W32/Blaster, MSBlast, Lovsan

Mitte Juli 2003 wurde eine Sicherheitslücke entdeckt, die es einem Angreifer erlauben könnte, von aussen auf einen PC zuzugreifen. Diese Sicherheitslücke wird in Fachkreisen als "Buffer Overrun in RPC Interface" oder auch "DCOM/RPC" bezeichnet und betrifft Windows NT, Windows 2000, Windows XP sowie Windows 2003. Benutzer dieser Windows-Versionen sollten unbedingt das entsprechende Update installieren. Links hierzu finden Sie in der Beschreibung [1] von Microsoft. Das Update ist zudem auch über die Windows-Update-Seite erhältlich, die Sie via Startmenü oder im Internet Explorer via "Extras/Windows Update" erreichen.

Wer eine Firewall besitzt, sollte darin die Port-Nummern 69, 135 und 4444 sperren.

Keinen Monat nach der Entdeckung der erwähnten Sicherheitslücke ist ein Computerwurm aufgetaucht, der diese Lücke ausnutzt. Der Schädling erreichte innert kürzester Zeit eine sehr hohe Verbreitung.

Dieser Wurm verschickt keine E-Mails, sondern greift die PCs direkt via Internet oder übers lokale Netzwerk an. Findet er einen PC, der die Schwachstelle aufweist, kann er sich aufgrund dieses Sicherheitslecks direkt auf dessen Festplatte installieren und von dort aus auf die gleiche Weise weiterverbreiten - ohne dass der Benutzer etwas davon mitbekommt.

Der Wurm erstellt in der Windows-Registry einen solchen Eintrag:

"windows auto update"="msblast.exe"

und zwar in diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Die Datei namens msblast.exe legt der Wurm im Windows-System-Ordner ab.

Ab dem 16. August 2003 wird der Wurm von den infizierten PCs aus eine so genannte "Distributed Denial of Service"-Attacke fahren: Dann beginnen nämlich alle infizierten PCs, Microsofts Windows-Update-Webseite mit Datenpaketen zu überfluten, sodass diese zusammenbrechen könnte.

Wie zum Beispiel bei F-Secure zu lesen [2] ist, fangen einige angegriffene Windows-XP-Rechner mit ständigen PC-Neustarts an. Wer mit diesem Phänomen zu kämpfen hat, wird womöglich keine Chance haben, allfällige Updates oder Beseitigungsprogramme herunterzuladen. Den automatischen Neustarts geht jeweils eine Windows-Fehlermeldung voraus, die mitten in der Arbeit erscheint. Die Meldung informiert darüber, dass der PC aufgrund des "NT Autoritäts-Systems" in 60 Sekunden heruntergefahren wird (Screenshots sind bei F-Secure zu sehen).

F-Secure gibt einen Tipp, wie Sie dieses Herunterfahren jeweils verhindern können, wenn Sie schnell genug sind: Sobald Sie das Fenster sehen, gehen Sie zu "Start/Ausführen" (oder drücken "Windows-Taste" + "R"), tippen Sie CMD ein und drücken Sie "Enter". Nun öffnet sich ein DOS-Fenster, in welches Sie folgendes Eintippen und anschliessend per Enter bestätigen:

shutdown -a

Alle Antivirus-Hersteller haben Informationen zu diesem Schädling bereitgestellt, teils sogar mit Beseitigungswerkzeugen, so etwa NAI [3], Symantec [4] und Sophos [5]. Anhand des Beseitigungs-Tools von Sophos erklären wir Ihnen, wie Sie den Schädling loswerden, falls er auf Ihrer Platte sitzt:

Laden Sie von Sophos die Datei blastsfx.exe [6] herunter. Wenn Sie sie doppelklicken, entpacken sich die darin enthaltenen Dateien automatisch in den Ordner C:\SOPHTEMP.

- Gehen Sie nun zu "Start/Ausführen"

- Tippen Sie CMD ein und drücken Sie die Enter-Taste.

- Tippen Sie exakt die folgende Zeile ein und drücken Sie erneut Enter:

C:\SOPHTEMP\RESOLVE.COM -DF=BLASTERA.DAT -NOC

Beachten Sie bei der Eingabe, dass es zwischen "resolve.com" und "-DF" und zwischen "BLASTERA.DAT" und "-NOC" je ein Leerzeichen hat.

Dies stoppt den Wurm-Prozess, entfernt dessen Dateien und auch den von ihm angelegte Registry-Eintrag. Nun sollten Sie umgehend das versäumte Update installieren, sonst kommt der Wurm schneller zurück als Sie ahnen.

Update 09.01.2004:

Auch Microsoft hat jetzt ein Tool bereitgestellt, um den Blaster-Wurm zu entfernen. Trotzdem brauchen Sie natürlich die Windows-Updates, um die Sicherheitslücke zu schliessen. Die Links dazu finden Sie auf der Tool-Downloadseite [7] bei Microsoft.