Aus aktuellem Anlass: Wurmwarnung W32/Blaster

[Sebastian1]

Wie sicher schon viele von euch bemerkt haben, kursiert seit gestern ein neuer Wurm im Internet, bekannt unter dem Namen W32/Blaster.
Da wir auch von Forenusern wissen, die Betroffen sind, hier eine kurze Anleitung zur Entfernung und zum Schutz vor Neuinfektion.
Bitte seht aber von Anfragen an mich ab, ich hab mit lernen zu viel zu tun und kann leider nicht jedem bei der Entfernung helfen.

Wenn euer Rechner seit gestern seltsame Fehlermeldungen produziert, wenn er einfach runterfährt etc....dann könnte es gut sein, daß ihr euch besagten Wurm "zugelegt" habt. Auch für diejenigen, die verschont geblieben sind, ist das Schliessen der Lücke, die dieser Wurm ausnutzt, wichtig.

Das ganze ist wie gesagt ein neuer Wurm, der sich seit gestern explosionsartig im Netz ausbreitet und gezielt eine Schwachstelle ausnutzt. Das installieren einer Firewall hilft, um sich vor Wiederinfektion zu schützen, in der Firewall sollte man die Ports TCP/UDP 135-139 sowie 445 und 593 sperren. Infos gibts u.a. bei heise:

http://www.heise.de/newsticker/data/dab-12.08.03-000/
http://www.heise.de/newsticker/data/dab-12.08.03-001/

Desweiteren ist das Aktualisieren der Virenscanner erforderlich, so euer Scanner dies nicht durch automatisches Update erledigt.

Ausserdem (und das ist wichtig) muss natürlich die eigentliche Schwachstelle geschlossen werden.

Begebt euch am besten auf http://windowsupdate.microsoft.com

Dort nach Updates suchen lassen und ALLE Updates einspielen (da man das so oder so tun sollte). Hat man das vorher noch nie gemacht, kann das durchaus ein grösserer Download (>100 MB)werden. In diesem Fall zunächst einfach nur den Patch gegen die Sicherheitslücke selbst einspielen, verfügbar unter

http://www.microsoft.com/technet/tre...n/MS03-026.asp

Es gibt zudem ein Entfernungstool von Symantec:

http://www.sarc.com/avcenter/venc/da...oval.tool.html

Den provozierten Shutdown kann man übriogens unterbinden:

Start -> Ausführen und dann
"shutdown.exe -a"
eingeben und bestätigen

Kurz zusammengefasst:

- Firewall installieren
- Patch installieren
- Virus entfernen (mit aktualisiertem Virenscanner oder Removal-Tool)

Gruß,
Sebastian

[FataMorgana]

Original geschrieben von Sebastian1
Begebt euch am besten auf http://windowsupdate.microsoft.com

Dort nach Updates suchen lassen und ALLE Updates einspielen (da man das so oder so tun sollte). Hat man das vorher noch nie gemacht, kann das durchaus ein grösserer Download (>100 MB)werden. In diesem Fall zunächst einfach nur den Patch gegen die Sicherheitslücke selbst einspielen, verfügbar unter

http://www.microsoft.com/technet/tre...n/MS03-026.asp

Ich würde generell mit dem zweiten Punkt anfangen. Aus zwei Gründen:
1. Kann ohne Schließen dieser Lücke jederzeit ein Reboot dazwischenkommen
2. Fährt dieser Wurm gemeinerweise DDoS-Attacken geben windowsupdate.microsoft.com. Die Verfügbarkeit ist also nicht gewährleistet.

Momentan sind die Download- und Updateserver von M$ sehr stark belastet.

Evtl. kann hier der FTP-Mirror der Uni Stuttgart weiterhelfen. Dort findet man die richtige Version dieses Patches folgendermaßen (jeweils für deutschsprachige Win-Versionen):

Windows XP 32-bit SP1:
ftp://ftp.uni-stuttgart.de/pub/syste...80-x86-DEU.exe

Windows 2000 SP 3 oder 4:
ftp://ftp.uni-stuttgart.de/pub/syste...80-x86-DEU.exe

Windows NT 4.0 SP6a:
ftp://ftp.uni-stuttgart.de/pub/syste...EUQ823980i.EXE

Das Windows Update wird dadurch nicht weniger wichtig, aber weniger dringend - man kann es bei fehlender Server-Verfügbarkeit auf die nächsten Tage verschieben.

- Firewall installieren

Eine Desktop Firewall? Das ist nicht nötig (außer vielleicht für den Placebo-Effekt). Keinesfalls sollte man auf die dadurch gewonnene "Sicherheit" vertrauen. Man kann seinen Rechner auf andere Weise wesentlich besser sichern.

[Sebastian1]

Zumindest kann man mittels (Desktop-) Firewall
die entsprechenden Ports sperren. Es gibt ein weiteres Exploit für die entsprechende Komponente, und laut Symantec geht man davon aus, dass sehr schnell Varianten existieren werden, die nicht durch den besagten Patch abgedeckt werden.

Im übrigen schliesse ich mich dir an:
also,

am besten

- nach dem Systemstart am besten gleich versuchen, im Taskmanager unter "Prozesse" den Prozess msblast.exe zu beenden

- So man XP hat: Internetverbindungsfirewall aktivieren oder in seiner Desktopfirewall die o.g. Ports sperren

- Patch einspielen

- Virendefinitionen updaten

- Windowsupdate.com regelmässig besuchen

Gruß,
Sebastian

[FataMorgana]

Original geschrieben von Sebastian1
Zumindest kann man mittels (Desktop-) Firewall
die entsprechenden Ports sperren. Es gibt ein weiteres Exploit für die entsprechende Komponente, und laut Symantec geht man davon aus, dass sehr schnell Varianten existieren werden, die nicht durch den besagten Patch abgedeckt werden.

Wo hast Du dies gelesen?

Meiner Meinung nach wäre die logische Konsequenz dann, dass man den DCOM-Dienst deaktiviert. Dies tut ja auch nicht weh, wenn man kein LAN betreibt. Überhaupt sollte man unnötige Dienste deaktivieren.

Eine gute Website zu diesem Thema ist
http://www.kssysteme.de/

Dies ist ganz bestimmt wirksamer als Personal-Firewall-Flickschusterei.

Vielleicht empfiehlt Symantec das ja nur, weil sich dann ihr eigenes Produkt (NIS) besser verkauft?

[Sebastian1]

Wo ich das gelesen habe...*uff*, ich habe mich heute wegen dieses Problems durch diverse Webseiten gewühlt, frag mich bitte nicht mehr, wo genau das war. Verfolg mal die links der heise-Meldungen (s.o.), ich meine, da wars irgendwo dabei.

Und ja, sicherlich ist es sinnvoll, nicht benötigte Dienste zu deaktivieren. Aber wer in der lage ist, zu differenzieren, welche Dienste benötigt werden, warum welcher Dienst laufen muss, warum welcher Dients wann nicht laufen muss etc., der ist sicher auch selbst in der Lage, mit diesem Wurm fertig zu werden oder aber hat ihn gar nicht erst bekommen, weil er den Patch eh schon abgeschaltet oder aber den Dienst deaktiviert hatte.

Aber wer den Rechner einfach nur benutzt und sich auch vielleicht mit Systeminterna gar nicht beschäftigen möchte, der weiss manchmal nicht einmal, was ein Patch ist oder das windowsupdate.com existiert, warum man das benutzen sollte etc.

Und da halte ich es für sinnvoller, die Sicherheitslücken auf diese Art zu schliessen. Wer selbst in der Lage ist, das zu tun, braucht auch keine Anleitung dazu
Ich jedenfalls möchte nicht jedem erklären müssen, was DCOM (Distributed Component Object Model) und RPC (Remote procedure call) sind und wozu sie nutzen. (Und ich glaube, dass ich bei der Erklärung auch an meine eigenen Grenzen stossen würde
Wie auch immer: Den betroffenen Leuten gehts ja erstmal darum

- den Wurm zu entfernen und
- ihn nicht wieder zu bekommen

Und dazu taugen nunmal die besagten Schritte:

- Ports sperren
- Patch einspielen
- Virendefinitionen updaten

Gruß,
Sebastian