Blaster-Wurm: Die Antworten auf Ihre Fragen

Der Blaster-Wurm - auch bekannt unter den Namen "msblast" oder "Lovsan" macht derzeit viel von sich reden. Zudem sind bereits neue Varianten und Nachahmer-Würmer aufgetaucht. Wir liefern die Antworten auf die häufigsten Fragen.

Frage: Welche PCs sind anfällig?

Antwort: Alle PCs, auf denen Windows 2000, Windows XP oder (in einigen Fällen) Windows NT 4.0 installiert ist, sind davon betroffen; es sei denn, das notwendige Sicherheitsupdate ist installiert. PCs mit Windows 98 und Windows ME (Millennium Edition) sollten davon nicht betroffen sein. Informationen finden Sie auch bei Microsoft [1] selber.

Laut CERT/CC sind ausserdem Betriebssystem anfällig, welche die Rechenumgebung DCE (Distributed Computing Environment) der Open Software Foundation verwenden. Genauere Informationen zu betroffenen Systemen sowie Patches zum Herunterladen finden sich auf der Website des CERT/CC [2].

Frage: Wie kann ich eine Infektion verhindern?

Antwort: Sie müssen das Update installieren, das Microsoft schon vor knapp einem Monat bereitgestellt hat. Das ist ganz einfach: Verbinden Sie sich mit dem Internet. Nun starten Sie entweder via Startmenü oder im Internet Explorer im Menü "Extras" das "Windows Update". Damit gelangen Sie auf die Windows-Update-Seite. Klicken Sie dort auf "Updates suchen" und installieren Sie alle Updates, die unter "Wichtige Updates" zu finden sind. Diese sind standardmässig bereits zum Download und zur Installation ausgewählt. Sobald diese installiert sind, wird die Sicherheitslücke gestopft.

Zusätzliche Sicherheit gegen eine Infektion bietet die Installation einer Firewall. Blockieren Sie die Ports [3] 69, 135 und 4444. Neuere Microsoft-Betriebssysteme wie Windows XP oder Server 2003 sind mit einer eigenen Firewall ausgestattet. Windows-XP-User können diese in den Netzwerkeinstellungen unter Start/Systemsteuerung aktivieren. Eine genaue Anleitung finden Sie in unserem Helpdesk [4].

Frage: Ich will das Sicherheitsupdate installieren. Aber kurz nachdem ich mich mit dem Internet verbinde, erscheint ein Fenster, das mir sagt, dass der PC in 60 Sekunden aufgrund des "NT Autoritätssystems" wieder heruntergefahren wird. Diese Zeit reicht mir aber nie, um das Update herunterzuladen. Was soll ich tun?

Antwort: Wenn das Fenster mit der erwähnten Herunterfahr-Ankündigung erscheint, drücken Sie die Tastenkombination "Windowstaste" + "R" oder gehen Sie zum Menü "Start/Ausführen" und tippen Sie CMD ein, worauf sich ein DOS-Fenster öffnet. Tippen Sie dort die untenstehende Zeile ein, die das automatische Herunterfahren verhindert. Bestätigen Sie diese Eingabe mit der Enter-Taste:

shutdown -a

Achtung: Zwischen "shutdown" und "-a" hats ein Leerzeichen.

Frage: Wie sehen die E-Mails aus, mit der sich dieser Virus verschickt?

Antwort: Dieser Schädling ist kein Virus, sondern ein Wurm, denn er steckt keine Dateien an, die schon auf dem PC liegen. Und er verschickt auch überhaupt keine E-Mails. Er kann sich aufgrund der oben erwähnten Sicherheitslücke unbemerkt auf Ihrem PC installieren.

Frage: Muss ich Angst haben, dass der Wurm meine persönlichen Dateien löscht oder gar weiterschickt?

Antwort: Der Blaster-Wurm selber löscht oder verändert keine Dateien. Es sind aber bereits neue Varianten des Schädlings gesichtet worden, die in Kombination mit Trojanern [5] auftreten. Dies erhöht die Gefahr massiv, das Unbefugte Zugriff auf Ihre Daten erhalten.

Frage: Was hatte der "Erfinder" des Blaster-Wurms vor?

Antwort: Die erste bekannte Variante des Wurms ist so programmiert, dass sie die "Windows-Update"-Webseite von Microsoft angreift bzw. mit Datenpaketen überflutet, sodass diese Webseite womöglich nicht mehr erreichbar ist. Je mehr PCs mit diesem Wurm infiziert sind, desto grösser wird das Problem von Microsoft sein, den Windows-Update-Server erreichbar zu halten.

Frage: Offenbar habe ich den Wurm auf meinem System. Wie werde ich ihn wieder los?

Antwort: In unserem Virenticker [6] beschreiben wir die Beseitigung des Wurms anhand des Beseitigungs-Programms von Sophos. Aber auch andere Antivirus-Hersteller haben ähnliche Programme veröffentlicht.

Frage: Wieso hat der Blaster-Wurm verschiedene Namen?

Antwort: Die einen Antivirus-Hersteller haben den Wurm nach einer Datei namens "msblaster.exe" benannt, die der Wurm auf der Festplatte ablegt. Andere haben den Wurm "Lovsan" genannt, weil im Programmcode des Wurms der Text "I just want to say LOVE YOU SAN!!" erscheint.