Neue Version von Blaster löscht Vorgänger

Dritte Variante des Computerwurm verhält sich kurios

Die Trend Labs von Trend Micro haben eine Warnung vor einer neuen Variante des Computerwurm Blaster oder Lovsan ausgesprochen. Das Unternehmen offeriert zugleich ein kostenloses Säuberungstool zur Verfügung.

Wie sein Vorgänger nutzt der Wurm den so genannten RPC DCOM Buffer Overflow in Windows aus und erlaubt einem Angreifer den Vollzugriff auf das infizierte System. Die neue Version, MSBLAST.D, kursiert frei im Internet und infiziert Windows NT, 2000, XP, und 2003 Systeme (Workstation- und Serverversionen).

Kurioserweise lösche die neue Variante seinen Vorgänger MSBLAST.A und erzielt dadurch die Säuberung von Systemen, die befallen sind: Der Wurm sucht laut Trend Micro auf den betroffenen Maschinen nach der Datei msblast.exe. Ist diese Datei vorhanden, löscht der Wurm der Variante „D“ diesen auf dem betroffenen Computer, terminiert den laufenden Prozess und lädt fehlende Patches von Microsoft automatisch nach. Ist der Download dieser Patches dann abgeschlossen, so startet sich der Rechner neu!

MSBLAST.D erreicht den Benutzer als DLLHOST.EXE (~10,240 Byte) und öffnet den Port 707, um seine Schadroutine zu starten. (Hinweis: Es gibt eine Systemdatei mit gleichem Namen, diese ist jedoch nur sechs KByte groß.) Wenn das Systemdatum das Jahr 2004 erreicht hat, oder man das Systemdatum 2004 setzt, löscht er sich selbständig vom System.

Beim originalen Blaster/Lovsan handelt es sich um eine von Experten befürchtete Hackerattacke, die eine Mitte Juli gefundene Lücke in Windows ausnützt. „Blaster hat die Absicht, die Microsoft-Website windowsupdate.com aus dem Internet zu werfen“, berichtete Gernot Hacker, Senior Technical Consultant bei Sophos. „Da der Wurm für eine Denial-of-Service-Attacke auf windowsupdate.com programmiert ist, versucht der Virenschreiber ganz gezielt, Computer-Usern das Herunterladen von Sicherheits-Updates zu erschweren oder gar unmöglich zu machen. Indem die Anwender die Sicherheitslücke in ihrem System nicht schließen können, hat der Blaster Wurm freie Bahn ins Netzwerk. Ein recht gemeiner Trick vom Blaster-Autoren.“ Der Wurm bereitet also den Boden für eine groß angelegte Zerstörungswelle.

Neben Symantec haben viele weitere Antiviren-Experten Tools zum Entfernen der Plage bereitgestellt:

Microsoft Security-Bulletin und Sicherheitspatch
Microsoft Windows XP Sicherheitspatch 1,2 MByte
Microsoft Windows 2000 Sicherheitspatch 1,2 MByte
Microsoft Windows 2000 Service Pack 4
BitDefender Win32.Msblast.A Informationen
BitDefender Win32.Msblast.A Removal-Tool
Symantec W32.Blaster.Worm Informationen
Symantec W32.Blaster.Worm Removal Tool
McAfee W32/Lovsan.worm Informationen
Sophos W32/Blaster-A Informationen

Auch Panda-Software offeriert einen „Quickremover“ sowie einen Online-Virenscanner.

Inzwischen sind mehrere Millionen Rechner von dem Virus befallen. Zahlreiche Anrufer erkundigten sich in der ZDNet-Redaktion, wie man den Virus wieder vom Rechner bekommt.

Auswirkung des Blaster-Wurms: Ist ein Rechner befallen, äußert sich das darin, dass Windows das System herunterfährt, da der RPC-Dienst überlastet ist.

Entfernen des Wurms: Bei jedem Neustart lädt sich der Wurm automatisch ins System. Der Löschversuch von msblast.exe misslingt, weil der Prozess noch aktiv ist. Als erstes muss der Prozess msblast.exe beendet werden. Dazu startet man den Task-Manager und klickt auf Registerkarte Prozesse. Dann markiert man den Prozess und klickt auf Beenden (unten rechts). Die Warnung des Taskmanager bestätigen. Erst dann kann die Datei msblast.exe gelöscht werden.

Registry Einträge entfernen:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = msblast.exe
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = msblast.exe I just want to say LOVE YOU SAN!! bill

Diese Einträge müssen aus der Registry gelöscht werden. Sonst wird der Virus nach dem Neustart des Rechners wieder aktiviert.

Jetzt kann der oben aufgeführte Sicherheits-Patch installiert werden. Voraussetzung ist allerdings, dass bei Windows 2000 mindestens Service Pack 2 installiert ist. Bei Windows XP muss Service Pack 1 installiert sein. Generell empfielt sich die Installation einer Firewall. Damit wäre der Befall des Rechners mit dem Wurm trotz Sicherheitslücke verhindert worden. Bei Windows XP gehört eine Firewall zum Lieferumfang. Für Windows 2000 muss der Anwender eine Firewall erwerben.

Sichern Sie Ihren PC
Zahlreiche Programme zur Erhöhung der Sicherheit wie auch die Removal-Tools des aktuellen Wumrs stehen im Download-Special Ein Ende den Würmern zur Verfügung.


Umfrage zum W32/Blaster-Wurm
Klick: Zur Umfrage zum W32/Blaster-Wurm

Update 14. August 2003
Inzwischen sind zwei neue Blaster-Varianten im Umlauf deren Wirkungsweise ähnlich ist. Allerdings erzeugen die neuen Würmer in der Registry andere Einträge. Die Anbieter von Removal-Tools haben ihre Programme schon darauf angepasst. Wer manuell die neuen Wurm-Spuren vom System entfernen möchte, kann dies mit dem Programm regedit erledigen.

Neue Registry-Einträge entfernen:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„Microsoft Inet Xp..“=“teekids.exe“
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = penis32.exe

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Version von Blaster löscht Vorgänger

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *