Discussion:
Sind Würmer eine deutsche Angelegenheit?
(zu alt für eine Antwort)
Simone Schultze
2004-05-19 02:34:53 UTC
Permalink
Zur Zeit sind die beiden Würmer "Bobax" und "KibuvB" unterwegs, was sich
durch vermehrte Anfragen auf Port 5000 bemerkbar macht (zeitweise im
Minutentakt).

Mit ist aufgefallen, daß alle Anfragen aus dem Bereich 217.81.XX.XX
kommen, also aus dem Bereich der dt. Telekom (bitte die Ungenauigkeit zu
entschuldigen).

Ist das ein rein deutsches Problem, oder haben die User in den anderen
Ländern brav alle Patches eingespielt?

Irgendwie kommt mir das seltsam vor.

Hat noch jemand diese Beobachtung gemacht?
Florian Weimer
2004-05-19 06:25:23 UTC
Permalink
Post by Simone Schultze
Mit ist aufgefallen, daß alle Anfragen aus dem Bereich 217.81.XX.XX
kommen, also aus dem Bereich der dt. Telekom (bitte die Ungenauigkeit
zu entschuldigen).
Bist Du selbst Kunde dort?
--
Current mail filters: many dial-up/DSL/cable modem hosts, and the
following domains: bigpond.com, di-ve.com, hotmail.com, jumpy.it,
libero.it, netscape.net, postino.it, simplesnet.pt, spymac.com,
tatanova.com, tiscali.co.uk, tiscali.cz, tiscali.it, voila.fr, yahoo.com.
Chris Bintz
2004-05-19 06:53:17 UTC
Permalink
Post by Simone Schultze
Zur Zeit sind die beiden Würmer "Bobax" und "KibuvB" unterwegs, was sich
durch vermehrte Anfragen auf Port 5000 bemerkbar macht (zeitweise im
Minutentakt).
Mit ist aufgefallen, daß alle Anfragen aus dem Bereich 217.81.XX.XX
kommen, also aus dem Bereich der dt. Telekom (bitte die Ungenauigkeit zu
entschuldigen).
Die scheinen sich hauptsächlich in ihrer eigenen IP-Nähe zu bewegen. Ich
habe gerade die 217.82.xx.xx und habe aus demselben Bereich innerhalb
von nicht mal 2 sec 15 Versuche, davon einer auf Port 5000 und 14 auf
135/445 bekommen. Unso geht es weiter, alles von 217.82.xx.xx. Früher
kamen die Versuche aus der ganzen Welt.
Aber ich denke das liegt am Wurm welches Netz er versucht. So gehts
schneller :-(
--
Chris
www.citosoft.com
Ludwig Boeckel
2004-05-19 17:57:49 UTC
Permalink
Post by Chris Bintz
[Würmer "Bobax" und "KibuvB"]
Mit ist aufgefallen, daß alle Anfragen aus dem Bereich 217.81.XX.XX
kommen, also aus dem Bereich der dt. Telekom
Die scheinen sich hauptsächlich in ihrer eigenen IP-Nähe zu bewegen.
[...]
Aber ich denke das liegt am Wurm welches Netz er versucht.
So gehts schneller :-(
Das zielt wohl eher auf eine Verbreitung im LAN, also oft
hinter dem Firewall.
(Eindringen per Mail, lokale Verbreitung per Direktangriff?)

Lud'good quotemarder'wig

PS. x'post, f'up-to de.comp.security.misc
PPS. Umlaute im Subjekt sind Böse(tm).
Peter Blancke
2004-05-20 06:23:29 UTC
Permalink
Post by Chris Bintz
[Würmer "Bobax" und "KibuvB"]
Mit ist aufgefallen, daß alle Anfragen aus dem Bereich
217.81.XX.XX kommen, also aus dem Bereich der dt. Telekom
Die scheinen sich hauptsächlich in ihrer eigenen IP-Nähe zu
bewegen.
Das zielt wohl eher auf eine Verbreitung im LAN, also oft hinter
dem Firewall.
Wohl eher nicht. Mindestens meine lokalen Netze haben keinen
IP-Nummernkreis, der mit 217 beginnt.

Gruss

Peter Blancke
--
Hoc est enim verbum meum!
Ludwig Boeckel
2004-05-20 18:07:08 UTC
Permalink
Post by Peter Blancke
Post by Chris Bintz
Die scheinen sich hauptsächlich in ihrer eigenen IP-Nähe zu bewegen.
Das zielt wohl eher auf eine Verbreitung im LAN, also oft hinter
dem Firewall.
Wohl eher nicht. Mindestens meine lokalen Netze haben keinen
IP-Nummernkreis, der mit 217 beginnt.
Vielleicht solltest Du den ersten der zitierten Sätze nochmal lesen.

Egal welchen 'Nummernkreis' Du in Deinem LAN verwendest, dieser ist für
den Wurm die 'eigene IP-Nähe' im Moment der Ausführung. Oder meinst
Du, der Wurm hätte Schwierigkeiten, IP-Nr. und Netzmaske
seines Hosts zu ermitteln?

Ludwig

PS. Was gefällt Dir nicht an meinem Vorschlag,
in de.comp.security.misc weiterzudiskutieren?
Peter Blancke
2004-05-23 17:10:37 UTC
Permalink
Post by Ludwig Boeckel
Post by Peter Blancke
Post by Chris Bintz
Die scheinen sich hauptsächlich in ihrer eigenen IP-Nähe zu bewegen.
Das zielt wohl eher auf eine Verbreitung im LAN, also oft hinter
dem Firewall.
Wohl eher nicht. Mindestens meine lokalen Netze haben keinen
IP-Nummernkreis, der mit 217 beginnt.
Vielleicht solltest Du den ersten der zitierten Sätze nochmal
lesen.
Gerne.
Post by Ludwig Boeckel
Egal welchen 'Nummernkreis' Du in Deinem LAN verwendest,
kann ich Dir genau sagen: Es sind grundsaetzlich Nummernkreise, die
mit 192.168.0 beginnen.
Post by Ludwig Boeckel
Oder meinst Du, der Wurm hätte Schwierigkeiten, IP-Nr. und
Netzmaske seines Hosts zu ermitteln?
Meine Wuermer koennen die oeffentliche IP des Routers weder erahnen
noch abfragen.
Post by Ludwig Boeckel
PS. Was gefällt Dir nicht an meinem Vorschlag,
in de.comp.security.misc weiterzudiskutieren?
Ich bin dort weder subsribiert noch habe ich das augenblicklich in
naehere Erwaegung gezogen. Ich wuerde die Weiterentwicklung meiner
Argumentationsverwertung vermissen.

Gruss

Peter Blancke
--
Hoc est enim verbum meum!
Sven Boehnke
2004-06-12 19:01:41 UTC
Permalink
Man beachte das Würmer und deren Verwandten in den letzten 12 Monaten
mehrfach in Deutschland verfasst und verbreitet wurden, daher währe es
kein Wunder bei der Vielzahl der Kunden innerhalb der Telekom diese dort
auch zu finden.

Kleiner Nachtrag ein trost bleibt in Dänemark oder Holland hat jeder 2
Rechner XP drauf und eine Explorer,exe (grins), da schneiden wir im
Vergleich noch immer hin gut ab.

Gruß

Sven Böhnke
Post by Simone Schultze
Zur Zeit sind die beiden Würmer "Bobax" und "KibuvB" unterwegs, was sich
durch vermehrte Anfragen auf Port 5000 bemerkbar macht (zeitweise im
Minutentakt).
Mit ist aufgefallen, daß alle Anfragen aus dem Bereich 217.81.XX.XX
kommen, also aus dem Bereich der dt. Telekom (bitte die Ungenauigkeit zu
entschuldigen).
Ist das ein rein deutsches Problem, oder haben die User in den anderen
Ländern brav alle Patches eingespielt?
Irgendwie kommt mir das seltsam vor.
Hat noch jemand diese Beobachtung gemacht?
Loading...