PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Artikel und Workshops: (https://www.pc-experience.de/wbb2/board.php?boardid=60)
-- Windows NT, 2000, XP, Tipps und Tricks: (https://www.pc-experience.de/wbb2/board.php?boardid=20)
--- Die W32.Blaster-Wurmattacke...der Workshop ! (https://www.pc-experience.de/wbb2/thread.php?threadid=4328)
Anschließend wird der PC automatisch heruntergefahren. Dieser Mechanismus wiederhollt sich etwa alle 60 Sekunden, d.h. man hat ohne geiegnete Gegenmaßnahmen kaum Zeit darauf angemessen zu reagieren.
Dieser Effekt entsteht aus Unkenntnis des Wurms über die Plattform des gerade angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann aber Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.
Das ist relativ leicht, denn Microsoft hat schon vor geraumer Zeit vor diesen Gefahren gewarnt und einen entsprechenden Patch zur Verfügung gestellt.
Wer also in den letzten Wochen seinen Rechner über das Windows-Update aktualisiert hatte, bekam auch keinen Besuch, denn der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst.
Zum anderen macht es sehr viel Sinn, die TCP-Ports 135, 139, 445, 593 und 4444, sowie die UDP-Ports 135, 137, 138 und 69 durch die hoffentlich vorhandene Firewall zu blockieren und somit der Attacke ganz gezielt vorzubeugen.
Darüber hinaus sollte man unbedingt die Datei- und Druckerfreigabe abschalten, um beim Surfen z.b. GUI-Angriffe zu verhindern :
Rechtsklick auf Netzwerkumgebung ->Eigenschaften ->Rechtsklick auf dortige Verbindung ->Eigenschaften : Dort für Datei- und Druckerfreigabe das Häckchen herrausnehmen.
Nun zunächst einmal Ruhe bewahren, der Wurm ist zwar hartnäckig aber mit geeigneten Maßnahmen rückhaltlos zu entfernen.
Um die nachfolgenden Lösungsschritte erfolgreich durchführen zu können, müssen für Windows 2000 das Servicepack 2 und für Windows XP das Servicepack 1 installiert sein. Ist dies nicht der Fall, dann solltet ihr dies spätestens jetzt nachholen, für Windows 2000 dann aber bitte gleich das Servicepack 4 installieren.
das verhindert den permanten ungewollten Reboot und bringt uns die Zeit alle benötigten Patches und Tools downzuloaden. Dazu braucht ihr selbstverständlich Administratorrechte!
Bei Windows 2000 funktioniert diese Befehl nicht, darum müssen wir hier zunnächst einmal die Internetverbindung kappen und Blasterprozesse im Taskmanager stoppen, als da sind "msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe".
Danach können wir auch unter Windows 2000 wieder ins Internet, um mit Schritt 2 fortzufahren.
Es kann übrigens schon zu diesem Zeitpunkt nicht schaden, die TCP-Ports 135, 139, 445, 593 und 4444, sowie die UDP-Ports 135, 137, 138 und 69 durch die Firewall sperren zu lassen.
Wir laden uns für das jeweilige Betriebssystem den benötigten Patch von Microsoft herunter.
Nachdem wir nun alles Benötigte parat haben, schalten wir die Systemwiederherstellung ab
anschließend kappen wir unsere Internetverbindung, starten den Rechner neu, und wechseln per F8 in den abgesicherten Modus.
Der Wurm erzeugt Registryeinträge, durch die er beim normalen Starten von Windows mitgestartet wird und er legt jedes mal eine Sicherungskopie von sich selbst an, die dann sozusagen als Wurmclon gestartet wird. Allerdings hat dieser Clon einen anderen unauffälligen Namen. Sollte die 'msblast.exe' dann also gelöscht werden (incl. Registryeintrag) so schaltet sich der Clon des Programms frei, übernimmt den Job des "Originals" und installiert die 'msblast.exe' inklusive Registryeintrag unverschämterweise neu.
Im abgesicherten Modus führen wir nun also das Remove-Tool von Symantec/Bitdefender aus,
rufen die Registry per Start ->Ausführen ->Regedit.exe ->Enter auf und prüfen anschließend die Registry über Bearbeiten ->Suchen auf folgende Einträge:
"msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe"
Sollten sich Einträge in der Registry finden, dann löscht diese Einträge und führt die Suche per F3 solange weiter, bis keine löschrelevanten Einträge mehr gefunden werden.
Gleichermaßen gehen wir über die Dateisuche vor, achtet aber darauf, daß auch versteckte Dateien angezeigt werden!
Über Start ->Ausführen Msconfig.exe rufen wir das Systemkonfigurationsprogramm auf und wechseln auf den Karteireiter "Systemstart",
dort prüfen wir die Autostarteinträge auf mögliche Einträge wie "msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe". Solltet ihr Windows 2000 verwenden, bekommt ihr Msconfig hier
.
Zur Sicherheit starten wir neu und wechseln nochmals in den abgesicherten Modus, wo wir zur Kontrolle noch einmal die Registry und die Dateien per Suchfunktion auf die bewußten Dateien checken.
Jetzt erst installieren wir die runtergeladenen Patches von Microsoft und starten den Rechner im "normalen" Modus, um dann den Taskmanager abschließend noch auf mögliche Prozesseinträge zu kontrollieren.
- Öffnet den Taskmanger per Strg+Alt+Entf.
- Klickt auf die Registerkarte "Prozesse".
- Durchsucht die Liste nach msblast.exe.
- Nach unserer Reinigungsaktion sollten zwar keine Einträge mehr vorhanden sein, aber wenn ihr msblast.exe finden solltet, klickt bitte zuerst auf die Datei und anschließend auf "Prozess beenden".
- Schließt den Task-Manager.
Wenn sich Einträge finden lassen, dann beginnt die Reinigungsprozedur von vorne!!!
Nachdem nun hoffentlich alle Dateien des Schädlings eliminiert wurden und das System per Patchupdate relativ sicher ist vor weiteren Attacken, führen wir mit unserem upgedateten Virenscanner eine komplette Systemanalyse durch und prüfen unser System anschließend auch noch mit Anti Trojan
.
Solltet ihr über keinen Virenscanner verfügen, so könnt ihr bei TrendMicro
einen Onlinescan durchführen lassen.
Alternativ dazu ist der Onlinescan von bitdefender
ebenfalls sehr empfehlenswert.
Wenn alles wieder rund läuft, könnt ihr eure Systemwiederherstellung wieder aktivieren und hoffentlich entspannt und störungsfrei arbeiten.
Falls wider Erwarten noch Probleme auftauchen, dann erörtern wir diese gerne in unseren Foren.
Aber unbedingt, denn eine vernünftig konfigurierte und zuverlässige Firewall inclusive eines leistungsfähigen Virenscanners sind absolute Pflicht und ein einscheidender Schritt in die richtige Richtung.
Allerdings steht und fällt diese Strategie mit der regelmäßigen Aktualisierung dieser Programme, was natürlich, wie man gerade wieder einmal allzu deutlich sieht, auch auf die entsprechenden Betriebssysteme zutrifft.
Des weiteren sollten ebenfalls ständig aktuell gehaltene Anti-Trojaner-Programme wie z.B. Anti-Trojan 5.5 auf eurer Einkaufsliste ganz oben stehen.
Alle eure Bemühungen sollten unter der Prämisse stehen:
Mittlerweile gibt es einen zweiten Patch gegen die W32-Blaster-Attacken, der ebenfalls unbedingt installiert werden muß: zum Artikel
.
Die permanente Aktualisierung eures Betriebssystems ist selbstverständlich ein unumgänglicher weiterer Sicherheitsaspekt.
Diesen Workshop wollen wir euch abschließend noch mit auf den Weg geben, denn er behandelt u.a. auch den Sinn von Betriebssystem-und Softwareaktualisierungen und das auch aus der aktuellen sicherheitstechnischen Relevanz heraus.