PC-Experience - IT-Portal für Reviews, Artikel, Windows Tipps und Problemlösungen -

PC-Experience
Registrierungdie Foren-Regelndie 2016 überarbeiteten FAQs für unser CMS und das ForumImpressum und DatenschutzSucheKalenderMitgliederlistezu unseren ArtikelnTutorialsZur Startseitezur Forenübersicht


PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Die W32.Blaster-Wurmattacke...der Workshop ! » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Thema ist geschlossen
Zum Ende der Seite springen Die W32.Blaster-Wurmattacke...der Workshop !
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Cerberus Cerberus ist männlich
Chefredakteur


Dabei seit: 23.07.2002
Beiträge: 12.058
Herkunft: Lübeck

Achtung Die W32.Blaster-Wurmattacke...der Workshop ! Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen





Nach den letzten beiden nicht nur in temperaturtechnischer Hinsicht heißenTagen war der Hilfeschrei aus der Windows-Gemeinde deutlich zu vernehmen.

Was war geschehen?

Der seit langem erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst auf NT-basierten Betriebssystemen für seine Zwecke ausnutzt, war und ist im Internet unterwegs und fällt über die Rechner her wie eine Heuschreckenplage.
Die Protagonisten der Secure-Szene nennen den Wurm:

- W32/Lovsan.worm (McAfee)
- Win32.Poza (CA)
- Lovsan (F-Secure)
- WORM_MSBLAST.A (Trendmicro)
- W32/Blaster-A (Sophos)
- W32/Blaster (Panda)


Betroffene Betriebssysteme:

Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows NT Workstation 4.0


Symantec-Infos zum Wurm





Was genau bewirkt der Wurm?

Der Wurm nutzt die befallenen PCs nur als Verbreitungsplattform und hatte keine Schadfunktion, was aber auf die zu erwartenden Mutationen ganz sicher nicht zutrifft.
W32.Blaster verbreitet sich über einen zu patchenden Fehler im RPC-Dienst (Remoteprozeduraufruf) auf Port 135.
Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"windows auto update" = msblast.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Der Wurm-Code enthält übrigens einen Text, der sich an Bill Gates von Microsoft richtet:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!

W32.Blaster zeigt beim Angriff auf die Rechner einige üble und unerwünschte Nebeneffekte:
Eine Fehlermeldung erscheint bei einigen Systemen in einem entsprechenden Pop-up-Fenster mit dem Hinweis, daß der PC neu gestartet werden muß.


Zum Vergrößern bitte das Bild anklicken !

bitte klicken


Anschließend wird der PC automatisch heruntergefahren. Dieser Mechanismus wiederhollt sich etwa alle 60 Sekunden, d.h. man hat ohne geiegnete Gegenmaßnahmen kaum Zeit darauf angemessen zu reagieren.
Dieser Effekt entsteht aus Unkenntnis des Wurms über die Plattform des gerade angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann aber Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann.





Wie kann man sich schützen?

Das ist relativ leicht, denn Microsoft hat schon vor geraumer Zeit vor diesen Gefahren gewarnt und einen entsprechenden Patch zur Verfügung gestellt.
Wer also in den letzten Wochen seinen Rechner über das Windows-Update aktualisiert hatte, bekam auch keinen Besuch, denn der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst.
Zum anderen macht es sehr viel Sinn, die TCP-Ports 135, 139, 445, 593 und 4444, sowie die UDP-Ports 135, 137, 138 und 69 durch die hoffentlich vorhandene Firewall zu blockieren und somit der Attacke ganz gezielt vorzubeugen.
Darüber hinaus sollte man unbedingt die Datei- und Druckerfreigabe abschalten, um beim Surfen z.b. GUI-Angriffe zu verhindern :

Rechtsklick auf Netzwerkumgebung ->Eigenschaften ->Rechtsklick auf dortige Verbindung ->Eigenschaften : Dort für Datei- und Druckerfreigabe das Häckchen herrausnehmen.




Mein System ist infiziert, was kann ich jetzt tun?

Nun zunächst einmal Ruhe bewahren, der Wurm ist zwar hartnäckig aber mit geeigneten Maßnahmen rückhaltlos zu entfernen.
Um die nachfolgenden Lösungsschritte erfolgreich durchführen zu können, müssen für Windows 2000 das Servicepack 2 und für Windows XP das Servicepack 1 installiert sein. Ist dies nicht der Fall, dann solltet ihr dies spätestens jetzt nachholen, für Windows 2000 dann aber bitte gleich das Servicepack 4 installieren.

Microsoft-Servicepacks





1. Schritt:

Wir starten über Start ->Ausführen den Befehl shutdown -a

Zum Vergrößern bitte das Bild anklicken !
bitte klicken


das verhindert den permanten ungewollten Reboot und bringt uns die Zeit alle benötigten Patches und Tools downzuloaden. Dazu braucht ihr selbstverständlich Administratorrechte!
Bei Windows 2000 funktioniert diese Befehl nicht, darum müssen wir hier zunnächst einmal die Internetverbindung kappen und Blasterprozesse im Taskmanager stoppen, als da sind "msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe". Danach können wir auch unter Windows 2000 wieder ins Internet, um mit Schritt 2 fortzufahren.
Es kann übrigens schon zu diesem Zeitpunkt nicht schaden, die TCP-Ports 135, 139, 445, 593 und 4444, sowie die UDP-Ports 135, 137, 138 und 69 durch die Firewall sperren zu lassen.




2. Schritt:

Wir laden uns für das jeweilige Betriebssystem den benötigten Patch von Microsoft herunter.

Patch für Windows NT 4.0-alle Versionen

Patch für Windows 2000-alle Versionen

Patch für Windows XP-alle Versionen

Patch für Windows 2003 Server-32Bit

Patch für Windows 2003 Server-64Bit

Security-Bulletin von Microsoft

Artikel aus der Microsoft-Knowledgebase



Sollte der Microsoft-Server nicht erreichbar sein, empfiehlt sich alternativ dazu der von Microsoft dazu gemietete Heise-Server:

zur Downloadseite von Heise.de



Danach begeben wir uns auf die Symantecseite und laden das Removetool herunter, um den Wurm rückhaltlos entfernen zu können. Aktualisiert bitte bei der Gelegenheit auch gleich eure Virenscanner und Firewalls.

Tool von Symantec zum Entfernen des Wurms


Aktuelle Anti-Viren-Updates von Symantec




3. Schritt:

Nachdem wir nun alles Benötigte parat haben, schalten wir die Systemwiederherstellung ab

Zum Vergrößern bitte das Bild anklicken !
bitte klicken


anschließend kappen wir unsere Internetverbindung, starten den Rechner neu, und wechseln per F8 in den abgesicherten Modus. Der Wurm erzeugt Registryeinträge, durch die er beim normalen Starten von Windows mitgestartet wird und er legt jedes mal eine Sicherungskopie von sich selbst an, die dann sozusagen als Wurmclon gestartet wird. Allerdings hat dieser Clon einen anderen unauffälligen Namen. Sollte die 'msblast.exe' dann also gelöscht werden (incl. Registryeintrag) so schaltet sich der Clon des Programms frei, übernimmt den Job des "Originals" und installiert die 'msblast.exe' inklusive Registryeintrag unverschämterweise neu.

Im abgesicherten Modus führen wir nun also das Remove-Tool von Symantec/Bitdefender aus,

Zum Vergrößern bitte das Bild anklicken !
bitte klicken


rufen die Registry per Start ->Ausführen ->Regedit.exe ->Enter auf und prüfen anschließend die Registry über Bearbeiten ->Suchen auf folgende Einträge:

"msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe"

Zum Vergrößern bitte das Bild anklicken !
bitte klicken


Sollten sich Einträge in der Registry finden, dann löscht diese Einträge und führt die Suche per F3 solange weiter, bis keine löschrelevanten Einträge mehr gefunden werden.
Gleichermaßen gehen wir über die Dateisuche vor, achtet aber darauf, daß auch versteckte Dateien angezeigt werden!

Zum Vergrößern bitte das Bild anklicken !
bitte klicken


Über Start ->Ausführen Msconfig.exe rufen wir das Systemkonfigurationsprogramm auf und wechseln auf den Karteireiter "Systemstart",

Zum Vergrößern bitte das Bild anklicken !
bitte klicken


dort prüfen wir die Autostarteinträge auf mögliche Einträge wie "msblast.exe" "rpc.exe" "rpctest.exe" "tftpd.exe" "worm.exe" "lolx.exe" "dcomx.exe" "penis32.exe" "root32.exe" und "teekids.exe". Solltet ihr Windows 2000 verwenden, bekommt ihr Msconfig hier .
Zur Sicherheit starten wir neu und wechseln nochmals in den abgesicherten Modus, wo wir zur Kontrolle noch einmal die Registry und die Dateien per Suchfunktion auf die bewußten Dateien checken.
Jetzt erst installieren wir die runtergeladenen Patches von Microsoft und starten den Rechner im "normalen" Modus, um dann den Taskmanager abschließend noch auf mögliche Prozesseinträge zu kontrollieren.

Zum Vergrößern bitte das Bild anklicken !
bitte klicken


- Öffnet den Taskmanger per Strg+Alt+Entf.
- Klickt auf die Registerkarte "Prozesse".
- Durchsucht die Liste nach msblast.exe.
- Nach unserer Reinigungsaktion sollten zwar keine Einträge mehr vorhanden sein, aber wenn ihr msblast.exe finden solltet, klickt bitte zuerst auf die Datei und anschließend auf "Prozess beenden".
- Schließt den Task-Manager.
Wenn sich Einträge finden lassen, dann beginnt die Reinigungsprozedur von vorne!!!




4. Schritt:

Nachdem nun hoffentlich alle Dateien des Schädlings eliminiert wurden und das System per Patchupdate relativ sicher ist vor weiteren Attacken, führen wir mit unserem upgedateten Virenscanner eine komplette Systemanalyse durch und prüfen unser System anschließend auch noch mit Anti Trojan .
Solltet ihr über keinen Virenscanner verfügen, so könnt ihr bei TrendMicro einen Onlinescan durchführen lassen.
Alternativ dazu ist der Onlinescan von bitdefender ebenfalls sehr empfehlenswert.
Wenn alles wieder rund läuft, könnt ihr eure Systemwiederherstellung wieder aktivieren und hoffentlich entspannt und störungsfrei arbeiten. Falls wider Erwarten noch Probleme auftauchen, dann erörtern wir diese gerne in unseren Foren.




Kann ich für die Zukunft vorbeugende Maßnahmen ergreifen?


Aber unbedingt, denn eine vernünftig konfigurierte und zuverlässige Firewall inclusive eines leistungsfähigen Virenscanners sind absolute Pflicht und ein einscheidender Schritt in die richtige Richtung. Allerdings steht und fällt diese Strategie mit der regelmäßigen Aktualisierung dieser Programme, was natürlich, wie man gerade wieder einmal allzu deutlich sieht, auch auf die entsprechenden Betriebssysteme zutrifft.
Des weiteren sollten ebenfalls ständig aktuell gehaltene Anti-Trojaner-Programme wie z.B. Anti-Trojan 5.5 auf eurer Einkaufsliste ganz oben stehen.
Alle eure Bemühungen sollten unter der Prämisse stehen:

Der nächste Wurm kommt bestimmt !





Update

Mittlerweile gibt es einen zweiten Patch gegen die W32-Blaster-Attacken, der ebenfalls unbedingt installiert werden muß: zum Artikel .
Die permanente Aktualisierung eures Betriebssystems ist selbstverständlich ein unumgänglicher weiterer Sicherheitsaspekt.





Weiterführende Links:

Diesen Workshop wollen wir euch abschließend noch mit auf den Weg geben, denn er behandelt u.a. auch den Sinn von Betriebssystem-und Softwareaktualisierungen und das auch aus der aktuellen sicherheitstechnischen Relevanz heraus.

Der große PC-Wartungs-und Pflege-Workshop Teil 2


Um nach einer frischen Installation eures Betriebssystems gewappnet zu sein, ist die Service-CD von Microsoft ein äußerst probates Mittel. Solltet ihr aber keine CD mehr bestellen können, im November gab es sie in fast jedem bekannten PC-Magazin und jetzt wieder in einer Neuauflage!

Kostenlose Support und Service-CD von Microsoft als Wurmprofilaxe

Weitere wichtiger Artikel mit entsprechender Relevanz:

Windows 2000/XP: Safer Surfen...der Sicherheitsworkshop



DCOM/RPC Schwachstellen abschotten



W32.Sasser-Wurm Workaround






Cerberus
12.08.2003 21:08 Cerberus ist offline Homepage von Cerberus Beiträge von Cerberus suchen Nehmen Sie Cerberus in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Neues Thema erstellen Thema ist geschlossen
PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Die W32.Blaster-Wurmattacke...der Workshop !


Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2024 PC-Experience.de