gemacht. Ich hoffe das reicht.

Original geschrieben von BadFred
Ich war vorhin erschrocken, als ich gerade ein frisch aufgesetztes XP SP1 zwecks Windowsupdate ans Netz hing und das Ding Blastersymptome zeigte (60s etc). Dann fand free-av "Nachi B.1" in der svchost.exe, die ja integraler Bestandteil von Win XP ist. Tjo, toll sowas. /:
Bei mir bohrt der sich immer drauf, wenn ich meine Firewall ausmachen muss.

http://www.microsoft.com/downloads/details.aspx?FamilyId=A3B109D3-6F0E-4B1C-A723-976566FC1B53&displaylang=de
http://support.microsoft.com/default.aspx?scid=kb;de;810833
Probier die Patches mal aus.

http://support.microsoft.com/default.aspx?scid=kb;de;823980
Den hast Du ja bestimmt schon drauf.

http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.welchia.worm.removal.tool.html
Und unbedingt die automatische Systemwiederherstellung deaktivieren. ... Frisst sowieso nur Speicherplatz. ;)

Hajo, inzwischen ist alles i.O.
Ohne irgendeine Absicherung sollte man den IE wohl für keine Sekunde ans Netz lassen ... grausam sowas.

/edit: Alles Patches sind jetzt drauf. ;)

/edit2: Die Wiederhrstllg. ist eh mit das Erste, das ich deaktiviere. ;)

Also bei mir meldet sich der Wurm immer wieder von neuem. :kratz:... Man muss XP doch auch ohne Firewall dichtmachen können. :???:

Hm, ich hab ihn auch nur durch eine Neuinstallation (e^(aufreg)) wegbekommen. Eben wegen der verseuchten svchost.exe. :/

Original geschrieben von BadFred
Hm, ich hab ihn auch nur durch eine Neuinstallation (e^(aufreg)) wegbekommen. Eben wegen der verseuchten svchost.exe. :/
Ich kann ihn laut Virenscanner vollständig von der Platte entfernen, aber nach ca. 1h macht der Virenscanner wieder alarm. :motz:

Ich mach gleich meine Firewall wieder zu, dann ist Ruhe. ... Trotzdem würde ich gerne wissen wie ich WinXP dicht bekomme.

mmm...

Mit der "internen Firewall", zumindest temporär, ansonsten müsste man die Dienste durchgehen, welche alle weg können ...

Wie würdet Ihr den am besten ein frisches XP so installieren, das es bei ersten Gang zu "www.windowsupdate.com" nicht sofort von Würmern befallen wird?

Ich habe schon das SP1 in die XP CD integriert.

Gruß
Mark

Original geschrieben von Mark3Dfx
Wie würdet Ihr den am besten ein frisches XP so installieren, das es bei ersten Gang zu "www.windowsupdate.com" nicht sofort von Würmern befallen wird?

Ich habe schon das SP1 in die XP CD integriert.

Gruß
Mark

Hallo,

ich halte mich jetzt hieran:

1.: SP1 installieren (hast Du ja schon)
2.: ein "Post-SP1-Updatepack" installieren (bspw. dieses) (http://winfuture.de/downloadstart,1077960074,750.html), damit sind schon viele Updates integriert
3.: sicherheitshalber eine Firewall aktivieren, was gut gegen diese Blaster-"Klone" wirkt (sonst kann man sich über die Sinnhaftigkeit streiten)
(4.: Antivrensoftware installieren)
4.: online gehen zu windowsupdate.com und den Rest installieren

Es gab' doch für XP dieses Security roll-back package, das angeblich alle wichtigen Sicherheistlücken schloss, so dass man dann die restlichen patches runterladen kann, war so 9 MB groß...hab's noch auf der Platte, heißt:

WindowsXP-KB826939-x86-DEU.exe

Wenn man den drüberlaufen lässt sollte man so sicher sein, dass man den Rest saugen kann.

Zweite Alternative: Hardwarerouter vorsetzen.

Drittens: kenn' mich mit XP jetzt nit so aus, aber die eigene FW von XP ist vollkommen unzureichend?

Original geschrieben von BadFred
2.: ein "Post-SP1-Updatepack" installieren (bspw. dieses) (http://winfuture.de/downloadstart,1077960074,750.html), damit sind schon viele Updates integriert

Nach dem Winfuture-Update habe ich keine Probleme mehr. Der Wurm kommt nicht mehr rein.

Ich kanne das Post-SP1 Update zwar, aber hatte kein Bock es zu installieren, weil es so endlos lange dauert.

Welches Update brauch ich genau? Da ich nur 56K Anschluss habe, kann ich mir das Packet ned runterladen!

hi
wo genau finde ich das tool mit den 9 mb ???

bitte genauen link angeben für die microsoftseite
habe bei suchen dieses tool / update NICHT gefunden ..

mmm...

@Gast
Hier (http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=de) ?

@chrissi_highlaender
Die interne Firewall von XP ist bis SP 1 im Prinzip nur ein billiger Paketfilter. Sie kann zwar Sachen blocken (sie antwortet auf bestimmte Ports einfach nicht, bzw. verwirft alle Anfragen auf einen Port einfach, dadurch kann Blaster nicht eindringen, weil auf dem Port alles automatisch verworfen wird, dazu muss aber erstmal die Firewall eingeschaltet sein), aber sie kann wahrscheinlich (hab es nie getestet, weil ich davon keine grosse Ahnung habe) keine Hack- Angriffe erkennen (Anfragen auf offene Ports werden einfach durchgelassen, mit SP 2 soll eine richtige Firewall dabei sein, weiss aber nicht mehr, von welcher Firma die dann ist) ...