Wurm W32.Blaster / W32.Lovsan
Allgemeine Informationen
Dateiname: msblast.exe
weitere Varianten: W32.Blaster.B (penis32.exe), W32.Blaster:C (teekids.exe), WORM_RPCSDBOT.A, TROJ_MSBLAST.DRP
Registry-Einträge von W32.Blaster:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Betroffene Betriebssysteme: Windows NT 4.0, Windows 2000, Windows XP, Windows 2003 Server
Verbreitung: der Wurm gelangt über Port 135 ins System. Weitere sicherheitskritische Ports: 137 bis 139, 445 und 593
Symptome / Schadensroutinen:
- Links in neuem Fenster werden nicht geöffnet
- Copy & Paste funktioniert nicht
- Automatisches Herunterfahren des Betriebssystem, Fehlermeldung:
Das System wird heruntergefahren. [...] Das Herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgelöst
Würmer mit Trojaner-Funktion
WORM_RPCSDBOT.A: öffnet Backdoors im IRC
TROJ_MSBLAST.DRP: Trojaner BKDR_LITH.103.A (Dateiname im Windows-Verzeichnis: ROOT32.EXE) + W32.Blaster:C
Seit dem 16.08. starten infizierte Rechner einen Angriff auf die Microsoft-Update-Seite, der jedoch ins Leere geht, da Microsoft den DNS-Eintrag der Subdomain rechtzeitig aufgelöst und die entsprechenden Links angepasst hat.
Gegenmaßnahmen bei Befall
1. Das für das Betriebssystem passende Sicherheitspatch installieren. Gegebenenfalls müssen erst noch fehlende Service Pakete installiert werden.
Update: die neuesten Sicherheitspatches vom 10.09.
2. Wurm entfernen. Diesen Schritt erst einleiten, nachdem das Sicherheitspatch eingespielt ist, ansonsten wird der Rechner erneut infiziert! Zum Entfernen des Wurmes gibt es von Symantec das W32.Blaster.Worm Removal Tool. Nach dem Entfernen des Wurmes Rechner neu starten, und Removal Tool erneut nach Resten des Wurmes suchen lassen. Diesen Vorgang sooft wiederholen, bis das Tool nichts mehr findet.
Achtung: Format C: mit anschließender Neuinstallation des Betriebssystems löst das Problem nicht, da der Rechner bei Verbindung mit dem Internet sofort wieder infiziert werden kann!
Schutz vor dem Wurm
- Das für das Betriebssystem passende Sicherheitspatch installieren
- Antiviren-Software updaten (falls nicht vorhanden installieren), zurzeit gibt es täglich neue Updates für Antiviren-Programme.
- Personal Firewall installieren, oder Windows XP Firewall aktivieren.
Links zum Thema
weitere Infos auf heise Security: Schutz vor RPC/DCOM-Wurm W32.Blaster
