|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
Von Anonymer Feigling am Friday 22. August, 21:24 MES (#1)
|
|
|
|
|
Und wann gestehen die von MS endlich ein, das TCG (TCPA) bestimmt nicht solche Löcher stopfen kann oder sonstwie mehr technische Sicherheit bieten werde?
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 22. August, 23:01 MES (#6)
|
|
|
|
|
Sobald sie's selber gemerkt haben ;)
|
|
|
|
|
|
|
|
|
|
|
|
|
Der Bug ist nur exploitbar, wenn man mit IE eine HTML Page rendert (egal ob im browser, outlook oder newsgroups client).
Ein Wurm gibts dazu also sicher nicht.
Darauf bezieht sich wohl auch das "(You do not have to be using Internet Explorer as your Web browser to be affected by this issue.)" auf der Patch site von MS.
Mehr infos:
http://www.eeye.com/html/Research/Advisories/AD20030820.html
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 22. August, 21:47 MES (#3)
|
|
|
|
|
Mit einem HTML-Mail lässt sich damit ein "automatischer" Wurm erzeugen, der sich beim Lesen des Mails (und nicht beim Ausführes eines Attachements wie bei SoBig.F) im System einnistet und Mails versendet. Der Transport des Codes könnte ev. nicht ganz einfach sein.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Inzwischen wird das Internet doch immer unbrauchbarer:
- jeder Web-Server wird mehrmals stündlich von inzwischen uralten Würmern besucht, die versuchen, darauf zu kommen
- immernoch werden auf den Windows-Service-Ports (135 oder so) Anfragen von einem Virus gestellt, um sich zu verbreiten - vermutlich auch mehrmals stündlich
- ständig treffen Mails an mit pifs, scrs oder sonstigen netten Aufforderungen, diese doch mal ganz dumm zu starten
Und der Knaller ist, daß diese wohl auch nicht mehr verschwinden werden - irgendwo gibt es immer einen Server unter Windows, der die Viren schön brav weiter verteilen will und keiner scheint sich darum zu bemühen.
Ich hatte mal ein Script eingerichtet, das damals alle Code-Red-Angriffe erfasst und eine Mail an den Netzwerkadmin dort schreibt - Antworten kamen nie zurück und vermutlich gab es auch keine Updates.
Und jetzt die Mails - und scheinbar hat es da jemanden erwischt, der eine meiner dummdoof Adressen im Adressbuch hatte - entweder ein Privatmensch, ein Forumbetreiber, wo ich die angegeben habe oder gar einer dieser Online-Shots, wo ich die angegeben habe.
Diesemal hilft procmail mit einem einfachen Filter, die WWW-Anfragen halten sich in Grenzen und die Windows-Port-Angriffe bleiben am Router/Firewall hängen. Aber wenns so weitergeht, werden die klassischen und an häufigsten genutzten Internetdienste (http, mail) unbrauchbar.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich habe da ein par Counter am laufen:
code-red
nimda-counter
Sapphire Morgen gibt es noch einen msblaster Counter dazu. Mich nimmt es auch wunder wie das mit den ganzen Würmern weitergehen soll, ich denke da muss schnell eine Lösung her, nur leider habe ich keine schlaue Idee wie die aussehen soll :-( ich denke irgendwann kommt es zu einem Bandbreitenengpass wegen den ganzen nicht mehr verschwindenden Würmern.
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Saturday 23. August, 00:10 MES (#9)
|
|
|
|
|
Ich habe heute Nachmittag, nachdem meine GMX-Mailbox mehrmals vollgelaufen ist ein kleines Skript geschrieben, mit dem man möglicherweise in voreinstellbaren Intervallen (z.B. 60s) den Inhalt einer Textdatei als Fenster auf den Bildschirm der Virenschleudern zaubern kann (mit dem Windows Nachrichtendienst). Das ganze basiert auf smbclient. Positive Rückmeldungen, dass das ganze so funktioniert, wie gedacht, stehen leider noch aus.
Ich habe als Netbios-Namen den Helo-String in den Virenmails verwendet. Irgendwie müsste es auch ohne gehen (das tun ja die Spammer). Ich wäre jedenfalls dankbar für Erfahrungsberichte, ob das Skript was taugt. (Und ja, ich war zu faul, überall die richtigen HTML-Tags in dieses Posting einzuflicken.)
#!/usr/bin/perl
print "Usage: $0 <ip> <netbios-name> <filename> <interval>\n";
if (scalar(@ARGV) < 4) { die "Not enough arguments\n";}
$IP = $ARGV[0];
$NAME = $ARGV[1];
$FILE = $ARGV[2];
$INTERVAL = $ARGV[3];
while (1) {
system("cat $FILE|smbclient -I $IP -M $NAME");
print "Message sent\n";
if ($INTERVAL == 0) { exit;}
sleep $INTERVAL;
}
|
|
|
|
|
|
|
|
|
|
|
|
|
Den Netbiosnamen findet man zum Beispiel mit nmblookup -A $IP heraus. Für win2k muss man beim Aufruf von smbclient noch ein -p 139 (zumindest bei 2.999+3.0.alpha21-3 for Debian) hinzufügen.
co2
|
|
|
|
|
|
|
|
|
|
|
|
|
Das ist schön und gut, aber mein eMail-Script hat mit gezeigt, daß sich da keiner drum kümmert. Und wenn auf irgendeinem NT-Server eine solche Messagebox aufgeht bekommt das vermutlich auch keiner mit - und wenn doch wird es einfach weggeklickt, weil der typische NT-Admin wiedermal nix rafft und außerdem 20 Word-Support-Anfragen hat, die "natürlich" wichtiger sind.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
|
|
|
|
es gibt immer noch http über ssl und das ist eh besser als klartext :)
|
|
|
|
|
|
|
|
|
|
|
|
|
Was nützt mir ssl, wenn
(a) emails davon nix haben
und
(b) die Bandbreiten dermaßen mit solchen Viren-Anfragen überlastet werden, daß SSL gar nicht erst zum Ziel kommt?
Es ist auch nur eine Zeitfrage, bis ein Wurm SSL benutzt, denn damit kann man bei einem Dos oder DDos einen Rechner u.U. viel schneller platt machen, wenn er SSL nicht in Hardware codiert.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
|
|
|
|
Tja, daran wirst du dich einfach gewoehnen muessen.
Die einzige Loesung zu diesem Problem waere ein sauberes Abuse-Handling der ISPs, sprich das solchen Leuten nach einer Warnung und ner Woche Zeit der Vertrag fristlos gekuendet wird, und der Zugang abgeschaltet.
Leider will das kaum ein ISP, denn es gilt ja immer mehr das Motto 'hauptsache Geld'.
|
|
|
|
|
|
|
|
|
|
|
|
|
du bringst mich - wie so oft - wieder mal recht zum grinsen: natürlich wäre das eine schöne lösung...
bis darauf, dass dann die ISPs alle dichtmachen könnten und der internetzugang ein schweinegeld kosten würde, weil plötzlich nur noch wenig die voraussetzungen erfüllen würden...
...und v.a. müssten dazu alle ISPs da mitmachen... und davon wage ich nicht einmal zu träumen.
ihr seid alles kranke kinder --- www.zooomclan.org
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich bin gerne bereit, mehr Geld fuer ein Idiotenfreies Internet zu bezahlen.
Dass das aber Wunschdenken ist, ist mir durchaus klar :)
|
|
|
|
|
|
|
|
|
|
|
|
|
Da wär ich auch dabei. Gründen wir doch unser eigenes Netz, parallel zum Internet, wo nur Menschen mit funktionierendem Gehirn und einigermassen gepatchten Maschinen mitmachen dürfen. Zwei Hosts haben wir ja schon, fehlt nur noch die Infrastruktur :P
|
|
|
|
|
|
