hi derbilk,

</font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk:
</font><blockquote>Zitat:</font><hr />Original erstellt von nico4u:
hi ihr,

ich hab hier mal eine entfernungsanleitung inklusive der links für alle blaster patches zusammengestellt.

mfg nico </font>[/QUOTE]Moin nico,

gefällt mir sehr gut, was Du da zusammengestellt hast. [img]graemlins/daumenhoch.gif[/img]
Ich hoffe, Du hast nichts dagegen, wenn ich die Seite verlinke?!?

BTW: Die Symantec-Erklärung gibt es auch in deutsch .

tschööö, DerBilk </font>[/QUOTE]freut mich, daß es dir gefällt. [img]smile.gif[/img] [img]smile.gif[/img] [img]smile.gif[/img]

kannst du natürlich so oft verlinken wie du möchtest.

grüße nico

ps: werde gleich mal den link auf die deutsche symantec erklärung umstellen.

nur mal so:

Name: W32.Blaster.Worm
Alias:
W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]

Art:
Wurm

Größe des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem:
Windows NT/2000/XP/2003
nicht betroffen: Windows 98 und Me

Art der Verbreitung: Netzwerk
Verbreitung:
hoch
Risiko:
mittel

Schadensfunktion:
unkontrollierter Rechnerabsturz
Rechnersuche über Port 135
DDoS-Angriff auf Microsoft-Server

Spezielle Entfernung: Tool
bekannt seit: 11. August 2003

Beschreibung:

W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk verbreitet.
Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-026 . Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite .

Windows 98 und Windows Me sind von dem Wurm nicht betroffen.


W32.Blaster.Worm sucht über TCP Port 135 einen angreifbaren Rechner. Dieser Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE) per TFTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 zu laden. Diese Datei lädt der Rechner vom bereits infizierten System. Dazu simuliert der Wurm auf dem infizierten System einen TFTP-Server.

Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner ausgeführt. Es beginnt ein neuer Infektionszyklus.

Der Wurm selbst ist UPX-gepackt. Er enthält einen Text, der jedoch nicht angezeigt wird:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Zum automatischen Start erzeugt W32.Blaster.Worm den Registrierschlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mit dem Wert

"windows auto update" = MSBLAST.EXE

Bei der Suche nach angreifbaren Rechnern werden zunächst die lokalen Subnetze durchsucht. Danach werden zufällige IP-Adressen zur Suche verwendet.

Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke gegen einen Microsoft-Server durch (windowsupdate.com).
DDoS = distributed denial of service; dabei wird dieser Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann.
Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.

Hinweis:
Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn möglich) auf der Firewall die Ports

69 UDP
135 TCP
135 UDP
139 TCP
139 UDP
445 TCP
445 UDP
4444 TCP
sperren.

Aktuelle Viren-Signaturen von Schutzsoftware erkennen die Datei MSBLAST.EXE während des Downloads.

Auch Rechner von Privatanwender sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten.

Hinweise zur Entfernung des Wurms

Windows 98 und Windows Me sind von dem Wurm nicht betroffen.

Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen.
Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint, dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile wird der Befehl "shutdown -a" eingeben und mit OK bestätigt.


Vorgehensweise beim (möglichen) Befall:
1. Schließen der Sicherheitslücke des Betriebssystems
Microsoft stellt ein sog. Hotfix für die Sicherheitslücke bereit. Informationen dazu und das Hotfix-Programm finden Sie bei Microsoft .

2. Suchen und Entfernen des Wurms
Laden Sie eines der speziellen Entfernungstools von Symantec oder NAI . Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögiche Infektionen entfernen.

3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein.

4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert.

Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Blaster.Worm zum kostenlosen Download bereitgestellt.
Auch von NAI gibt es ein entsprechendes Tool . Beachten Sie, dass der Wurm hier W32/Lovsan.worm heißt.

Microsoft Sicherheits-Patch
Das Microsoft Sicherheits-Patch können Sie sich von der Microsoft-Seite herunterladen. Das geladene Programm führen Sie auf dem unsicheren Rechner aus. Folgen Sie den Anweisungen des Setup-Assistenten. Nach der Installation muß der Rechner neu gestartet werden.
Ob das Hotfix auf Ihrem Rechner installiert ist können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist das Hotfix installiert.


(Erstellt: 12.08.2003, geändert: 13.08.2003)