W32.Blaster oder LovSan Wurm - Update

Win2000, WinXP

W32.Blaster oder LovSan Wurm - Update

Anfang August 2003 durfte die Internet-Gemeinde eine neuartige Bedrohung aus dem Internet "bewundern".
Ein neuartiger Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs und befällt erstmals völlig eigenständig Systeme, ohne daß der Benutzer in irgendeinem Dialog dem Download oder der Installation irgendeines Plugins o.ä. zugestimmt hätte.

Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan.

Wie man ihn auch nennt, man erkennt ihn schnell:
Da hat man gerade ein frisches Betriebssystem installiert - noch ohne Updates/Patches und/oder Firewall -, geht kurz online und schon nach wenigen Sekunden hat man ihn sich eingefangen!
Auch wer bei einem ungepatchten System nur kurz die Firewall ausschaltet, den kann es eiskalt erwischen.
Schon öffnet sich ein vielsagendes Fenster, welches den Benutzer darauf hinweist, daß der Computer heruntergefahren wird.
Shutdown-Dialog des W32.Blaster- bzw. LovSan-Wurms

Da hilft kein Abbrechen, Alt-F4 oder Strg-Alt-Entf mehr. Die meisten Benutzer müssen an dieser Stelle hilflos mitansehen, wie der Countdown mit unaufhaltsamer Zielstrebigkeit von 60 Sekunden abwärts bis Null herunterzählt, und der Computer dann herunterfährt.

An dieser Stelle ist zunächst einmal Eile geboten, um Schlimmeres zu verhindern, und ja, man kann den Countdown abbrechen!

  1. Klicken Sie auf Start siehe auch Ausführen...
  2. Geben Sie in die Befehlszeile shutdown -a ein und drücken sie die Enter-Taste bzw. klicken Sie auf den OK-Button. Damit wird zunächst schon einmal der Shutdown-Prozess abgebrochen.
  3. Kappen Sie dann die Internetverbindung.

Dann sollten Sie unbedingt die Fixes einspielen und in Ihrer Firewall - sofern vorhanden - die Ports 135, 139 und 445 schließen.

Die Patches können Sie unter folgenden Adressen direkt von Microsoft herunterladen:


Das ist natürlich leichter gesagt, als getan, denn mit dem anfälligen und bereits befallenen System müßten Sie dazu wieder online gehen und würden sich nach wenigen Sekunden wieder dem Countdown-Fenster gegenüber sehen.
Da bleibt nur, sich die Patches von einem anderen, nicht betroffenen PC aus herunterzuladen und sie via Disketten o.ä. auf das befallene System zu kopieren und dort zu installieren.

Idealerweise laden Sie sich auch gleich ein Tool zum entfernen des Wurms herunter, der sich bereits auf dem System eingenistet hat, z.B. von Symantec:


Tool zum Entfernen des Wurms (132 kB):
   http://securityresponse.symantec.com/avcenter/FixBlast.exe


Erst wenn Sie den für Ihr Betriebssystem passenden Patch installiert und mithilfe des Tools den bereits vorhandenen Wurm entfernt haben, können sie - zumindest in bezug auf diese Bedrohung - wieder unbesorgt eine Internetverbindung herstellen.

Erwägen Sie - falls noch nicht geschehen - in jedem Fall den Einsatz einer Firewall. Firewalls gibt es als Software- und als Hardware-Lösung. Hardware-Lösungen sind aufgrund ihrer "Hardware-Natur" grundsätzlich noch sicherer als Software-Firewalls, für den "gemeinen" (gemeint ist der "normale") Benutzer ist eine Software-Firewall aber in der Regel ausreichend und vor allem preislich günstiger und einfacher zu konfigurieren


Empfehlenswert sind beispielsweise:

   Software: Sygate Personal Firewall
   Hardware: Zyxel Zywall


- UAP -








Suchbegriffe für diese Seite:
W32, Blaster, W32.Blaster, LoveSan, LovSan, Wurm, Sicherheit, Sicherheitslücke, Firewall, Firewalls, Schutz, System-Shutdown, RPC, NT-Autorität, Remote, Remoteprozeduraufruf