Menü

W32.Blaster: Wurm-Fix zum Download

vorlesen Drucken Kommentare lesen 875 Beiträge

The following information is also available in English: W32.Blaster: Download Mirror for Worm Patch

Die Schonzeit ist vorbei. Bisher beschränkte sich der Windows-Wurm W32.Blaster darauf, sich möglichst weitflächig zu verbreiten. Doch am 16. August aktiviert der Wurm seine Schadensroutine. In Australien ist bereits Samstag; von dort aus nimmt der Wurm bereits die Microsoft-Website unter Beschuss.

Die Download-Server und die Windows-Update-Site von Microsoft sind daher schon zum jetzigen Zeitpunkt nur noch sporadisch erreichbar. Der Ansturm dürfte in den kommenden Stunden stark zunehmen, wenn weitere Kontinente die Datumsgrenze überschreiten. Inzwischen hat Microsoft die DNS-Auflösung für windowsupdate.com abgeschaltet; windowsupdate.microsoft.com dagegen wird im Domain Name System noch korrekt aufgelöst und ist in der Regel auch erreichbar.

heise online hat sich nach Absprache mit Microsoft Deutschland dazu entschlossen, die zum Stopfen des Sicherheitslochs benötigten Dateien auf dem verlagseigenen FTP-Server zu spiegeln, um eine Nicht-Erreichbarkeit der Microsoft-Server mit den Patches zumindest ansatzweise auszugleichen. Die folgenden Patches stehen ab sofort auf dem Heise-Server zum Download bereit:

Im Unterschied zu anderen Würmern verbreitet sich W32.Blaster ohne Zutun des Anwenders. Zur Fortpflanzung nutzt der Wurm eine Sicherheitslücke im RPC-Protokoll aller Windows-Varianten ab NT 4. Der Anwender muss also kein Outlook-Attachment öffnen oder eine präparierte Website aufrufen, damit sein Rechner infiziert wird.

Die Tatsache, dass man verwundbar ist, macht sich oft dadurch bemerkbar, dass ein Fenster plötzlich ankündigt, dass der RPC-Dienst beendet wurde und der gesamte Rechner daher innerhalb einer Minute heruntergefahren wird. Nach dem Ablauf des Countdowns schließt Windows alle Anwendungen und beendet die Sitzung. Erfahrene Anwender können den Countdown auf der Kommandozeile mit dem Befehl "shutdown -a" abbrechen. Auch wenn dieser Absturz auf einen fehlgeschlagenen Infektionsversuch zurückzuführen ist, ist die Chance recht hoch, dass der Rechner bereits infiziert ist.

Wenn Sie Windows XP einsetzen und Ihr System noch nicht infiziert ist, trennen Sie jetzt die Verbindung zum Netz und aktivieren Sie die in XP enthaltene Internetverbindungs-Firewall.

Klicken Sie auf den Start-Knopf und rufen Sie von dort aus die Systemsteuerung aus. Wählen Sie dort das Symbol "Netzwerk- und Internetverbindungen" aus und klicken Sie dort auf "Netzwerkverbindungen". Wählen Sie die von Ihnen genutzte Internet-Verbindung aus. Ein Rechtsklick öffnet ein Kontextmenü, aus dem Sie den Punkt "Eigenschaften" auswählen. Hinter dem Karteireiter "Erweitert" findet sich eine Option "Internetverbindungsfirewall". Aktivieren Sie "Diesen Computer und das Netzwerk schützen".

Die Internetverbindungs-Firewall gibt es nur bei XP. Wenn Sie eine andere Personal Firewall benutzen, sperren Sie darin die folgenden Ports:

  • UDP und TCP: Ports 135, 139, 445
  • UDP: Port 69
  • TCP: Ports 593, 4444

Laden Sie den RPC-Patch für Ihr Betriebssystem auf Ihren Rechner -- die Download-URLs finden Sie oben am Anfang dieser Meldung.

Nach erfolgtem Patch müssen Sie möglicherweise den Rechner neu starten. Das ist normal und kein Zeichen für eine W32.Blaster-Infektion.

Unter Umständen müssen Sie zuerst die Systemwiederherstellung von Windows ME/XP deaktivieren. Dies geschieht über Start / Systemsteuerung / System. Schalten Sie dort im Karteireiter "Systemwiederherstellung" die Option "Systemwiederherstellung auf allen Laufwerken deaktivieren" ein.

Nach erfolgreicher Installation des Patches und Desinfektion des Systems können Sie die Systemwiederherstellung über denselben Dialog wieder einschalten.

Die meisten Antivirus-Hersteller bieten mittlerweile spezialisierte Removal-Werkzeuge an. Wenn Sie eine Antiviren-Software installiert haben, aktualisieren Sie sie mit den neuesten Virendefinitionen und starten Sie einen Scan über alle lokalen Laufwerke.

Wenn Sie keine Antivirus-Software besitzen, können Sie eines der folgenden Standalone-Werkzeuge benutzen:

Folgen Sie den Anweisungen des Programms. In den meisten Fällen ist nach der Desinfektion ein Neustart des Systems fällig. Stellen Sie nach dem Neustart des Rechners durch einen zweiten Durchlauf des Scan-Werkzeugs sicher, dass Ihr System sauber ist.

Sicherheitshalber können Sie mit dem MS03-026 Scanning Tool von Microsoft sicherstellen, dass der Rechner nicht mehr angreifbar ist (Direkt-Download bei Microsoft). Nach der Installation des Werkzeugs rufen Sie das Programm auf der Kommandozeile mit dem Parameter "localhost" auf (also z.B. c:\Programme\KB823980Scan\KB823980Scan.exe localhost). Das Tool gibt dann aus, ob das System gepatcht wurde.