Wie sicher schon viele von euch bemerkt haben, kursiert seit gestern ein neuer Wurm im Internet, bekannt unter dem Namen W32/Blaster.
Da wir auch von Forenusern wissen, die Betroffen sind, hier eine kurze Anleitung zur Entfernung und zum Schutz vor Neuinfektion.
Bitte seht aber von Anfragen an mich ab, ich hab mit lernen zu viel zu tun und kann leider nicht jedem bei der Entfernung helfen.

Wenn euer Rechner seit gestern seltsame Fehlermeldungen produziert, wenn er einfach runterfährt etc....dann könnte es gut sein, daß ihr euch besagten Wurm "zugelegt" habt. Auch für diejenigen, die verschont geblieben sind, ist das Schliessen der Lücke, die dieser Wurm ausnutzt, wichtig.

Das ganze ist wie gesagt ein neuer Wurm, der sich seit gestern explosionsartig im Netz ausbreitet und gezielt eine Schwachstelle ausnutzt. Das installieren einer Firewall hilft, um sich vor Wiederinfektion zu schützen, in der Firewall sollte man die Ports TCP/UDP 135-139 sowie 445 und 593 sperren. Infos gibts u.a. bei heise:

http://www.heise.de/newsticker/data/dab-12.08.03-000/
http://www.heise.de/newsticker/data/dab-12.08.03-001/

Desweiteren ist das Aktualisieren der Virenscanner erforderlich, so euer Scanner dies nicht durch automatisches Update erledigt.

Ausserdem (und das ist wichtig) muss natürlich die eigentliche Schwachstelle geschlossen werden.

Begebt euch am besten auf http://windowsupdate.microsoft.com

Dort nach Updates suchen lassen und ALLE Updates einspielen (da man das so oder so tun sollte). Hat man das vorher noch nie gemacht, kann das durchaus ein grösserer Download (>100 MB)werden. In diesem Fall zunächst einfach nur den Patch gegen die Sicherheitslücke selbst einspielen, verfügbar unter

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Es gibt zudem ein Entfernungstool von Symantec:

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Den provozierten Shutdown kann man übriogens unterbinden:

Start -> Ausführen und dann
"shutdown.exe -a"
eingeben und bestätigen

Kurz zusammengefasst:

- Firewall installieren
- Patch installieren
- Virus entfernen (mit aktualisiertem Virenscanner oder Removal-Tool)

Gruß,
Sebastian

Original geschrieben von Sebastian1
Begebt euch am besten auf http://windowsupdate.microsoft.com

Dort nach Updates suchen lassen und ALLE Updates einspielen (da man das so oder so tun sollte). Hat man das vorher noch nie gemacht, kann das durchaus ein grösserer Download (>100 MB)werden. In diesem Fall zunächst einfach nur den Patch gegen die Sicherheitslücke selbst einspielen, verfügbar unter

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp


Ich würde generell mit dem zweiten Punkt anfangen. Aus zwei Gründen:
1. Kann ohne Schließen dieser Lücke jederzeit ein Reboot dazwischenkommen
2. Fährt dieser Wurm gemeinerweise DDoS-Attacken geben windowsupdate.microsoft.com. Die Verfügbarkeit ist also nicht gewährleistet.

Momentan sind die Download- und Updateserver von M$ sehr stark belastet.

Evtl. kann hier der FTP-Mirror der Uni Stuttgart weiterhelfen. Dort findet man die richtige Version dieses Patches folgendermaßen (jeweils für deutschsprachige Win-Versionen):

Windows XP 32-bit SP1:
ftp://ftp.uni-stuttgart.de/pub/systems/winxp/fixes/security-bulletins/ger/WindowsXP-KB823980-x86-DEU.exe

Windows 2000 SP 3 oder 4:
ftp://ftp.uni-stuttgart.de/pub/systems/win2000/fixes/security-bulletins/ger/Windows2000-KB823980-x86-DEU.exe

Windows NT 4.0 SP6a:
ftp://ftp.uni-stuttgart.de/pub/systems/winnt/fixes/security-bulletins/DEUQ823980i.EXE

Das Windows Update wird dadurch nicht weniger wichtig, aber weniger dringend - man kann es bei fehlender Server-Verfügbarkeit auf die nächsten Tage verschieben.


- Firewall installieren

Eine Desktop Firewall? Das ist nicht nötig (außer vielleicht für den Placebo-Effekt). Keinesfalls sollte man auf die dadurch gewonnene "Sicherheit" vertrauen. Man kann seinen Rechner auf andere Weise wesentlich besser sichern.

Zumindest kann man mittels (Desktop-) Firewall
die entsprechenden Ports sperren. Es gibt ein weiteres Exploit für die entsprechende Komponente, und laut Symantec geht man davon aus, dass sehr schnell Varianten existieren werden, die nicht durch den besagten Patch abgedeckt werden.

Im übrigen schliesse ich mich dir an:
also,

am besten

- nach dem Systemstart am besten gleich versuchen, im Taskmanager unter "Prozesse" den Prozess msblast.exe zu beenden

- So man XP hat: Internetverbindungsfirewall aktivieren oder in seiner Desktopfirewall die o.g. Ports sperren

- Patch einspielen

- Virendefinitionen updaten

- Windowsupdate.com regelmässig besuchen

Gruß,
Sebastian

Original geschrieben von Sebastian1
Zumindest kann man mittels (Desktop-) Firewall
die entsprechenden Ports sperren. Es gibt ein weiteres Exploit für die entsprechende Komponente, und laut Symantec geht man davon aus, dass sehr schnell Varianten existieren werden, die nicht durch den besagten Patch abgedeckt werden.

Wo hast Du dies gelesen?

Meiner Meinung nach wäre die logische Konsequenz dann, dass man den DCOM-Dienst deaktiviert. Dies tut ja auch nicht weh, wenn man kein LAN betreibt. Überhaupt sollte man unnötige Dienste deaktivieren.

Eine gute Website zu diesem Thema ist
http://www.kssysteme.de/

Dies ist ganz bestimmt wirksamer als Personal-Firewall-Flickschusterei.

Vielleicht empfiehlt Symantec das ja nur, weil sich dann ihr eigenes Produkt (NIS) besser verkauft?

Wo ich das gelesen habe...*uff*, ich habe mich heute wegen dieses Problems durch diverse Webseiten gewühlt, frag mich bitte nicht mehr, wo genau das war. Verfolg mal die links der heise-Meldungen (s.o.), ich meine, da wars irgendwo dabei.

Und ja, sicherlich ist es sinnvoll, nicht benötigte Dienste zu deaktivieren. Aber wer in der lage ist, zu differenzieren, welche Dienste benötigt werden, warum welcher Dienst laufen muss, warum welcher Dients wann nicht laufen muss etc., der ist sicher auch selbst in der Lage, mit diesem Wurm fertig zu werden oder aber hat ihn gar nicht erst bekommen, weil er den Patch eh schon abgeschaltet oder aber den Dienst deaktiviert hatte.

Aber wer den Rechner einfach nur benutzt und sich auch vielleicht mit Systeminterna gar nicht beschäftigen möchte, der weiss manchmal nicht einmal, was ein Patch ist oder das windowsupdate.com existiert, warum man das benutzen sollte etc.

Und da halte ich es für sinnvoller, die Sicherheitslücken auf diese Art zu schliessen. Wer selbst in der Lage ist, das zu tun, braucht auch keine Anleitung dazu :)
Ich jedenfalls möchte nicht jedem erklären müssen, was DCOM (Distributed Component Object Model) und RPC (Remote procedure call) sind und wozu sie nutzen. (Und ich glaube, dass ich bei der Erklärung auch an meine eigenen Grenzen stossen würde ;-)
Wie auch immer: Den betroffenen Leuten gehts ja erstmal darum

- den Wurm zu entfernen und
- ihn nicht wieder zu bekommen

Und dazu taugen nunmal die besagten Schritte:

- Ports sperren
- Patch einspielen
- Virendefinitionen updaten

Gruß,
Sebastian

@Fata: Mich würde doch mal brennend interessieren, wie Du Dich gegen Hack-Angriffe, Würmer, Viren und Trojaner ohne Firewall schützt? Und jetzt sach net, dass Du mit Linux oder MacOS arbeitest, dann darfste hier nämlich gar net mitreden... :-D

Das man die Windows-internen Dienste wie Remote Support oder sonstigen Schwachsinn sofort deaktiviert ist auf jeden Fall ein wichtiger Schritt einer Windowsinstallation, aber hilft net gegen alles fiese im Netz. Zu empfehlen ist hier übrigens XP-Antispy- damit kann man per Mausklick schon mal einiges unterbinden.

...kein Posing ohne Bild... :-))

etz mal ne blöde Frage von einem Nicht-Compter-Profi:

Seb hatte irgendwo geschrieben, dass man verschiedene Ports schliessen soll. Wo (und wie) kann ich dass machen ??

Ich hab Norton Internet Security (Firewall & Virenscanner) auf meinem Rechner.

Mich hatte es gestern net erwischt, aber es interessiert mich trotzdem, man kann ja nie wissen...

ach ja.. mein Betriebssystem ist Win2000

schon mal vielen Dank :-top

Und noch ne blöde Frage:
Habe bei freenet.de gelesen: "Betroffen sind Anwender der Betriebssysteme Windows 2000, Windows XP, Windows Server 2003 und Windows NT 4.0, beziehungsweise NT 4.0 Terminal Services Edition."
Mit Win98 braucht mich das Problem also nicht zu kümmern, oder?

Original geschrieben von milz

Mit Win98 braucht mich das Problem also nicht zu kümmern, oder?

Nö! Auch Viren haben ihren Stolz!!! :-)) :-D :-))

Original geschrieben von Alles wird gut
@Fata: Mich würde doch mal brennend interessieren, wie Du Dich gegen Hack-Angriffe, Würmer, Viren und Trojaner ohne Firewall schützt?

1. System sicher konfiguriert (ich biete keine Dienste ins Internet an).

2. möglichst sichere Software (so wenig M$ wie möglich - niemals IE und OE)

3. regelmäßiges Patchen (Windowsupdate ist Dein Freund)

4. Brain v 1.0 (@Liz: arbeitet zwar manchmal langsam, aber fast immer zuverlässig)

5. guter Virenscanner (Kaspersky - erkennt auch Trojaner ziemlich zuverlässig)

Reicht das nicht?

OK, eine sog. "Personal Firewall" habe ich auch, aber diese läuft nicht immer. Jetzt z. B. gerade nicht. Sie dient sozusagen zum Rumspielen und Lernen. Ich habe sie noch nie wirklich gebraucht, bzw. sie hat mich noch nie vor etwas geschützt.


Und jetzt sach net, dass Du mit Linux oder MacOS arbeitest, dann darfste hier nämlich gar net mitreden...

OK, das tue ich auch, aber nur nebenbei. Linux und meine Hardware vertragen sich noch nicht 100%. Aber ich arbeite dran.


Wo (und wie) kann ich dass machen ??

Ich hab Norton Internet Security (Firewall & Virenscanner) auf meinem Rechner.

Hat das Programm keine Hilfe? Ansonsten sollte Symantec eine Supportabteilung haben, schließlich hast Du für diese (Schrott-)Software (sorry) eine Menge Geld bezahlt.


ach ja.. mein Betriebssystem ist Win2000

Wie gesagt, imho genügt es völlig, nicht benötigte Dienste zu beenden (in diesem Fall insb. DCOM). Ist alles bei kssysteme.de beschrieben (oder auch im M$-Bulletin).

Habe das inzwischen nachgelesen: Sebastian hat recht, dass es noch weitere Schwachstellen im RPC gibt. Bisher sind allerdings keine Exploits bekannt, so dass die Aussagen bei Heise ziemlich hypothetisch sind.

Habe das inzwischen nachgelesen: Sebastian hat recht, dass es noch weitere Schwachstellen im RPC gibt. Bisher sind allerdings keine Exploits bekannt, so dass die Aussagen bei Heise ziemlich hypothetisch sind. [/B]OK, so genau wusst ichs dann doch nicht mehr, ob schon konkrete Exploits existieren. Aber sowas scheint ja meist nur eine Frage der Zeit zu sein. Und so viel Interesse und Ahnung hab ich dann auch nicht, als dass ich eine Diskussion auf Bugtraq verfolgen (und verstehen *g*) würde ;)


@Sani:
Ich benutze eine andere Firewall, (Kerio) so dass ich da keine genaue Anleitung zu geben vermag, aber:
In der Firewallkonfiguration sollte es irgendwo die Möglichkeit geben, der Firewall neue Regeln zu verpassen. Dort sollte man auch die entsprechenden Ports und benutzten Protokolle (eben TCP und UDP in diesem Fall) einzustellen und den Verkeher aus- und abgehend zu unterbinden. So eine Regel musst du also aufstellen. Das wird sicher gehen, aber wie gesagt, frag mich nicht nach einer genauen Schritt-für-Schritt-Anleitung.

Gruß,
Sebastian

Also ich muß jetzt auch mal was loswerden :

Ich benutze sträflicherweise den IE unter XP. Allerdings ist mein Virenscanner immer UP-to-Date , die Interne Firewall von Windows (ok, taugt nich viel) aktiv und alle Updates von Microsoft geladen und ich hatte tatsächlich noch NIE Viren oder Wurmprobleme mit dieser Konfig.

Die "Familie" der W32-Würmer ist recht groß. Neue Würmer tauchen in regelmässigen Abständen auf und befallen hauptsächlich WIN-User.
Und König, warum Du bisher keine Worm-Probs hattest, könnte u.A. daran liegen, daß Du Dir keine bis kaum Software über Kazaa oder Kazaa lite saugst. Das ist nämlich die präferierte Zielgruppe der W32er...

*gradnefirewallinstallierthab*


Aber was mach ich, wenn ich an Leuten, die mich nicht kennen eine wichtige Mail schicke.....die werden dann nicht mehr geöffnet, weil in meiner Adresse irgendwas mit Wurm vorkommt...........*gg*..;-)



Gruss Kaddel

auch ich habe es jetzt endlich geschafft, die Firewall und Patches zu installieren...; jedoch folgt weiterhin dieses Fenster..., und mein XP spinnt total rum! Kann kein Word mehr öffnen, ins Internet einwählen funktioniert auch nur noch per Zufall und mit ICQ klappt auch nix mehr! Kann es mit den beiden Programmen zusammenhängen????

Aaaaaahhhh wieder das Fenster, zum Verrücktwerden!!!

Babe :-???

(die total verzweifelt ist)

Original geschrieben von Kaddel
*gradnefirewallinstallierthab*


Aber was mach ich, wenn ich an Leuten, die mich nicht kennen eine wichtige Mail schicke.....die werden dann nicht mehr geöffnet, weil in meiner Adresse irgendwas mit Wurm vorkommt...........*gg*..;-)



Gruss Kaddel

Hab Dir doch schon mal geraten, Deine E-Mail Adresse von WurmKathi in Flohkathi umzuändern, dann haste auch dieses Problem nicht mehr! :-))

@Babe: Du musst halt schauen, dass Du das Virus endlich deaktiviert/gelöscht bekommst! (siehe oben) Die Firewall verhindert neue Infektionen/Angriffe aba was drauf ist ist drauf...

Original geschrieben von Babe
auch ich habe es jetzt endlich geschafft, die Firewall und Patches zu installieren...; jedoch folgt weiterhin dieses Fenster..., und mein XP spinnt total rum! Kann kein Word mehr öffnen, ins Internet einwählen funktioniert auch nur noch per Zufall und mit ICQ klappt auch nix mehr! Kann es mit den beiden Programmen zusammenhängen????

Aaaaaahhhh wieder das Fenster, zum Verrücktwerden!!!

Babe :-???

(die total verzweifelt ist)

Firwall und Patch sind schön und gut...und was sagt der Virusscanner? Du musst das Teil ja auch noch entfernen. Und die Firewall muss mit den entprechenden Filterregeln versehen worden sein (s.o.)
Aber erstmal Virus entfernen.

Gruß,
Sebastian

So, tut mir leid euch alle tierisch genervt zu haben!

Es läuft wieder alles....

Nachdem ich die eine Firewall deaktiviert habe, und eine neue installiert habe... funktioniert wieder alles bestens! War nach 12h alles ziemlich nervenaufreibend aber es ist endlich geschafft!!!!

Ich danke euch allen, für Tipps und Ratschläge (insbesondere aber auch bei Sebastian und Heinzin, die mir letzendlich über ICQ die eine Firewall-Version zugeschickt hat und mich telefonisch unterstützt hat!!!!)

*Heinzinknuddel*

Danke euch allen für eure starken Nerven, ohne euch hätte ich es garantiert nie gepackt!!!!!!!

LG, Babe