Ägyptenreiseforum Isis & Osiris

Wärend einer Onlineverbindung erscheint ein Hinweis, dass ein bestimmter Dienst nicht mehr zur Verfügung steht. Es wird darauf hingewiesen, dass der PC in 30 Sekunden neu gestartet wird.
Dieser Neustart lässt sich nicht abbrechen.

Wie könnt ihr feststellen ob euer System befallen ist?
Windows 2000 und Windows XP User:
- Mit der rechten Maustaste in einem LEEREN Bereich der Windows-Startleiste klicken
- Taskmanager auswählen
- Im Fenster "Taskmanager" OBEN auf "Prozesse" klicken
- Nach einem Prozess mit dem Namen "MSBLAST" suchen.
Solltet ihr diesesn Prozess finden:
- MSBLAST anklicken und UNTEN den Knopf "Prozess beenden" anklicken
- Der Taskmanager warnt nun, dass das Beenden ein Risiko ist - bitte trotzdem JA anklicken
Solltet ihr diesen Prozess NICHT finden:
Das System ist nicht befallen. Unten in diesem Beitrag auf den Link zum Microsoft Patch klicken.
So nun habt ihr den Wurm schon mal deaktiviert. Nun müssen wir noch dafür sorgen, dass der beim nächsten Rechnerstart nicht wieder aktiv werden kann:
- Start / Ausführen anklicken
- Regedit eingeben und OK anklicken
Ihr seht jetzt ein Fenster mit jede Menge gelben Ordnern (teilweise mit + oder - Symbolen davor).
Sucht den Ordner HKEY LOCAL MASCHINE und klickt auf das + davor (wenn der nicht schon geöffnet ist)
- Nun auf das + vor dem Ordner SOFTWARE klicken
- Auf das + vor dem Ordner MICROSOFT
- Auf das + vor dem Ordner WINDOWS
- Auf das + vor dem Ordner CURRENT VERSION
Nun müsst Ihr einen Ordner mit dem Namen RUN sehen. Auf diesen Ordner klicken. Jetzt seht ihr rechts einen Eintrag.
"Windows Auto Update" diesen Eintrag mit der rechten Maustaste anklicken und ENTFERNEN oder LÖSCHEN wählen.
Letzter Schritt:
Start - Suchen - Dateien / Ordner
Suchbegriff: msblast
Alles was die Suche ausspuckt markieren und löschen (bitte endgültig löschen - notfalls Papierkorb leeren!)

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen. NAI hat sein Entwurmungstool Stinger aktualisiert und zum Download bereitgestellt, ebenso hat Trend Micro seinen System Cleaner auf den neuesten Stand gebracht.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.

Der Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135. Zwei Schritte helfen, um einen Angriff des Wurms abzuwehren: Patch einspielen oder Port 135 blockieren -- im Zweifelsfall sollte man beides machen.

Der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst. Ein Paketfilter oder eine Firewall kann eingehende Verbindungsversuche über Port 135 sperren. Schon handelsübliche ISDN- und DSL-Router mit eingebauter Firewall blockieren derartige Angriffe erfolgreich. Ankommende Verbindungsversuche werden grundsätzlich ignoriert.

Wer über keinen Router zum Filtern verfügt, kann unter Windows XP die systemeigene Firewall unter den erweiterten Netzwerkeigenschaften einschalten. Windows-2000-Benutzern wird empfohlen, sich eine Personal Firewall, zum Beispiel Kerio Personal Firewall, zu installieren. Zusätzlich sollten die UDP- und TCP-Ports 137 bis 139, 445 und 593 blockiert werden. Ein Abschalten des RPC-Dienstes wird nicht empfohlen, da viele andere Dienste RPC benötigen.

W32.Blaster zeigt beim Angriff auf Systeme störende Nebeneffekte: Eine Fehlermeldung erscheint bei einigen Systemen in einem Pop-up-Window, mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Dieser Effekt beruht auf fehlender Kenntnis des Wurms über die Plattform des angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes auf dem Stack. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.