W32 Blaster und W32
Blaster B
ALIAS:
W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure],
WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos],
W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
| A | B | |||
| Dateigröße:
6.176 bytes |
Dateigröße:
7.200 bytes |
|||
| Mittlerweile
sind weitere Mutationen im Umlauf, die sich von dem Original aber im Wesentlichen nur durch einen anderen Namen für die Datei "msblaster" unterscheiden. So benutzt die Version C zum Beispiel den Dateinamen : "teekids.exe" |
||||
Der Wurm nutzt dabei vor allem eine Sicherheitslücke in den Windows-Versionen 2000 und XP aus und verursacht u.U. Abstürze.
Andere Systeme wie Win 95/98/SE/ME sollen nach
bisherigen Erfahrungen nicht oder nur in Ausnahmefällen befallen
werden, wenn z.B. DCOM
- RPC basierte Dienste und Anwendungen auf dem
Rechner genutzt werden.
Außerdem schützen im Hintergrund laufende Virenwächtermodule,
bestimmte Filtersoftware und vor allem
eine gut konfigurierte Firewall ausreichend vor dem Blaster.
Microsoft bewertet übrigens die systemspezifischen Gefahren folgendermaßen:
| Windows NT 4.0 | Critical |
| Windows NT 4.0 Terminal Server Edition | Critical |
| Windows 2000 | Critical |
| Windows XP | Critical |
| Windows Server 2003 | Critical |
Man erkennt einen Befall an dem sich öffnenden
kleinen Popup-Fenster, in dem mitgeteilt wird, dass der Rechner
innerhalb der nächsten 60 Sekunden heruntergefahren wird - die
Sekunden werden in einem Countdown im Fenster dargestellt. Dieses
Fenster kann man nur über einen Trick schließen, indem man den
Prozess über den Taskmanager beendet. Ansonsten wird der Rechner
tatsächlich heruntergefahren.
Ist der Rechner bei erfolgter Infektion gerade online, lädt
der Blaster außerdem Dateien namens "msblast.exe"(Blaster A) und "penis32,exe"(Blaster B) herunter, die einige Änderungen an der
Registry bewirken und bei jedem Neustart des Rechners als Autorun-Files
aktiv werden. So wird der Virus auch nach einem Neustart wieder
aktiviert, der Rechner heruntergefahren und bestimmte Ports für
einen DOS Angriff offengehalten. Dieser "Denial-Of-Service-Angriff"
auf www.windowsupdate.com soll
nach Informationen aus suspekten Quellen angeblich am 15. August 2003 starten und das Netz weltweit blockieren oder zumindest
stark verlangsamen.
Ein Text, der im
Virencode eingebaut wurde, lautet: "Billy Gates, why do you make this
possible? Stop making money and fix your software!" (Frei übersetzt: "Billy Gates, warum machst du das möglich?
Hör auf abzuzocken und kümmer dich um deine Software!").
Der Wurm ist an sich nicht besonders gefährlich, da er offenbar
in der bisher vorliegenden Version keine Daten löscht oder beschädigt
und sich lediglich auf die Internetfunktionalitäten von Win 2000/XP
beschränkt. Allerdings ist er durch den Zwangsshutdown der
Rechner enorm lästig und macht normales Arbeiten mit dem
infizierten System unmöglich.
Er lässt sich manuell oder mit einem Symantec Removal Tool entfernen und danach das System mittels Microsoft-Patch vor einem Neubefall schützen. Halten Sie sich dabei genau an die Anleitungen von Microsoft oder Symantec.
Es gibt einige Besonderheiten mit der
Wiederherstellungskonsole von XP, bzw. der
Systemwiederherstellung unter ME,
die bei einer Reinigung zu beachten sind.
Der Wurm befällt und verändert speziell das DCOM - RPC System in WIN
2000 und WIN XP am TCP
Port 135,
sowie die Ports: TCP
4444 und UDP 69
Er versucht die Anwendungen "msblast.exe"
(Version A) oder "penis32.exe" (Version B) downzuloaden und nach "WinDir%\sys" zu installieren.
Danach wird die Datei beim nächsten Neustart ausgeführt, hat
jedoch keine E-Mail-Funktionalität.
(Siehe auch: Microsoft
Security Bulletin MS03-026)
Auch NT Systeme und WIN 2003 Server können
infiziert werden, falls sie noch nicht auf den aktuellen Stand
gepatcht wurden.
Allerdings kann sich der Wurm auf diesen Systemen prinzipiell nicht replizieren.
Bitte entfernen Sie zunächst den Wurm manuell oder mit Symantecs Removal-Tool:
| Removal
Tool für "Blaster" von Symantec: securityresponse.symantec.com Download des TOOLS (172 KB): |
Gegen einen Neubefall installieren Sie bitte den Microsoft Patch, den Sie hier downloaden können:
| Microsoft
Patch für "Remote Procedure Call": www.microsoft.com/technet/treeview/... Download des Patchs (> 1,2MB !!) Blaster Worm: Critical Security Patch (August 12, 2003) |
Einige Tipps:
Wenn man die Windows XP Home Edition benutzt, am besten das Removing-Tool
und den Patch (1,2 MB) von einem Bekannten auf Diskette besorgen
und dann auf dem eigenen Rechner ausführen.
Der Patch für XP
Professional dagegen ist leider über
5 MB groß und kann nur online
oder von
CD installiert werden.
Eine Firewall sollte auf jeden Fall sowohl für DFÜ- als auch für
LAN (Intranet) aktiviert bleiben.
Wählt man sich nämlich über LAN ins WEB ein, kann man zB. Tool
und Patch
herunterladen, ohne dass der Wurm auf den Rechner kommt.
Eine Firewall bitte erst dann wieder deaktivieren (wenn überhaupt...),
nachdem Tool und Patch komplett auf dem Rechner installiert und
ausgeführt sind.
Folgende Ports sollten durch die Firewall auf jeden Fall gesperrt bleiben:
69 UDP, 135 UDP +
TCP, 139 UDP + TCP, 445 UDP + TCP.
Wenn der Rechner durch den Wurm schneller heruntgerfahren wird
als Zeit für den Download des Tools benötigt wird, (z.B. bei
langsamen Analogverbindungen)
kann der Shutdown durch den Taskmanager abgebrochen werden:
Dazu gleichzeitig Strg+Alt+Entf
drücken (Affengriff)
und dann im sich öffnenden Fenster
die laufenden Prozesse mit Namen "msblast.exe"(Blaster A) bzw. "penis.exe" (Blaster B)
beenden.
Sie können aber auch im Startmenü "Ausführen"
aufrufen und in die Kommandozeile "shutdown -a" eingeben.
Das bricht den Countdown sofort ab und man hat genügend Zeit,
sowohl das Tool
als auch den Patch herunterzuladen und auf dem Computer zu
installieren.
Achtung bei Windows
XP:
Beim Installieren des Removal-Tools (fixblast.exe) muss unbedingt
vor dem Start des Removal-Tools die Systemwiederherstellung
deaktiviert werden:
Klicken Sie dazu rechts auf das Symbol
"Arbeitsplatz" - "Einstellungen" - "Systemwiederherstellung".
Im sich öffnenden Fenster die Option "Systemwiederherstellung
deaktivieren".
auswählen und die Nachfrage mit "Ja"
bestätigen.
Dann "Übernehmen" klicken und das Fenster mit "OK" schließen.
Nun das Removal Tool normal starten und den Wurm entfernen lassen.
Am Ende das passende Microsoft-Patch installieren und nach einem
erneuten
(nun negativ verlaufenden) Scan des Tools die
Systemwiederherstellung wieder aktivieren.
Lesen Sie dazu auch:
http://www.sophos.de/support/disinfection/blastera.html
http://www.heise.de/security/news/meldung/39347
Manuelle Entfernung von
W32/Blaster-A und B
auf Windows 95/98/Me und Windows NT/2000/XP :
Drücken Sie gleichzeitig STRG+ALT+ENTF.
Wählen Sie auf Windows NT/2000/XP "Task-Manager" und klicken Sie auf die Registerkarte
"Prozesse".
Suchen Sie in der Liste den Prozess msblast.exe oder penis.exe.
Markieren Sie auf den Prozess, um ihn zu beenden.
Schließen Sie den Task-Manager.
Suchen Sie nach der Datei msblast.exe
oder penis.exe
im Windows-Systemordner
(Unterordner von Windows oder WINNT) und löschen Sie die Datei.
Auf Windows NT/2000/XP bearbeiten Sie außerdem die Registry:
Geben Sie im Startmenue unter Start....Ausführen.... "Regedit"
ein und öffnen Sie mit ENTER der
Registrierungseditor.
Bevor Sie die Registrierung bearbeiten, sollten Sie unbedingt ein
Backup erstellen.
Dies geht am einfachsten mit einer *.reg Datei.
Sie finden eine Anleitung dazu unter meintipregistry.htm
Suchen Sie dann unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Markieren Sie im rechten Fenster
windows
auto update = msblast.exe
Löschen Sie diesen Eintrag, sofern er vorhanden ist.
Schließen Sie nun den Registrierungseditor und starten Sie Ihren
PC neu.
Wiederholen Sie die obigen Schritte um sicherzugehen,
dass alle Teile des Wurms von Ihrem System entfernt wurde.
MEINE MEINUNG:
Verfolgt man die Meldungen in der Presse und beachtet dabei die relative Harmlosigkeit des Wurmes, könnte man rasch zu der Auffassung gelangen, dass der Programmierer dieses Codes sich eher einen warnenden Scherz erlauben wollte als wirklich Schaden anzurichten. Dafür spricht auch die im Code impletierte "Nachricht" an Bill Gates, er solle seine Software lieber sicherer machen anstatt nur Geld zu scheffeln.Das warnende Shutdown-Fenster des Wurmes, die Eigenschaft, keine Daten zu zerstören und auch die rechtzeitige vorherige Pressemeldung, dass am 15.08.2003 eine DOS Attacke gegen die Microsoft Update Seite geplant sei, sprechen ebenfalls dafür, dass es dem Autor lediglich um eine Warnung an Microsoft geht.
Ausgerechnet die von Gates so als
megasicher in den Himmel gehobenen Systeme 2000 und XP sind
Hauptziel des Wurmes.
Alte Systeme wie 95 und 98 bleiben verschont und jedermann kann
den Code relativ einfach wieder entfernen ohne sein System zu
ruinieren.
Die hier vom Wurmprogrammierer
aufgezeigte enorme Sicherheitslücke ist vermutlich kein
Einzelfall in den neueren Systemen.
Da drängt sich mir fast der Verdacht auf, dass dieses
Schlupfloch möglicherweise nicht ohne Grund
bestand.
Man sollte bedenken, dass Win XP sich
seine Komfortabilität recht teuer mit vielfältigen Verletzungen
des Datenschutzes bezahlen lässt und niemand kann den USERN
garantieren,
dass nicht sogar
Microsoft selbst bewusst
und in voller Absicht derartige Hintertürchen eingerichtet hat,
um in Ruhe und völlig unbemerkt seine Kunden auszuspionieren.
Lesen Sie dazu bitte auch: Win98 Trojaner und Spycrosoft 2 und Windoofs XP
Das Konzept ist klar: Was keiner weiß, macht keinen heiß! Und
sollte dieser Hintereingang dann doch einmal entdeckt werden, weiß
man natürlich von nichts und wirft in kürzester Zeit ein
Sicherheitsupdate ins Netz, um diese Lücke wieder zu schließen
und sich damit auf die Seite der "GUTEN" zu schleichen.
Ich persönlich traue
Microsofts Patchen, Sicherheits-Updates und Bugfixes schon lange
nicht mehr!
Denn: Wer garantiert uns, dass damit nicht gleichzeitig und vorsätzlich
wieder eine neue Hintertür installiert wird um die alte zu
ersetzen?
Beweisen wird man den Vorsatz ja ohnehin niemals können.
DER TECHNODOCTOR