Re: Problem mit W32/Blaster !?
ich poste mal den ganzen text:
Beschreibung: W32.Blaster.Worm
Erläuterungen der Standardeinträge
Kurzbeschreibung des Virus Name: W32.Blaster.Worm
Alias: W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]
Art: Wurm
Größe des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem: Windows NT/2000/XP/2003
nicht betroffen: Windows 95, 98 und Me
Art der Verbreitung: Netzwerk
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: unkontrollierter Rechnerabsturz
Rechnersuche über Port 135
DDoS-Angriff auf Microsoft-Server
Spezielle Entfernung: Tool
bekannt seit: 11.08.2003
Beschreibung:
W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk vorzugsweise über das Internet verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP und Windows 2003 Server-Systemen. Informationen zu dieser Schwäche finden Sie im deutschen Microsoft Security Bulletin MS03-026 . Hier gelangen Sie zum Download der Sicherheits-Patches für die unterschiedlichen Betriebssysteme.
Der W32.Blaster.Worm legt sich im Systemverzeichnis (Standard: C:\Windows\System32 bzw. C:\Winnt\System32) unter dem Namen MSBLAST.EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und ausgeführt.
Der Wurm verbreitet sich weiter und führt eine sog. DDoS-Attacke (Distributed Denial of Service) gegen einen Microsoft-Server (windowsupdate.com) durch ; dabei wird versucht, diesen Server mit so vielen Anfragen zu überfluten, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.
Auch Rechner von Privatanwendern sind gefährdet! Windows 95, Windows 98 und Windows Me sind von dem Wurm nicht betroffen!
Weitere Informationen zur Funktionsweise und Hinweise für Administratoren finden Sie auf folgender Seite des BSI.
Hinweise zur Entfernung des Wurms
Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen.
Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.
Unter Windows 2000 kann es zu anderen Fehlern, die den Zugriff auf das Internet verhindern kommen. Eine der dabei immer wiederkehrenden Fehlermeldungen lautet:
"Der Prozeß svchost.exe hat einen Fehler gemeldet".
Wie Sie diesen Fehler verhindern können, finden Sie in folgender Anleitung . Beachten Sie, dass durch das Verhindern des Fehlers die Sicherheitslücke noch nicht geschlossen ist und auch der Wurm sich noch eventuell auf Ihrem Rechner befindet. Führen Sie auf jeden Fall die nachfolgenden Schritte durch.
Vorgehensweise bei (möglichem) Befall:
Falls Ihr Betriebssystem Windows XP ist, müssen Sie vor den folgenden Punkten, die Systemwiederherstellung
deaktivieren.
1. Schließen der Sicherheitslücke des Betriebssystems
Microsoft stellt einen Hotfix (Sicherheits-Patch) für die Sicherheitslücke bereit. Informationen dazu finden Sie bei Microsoft
Der rest steht oben
[Editiert am 3/1/2005 von ZeCkE]
