W32.Blaster.Worm
Virenwarnung des PSS Security Response Team
Auf dieser Seite
Zurück zur Übersicht
Neuer Wurm: W32.Blaster.Worm
Einstufung des Schweregrades: Kritisch
Betroffene Produkte
| • | Microsoft Windows NT 4.0 |
| • | Microsoft Windows NT 4.0 Termminal Server Edition |
| • | Microsoft Windows 2000 |
| • | Microsoft Windows XP |
| • | Microsoft Windows Server 2003 |
Nicht betroffene Produkte
| • | Microsoft Windows 95 |
| • | Microsoft Windows 98 |
| • | Microsoft Windows Millennium Edition (Me) |
Hintergrund dieser Virenwarnung
Das Microsoft Product Support Services Security Team warnt vor dem neuen Wurm W32.Blaster.Worm, der sich derzeit im Internet verbreitet. Der Wurm hat auch folgende Namen: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Das Ziel des Wurms ist es, zu einem bestimmten Zeitpunkt einen Denial-of-Service-Angriff gegen die Microsoft Windows Update-Seite durchzuführen. Das Einspielen der Sicherheitspatches MS03-026 oder MS03-039 schützt vor diesem Wurm
Falls Sie den Sicherheitspatch aus dem Security Bulletin MS03-026 oder MS03-039 bereits installiert haben, sind Sie vor diesem Wurm geschützt und müssen keine weiteren Schritte unternehmen. Wie Sie feststellen können, ob W32.Blaster.Worm Ihr System infiziert hat, erfahren Sie unten im Abschnitt Technische Details.
Scanning Tool für IT-Administratoren
Microsoft hat ein Tool veröffentlicht, mit dem Sie Ihr Netzwerk nach Computern durchsuchen können, auf denen der Microsoft Security Patch MS03-026 oder MS03-039 nicht installiert ist. Weitere Informationen zu dem Tool erhalten Sie im Microsoft Knowledge Base-Artikel http://support.microsoft.com/default.aspx?kbid=827363.
Auswirkungen eines Angriffs
W32.Blaster.Worm verbreitet sich über offene RPC-Ports (Remote Procedure Call). Er bewirkt unter Umständen, dass infizierte Systeme einen Neustart durchführen, und/oder legt im Verzeichnis WINDOWS\SYSTEM32 die Datei MSBLAST.EXE ab (siehe Unterabschnitt Symptome für einen Befall).
Technische Details
Der Wurm überprüft einen zufällig gewählten Bereich von IP-Adressen und sucht nach Systemen, die am TCP-Port 135 angreifbar sind. Der Wurm versucht eine Sicherheitsanfälligkeit auszunutzen, die im Security Bulletin MS03-026 oder oder MS03-039 beschrieben und durch einen entsprechenden Patch behoben wurde.
Sobald der Code des Wurms an ein System gesendet wurde, versucht dieses, die Datei MSBLAST.EXE über TFTP von einem anderen System zu laden und auszuführen. Wenn die Datei ausgeführt wird, erstellt diese den Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Um diesen Virus auf Ihrem System zu identifizieren, sollten Sie im Verzeichnis WINDOWS\SYSTEM32 nach der Datei MSBLAST.EXE suchen. Alternativ können Sie die neueste Version der Virusdefinitionen herunterladen und anschließend Ihren Computer damit scannen.
Gehen Sie folgendermaßen vor, um die Datei MSBLAST.EXE zu finden:
1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie im Feld Öffnen den Befehl cmd ein, und klicken Sie anschließend auf OK. |
2. | Geben Sie an der Eingabeaufforderung dir %systemroot%\system32\msblast.exe /a /s ein, und drücken Sie anschließend die [EINGABETASTE]. |
3. | Wenn die Datei MSBLAST.EXE gefunden wurde, ist Ihr Computer möglicherweise mit dem Wurm infiziert. Wenn diese Datei gefunden wurde, löschen Sie die Datei, und befolgen Sie die Schritte im Abschnitt Wiederherstellung. Geben Sie an der Eingabeaufforderung del %systemroot%\system32\msblast.exe /a ein, und drücken Sie anschließend die [EINGABETASTE], um die Datei MSBLAST.EXE zu löschen. |
Symptome für einen Befall
Falls Ihr Computer mit diesem Virus infiziert wurde, können unter Umständen folgende Symptome auftreten.
Eine der folgenden Fehlermeldungen wird angezeigt:
| • | Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. |
| • | Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. |
| • | Alle Änderungen, die nicht gespeichert werden, gehen verloren. |
| • | Das Herunterfahren wurde von NT AUTHORITY\SYSTEM ausgelöst. |
| • | Der Computer wird heruntergefahren oder er führt in zufälligen Zeitabständen einen Neustart durch. |
| • | Bei Computern mit Windows XP oder Windows Server 2003 erscheint ein Dialogfenster, das Sie fragt, ob Sie einen Problembericht an Microsoft senden möchten. Nachdem Sie den Problembericht gesendet haben, wird möglicherweise die folgenden Webseite angezeigt: http://oca.microsoft.com/de/Response.asp?SID=699. |
| • | Wenn Sie Windows 2000 oder Windows NT verwenden, wird ein STOP-Fehler angezeigt oder Sie erhalten einen blauen Bildschirm. |
| • | Die Datei MSBLAST.EXE befindet sich im Ordner WINDOWS\SYSTEM32. |
| • | Ungewöhnliche TFTP*-Dateien befinden sich auf Ihrem Computer. |
Es kann allerdings auch vorkommen, dass ihr Computer befallen ist, ohne dass eins oder mehrere dieser Symptome erkennbar sind.
Um den Virus aufzuspüren, suchen Sie wie oben beschrieben nach der Datei MSBLAST.EXE im Verzeichnis WINDOWS\SYSTEM32 oder downloaden Sie die aktuellen Virensignaturen vom Hersteller Ihrer Antivirensoftware und überprüfen Sie danach Ihr gesamtes System.
Wiederherstellung
Viele Hersteller von Antivirensoftware haben bereits Tools erstellt, die den Wurm entfernen und Systeme nach einem Befall wiederherstellen. Informationen zu den entsprechenden Webseiten einiger Hersteller erhalten Sie unten im Abschnitt Virus Information Alliance.
Die beste Lösung wäre eine Neuinstallation und ein Wiedereinspielen von Backups, die zu einem Zeitpunkt erstellt wurden, als das System noch nicht befallen war. Dieses wäre der erste Schritt, bevor mit den nachstehenden Punkten weitergemacht werden muss. Sind Backups jedoch nicht vorhanden, kann mit den folgenden Schritten eine Wiederherstellung fortgesetzt werden, auch wenn dieses Vorgehen keine hundertprozentige Garantie für den gewünschten Erfolg darstellt.
Alternativ wird empfohlen, dass Sie eine "saubere" Installation auf dem infizierten Computer durchführen, um möglicherweise unerkannte Schäden zu beseitigen, die bei zukünftigen Angriffen ausgenutzt werden könnten. Weitere Informationen finden Sie auf dieser CERT-Website (englischsprachig).
Wiederherstellung unter Windows XP und Windows Server 2003
Aktivieren Sie die integrierte Internetverbindungsfirewall (Internet Connection Firewall, ICF). Achtung: Während der manuellen Konfiguration der ICF muss Ihr System offline sein! Gehen Sie folgendermaßen vor, um die Internetverbindungsfirewall für eine Verbindung manuell zu konfigurieren:
| • | Klicken Sie auf Start und anschließend auf Systemsteuerung. |
| • | Gehen Sie zu Systemsteuerung, und klicken Sie auf Netzwerk- und Internetverbindungen, und klicken Sie anschließend auf Netzwerkverbindungen. |
| • | Klicken Sie mit der rechten Maustaste auf die gewünschte Netzwerkverbindung, und klicken Sie auf Eigenschaften. |
| • | Klicken Sie auf die Registerkarte Verbindungen, und aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen. |
| • | Ausführliche Informationen zur Aktivierung der ICF erhalten Sie im Microsoft Knowledge Base-Artikel 283673. |
| • | Downloaden und installieren Sie den Sicherheitspatch aus dem Microsoft Security Bulletin MS03-026 bzw. oder MS03-039 oder downloaden und installieren Sie alle wichtigen und kritischen Updates von der Windows Update-Webseite. |
| • | Installieren und starten Sie eine Antivirensoftware bzw. aktualisieren Sie die Virensignaturen ihrer Antivirensoftware. Downloaden Sie das Removal-Tool des Herstellers Ihrer Antivirensoftware und führen Sie es aus. Beachten Sie dabei bitte die Anweisungen des Herstellers. Unter Umständen müssen beide Schritte durchgeführt werden. |
Wenden Sie sich an den Hersteller Ihrer Antivirensoftware, um weitere Informationen zur Entfernung von W32.Blaster.Worm zu erhalten.
Wiederherstellung unter Windows NT 4.0, Windows NT 4.0 Terminal Server Edition und Windows 2000
Diese Windows-Versionen verfügen über keine integrierte Internetverbindungsfirewall. Aus diesem Grund ist es erforderlich, eine Firewall eines Drittherstellers zu installieren, um die UDP- und TCP-Ports 135, 139, und 445 sowie die UDP-Ports 69 (TFTP) und TCP 593 und 4444 für Remote Command Shell zu blockieren. Besuchen Sie die Webseite mit dem Windows-Produktkatalog. Dort finden Sie eine Liste mit verfügbaren Firewallprodukten anderer Hersteller. Stellen Sie in jedem Fall sicher, dass Sie den Sicherheitspatch aus dem Security Bulletin MS03-026 oder MS03-039 installieren.
Unter Windows 2000 können Sie folgende Schritte durchführen, um die offenen Ports auch ohne Firewall zu blockieren und eine Absicherung Ihres Systems zu ermöglichen. Bei der Beschreibung der Schritte handelt es sich um einen überarbeiteten Auszug des Microsoft Knowledge Base-Artikels 309798, HOW TO: Configure TCP/IP Filtering in Windows 2000.
1. | Klicken Sie auf Start, zeigen Sie auf Einstellungen, klicken Sie auf Systemsteuerung und doppelklicken Sie auf Netzwerk und DFÜ-Verbindungen. |
2. | Klicken Sie mit der rechten Maustaste auf die Verbindung, die Sie für den Zugang zum Internet verwenden, und klicken Sie auf Eigenschaften. |
3. | Klicken Sie im Dialogfeld Aktivierte Komponenten werden von dieser Verbindung verwendet zuerst auf Internet Protocol (TCP/IP) und dann auf Eigenschaften. |
4. | Das Dialogfenster Eigenschaften von Internet Protocol (TCP/IP)öffnet sich. Klicken Sie hier auf Erweitert. |
5. | Klicken Sie auf die Registerkarte Optionen. |
6. | Klicken Sie zuerst auf TCP/IP Filter und auf Eigenschaften. |
7. | Setzen Sie ein Häckchen in das Kontrollkästchen TCP/IP-Filter aktivieren (Alle Netzwerkkarten). |
8. | In der unteren Hälfte dieses Dialogfensters werden drei Spalten angezeigt: TCP-Ports, UDP-Ports und IP-Protokolle. |
9. | Wählen Sie für jede dieser Spalten die Option Nur zulassen. |
10. | Klicken Sie auf OK. |
11. | Downloaden und installieren Sie den Sicherheitspatch aus dem Microsoft Security Bulletin MS03-026 bzw. oder MS03-039. |
12. | Installieren Sie eine Antivirensoftware bzw. aktualisieren Sie die Virensignaturen ihrer Antivirensoftware. |
13. | Downloaden Sie das Removal-Tool des Herstellers Ihrer Antivirensoftware. |
Virus Information Alliance
Weitere Informationen zur Entfernung dieses Wurms finden Sie auf den Websites der Mitglieder der Virus Information Alliance:
| • | |
| • | |
| • | |
| • |
Weitere Informationen zur Virus Information Alliance erhalten Sie hier (englischsprachig).
Vorbeugende Maßnahmen
Wenn Sie eine der betroffenen Windows-Versionen verwenden, blockieren Sie die offenen UDP- und TCP-Ports 135, 139, und 445 sowie die UDP-Ports 69 (TFTP) und TCP 593 und 4444.
Stellen Sie sicher, dass Sie eine Firewall verwenden.
| • | Wenn Sie Windows XP oder Windows Server 2003 benutzen, aktivieren Sie die Internetverbindungsfirewall (Internet Connection Firewall, ICF). Informationen zur Aktivierung der ICF erhalten Sie im Microsoft Knowledge Base-Artikel 283673. Achtung: Während der manuellen Konfiguration der ICF muss Ihr System offline sein! | ||||||||||||||
| • | Wenn Sie Windows 2000, Windows NT 4.0 oder Windows NT 4.0 Terminal Server Edition benutzen, besuchen Sie die Webseite mit dem Windows-Produktkatalog. Dort finden Sie eine Liste mit Firewall-Softwareprodukten. | ||||||||||||||
| • | Installieren Sie den Sicherheitspatch aus dem Microsoft Security Bulletin MS03-026 bzw. oder MS03-039. Der Patch steht im Microsoft Download Center auf folgenden Seiten zur Verfügung:
| ||||||||||||||
| • | Besuchen Sie außerdem die Windows Update-Webseite und installieren Sie dort alle weiteren aktuellen kritischen Updates für Ihre Windows-Version. | ||||||||||||||
| • | Stellen Sie sicher, dass eine Antiviren-Software auf Ihrem System installiert und aktiviert ist. | ||||||||||||||
| • | Wenn Sie eine Antiviren-Software installiert haben, stellen Sie sicher, dass die verwendeten Virendefinitionen auf dem aktuellen Stand sind. | ||||||||||||||
| • | Sollten Sie keine Antiviren-Software besitzen, besuchen Sie die Webseite mit dem Windows-Produktkatalog. Dort finden Sie eine Liste von Antivirus-Softwareprodukten. |
Weitere Informationen
Verwandte Microsoft Knowledge Base-Artikel
| • |
Verwandte Microsoft Security Bulletins
| • | |
| • | oder MS03-039 |
Weitere Links
| • | What You Should Know About the Blaster Worm (englischsprachig) |
| • | Blaster Worm FAQ (englischsprachig) |
Für weitere Fragen stehen Ihnen auch unsere Servicenummern (0,12 Euro/Minute) zur Verfügung:
| • | für Geschäftskunden: 01805-229552 |
| • | für Privatkunden: 01805-251199 |
| • | für Partner: 01805-302525 |
PSS Security Response Team