Entfernung des Wurms W32.Blaster.Worm alias W32/Lovsan.worm

Alles was nicht in die anderen Bereiche passt
Antworten
Benutzeravatar
andreas
Spezialist
Spezialist
Beiträge: 215
Registriert: 4. Mär 2003, 15:49
Wohnort: Schwarzenborn

Entfernung des Wurms W32.Blaster.Worm alias W32/Lovsan.worm

Beitrag von andreas »

Entfernung des Wurms W32.Blaster.Worm alias W32/Lovsan.worm

Der Wurm W32.Blaster.Worm greift Rechner aus dem Internet an.
Dabei wird ein Angriffsversuch auf alle moeglichen Betriebssysteme durchgefuehrt.
Angreifbar sich jedoch nur NT-basierende Betriebssysteme. Dies sind speziell Windows NT, Windows 2000, Windows XP und Windows 2003.
Windows 98 und Windows Me sind von dem Wurm nicht betroffen.
W32.Blaster.Worm nutzt dabei eine bekannte Sicherheitsluecke in den genannten Betriebssystemen aus.

Der Download der Programme wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen. Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint, dass der Rechner heruntergefahren werden muss, klickt man im Startmenue auf "Ausfuehren...". In der dann angezeigten Eingabezeile wird der Befehl "shutdown -a" eingeben und mit OK bestaetigt: http://www.bsi.bund.de/av/vb/shutdown.jpg


Vorgehensweise beim (moeglichen) Befall:

1. Schliessen der Sicherheitsluecke des Betriebssystems:
Microsoft stellt ein sog. Hotfix fuer die Sicherheitsluecke bereit.
Informationen dazu und das Hotfix-Programm finden Sie bei
Microsoft:
http://www.microsoft.com/technet/securi ... 03-026.asp

2. Suchen und Entfernen des Wurms
Laden Sie eines der speziellen Entfernungstools von Symantec
oder NAI. Mit diesen Programmen koennen Sie den Rechner nach dem
Wurm durchsuchen und moegliche Infektionen entfernen.
http://vil.nai.com/vil/stinger/
http://securityresponse.symantec.com/av ... .tool.html

3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein.

4. Zusaetzlichen Schutz bietet eine Firewall, die derartige Angriffe
verhindern kann. Hierbei muss eine Regel definiert werden, die
den Port 135/TCP (incoming) blockiert. Darueberhinaus sollten die
Ports 69/UDP und 4444/TCP ueberwacht werden, welche vom Wurm zur
Kommunikation ueber das Internet genutzt werden.


Quelle: BSI (Bundesamt für Sicherheit in der Informationstechnik)
Sachstand: 13.08.2003
Antworten