Halle,
03.06.04 (ergänzt 04.06.04)
Guten Tag,
in den Medien wird über den Internet-Wurm "W32.Korgo.F" berichtet.
Zu Ihrer Information habe ich ein paar Eckdaten zusammengestellt:
(Synonyme für den Wurm: "W32.Korgo.F", "Worm/Padobot.F", "Worm.Win32.Padobot.e", "W32/Korgo.worm.g", "WORM_KORGO.F")
- W32.Korgo ist ein Internetwurm, der sich über eine nicht
geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000
verbreitet.
- Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke
werden infiziert, allein wenn Sie Verbindung zum Internet haben.
- Bei der Infektion (oder dem Infektionsversuch) eines Systems kann es zu
einer Fehlermeldungen mit anschließendem automatischen Neustart
des Systems kommen. Außerdem deutet ungewollte Internetaktivität des Computers
u.U. auf den Befall mit Schadenssoftware hin.
- betroffen:
Windows XP, Windows 2000
nicht
betroffen: Windows 98/Me/NT
- Entscheidend ist es, die angegriffene Schwachstelle
mit dem Sicherheits-Update KB835732 (s.
Sicherheitsbulletin MS04-011) zu schließen. Da dies die
gleiche Schwachstelle ist, die schon der Wurm "Sasser" vor einigen Wochen
benutzte, sollten sicherheitsbewußte Anwender diese Lücke inzwischen längst
geschlossen haben.
(s. auch meine News-Meldung
vom 03.05.04: MicrosoftSecurity Bulletin MS04-011 )
- Zur Feststellung und zur Bereinigung des evtl. bereits eingedrungenen
Wurms haben die führenden Hersteller von Sicherheitssoftware Ihre
Virenschutzprogramme aktualisiert oder
Interims-Tools bereitgestellt (oder werden das in Kürze fertiggestellt
haben).
- Computer die via Lokales Netzwerk über einen Router mit
Firewall-Funktionalität oder durch eine Dektop-Firewall ins
Internetverbunden werden, sind (geeignete Einstellung der Firewall
vorausgesetzt) gut geschützt.
(Der Wurm verbindet sich über den TCP Port
445 zu anderen Systemen und hört folgende TCP Ports ab: 113, 3067, und
andere zufällige Ports)
- Sollten Sie unsicher sein oder gar schon Opfer geworden sein, wenden Sie
sich an mich.
- In meinem letzten Rundschreiben hatte ich Ihnen empfohlen, mal einen
Sicherheitstest mit Ihrem PC zu absolvieren:
Dieser online-Test prüft auf sog. "offene Ports", die Zugang zu Ihrem PC
vom Internet aus ermöglichen könnten.
Das Ergebnis könnte z.B.
so
aussehen.
Im günstigsten Falle, wenn alle Ports als "BLOCKED" diagnostiziert
wurden, haben Sie bereits ein hohes Maß an Sicherheit gegen Zugriffe von
Außen.
Der Port: ICMP 8
ICMP |
8 |
OPEN |
An ICMP ping request is usually used to
test Internet access. However, an attacker can use it to determine if
your computer is available and what OS you are running. This gives him
valuable information when he is determining what type of attack to use
against you. |
ist auch "OFFEN" relativ
ungefährlich.
Mit freundlichen Grüßen
Horst Dieter Göllnitz - Ihr PC-Notarzt