W32.Blaster: Wurm-Fix zum Download
heise online spiegelt die Sicherheits-Patches gegen den Windows-Wurm W32.Blaster zum Direkt-Download, da Microsofts Download-Server derzeit hoffnungslos ĂĽberlastet sind.
The following information is also available in English: W32.Blaster: Download Mirror for Worm Patch
Die Schonzeit ist vorbei. Bisher beschränkte sich der Windows-Wurm W32.Blaster darauf, sich möglichst weitflächig zu verbreiten. Doch am 16. August aktiviert der Wurm seine Schadensroutine. In Australien ist bereits Samstag; von dort aus nimmt der Wurm bereits die Microsoft-Website unter Beschuss.
Die Download-Server und die Windows-Update-Site von Microsoft sind daher schon zum jetzigen Zeitpunkt nur noch sporadisch erreichbar. Der Ansturm dürfte in den kommenden Stunden stark zunehmen, wenn weitere Kontinente die Datumsgrenze überschreiten. Inzwischen hat Microsoft die DNS-Auflösung für windowsupdate.com abgeschaltet; windowsupdate.microsoft.com dagegen wird im Domain Name System noch korrekt aufgelöst und ist in der Regel auch erreichbar.
heise online hat sich nach Absprache mit Microsoft Deutschland dazu entschlossen, die zum Stopfen des Sicherheitslochs benötigten Dateien auf dem verlagseigenen FTP-Server zu spiegeln, um eine Nicht-Erreichbarkeit der Microsoft-Server mit den Patches zumindest ansatzweise auszugleichen. Die folgenden Patches stehen ab sofort auf dem Heise-Server zum Download bereit:
- Windows XP (Home & Professional): 32-Bit-Version [deutsch / englisch]
- Windows XP: 64-Bit-Version [deutsch / englisch]
- Windows Server 2003: 32-Bit-Version [deutsch / englisch]
- Windows Server 2003: 64-Bit-Version [deutsch / englisch]
- Windows 2000 (Professional & Server) [deutsch / englisch]
- Windows NT 4.0 Server (funktioniert auch bei Workstation) [deutsch / englisch]
- Windows NT 4.0 Terminal Server [deutsch / englisch]
Im Unterschied zu anderen Würmern verbreitet sich W32.Blaster ohne Zutun des Anwenders. Zur Fortpflanzung nutzt der Wurm eine Sicherheitslücke im RPC-Protokoll aller Windows-Varianten ab NT 4. Der Anwender muss also kein Outlook-Attachment öffnen oder eine präparierte Website aufrufen, damit sein Rechner infiziert wird.
Die Tatsache, dass man verwundbar ist, macht sich oft dadurch bemerkbar, dass ein Fenster plötzlich ankündigt, dass der RPC-Dienst beendet wurde und der gesamte Rechner daher innerhalb einer Minute heruntergefahren wird. Nach dem Ablauf des Countdowns schließt Windows alle Anwendungen und beendet die Sitzung. Erfahrene Anwender können den Countdown auf der Kommandozeile mit dem Befehl "shutdown -a" abbrechen. Auch wenn dieser Absturz auf einen fehlgeschlagenen Infektionsversuch zurückzuführen ist, ist die Chance recht hoch, dass der Rechner bereits infiziert ist.
Wege zum Schutz
Wenn Sie Windows XP einsetzen und Ihr System noch nicht infiziert ist, trennen Sie jetzt die Verbindung zum Netz und aktivieren Sie die in XP enthaltene Internetverbindungs-Firewall.
XP-Firewall aktivieren
Klicken Sie auf den Start-Knopf und rufen Sie von dort aus die Systemsteuerung aus. Wählen Sie dort das Symbol "Netzwerk- und Internetverbindungen" aus und klicken Sie dort auf "Netzwerkverbindungen". Wählen Sie die von Ihnen genutzte Internet-Verbindung aus. Ein Rechtsklick öffnet ein Kontextmenü, aus dem Sie den Punkt "Eigenschaften" auswählen. Hinter dem Karteireiter "Erweitert" findet sich eine Option "Internetverbindungsfirewall". Aktivieren Sie "Diesen Computer und das Netzwerk schützen".
Personal Firewalls
Die Internetverbindungs-Firewall gibt es nur bei XP. Wenn Sie eine andere Personal Firewall benutzen, sperren Sie darin die folgenden Ports:
- UDP und TCP: Ports 135, 139, 445
- UDP: Port 69
- TCP: Ports 593, 4444
System patchen
Laden Sie den RPC-Patch fĂĽr Ihr Betriebssystem auf Ihren Rechner -- die Download-URLs finden Sie oben am Anfang dieser Meldung.
Nach erfolgtem Patch müssen Sie möglicherweise den Rechner neu starten. Das ist normal und kein Zeichen für eine W32.Blaster-Infektion.
Unter Umständen müssen Sie zuerst die Systemwiederherstellung von Windows ME/XP deaktivieren. Dies geschieht über Start / Systemsteuerung / System. Schalten Sie dort im Karteireiter "Systemwiederherstellung" die Option "Systemwiederherstellung auf allen Laufwerken deaktivieren" ein.
Nach erfolgreicher Installation des Patches und Desinfektion des Systems können Sie die Systemwiederherstellung über denselben Dialog wieder einschalten.
System desinfizieren
Die meisten Antivirus-Hersteller bieten mittlerweile spezialisierte Removal-Werkzeuge an. Wenn Sie eine Antiviren-Software installiert haben, aktualisieren Sie sie mit den neuesten Virendefinitionen und starten Sie einen Scan ĂĽber alle lokalen Laufwerke.
Wenn Sie keine Antivirus-Software besitzen, können Sie eines der folgenden Standalone-Werkzeuge benutzen:
- ClnPoza von Computer Associates (Direkt-Download / Informationen zum Wurm)
- FixBlast von Symantec (Direkt-Download / Informationen zum Wurm)
- Stinger von Network Associates (Direkt-Download / Informationen zum Wurm)
- System Cleaner von TrendMicro (Direkt-Download / Informationen zum Wurm)
Folgen Sie den Anweisungen des Programms. In den meisten Fällen ist nach der Desinfektion ein Neustart des Systems fällig. Stellen Sie nach dem Neustart des Rechners durch einen zweiten Durchlauf des Scan-Werkzeugs sicher, dass Ihr System sauber ist.
Sicherheitshalber können Sie mit dem MS03-026 Scanning Tool von Microsoft sicherstellen, dass der Rechner nicht mehr angreifbar ist (Direkt-Download bei Microsoft). Nach der Installation des Werkzeugs rufen Sie das Programm auf der Kommandozeile mit dem Parameter "localhost" auf (also z.B. c:\Programme\KB823980Scan\KB823980Scan.exe localhost). Das Tool gibt dann aus, ob das System gepatcht wurde. (ghi)