WCM Forum - unerklärliche Fehöermeldung?

Name: W32.Blaster.Worm
Alias: W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]
Art: Wurm
Größe des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem: Windows NT/2000/XP/2003
nicht betroffen: Windows 95, 98 und Me
Art der Verbreitung: Netzwerk
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: unkontrollierter Rechnerabsturz
Rechnersuche über Port 135
DDoS-Angriff auf Microsoft-Server
Spezielle Entfernung: Tool
bekannt seit: 11. August 2003

Beschreibung:

W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk vorzugsweise über das Internet verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP und Windows 2003 Server-Systemen. Informationen zu dieser Schwäche finden Sie im deutschen Microsoft Security Bulletin MS03-026 . Hier gelangen Sie zum Download der Sicherheits-Patches für die unterschiedlichen Betriebssysteme.

Der W32.Blaster.Worm legt sich im Systemverzeichnis (Standard: C:\Windows\System32 bzw. C:\Winnt\System32) unter dem Namen MSBLAST.EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und ausgeführt.

Der Wurm verbreitet sich weiter und führt eine sog. DDoS-Attacke (Distributed Denial of Service) gegen einen Microsoft-Server (windowsupdate.com) durch ; dabei wird versucht, diesen Server mit so vielen Anfragen zu überfluten, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.

Auch Rechner von Privatanwendern sind gefährdet! Windows 95, Windows 98 und Windows Me sind von dem Wurm nicht betroffen!

Weitere Informationen zur Funktionsweise und Hinweise für Administratoren finden Sie auf folgender Seite des BSI.

Hinweise zur Entfernung des Wurms

Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen.

Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.

Unter Windows 2000 kann es zu anderen Fehlern, die den Zugriff auf das Internet verhindern kommen. Eine der dabei immer wiederkehrenden Fehlermeldungen lautet:

"Der Prozeß svchost.exe hat einen Fehler gemeldet".

Wie Sie diesen Fehler verhindern können, finden Sie in folgender Anleitung . Beachten Sie, dass durch das Verhindern des Fehlers die Sicherheitslücke noch nicht geschlossen ist und auch der Wurm sich noch eventuell auf Ihrem Rechner befindet. Führen Sie auf jeden Fall die nachfolgenden Schritte durch.

Vorgehensweise bei (möglichem) Befall:
Falls Ihr Betriebssystem Windows XP ist, müssen Sie vor den folgenden Punkten, die Systemwiederherstellung
deaktivieren.

1. Schließen der Sicherheitslücke des Betriebssystems
Microsoft stellt einen Hotfix (Sicherheits-Patch) für die Sicherheitslücke bereit. Informationen dazu finden Sie bei Microsoft

Ob der Hotfix auf Ihrem Rechner installiert ist können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der Hotfix installiert.

2. Suchen und Entfernen des Wurms über kostenlose Entfernungstools u.a. von

Symantec: Laden Sie von den Symantec-Seiten die Datei FixBlast.exe (Direkt-Download , mit Download mit Informationen )
NAI : Laden Sie von den NAI-Seiten die Datei stinger.exe (Direkt-Download oder Download mit Informationen ).
Microsoft: Laden Sie von den Microsoft-Seiten die Datei KB833330 ( Download mit Informationen )

Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögliche Infektionen entfernen.

3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein. Die aktuellen Viren-Signaturen der Schutzsoftware erkennen die Datei MSBLAST.EXE schon während des Downloads.

4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert. Eine Firewall wird nur erfahrenen Anwendern empfohlen, da die Konfiguration Netzwerk-Kenntnisse erfordert. Eine schlecht konfigurierte Firewall liefert keinen Schutz!

--------------------------------------------------------------------------------
© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.

Gruß brisen :) :) :)