|
  |
 Die W32.Blaster-Wurmattacke...der Workshop ! |
Cerberus 
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
 |
|
 Die W32.Blaster-Wurmattacke...der Workshop ! |
     |
Nach den letzten beiden nicht nur in temperaturtechnischer Hinsicht heißenTagen war der Hilfeschrei aus der Windows-Gemeinde deutlich zu vernehmen.
Was war geschehen?
Der seit langem erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst auf NT-basierten Betriebssystemen für seine Zwecke ausnutzt, war und ist im Internet unterwegs und fällt über die Rechner her wie eine Heuschreckenplage.
Die Protagonisten der Secure-Szene nennen den Wurm:
- W32/Lovsan.worm (McAfee)
- Win32.Poza (CA)
- Lovsan (F-Secure)
- WORM_MSBLAST.A (Trendmicro)
- W32/Blaster-A (Sophos)
- W32/Blaster (Panda)
Betroffene Betriebssysteme:
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows NT Workstation 4.0
Symantec-Infos zum Wurm
Was genau bewirkt der Wurm?
Der Wurm nutzt die befallenen PCs nur als Verbreitungsplattform und hatte keine Schadfunktion, was aber auf die zu erwartenden Mutationen ganz sicher nicht zutrifft.
W32.Blaster verbreitet sich über einen zu patchenden Fehler im RPC-Dienst (Remoteprozeduraufruf) auf Port 135.
Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Der Wurm-Code enthält übrigens einen Text, der sich an Bill Gates von Microsoft richtet:
I just want to say LOVE
YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
W32.Blaster zeigt beim Angriff auf die Rechner einige üble und unerwünschte Nebeneffekte:
Eine Fehlermeldung erscheint bei einigen Systemen in einem entsprechenden Pop-up-Fenster mit dem Hinweis, daß der PC neu gestartet werden muß.
Zum Vergrößern bitte das Bild anklicken !
Anschließend wird der PC automatisch heruntergefahren. Dieser Mechanismus wiederhollt sich etwa alle 60 Sekunden, d.h. man hat ohne geiegnete Gegenmaßnahmen kaum Zeit darauf angemessen zu reagieren.
Dieser Effekt entsteht aus Unkenntnis des Wurms über die Plattform des gerade angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann aber Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.
Wie kann man sich schützen?
Das ist relativ leicht, denn Microsoft hat schon vor geraumer Zeit vor diesen Gefahren gewarnt und einen entsprechenden Patch zur Verfügung gestellt.
Wer also in den letzten Wochen seinen Rechner über das Windows-Update aktualisiert hatte, bekam auch keinen Besuch, denn der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst.
Zum anderen macht es sehr viel Sinn, die TCP-Ports 135, 139, 445, 593 und 4444, sowie die UDP-Ports 135, 137, 138 und 69 durch die hoffentlich vorhandene Firewall zu blockieren und somit der Attacke ganz gezielt vorzubeugen.
Darüber hinaus sollte man unbedingt die Datei- und Druckerfreigabe abschalten, um beim Surfen z.b. GUI-Angriffe zu verhindern :
Rechtsklick auf Netzwerkumgebung ->Eigenschaften ->Rechtsklick auf dortige Verbindung ->Eigenschaften : Dort für Datei- und Druckerfreigabe das Häckchen herrausnehmen.
Mein System ist infiziert, was kann ich jetzt tun?
Nun zunächst einmal Ruhe bewahren, der Wurm ist zwar hartnäckig aber mit geeigneten Maßnahmen rückhaltlos zu entfernen.
Um die nachfolgenden Lösungsschritte erfolgreich durchführen zu können, müssen für Windows 2000 das Servicepack 2 und für Windows XP das Servicepack 1 installiert sein. Ist dies nicht der Fall, dann solltet ihr dies spätestens jetzt nachholen, für Windows 2000 dann aber bitte gleich das Servicepack 4 installieren.
Microsoft-Servicepacks
1. Schritt:
Wir starten über Start ->Ausführen den Befehl shutdown -a
Zum Vergrößern bitte das Bild anklicken !
das verhindert den permanten ungewollten Reboot und bringt uns die Zeit alle benötigten Patches und Tools downzuloaden. Dazu braucht ihr selbstverständlich Administratorrechte!
Bei Windows 2000 funktioniert diese Befehl nicht, darum müssen wir hier zunnächst einmal die Internetverbindung kappen und Blasterprozesse im Taskmanager stoppen, als da sind "msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe".
Danach können wir auch unter Windows 2000 wieder ins Internet, um mit Schritt 2 fortzufahren.
Es kann übrigens schon zu diesem Zeitpunkt nicht schaden, die TCP-Ports 135, 139, 445, 593 und 4444, sowie die UDP-Ports 135, 137, 138 und 69 durch die Firewall sperren zu lassen.
2. Schritt:
Wir laden uns für das jeweilige Betriebssystem den benötigten Patch von Microsoft herunter.
Patch für Windows NT 4.0-alle Versionen
Patch für Windows 2000-alle Versionen
Patch für Windows XP-alle Versionen
Patch für Windows 2003 Server-32Bit
Patch für Windows 2003 Server-64Bit
Security-Bulletin von Microsoft
Artikel aus der Microsoft-Knowledgebase
Sollte der Microsoft-Server nicht erreichbar sein, empfiehlt sich alternativ dazu der von Microsoft dazu gemietete Heise-Server:
zur Downloadseite von Heise.de
Danach begeben wir uns auf die Symantecseite und laden das Removetool herunter, um den Wurm rückhaltlos entfernen zu können. Aktualisiert bitte bei der Gelegenheit auch gleich eure Virenscanner und Firewalls.
Tool von Symantec zum Entfernen des Wurms
Aktuelle Anti-Viren-Updates von Symantec
3. Schritt:
Nachdem wir nun alles Benötigte parat haben, schalten wir die Systemwiederherstellung ab
Zum Vergrößern bitte das Bild anklicken !
anschließend kappen wir unsere Internetverbindung, starten den Rechner neu, und wechseln per F8 in den abgesicherten Modus.
Der Wurm erzeugt Registryeinträge, durch die er beim normalen Starten von Windows mitgestartet wird und er legt jedes mal eine Sicherungskopie von sich selbst an, die dann sozusagen als Wurmclon gestartet wird. Allerdings hat dieser Clon einen anderen unauffälligen Namen. Sollte die 'msblast.exe' dann also gelöscht werden (incl. Registryeintrag) so schaltet sich der Clon des Programms frei, übernimmt den Job des "Originals" und installiert die 'msblast.exe' inklusive Registryeintrag unverschämterweise neu.
Im abgesicherten Modus führen wir nun also das Remove-Tool von Symantec/Bitdefender aus,
Zum Vergrößern bitte das Bild anklicken !
rufen die Registry per Start ->Ausführen ->Regedit.exe ->Enter auf und prüfen anschließend die Registry über Bearbeiten ->Suchen auf folgende Einträge:
"msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe"
Zum Vergrößern bitte das Bild anklicken !
Sollten sich Einträge in der Registry finden, dann löscht diese Einträge und führt die Suche per F3 solange weiter, bis keine löschrelevanten Einträge mehr gefunden werden.
Gleichermaßen gehen wir über die Dateisuche vor, achtet aber darauf, daß auch versteckte Dateien angezeigt werden!
Zum Vergrößern bitte das Bild anklicken !
Über Start ->Ausführen Msconfig.exe rufen wir das Systemkonfigurationsprogramm auf und wechseln auf den Karteireiter "Systemstart",
Zum Vergrößern bitte das Bild anklicken !
dort prüfen wir die Autostarteinträge auf mögliche Einträge wie "msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe". Solltet ihr Windows 2000 verwenden, bekommt ihr Msconfig hier
.
Zur Sicherheit starten wir neu und wechseln nochmals in den abgesicherten Modus, wo wir zur Kontrolle noch einmal die Registry und die Dateien per Suchfunktion auf die bewußten Dateien checken.
Jetzt erst installieren wir die runtergeladenen Patches von Microsoft und starten den Rechner im "normalen" Modus, um dann den Taskmanager abschließend noch auf mögliche Prozesseinträge zu kontrollieren.
Zum Vergrößern bitte das Bild anklicken !
- Öffnet den Taskmanger per Strg+Alt+Entf.
- Klickt auf die Registerkarte "Prozesse".
- Durchsucht die Liste nach msblast.exe.
- Nach unserer Reinigungsaktion sollten zwar keine Einträge mehr vorhanden sein, aber wenn ihr msblast.exe finden solltet, klickt bitte zuerst auf die Datei und anschließend auf "Prozess beenden".
- Schließt den Task-Manager.
Wenn sich Einträge finden lassen, dann beginnt die Reinigungsprozedur von vorne!!!
4. Schritt:
Nachdem nun hoffentlich alle Dateien des Schädlings eliminiert wurden und das System per Patchupdate relativ sicher ist vor weiteren Attacken, führen wir mit unserem upgedateten Virenscanner eine komplette Systemanalyse durch und prüfen unser System anschließend auch noch mit Anti Trojan
.
Solltet ihr über keinen Virenscanner verfügen, so könnt ihr bei TrendMicro
einen Onlinescan durchführen lassen.
Alternativ dazu ist der Onlinescan von bitdefender
ebenfalls sehr empfehlenswert.
Wenn alles wieder rund läuft, könnt ihr eure Systemwiederherstellung wieder aktivieren und hoffentlich entspannt und störungsfrei arbeiten.
Falls wider Erwarten noch Probleme auftauchen, dann erörtern wir diese gerne in unseren Foren.
Kann ich für die Zukunft vorbeugende Maßnahmen ergreifen?
Aber unbedingt, denn eine vernünftig konfigurierte und zuverlässige Firewall inclusive eines leistungsfähigen Virenscanners sind absolute Pflicht und ein einscheidender Schritt in die richtige Richtung.
Allerdings steht und fällt diese Strategie mit der regelmäßigen Aktualisierung dieser Programme, was natürlich, wie man gerade wieder einmal allzu deutlich sieht, auch auf die entsprechenden Betriebssysteme zutrifft.
Des weiteren sollten ebenfalls ständig aktuell gehaltene Anti-Trojaner-Programme wie z.B. Anti-Trojan 5.5 auf eurer Einkaufsliste ganz oben stehen.
Alle eure Bemühungen sollten unter der Prämisse stehen:
Der nächste Wurm kommt bestimmt !
Update
Mittlerweile gibt es einen zweiten Patch gegen die W32-Blaster-Attacken, der ebenfalls unbedingt installiert werden muß: zum Artikel
.
Die permanente Aktualisierung eures Betriebssystems ist selbstverständlich ein unumgänglicher weiterer Sicherheitsaspekt.
Weiterführende Links:
Diesen Workshop wollen wir euch abschließend noch mit auf den Weg geben, denn er behandelt u.a. auch den Sinn von Betriebssystem-und Softwareaktualisierungen und das auch aus der aktuellen sicherheitstechnischen Relevanz heraus.
Der große PC-Wartungs-und Pflege-Workshop Teil 2
Um nach einer frischen Installation eures Betriebssystems gewappnet zu sein, ist die Service-CD von Microsoft ein äußerst probates Mittel. Solltet ihr aber keine CD mehr bestellen können, im November gab es sie in fast jedem bekannten PC-Magazin und jetzt wieder in einer Neuauflage!
Kostenlose Support und Service-CD von Microsoft als Wurmprofilaxe
Weitere wichtiger Artikel mit entsprechender Relevanz:
Windows 2000/XP: Safer Surfen...der Sicherheitsworkshop
DCOM/RPC Schwachstellen abschotten
W32.Sasser-Wurm Workaround
Cerberus
|
|
12.08.2003 21:08 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2023 PC-Experience.de |
|
