2003-10-27, 22:10
<FONT face=Verdana size=2>
<FONT size=3>
Einleitung</FONT></FONT></P>
<FONT face=Verdana size=2>Seit einiger Zeit ist ein neuer Virus im Umlauf:
W32.Blaster.Worm, auch genannt Ms.Blaster oder
Lovsan.
Virusnamen: W32/Lovsan.worm, WORM_MSBLAST.A,
Win32.Posa.Worm
Betroffene Systeme:
- Microsoft Windows
NT 4.0 (Auch Terminal Server Edition)
- Microsoft Windows 2000
- Microsoft
Windows XP
- Microsoft Windows Server 2003</FONT></P>
<FONT face=Verdana size=2>Zu sagen ist noch, dass der Virus, entgegen mancher
Meldungen, bereits von Antivirenprogrammen erkannt wird und entfert werden kann,
insofern die Virendefinitionen aktuell sind.
Auch wird der Virus Ihren PC
vorraussichtlich nicht am 15. August lahm legen - was wahrscheinlicher ist, ist
dass der Wurm einen dDoS Angriff auf die Microsoft Windows Update Seite
durchführen wird. dDoS bedeutet distributed Denial of Service, und beschreibt
eine Technik, um durch Millionen Anfragen pro Sekunden ganze Webserver lahm zu
legen. Ihr PC ist davon, auch wenn infiziert, nur insofern betroffen, dass Ihre
gesamte Internetbandbreite verwendet werden wird, um den Microsoft Server lahm
zu legen.</FONT></P>
<FONT size=2>
<FONT face=Verdana>
<FONT size=3> Funktionsweise</FONT></FONT></FONT></P>
<FONT size=2><FONT face=Verdana>Intressant an dem neuen Wurm ist, dass er
sich ohne E-Mail verbreitet - das heißt: Sie brauchen
nicht mal Ihre Mails abzurufen oder eine E-Mail zu öffnen, können Sie den Wurm
schon haben. Das heißt auch: es hilft nichts, wenn Sie die nächsten
3 Wochen Ihre E-Mails nicht abrufen. Es reichen schon 5 Minuten im
Internet, und man kann infiziert sein. Schuld daran ist eine
Sicherheitslücke in Microsoft Windows. Es gibt zwar Seit ein paar Monaten einen
Patch (schließt die Sicherheitslücke und man ist damit immun gegen
den Virus) dafür - doch den haben die wenigsten
installiert.</FONT></FONT></P>
<FONT face=Verdana size=2>Ms.Blaster nutzt eine Sicherheitslücke im
Microsoft RPC (Remote Procedure Call) und erzeugt einen Crash dieses Dienstes,
was zur Folge hat, dass sich der PC innerhalb der nächsten 60 sek herunterfährt.
Anschließend spielt sich der Wurm per TFTP auf Ihren PC, und versucht, weitere
Computer über die IP-Adressen zu infizieren. Außerdem legt er oft im Verzeichnis
Windows\System32\ die Datei MSBLAST.EXE ab.</P>
Technische Details
Der Wurm überprüft einen zufällig
gewählten Bereich von IP-Adressen und sucht nach Systemen, die am TCP-Port 135
angreifbar sind. Der Wurm versucht eine Sicherheitsanfälligkeit auszunutzen, die
im Security Bulletin MS03-026
beschrieben und durch einen entsprechenden Patch behoben wurde.</P>
Es hilft also auch, eine Software-Firewall wie Zone-Alarm zu verwenden, die
automatisch Anfragen auf Port 135 blockt. So schafft es der Virus nicht einmal,
Ihren PC herunterzufahren.</P>
Wichtig: Wenn sich Ihr PC 60 Sek. nach einer RPC-Fehlermeldung herunterfährt,
heißt das noch nicht, dass Sie den Virus haben, es kann jedoch leicht sein.</P>
Sobald der Code des Wurms an ein System gesendet wurde, versucht dieses, die
Datei MSBLAST.EXE über TFTP von einem anderen System zu laden und auszuführen.
Wenn die Datei ausgeführt wird, erstellt diese den Registrierungsschlüssel:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto
update" = msblast.exe I just want to say LOVE YOU SAN!! bill"</P>
Weiters ist der Ms.Blaster Virus sehr gefährlich, weil er, wenn er nach
Opfern im Internet sucht, enorm viel Bandbreite verbraucht und damit die
Verbindungen im Internet stark belastet. In nächster Zeit könnten also vermehrt
Ausfälle und Geschwindigkeitseinbußen möglich sein.</P>
<FONT face=Arial size=3>Haben Sie den Virus? - Symtome für einen
Befall</FONT></P><FONT face=Arial>
In einigen Fällen können überhaupt keine Symptome für den Befall durch
W32.Blaster.Worm erkennbar sein. Ein typisches Symptom ist ein Systemneustart
nach einigen Minuten, ohne dass Sie als Benutzer einen entsprechenden Befehl
gegeben haben. Unter Umständen können Sie auch folgende Symptome feststellen:
<UL>
<LI>Die Datei MSBLAST.EXE ist im Verzeichnis WINDOWS\SYSTEM32 vorhanden.
<LI>Ungewöhnliche TFTP-Dateien sind vorhanden.</LI>[/list]
</P>
Um den Virus aufzuspüren, suchen Sie nach der Datei MSBLAST.EXE im
Verzeichnis WINDOWS\SYSTEM32 oder downloaden Sie die aktuellen Virensignaturen
vom Hersteller Ihrer Antivirensoftware und überprüfen Sie danach Ihr gesamtes
System. Bei Norton Antivirus also LiveUpdate ausführen und die Systemfestplatte
prüfen lassen.</P>
<FONT size=3>Bisher keine Symtome - ist mein PC
gefährdet?</FONT></P>
Ihr PC ist sicher und immun gegen Ms.Blaster, wenn:
- Sie das Security
Update MS03-026 V1.2 vom 22.07.2003 installiert haben (erhältlich unter: http://technet.microsoft.at/News_Showpag...secid=1502 )
-
Sie eine aktuelle Antiviren-Software mit aktuellen Virusdefinitionen installiert
haben
- Wenn Sie eine Personal Firewall installiert haben, die Automatisch
angriffe auf Ihren PC (insbesondere Port 135, was aber eh von jeder Firewall
gemacht wird) abblocken.
- Wenn Sie in einem Lokalen Netzwerk hängen, und der
Router-PC, der mit dem Internet verbunden ist, wie oben beschrieben, gesichert
ist.</P>
<FONT size=3>So werden Sie den Virus los</FONT></P>
Viele Hersteller von Antivirensoftware haben bereits Tools erstellt, die den
Wurm entfernen und Systeme nach einem Befall wiederherstellen. Ein Tool von
Norton Antivirus: http://securityresponse.symantec.com/avc....tool.html</P>
Händische Variante, um den Virus los zu werden:</P>
Sollten Sie andauernd die Meldung bekommen, der PC würde in 60 Sek.
heruntergefahren werden, gehen Sie bitte ab Schritt 1 wie gefolgt vor. Sollte
sich Ihr PC nicht andauernd herunterfahren, beginenn Sie mit Schritt 3.</P>
1) Trennen Sie SOFORT Ihre Internet-Verbindung.</P>
2) Systemsteuerung - Verwaltung - Dienste - Remoteprozeduraufruf -
Rechtsklick - Eigenschaften - Wiederherstellung - "Dienst neu starten" - Das
verhindert, dass der Computer neu gestartet wird. </P>
3) Drücken Sie STRG-ALT-ENTF und suchen Sie in der Prozessliste den
Prozess "msblast.exe". Klicken Sie auf Prozess beenden und anschließen auf Ja,
Prozess beenden.</P>
4) Die Datei windows\system32\msblast.exe (bzw.
winnt\system32\msblast.exe) LÖSCHEN (nicht in den
Papierkorb verschieben, sondern mit Umschalt+Entfernen sofort ganz
löschen)</P>
5) Registry-Eintrag löschen (nur führ erfahrene Anwender): Registry
starten: Start - Ausführen - "regedit" eingeben - OK.
In der Registry
den Pfad "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
suchen.
Dort drin steht ein Eintrag "Windows Auto Update" mit dem Wert
"msblast.exe". Den müssen Sie löschen.</P>
6) Einen Paket-Filter oder eine Personal Firewall installieren (zB
ZoneAlarm von http://www.zonelabs.com), dieser
Schritt ist nicht unbedingt notwendig, aber zu empfehlen, um in der Zeit
zwischen Löschen des Virus und Downloaden des Security-Updates nicht erneut
befallen zu werden. Unter Windows XP ist bereits eine Firewall intergriert - Sie
aktivieren sie folgendermaßen: Doppelklicken Sie in der Systemsteuerung
auf Netzwerkverbindungen. Klicken Sie mit der rechten Maustaste auf die
betroffene Verbindung, für die die Firewall aktiviert werden soll (also Ihre
Standardverbindung). Klicken Sie im Kontextmenü auf Eigenschaften.
Aktivieren Sie dann in der Registerkarte Erweitert die Option
Internetverbindungsfirewall. Dann klicken Sie auf OK. Die Firewall ist
somit aktiviert.</P>
7) Das Security-Update (Patch, Bulletin) von
Microsoft installieren:
Download unter: http://www.microsoft.com/germany/ms/tech....htm#Patch
oder
direkt unter: (für Windows 2000): http://microsoft.com/downloads/details.a...laylang=de
oder
direkt unter: (für Windows XP): http://microsoft.com/downloads/details.a...laylang=de</P>
Installieren Sie den entsprechenden Patch, starten Sie Windows neu, und
suchen Sie noch einmal, wie oben beschrieben, nach der datei msblast.exe. Falls
Sie die Datei nicht mehr finden, sind Sie von jetzt an immun gegen diesen Virus
und vor weiteren Attacken geschützt. Sollten Sie die Datei erneut finden, führen
Sie die oben genannen Schritte erneut durch, außer Schritt 6 und 7 - der
Patch wurde dann ja bereits installiert.</P>
<FONT size=3>Weitere Informationen</FONT></P>
Security Bulletin von Microsoft: http://technet.microsoft.at/News_Showpag...secid=1502
Security
Bulletin von Microsoft: http://www.microsoft.com/germany/ms/tech...03-026.htm
Virenwarnung
von Microsoft:
<A href = "http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/blaster.htm">
http://www.microsoft.com/germany/ms/tech...laster.htm</A>
</P>