Netzwerk Forum

[Poppe]

News aus dem Tecchannel:


Das dänische Security-Unternehmen Secunia hat festgestellt, dass bereits ein Exploit für die nach wie vor bestehende Lücke kursiert. Eine Analyse zeigt, dass der Exploit ein Programm namens "ADPlus module" oder "SurferBar" installiert, das sich als Leiste in den Internet Explorer einklinkt und Links auf diverse Porno-Sites enthält.


Dieser Exploit tritt laut Secunia folgendermaßen auf:

Der Benutzer erhält eine E-Mail, welche die "OBJECT DATA"-Sicherheitslücke ausnutzt.

Die Ressource "a.cgi" wird automatisch bei einem Webserver (IP-Adresse 63.246.130.201) angefordert und installiert die Datei "drg.exe" in "C:\".

Das Programm wird ausgeführt und speichert die vom Webserver heruntergeladene Ressource "surferbar.dll" als "win32.dll" (Originalname "adplus.dll") unter "C:\Program Files\".

Das Programm "win32.dll" wird von "regsvr32" ausgeführt und fügt dem Internet Explorer die erwähnte Porno-Leiste hinzu.


Um sich vor solchen oder ähnlichen Angriffen zu schützen, kann man derzeit nur in den Sicherheitseinstellungen des Internet Explorer das Active Scripting komplett deaktivieren, bis ein Patch zur Beseitigung der Sicherheitslücke vorliegt.


Der Entdecker der Sicherheitslücke, http-equiv, merkt übrigens im Posting zu dem Thema an, er habe Microsoft schon vor einiger Zeit auf die immer noch vorhandene Schwachstelle aufmerksam gemacht, jedoch zu seiner Überraschung keinerlei Bestätigung erhalten.


Dabei handele es sich hier lediglich um einen Sonderfall einer prinzipiell bereits bekannten Schwachstelle. Daher sei völlig unverständlich, dass Microsoft den Fehler nicht von vornherein zusammen mit MS03-032 beseitigt habe. Ein solches "dramatisches Versehen" stelle die Kompetenz der bei Microsoft für den Fall Verantwortlichen ernsthaft in Frage.


Gruß Uwe

[barakuda]

[Poppe]

Hallo zunächst,

Die Sicherheitspatches von Microsoft nehmen nicht ab.
Installiere den folgenden:

http://www.microsoft.com/security/security_bulletins/ms03-032.asp

dann müsste es sich erledigt haben.

Gute Adresse hierzu:

www.symantec.com

Die Deinstallation vorher wird hier beschrieben (in englisch), solltest Du Probleme haben, einfach melden.

http://securityresponse.symantec.com/avcenter/venc/data/download.aduent.trojan.html

Gruß Uwe

[barakuda]

Hallo Uwe,

erstmal ganz herzlichen Dank für die überraschend schnelle Antwort.

Habe die Anleitung (in englisch) für suferbar-Entfernung gefunden.
Aber für jemanden, der gerade mal weiß, wie der Computer angeht und die Programme zu starten sind, sind die Eingriffe happig und wegen der englischen Sprache auch nicht ganz eindeutig.

Gibt es diese nicht in Deutsch und auch für PC-Idioten wie z.B. mich, auch mit Schritt für Schritt-Anleitung?

Da hier DRINGENDER Bedarf besteht, sieht man auch an den Diskussionen in anderen Foren, die aner wohl nicht so kompetent wie Ihr reagieren. Evtl. Könntet Ihr ja eine Anleitung auf Eurer Site veöffentlichen, auf die dann in den anderen Foren verlinkt wird. Das wäre super!

Aber nochmals ganz, ganz herzlichen Dank.

GLG Tommi

[Poppe]

Mache mich mal dran,

Gruß Uwe

[Poppe]

Brauche mal noch das Betriebssystem, also welches Windows verwendest Du?

[barakuda]

Hallo Uwe,

supiiiiiiiiiiiiiiiiiiiiiii !

Ich hab Win98, evtl. - für andere - die Unterscheide zu anderen BS aufzählen...oder?

GLG Tommi

[Poppe]

Hallo hat zwar ein Weilchen gedauert, jetzt haben fertig.

Zunächst muss die Systemwiederherstellung deaktiviert werden, aus folgenden Gründen:



Die Systemwiederherstellung, eine Funktion in Windows XP, ähnelt der Funktion "Letzte als funktionierend bekannte Konfiguration" in Windows NT und Windows 2000. Mit der Systemwiederherstellung können Sie den Computer in einem vorherigen Zustand wiederherstellen, wobei Sicherungskopien verwendet werden, die die Systemwiederherstellung von bestimmten System- und Programmdateien erstellt. Durch die Funktion "Letzte als funktionierend bekannte Konfiguration" wird die letzte, von Windows als funktionierend betrachtete Konfiguration auf dem Computer wiederhergestellt, wohingegen Sie bei der Systemwiederherstellungsfunktion eine aus mehreren vorherigen Konfigurationen auswählen können, mit der der Computer wiederhergestellt werden soll. Die Systemwiederherstellung verwendet also mehrere Wiederherstellungspunkte anstatt nur einen (den letzten) Wiederherstellungspunkt.

Dies ist zwar eine wünschenswerte Funktion, sie sollte jedoch in einigen Fällen vorübergehend deaktiviert werden. Wenn der Computer z. B. mit einem Virus infiziert ist, kann es sein, dass der Virus durch die Systemwiederherstellung gesichert wird. Windows verhindert standardmäßig, dass die Systemwiederherstellung von anderen Programmen verändert wird. Es ist daher möglich, dass Sie eine mit einem Virus infizierte Datei versehentlich wiederherstellen oder das die Onlineprüfung den Virus in diesem Bereich entdeckt.

So deaktivieren Sie die Systemwiederherstellung in Windows XP:

Hinweis: Bei diesen Anweisungen wird vorausgesetzt, dass Sie das standardmäßige Windows XP-Startmenü verwenden und nicht zum klassischen Startmenü gewechselt haben. Um wieder das Standardmenü zu aktivieren, klicken Sie mit der rechten Maustaste auf "Start" und anschließend auf "Eigenschaften". Klicken Sie auf die Registerkarte "Startmenü" und aktivieren Sie die Option "Startmenü" (nicht "Klassisch"), und klicken Sie auf "OK".

1. Klicken Sie auf "Start".
2. Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und dann auf "Eigenschaften".
3. Klicken Sie auf die Registerkarte "Systemwiederherstellung".
4. Aktivieren Sie das Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren" (siehe Abbildung).

5. Klicken Sie auf "Übernehmen". Sie werden in einer Meldung dazu aufgefordert, zu bestätigen, dass Sie dei Systemwiederherstellung wirklich deaktivieren möchten.
6. Wie in dieser Meldung angegeben, werden durch diesen Vorgang alle vorhandenen Wiederherstellungspunkte gelöscht. Klicken Sie auf "Ja", um diesen Vorgang durchzuführen.
7. Klicken Sie auf "OK".
8. Fahren Sie fort mit den Schritten, die Sie ursprünglich durchführen wollten, z. B. mit der Entfernung eines Virus. Starten Sie den Computer neu und befolgen Sie die Anweisungen im nächsten Abschnitt, um die Systemwiederherstellung wieder zu aktivieren.

So aktivieren Sie die Systemwiederherstellung in Windows XP:
1. Klicken Sie auf "Start".
2. Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und dann auf "Eigenschaften".
3. Klicken Sie auf die Registerkarte "Systemwiederherstellung".
4. Deaktivieren Sie das Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren".
5. Klicken Sie auf "Übernehmen" und anschließend auf "OK".

Die Systemwiederherstellung erstellt nun wieder regelmäßig Sicherungskopien von ausgewählten System- und Programmdateien.

Nun muss die Antivirensoftware auf den neuesten Stand gebracht werden. Weiss nicht welche Du hast. Danach den PC im abgesicherten Modus neu starten.
Jetzt einen kompletten Scan des Systems machen. Dabei sollte der Virus gefunden werden.
Diesen runter schmeissen und das System normal wieder hochfahren.

Dann den Sicherheitspatch von Microsoft installieren – fertig.

Hoffe das hilft soweit weiter, wenn Du noch Fragen speziell zu W98 hast, dann melden.

Ansonsten allen ein Viren freies Leben.

Gruß Uwe

[Poppe]

Und wieder aus dem Tecchannel:

Neuer IE-Exploit nutzt alte Lücken



Auf Bugtraq wurde ein sechsstufiger Exploit veröffentlicht, mit dem sich über den Internet Explorer Systeme kompromittieren lassen. Dieser Exploit hat eine erneute Diskussion um den Nutzwert von Microsofts "Trustworthy Computing" entfacht.

Über den in mehreren Phasen über diverse Schwachstellen erfolgenden Angriff lassen sich via Microsoft Internet Explorer beliebige Dateien auf das attackierte System laden und dort in der Lokalen Sicherheitszone ausführen. Dies funktioniert unter den MSIE-Versionen 5.01, 5.5 sowie 6 und auch dann, wenn alle Patches eingespielt wurden.

Neben einigen bislang unbekannten Sicherheitslücken nutzt der Exploit auch seit längerem bekannte, jedoch von Microsoft nie behobene Schwachstellen. Die älteste davon ist über zwei Jahre alt. Entsprechend empört zeigen sich einige der Postings über die Laxheit von Microsoft im Umgang mit Sicherheitslücken. "Microsoft scheint Sicherheitsprobleme zu ignorieren, bis ihnen jemand öffentlich Feuer unter dem Hintern macht", fasst einer der Kritiker die entsprechenden Meinungen prägnant zusammen.


Allerdings musste der Autor des Exploits, Liu Die Yu, auch selbst einige Prügel einstecken. Ihm wurde - unter anderem von dem bekannten PivX-Sicherheitsexperten Thor Larholm - vorgeworfen, mit dem Exploit Script-Kiddies und Virenschreibern einen idealen Angriffsvektor an die Hand gegeben zu haben. "Da muss der Virenautor nur noch den Namen des EXE-Files austauschen", ärgert sich Larholm in seinem Posting.

Dementsprechend könnte es durchaus rentieren, einem alten, aber auch diesmal zur Abwehr entsprechender Attacken gültigen Rat zu befolgen: Deaktivieren Sie zur Vermeidung von Angriffen via IE das Active Scripting zunächst komplett. Lassen Sie es anschließend gezielt nur für einzelne Sites wieder zu, die vertrauenswürdig sind und für die Sie ein Scripting auch tatsächlich benötigen. (jlu)

Soviel dazu,

beste Grüße aus Thüringen

Uwe