Wenn man dem Smashing Magazin glauben darf, dann soll demnächst eine neue Version des Internet Explorers 8 mit der Versionsnummer 8.1 (Codename: Eagle Eyes) erscheinen. Allerdings scheint dies wohl ein Aprilscherz zu sein. Warten wir also ab.
Sicherheitsexperten warnen und befinden sich derzeit in Krisenstimmung, wenn es darum geht was der Conficker am 01. April 2009 anstellen könnte. Genaues wissen die Fachleute aus dem IT-Sicherheitsbereich nicht. Vermutet wird, dass der Conficker alias Downadup oder Kidokiller neuen Code aus dem Internet läd, diverse Domains dabei anspricht. Zudem haben sich an der UNI Bonn ein paar Deutsche Forscher (Felix Leder und Tillmann Werner) zusammengetan deren Ziel ist den Wurm zu bekämpfen. Dabei entwickelten Sie ein Programm, welches die Conficker Varianten .A, .B und .C einfacher und schneller erkennt und gezielt bekämpft. Per Memory Disinfector kann man den Arbeitsspeicher prüfen, ob einer der Wurmvarianten gerade gestartet ist. Aussehen tut es in der Kommandozeile so:
Conficker Memory Disinfector
----------------------------------
Felix Leder, Tillmann Werner 2009
{leder, werner}@cs.uni-bonn.de
----------------------------------
Examining [0] [System Process]: Error [87] OpenProcess: Falscher Parameter.
no match
Examining [4] System: no match
Examining [1516] smss.exe: no match
Examining [1712] csrss.exe: no match
Examining [1736] winlogon.exe: no match
Examining [1780] services.exe: no match
Examining [1792] lsass.exe: no match
Examining [1960] ati2evxx.exe: no match
Examining [1976] svchost.exe: no match
Examining [396] svchost.exe: no match
Examining [564] svchost.exe: no match
Examining [660] svchost.exe: no match
Examining [1036] spoolsv.exe: no match
Examining [1080] scardsvr.exe: no match
Examining [1412] schedul2.exe: no match
Examining [1424] AppleMobileDeviceService.exe: no match
Examining [1444] AVMIKE.EXE: no match
Examining [1468] avp.exe: Error [5] OpenProcess: Zugriff verweigert
no match
Examining [1480] mDNSResponder.exe: no match
Examining [1548] CERTSRV.EXE: no match
Examining [1592] cjpcsc.exe: no match
Examining [1756] cvpnd.exe: no match
Examining [508] LSSrvc.exe: no match
Examining [1112] mdm.exe: no match
Examining [1168] PGPserv.exe: no match
Examining [1336] svchost.exe: no match
Examining [2368] alg.exe: no match
Examining [2748] BatteryLife.exe: no match
Examining [3220] SynTPLpr.exe: no match
Examining [3228] SynTPEnh.exe: no match
Examining [3236] HControl.exe: no match
Examining [3244] TrueImageMonitor.exe: no match
Examining [3256] TimounterMonitor.exe: no match
Examining [3272] schedhlp.exe: no match
Examining [3300] avp.exe: Error [5] OpenProcess: Zugriff verweigert
no match
Examining [476] iTunesHelper.exe: no match
Examining [3344] ctfmon.exe: no match
Examining [3356] PGPtray.exe: no match
Examining [1836] iPodService.exe: no match
Examining [340] ATKOSD.exe: no match
Examining [3512] cmd.exe: no match
Zum anderen prüft dieses Programm die Registrierung nach einer Verseuchung und findet dabei auch deren Dateien auf dem lokalen System. Und dann gibt es noch ein weiteres Programm namens Nonficker Vaxination Tool, welches als Dienst zum Scan des Systems eingerichtet werden kann.
Heute Morgen ging es eher mir an den Kragen. Ich durfte mir eine Client im Netzwerk ansehen der angeblich mit einem Conficker-Wurm infiziert war! Kurzerhand mal die Windows Systemwiederherstellung deaktiviert, die Registrierung (Autoruns) nach Conficker durchsucht und diverse Tools wie:
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.0 Jan 29 2009 11:34:58
scanning threads ...
scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...
scanning C:\WINDOWS\System32 ...
completed
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0
Drücken Sie eine beliebige Taste . . .
- AhnLab
- ESET
- Kaspersky
- F-Secure Malware Removal Tool
- McAfee
- Microsoft Malicious Software Removal Tool
- Sophos
- Sunbelt Software
- Symantec FixDownadup.exe Notes
- TrendMicro
durchlaufen lassen. Großartig wurde nichts gefunden. Alle Clients, die ich betreue haben von Haus aus alle Microsoft Windows Updates und deren Sicherheitsupdates. Daran kann es also nicht liegen! Was nun? Ok, auf einem System, welches ich zum Test nutze, läuft der Virenscanner Kaspersky. Auch dieser hat alle Updates! Zwischenzeitlich habe ich dann mal folgendes Ergebnis mit dem Programm “conficker_mem_killer” erhalten:
Pattern for Conficker.A found
Injecting shellcode
MATCH at offset 0787DD00 of block 077B0000
Pattern for Conficker.B found
Injecting shellcode
MATCH at offset 0787DF20 of block 077B0000
Pattern for Conficker.C found
Injecting shellcode
match
Woran kann dies liegen? Wie kam denn der Fehler zustande? Im Hintergrund wurde der Dienst des Windows Defender deaktiviert. Huch? Die Date MsMpEng.exe wurde auf Grund eines unerwartenden Fehlers beendet. Anscheinend hat das Programm “conficker_mem_killer” die Signaturen von Conficker.A, Conficker.B und Conficker.C im Windows Defender gefunden. Mag komisch klingen ist aber wirklich so. Den Windows Defender habe ich kurzerhand deinstalliert. Ist bei Dir auch schon mal dieser Fehler aufgetreten?
Jung, verliebt, … gerade mit der liebsten Frau, der Welt zusammengekommen und dann soll das Glück so enden? Es kann aber noch anders kommen!
Macht nix – Ich selber verkehre eher weniger mit GMX-Emailadressen! Warum? Ganz einfach; ich habe dort keine Freunde, die eine GMX-Adresse im folgende Format haben.
*@gmx.de
*@gmx.net
Aufmerksam bin ich durch eine zurückkommende Email geworden. Den Empfänger gibt es und von dort empfange ich ab und an mal ein paar Emails. Daran kann es also nicht liegen.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<emailadresse@gmx.de>:
213.165.64.100 does not like recipient.
Remote host said: 550-5.7.1 {mx118} Sorry, your helo has been denied.
550 5.7.1 ( http://portal.gmx.net/serverrules ) Giving up on 213.165.64.100.
--- Below this line is a copy of the message.
Die Emailserver vom GMX verhindern mitunter, wenn der FQDN nicht vollständig ist. Bei meinem Beispiel war es so, dass nur ein Teil meines vollqualifizierten Host-/Domainnamens (FQDN = Fully Qualified Domain Name) in der Hostdatei stand.
Normaler FQDN: host.domain.tld
Mein FQDN: host
Um dieses Problem zu lösen, gibt es leider mehrere Wege! Ich selber nutze auf meinem Server openSuSE 10.3 mit Plesk 9.0.x. Da dieses System vor einer langen Zeit mal frisch aufgesetzt habe, wusste ich wo ich noch ein paar Einstellungen tätigen konnte, um das o. g. Problem beheben zu können. Dazu habe ich einfach in der Datei:
meinen vollqualifizierten Host-/Domainnamen eingetragen. Meinen Server habe ich einmal neu starten müssen und konnte nach ein paar Minuten wieder Emails an *@gmx.de oder *@gmx.net senden. Falls Fragen aufkommen sollten, einfach ein Kommentar hinterlassen.
Aufgrund einer Umstellung des Hostnames bin ich gezwungen alle Dienste auf dem Webserver neu zu starten. Diese Prozedur dauert ca. 5 Minuten.
Vielen Dank für euer Verständnis.
Angeblich der schnellste Server der Welt! Gefunden habe ich dies hier und ich bin fasziniert davon, wie fix das geht. Mehr sag ich hierzu aber nicht! Ach ja, leider wird zum Abspielen des Videos Microsoft Silverlight benötigt!
Dies ist mal kein IT-Thema, jedoch wichtig ist es dennoch, aber auf eine andere Art und Weise. Näher äußern will ich mich hierzu nicht. Gefunden habe ich dieses hier. Wie denkst Du darüber?
Jeder sollte seit heute Morgen um 2.00 Uhr jede Uhr im Haushalt auf eine Stunde später gestellt haben. Ich habe ja schon darüber berichtet. Wenn nicht, dann bist Du für dein Schicksal selber verantwortlich! Stell die Uhr um! Geht ja schnell.
Meinen Blog habe ich soweit Sommerfest machen können. Leider lässt sich die Zeit nicht automatisch im Wordpress Blog umstellen. Was das heißt? Du musst es von Hand machen! Dazu gehst Du wie im linken Bild zu sehen ist in dein Administrationsbereich und änderst die Einstellungen im “Allgemein”-Bereich. Dort findest Du ein Eintrag für die Zeitzone umzustellen. Für Deutschland gilt “UTC +2”. Stell dies ein und dein Wordpress Blog läuft mit der richtigen Zeit.
Das wars eigentlich schon. Mehr musst Du nicht machen!
Heute ist Earth Day 2009! Was das heißt? Strom sparen, beziehungsweise es wird darauf aufmerksam gemacht, dass man sich mit dem Thema besser beschäftigt und sensibilisiert wird. Die heutige Aktion (Bilder bei Flickr) wird von der UN und dem WWF initiiert und nennt sich Earth Hour 2009. Jeder Mensch auf dem Planeten Erde wird dazu angehalten wenigstens für eine Stunde alle Lichtquellen zu löschen. Für Deutschland gilt dies ab 20.30 Uhr!
Im Jahre 2007 (08.12.2007) gab es in Deutschland ebenfalls eine Strom-Spar-Aktion, wo man das Licht ausmachen sollte. Ich habe damals ebenfalls mitgemacht und werde heute den ganzen Tag kein Strom verbrauchen! Diesen Artikel verfasste ich am 27.03.2009 und schalte jetzt das Licht aus! Macht bei dieser Aktion mit und helft der Umwelt.
Auf Grund einer kritischen Lücke (Firefox Version 3.0 bis 3.0.7) hat das Mozilla Dev-Team eine neue Version des Fuchses herausgebracht. Per interner Updatesteuerung oder über den separaten Download über die Webseite kann man nun sein Firefox Browser auf die neue Version 3.0.8 aktualisieren. Zusätzlich kommen zur Veröffentlichung von Firefox 3.5 neue Firefox Logos heraus. Eine Vorabversion kann man hier sich schon ansehen!
