Warnung v. Sygate Firewall

Hallo Leute, seit Gestern öffnet sich bei meiner Firewall (Sygate 5.1) unten aus dem Tray-Icon ein Hinweis- Warnfenster mit der Meldung:

F30002 DCE/RPC DCOM buffer overflow exploit attempt detected

Das Sicherheitsprotokoll der Firewall ist schon randvoll mit Einträgen, alle entweder kritisch oder hoch.
Wenn ich eine Rückverfolgung starte ist die Adresse meistens:

Results:
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.128.0.0 - 80.146.159.255
netname: DTAG-DIAL16
descr: Deutsche Telekom AG
country: DE
admin-c: DTIP
tech-c: DTST
status: ASSIGNED PA
remarks: ************************************************************
remarks: * ABUSE CONTACT: [email protected] IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************************
mnt-by: DTAG-NIC
changed: [email protected] 20010807
changed: [email protected] 20030211
source: RIPE

route: 80.128.0.0/11
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
mnt-by: DTAG-RR
changed: [email protected] 20010807
source: RIPE

person: DTAG Global IP-Addressing
address: Deutsche Telekom AG
address: D-90449 Nuernberg
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: [email protected]
nic-hdl: DTIP
mnt-by: DTAG-NIC
changed: [email protected] 20030210
source: RIPE

person: Security Team
address: Deutsche Telekom AG
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: [email protected]
nic-hdl: DTST
mnt-by: DTAG-NIC
changed: [email protected] 20030210
source: RIPE



Results brought to you by the GeekTools WHOIS Proxy
Server results may be copyrighted and are used with permission.
Your host (80.145.19.253) has visited 7 times today.

Hat jemand eine Ahnung woran das liegen kann?

Na, wird wohl am Wurm liegen. Der verursacht doch einen Buffer-Overflow in der RPC Schnittstelle von Windows.

Ist aber eingehend, nicht ausgehend. Den Wurm habe ich auch nicht auf meinem Rechner, der ist clean.

Natürlich eingehend, der kommt doch über selbigen Port, der dafür zuständig ist, auf den Rechner. Das war ja das neue an diesem Virus, dass du keinen Download oder ein Attachment brauchst, um ihn dir einzufangen.

Es geht ja auch nicht darum, ob du ihn auf dem Rechner hast, oder nicht. Er möchte gerne über diesen Port auf deinen Rechner.

Das glaube ich dem Wurm gerne, er versucht es ja alle 1-10 Min. Da soll mir mal einer sagen dass eine Desktop-Firewall nutzlos ist.
Die Patches von MS habe ich drauf und die betroffenen Ports sind auch dicht, sollte mich dann also nicht weiter stören, meinst Du? (mal abgesehen davon, dass das hier die reinste Dauerbefeuerung ist, im 1-10 Minutentakt)

Na ja - ich hab keine Firewall mehr - und bei mir ist/kommt der Wurm auch nicht drauf..........
Neben rechtzeitig installiertem Patch hab ich den Internetzugang mit FritzwebDSL - da muss man Ports erst freischalten für bestimmte Sachen.......was man mit der XP-Firewall auch machen könnte.

cappoodoo schrieb:

Das glaube ich dem Wurm gerne, er versucht es ja alle 1-10 Min. Da soll mir mal einer sagen dass eine Desktop-Firewall nutzlos ist.
Die Patches von MS habe ich drauf und die betroffenen Ports sind auch dicht, sollte mich dann also nicht weiter stören, meinst Du? (mal abgesehen davon, dass das hier die reinste Dauerbefeuerung ist, im 1-10 Minutentakt)

Zum Vergrößern anklicken....

Jup, ich würde mich daran nicht weiter stören. Meine Firewall hat in den letzten Tagen auch richtig Gas gegeben. Aber den Wurm hatte und habe ich mir bis jetzt noch nicht gefangen.

Klar, ich möchte die FW ja auch nicht in den Himmel heben, die Betroffenen Ports hatte ich vorher schon zu, geht auch ohne FW, aber hilfreich ist sie allemal - zumindest sehr mitteilsam

Saaaagt mal: Ich bin nicht der große EDV-Crack, deshalb meine Frage: Ich habe mir die Probeversion von Agnitum-Firewall vor 5 Tagen (aus aktuellem Grund - ich war verwurmt!) bestellt und auch die Vollversion.
Wenn ich in den Firewall-Log-Viewer schaue, sehe ich jede Menge blockierte Ereignisse, z.B.blockierte NetBIOS Traffic.
Sind das blockierte Angriffe eines Wurms????
Das wäre ja wiiiiiiederlich!
Anne

Jup, das könnte daher rühren, der Wurm greift auf diesen Ports an.