Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Ilfak - Patch 1.3

Geschrieben von: Domino 01.01.2006, 22:12

In diesem Thread bitte ich um Erfahrungen mit dem Ilfak-Patch.

http://www.hexblog.com/2005/12/wmf_vuln.html

Domino

Geschrieben von: Domino 02.01.2006, 13:29

Ich teste den momentan auf W2k SP4.

Keinerlei Probleme bisher.

Domino

Geschrieben von: christian4u2 02.01.2006, 14:58

Funktioiniert auch bei mir gut. (WINXP SP2 mit allen (alten) Patches)
Nach installation bestehe ich auch den schon im anderen thread geposteten Test:

http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html

Geschrieben von: Jens1962 02.01.2006, 15:19

ohne Patch:

QUOTE

Kategorie: Intrusion Prevention
Datum,Benutzer,Meldung,Details
02.01.2006 15:13:17,Supervisor,Unberechtigter Zugriffsversuch erkannt und blockiert. Die Kommunikation mit www.hexblog.com(72.41.101.136) wird für 30 Minuten blockiert.,Unberechtigter Zugriffsversuch erkannt und blockiert. Die Kommunikation mit www.hexblog.com(72.41.101.136) wird für 30 Minuten blockiert.
02.01.2006 15:13:17,Supervisor,Zugriffsversuch: HTTP MS Windows WMF Code Exec.,"Zugriffsversuch: HTTP MS Windows WMF Code Exec. Angreifer: www.hexblog.com(72.41.101.136)(http(80)). Risikostufe: Hoch. Protokoll: TCP. Angegriffene IP: localhost. Angegr. Port: 1325."

Ich mach dann in 'ner halben Stunde mal weiter.

edit: Wie soll man einen Patch ausprobieren, wenn man überhaupt keinen Zugriff bekommt?

Geschrieben von: christian4u2 02.01.2006, 15:58

Also bei mir mit Firefox kommt beim starten der .exe erst dieses Bild:

http://www.hexblog.com/security/pix/wmf_welcome.gif

und dann beim bestätigen mit der OK-taste das folgende:

http://www.hexblog.com/security/pix/wmf_ok.gif

Und ohne Patch war es noch dieses:

http://www.hexblog.com/security/pix/wmf_bad.gif

(Vorher mußte ich allerdings die proaktiv-warnung von KAV bestätigen )

Geschrieben von: vorkoster 03.01.2006, 07:48

Die neue http://www.hexblog.com/2006/01/silent_wmf_hotfix_installer.html#more verwendet ja Schalter und kann so einfacher im Netzwerk verteilt werden

(z.B. mit "wmffix_hexblog14.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART")

Kennt jemand einen Schalter zur Deinstallation bei Bedarf (wenn ein Microsoft-Patch verfügbar ist)? Bisher konnte ich keinen finden.

Geschrieben von: Homb 03.01.2006, 13:53

Deinstallationsmöglichkeit wird über Systemsteuerung\Software unter Windows WMF ... Hotfix 1.4 angezeigt.

Geschrieben von: 2cool 03.01.2006, 14:30

QUOTE(Jens1962 @ 02.01.2006, 15:18)

.....Ich mach dann in 'ner halben Stunde mal weiter.....[right][snapback]125793[/snapback][/right]

Würde mich ja nerven, wenn ich nicht mehr selbst über meinen Rechner bestimmen kann.

QUOTE(Joke)

[...]
Die Kommunikation mit dem Internet wird für 30 Minuten blockiert.
[...]

*SCNR*

Hatte bisher keine Probleme mit dem Patch

Geschrieben von: bond7 03.01.2006, 14:37

QUOTE

Würde mich ja nerven, wenn ich nicht mehr selbst über meinen Rechner bestimmen kann.

dann würde es zeit werden sich etwas intensiver mit den settings zu beschäftigen

unter IDS kann man bereits gesperrte IPs wieder unlocken bzw. denen gleich eine security-richtlinie zuteilen.

Geschrieben von: 2cool 03.01.2006, 15:33

@Bond7:
Nur damit ich es nicht falsch augefasst habe:
Die Meldung mit der 30 Min. Sperre ist von NIS?

Wenn bei mir IPs oder Domains geblockt werden, dann von mir selbst.
Wobei ich den Sinn einer solchen Sperre in diesem Fall (wmf-exploit) bezweifele.....

Geschrieben von: bond7 03.01.2006, 18:00

denke die sache einfach mal weiter, was willstn du auf einer mit gefährlicher malware gespickten webseite ? sicher wollen manche mit gewalt auf diese seiten aber für den durchschnittsuser ist es zum schutz besser ihm den zugang zu verwehren zumal wo einer ist können viele sein.
ausserdem ist es gerade für solche (JPEG-exploit , WMF-exploit u.a.) sachen besser der Virenschutz blockt das bis zu einer funktionierenden reparatur des herstellers (mikkisoft) erstmal ab um den user davor zu schützen.

Geschrieben von: Jens1962 03.01.2006, 19:10

QUOTE(2cool @ 03.01.2006, 14:29)

Würde mich ja nerven, wenn ich nicht mehr selbst über meinen Rechner bestimmen kann.[right][snapback]125968[/snapback][/right]

Reine Einstellungssache.

[attachmentid=1680]

Warum sollte ich wegen einer vermatschten Seite die Einstellungen ändern oder diese Domain/Seite auf die Ausschlußliste setzen?

Jens

Geschrieben von: Domino 03.01.2006, 19:17

Liebe Gemeinde,

in diesem Thread geht es um den Patch !

Wir haben auch ein Tagforum wenn euch langweilig ist.

Domino

Geschrieben von: Homb 03.01.2006, 23:49

Die HexBlog-Site scheint hoffnungslos überlastet zu sein. Den aktuellsten Patch 1.4 gibts auch hier: http://www.grc.com/sn/notes-020.htm.

Geschrieben von: vorkoster 04.01.2006, 06:25

QUOTE(Homb @ 03.01.2006, 14:52)

Deinstallationsmöglichkeit wird über Systemsteuerung\Software unter Windows WMF ... Hotfix 1.4 angezeigt.
[right][snapback]125967[/snapback][/right]

Das ist richtig. Da ich aber den Patch automatisiert verteilen möchte, suche ich eine Möglichkeit, um ihn ggf. auf dem gleichen Weg wieder zu entfernen (d.h. ohne Interaktion des Benutzers).

Geschrieben von: vorkoster 04.01.2006, 10:47

QUOTE(vorkoster @ 04.01.2006, 06:24)

Das ist richtig. Da ich aber den Patch automatisiert verteilen möchte, suche ich eine Möglichkeit, um ihn ggf. auf dem gleichen Weg wieder zu entfernen (d.h. ohne Interaktion des Benutzers).
[right][snapback]126092[/snapback][/right]

Jetzt habe ich die Lösung. In der Registrierung ist ein Uninstall-String zu finden, mit dem es geht:

"C:\Programme\WindowsMetafileFix\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES"

- natürlich erst, wenn eine brauchbare Sicherheitsaktualisierung von Microsoft vorliegt

http://castlecops.com/f212-hexblog.html

http://216.227.222.95/ - mittlerweile auch mit MSI-Version des Patches

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)