Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Sophos: Hinweise zur Desinfektion und FAQs für W32/Blaster-A
Derzeit verbreitet sich W32/Blaster-A (auch bekannt als: W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A) "in the wild". W32/Blaster-A ist ein Wurm, der Netzwerke auf Computer durchsucht, die von der DCOM RPC Sicherheitslücke von Microsoft betroffen sind. Wenn er ein passendes Opfer gefunden hat, erhält der Remote-Rechner via TFTP eine Kopie des Wurms, die als msblast.exe im Windows-Systemordner gespeichert wird.
1. Wie kann ich verhindern, dass sich W32/Blaster-A in meinem Netzwerk ausbreitet?2. Wie kann ich W32/Blaster-A automatisch entfernen?
3. Wie kann ich W32/Blaster-A manuell entfernen?
4. Welche Systeme sind überhaupt betroffen?
5. Wie wurde mein Computer infiziert?
6. Mein Computer startet immer wieder neu, wie kann ich Resolve herunterladen?
7. Warum erhalte ich Fehler, die mit SVCHOST.EXE zusammenhängen, auch wenn mein Computer nicht mit W32/Blaster-A infiziert ist?
8. Warum lässt InterCheck Resolve nicht starten?
9. Ich kann das Microsoft Patch nicht finden. Gibt es einen einfacheren Weg, es zu installieren?
1. Wie kann ich verhindern, dass sich W32/Blaster-A in meinem Netzwerk ausbreitet?
Netzwerkadministratoren wird dringend geraten, folgende Schritte auszuführen, um die Verbreitungsmöglichkeiten des Wurms einzuschränken:- Download und Installation des Microsoft Patches MS03-039
W32/Blaster-A nutzt eine Schwachstelle aus, die gepatcht werden kann. Weitere Informationen darüber und einen Download für das Patch finden Sie unter Microsoft Security Bulletin MS03-039. Aktualisieren Sie Einzelcomputer mit allen relevanten Sicherheitspatches von Windows update.
Administratoren wird außerdem empfohlen, das Patch auf PCs zu installieren, die Zugang zum Internet haben, sowie in internen Unternehmensnetzwerken, besonders auf Proxy-/Gateway-Rechnern. - Umbenennen von tftp.exe
Der Wurm verwendet tftp.exe, ein natives Windows-Programm. Wenn tftp.exe in Ihrem Netzwerk existiert und Sie es nicht wirklich benötigen, benennen Sie diese Datei um (z. B. in tftp-exe.old). Sie sollten die Datei nicht löschen, da Sie sie eventuell später im Zusammenhang mit anderer, legaler Software benötigen könnten. - Blockieren Sie den Verkehr an bestimmten Ports an Ihrer Firewall
Administratoren sollten eingehenden Verkehr an den folgenden Ports blockieren:- tcp/69 (genutzt von dem TFTP-Prozess)
- tcp/135 (genutzt von dem RPC Remote Access)
- tcp/4444 (genutzt von diesem Wurm zum Verbinden)
![[TOP]](/images/arrowtop.gif){kind=small}
2. Wie kann ich W32/Blaster-A automatisch entfernen?
Resolve ist der Name für eine Zusammenstellung von kleinen Sophos-Dienstprogrammen, die einfach herunterzuladen sind. Sie wurden entwickelt, um bestimmte Viren, Trojaner und Würmer zu entfernen und deren Schäden rückgängig zu machen. Sie beenden alle Virenprozesse und stellen Registrierungsschlüssel wieder her, die der Virus geändert hat. Vorhandene Infektionen können schnell und einfach sowohl auf einzelnen Arbeitsplatzrechnern als auch in Netzwerken mit zahlreichen Computern beseitigt werden.
W32/Blaster-A kann von Windows 95/98/Me/NT/2000/XP-Computern automatisch mit Resolve entfernt werden.
Hinweis: Wenn Sie Varianten desinfizieren möchten, die hier nicht aufgeführt sind, folgen Sie den Wiederherstellungshinweisen in der entsprechenden Virenanalyse.
Windows Disinfector
BLASTGUI ist ein Disinfector für einzelne Windows-Computer
- Öffnen Sie BLASTGUI.
- Starten Sie es.
- Klicken Sie dann auf GO.
Wenn Sie mehrere Computer desinfizieren, laden Sie das Tool herunter und speichern Sie es auf einer Diskette und starten Sie es von dort.
Nachdem der Wurm entfernt wurde, sollten Sie das oben erwähnte Patch installieren.
Befehlszeilen Disinfector
BLASTSFX ist ein selbst-extrahierendes Archiv, das BLASTCLI enthält, eine Resolve Befehlszeilen-Disinfector für Windows-Netzwerke. Lesen Sie die Hinweise im Self-Extractor, um sich über die Verwendung dieses Programms zu informieren.
Nachdem der Wurm entfernt wurde, sollten Sie das oben erwähnte Patch installieren.
Sonstige Plattformen
Um W32/Blaster-A auf anderen Plattformen zu entfernen, folgen Sie bitte den Hinweisen zum Entfernen von Würmern.
3. Wie kann ich W32/Blaster-A manuell entfernen?
Um W32/Blaster-A manuell auf Windows 95/98/Me und Windows NT/2000/XP zu enfernen:
- Vergewissern Sie sich, dass Sie das Microsoft Patch MS03-039 installiert haben und so viele der oben genannten Schritte wie möglich durchgeführt haben.
- Drücken Sie gleichzeitig STRG+ALT+ENTF.
- Wählen Sie auf Windows NT/2000/XP "Task-Manager" und klicken Sie auf die Registerkarte "Prozesse".
- Suchen Sie in der Liste den Prozess msblast.exe.
- Klicken Sie auf den Prozess, um ihn zu markieren.
- Klicken Sie auf die Schaltfläche "Prozess beenden" (auf Windows 95/98/Me "Task beenden").
- Schließen Sie den Task-Manager.
Suchen Sie nach der Datei msblast.exe im Windows-Systemordner (normalerweise ein Unterordner von Windows oder WINNT) und löschen Sie die Datei.
Auf Windows NT/2000/XP müssen Sie außerdem den folgenden Registrierungseintrag erstellen. Die Entfernung dieses Eintrags ist auf Windows 95/98/Me optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
- Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
- Bevor Sie die Registrierung bearbeiten, sollten Sie ein Backup erstellen. Sollten Sie sich nicht sicher sein, wenden Sie sich an Ihren Netzwerkadministrator. Durch nicht korrekte Änderungen der Windows-Registrierung kann es zu Systemfehlern kommen.
- Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Markieren Sie im rechten Fensterbereich
windows auto update = msblast.exe
Löschen Sie diesen Eintrag, sofern er vorhanden ist. - Schließen Sie den Registrierungseditor.
Sie sollten Ihren PC neu starten und die Schritte oben wiederholen, um sicherzugehen, dass alle Teile des Wurms von Ihrem System entfernt wurden.
Wenn Sie Probleme bei der Entfernung von W32/Blaster-A haben, nachdem Sie diese Schritte durchgeführt haben, wenden Sie sich bitte an den technischen Support.
Um W32/Blaster-A auf anderen Plattformen zu entfernen, folgen Sie bitte den Hinweisen zum Entfernen von Würmern.
4. Welche Systeme sind überhaupt betroffen?
- Windows NT/2000/XP Computer sind anfällig.
- Windows 95/98/Me Computer können infiziert werden, wenn eine W32/Blaster-A Datei manuell gestartet wird.
- Apple-basierte Arbeitsplatzrechner, Unix und andere Plattformen (einschließlich PDAs und Spielkonsolen) können nicht mit W32/Blaster-A infiziert werden.
Wenn auf dem Computer eine W32/Blaster-A Datei gefunden wird, wurde sie dort von einem infizierten Computer abgelegt oder wurde lokal ausgeführt.
5. Wie wurde mein Computer infiziert?
W32/Blaster-A durchsucht das Internet und lokale Netzwerke nach Computern, die für die DCOM RPC Sicherheitslücke von Microsoft anfällig sind. Wenn er einen solchen Computer findet, lädt der Remote-Computer via TFTP eine Kopie des Wurms herunter. Sie wird als msblast.exe im Windows-Systemordner gespeichert. Die Registrierung dieses Computers wird so geändert, dass der Wurm beim Neustart des Computers ausgeführt wird.
6. Mein Computer startet immer wieder neu, wie kann ich Resolve herunterladen?
Wenn ein Computer mit W32/Blaster-A infiziert ist, startet er alle paar Minuten neu, normalerweise mit einer Meldung, die ähnlich wie "Windows must now restart because the Remote Procedure Call (RPC) Terminated Unexpectedly" lautet. Dadurch können die erforderlichen Patches und Dateien nicht heruntergeladen werden.
Um dies auf Windows XP zu stoppen, wählen Sie Start|Ausführen und geben Sie ein:
shutdown -a
um das Herunterfahren abzubrechen. Sie können dann automatisch oder manuell wie oben erläutert desinfizieren.
Wo möglich, laden Sie den Resolve W32/Blaster-A Self-Extractor auf einen anderen Computer herunter. Speichern Sie ihn auf Diskette und starten Sie den Self-Extractor auf dem befallenen Computer.
Wenn Sie auf keinen anderen Computer herunterladen können, deaktivieren Sie Distributed COM, um die Neustarts zu stoppen.
Windows XP
- Wählen Sie Start|Ausführen und geben Sie ein:
dcomcnfg.exe.
- Wählen Sie Konsolenstamm|Komponentendienste.
- Öffnen Sie den Unterordner "Computer".
- Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und wählen Sie "Eigenschaften".
- Klicken Sie auf die Registerkarte "Standardeigenschaften".
- Entfernen Sie das Häkchen für die Option "DCOM (Distributed COM) auf diesem Computer aktivieren". Klicken Sie auf "Übernehmen" und dann auf "OK".
- Starten Sie den Computer neu.
Stellen Sie diese Optionen auf die normalen Einstellungen zurück, sobald Sie die nötigen Patches und IDEs installiert haben.
Windows NT/2000
- Wählen Sie Start|Ausführen und geben Sie ein:
dcomcnfg.exe.
- Wählen Sie die Registerkarte "Standardeigenschaften".
- Entfernen Sie das Häkchen für die Option "DCOM (Distributed COM) auf diesem Computer aktivieren". Klicken Sie auf "Übernehmen" und dann auf "OK".
- Starten Sie den Computer neu.
Stellen Sie diese Optionen auf die normalen Einstellungen zurück, sobald Sie die nötigen Patches und IDEs installiert haben.
Windows 95/98/Me
Führen Sie einen Clean-Boot im DOS-Modus (Windows 95/98) durch und verwenden Sie SWEEP mit der IDE für W32/Blaster-A, um den Computer zu desinfizieren.
Verwenden Sie eine Firewall oder deaktivieren Sie "Datei- und Druckerfreigabe", um den Computer vor einer erneuten Infektion zu schützen.
7. Warum erhalte ich Fehler, die mit SVCHOST.EXE zusammenhängen, auch wenn mein Computer nicht mit W32/Blaster-A infiziert ist?
Wenn ein anfälliger Computer von W32/Blaster-A getestet wird und die Infektion selbst nicht erfolgreich ist, schlägt der svchost-Dienst fehl. Dies führt zu mehreren Problemen mit anderer Software.
Um diese Probleme zu beheben, installieren Sie das Patch, das im Microsoft Security Bulletin MS03-039 zur Verfügung steht und starten Sie den svchost-Dienst neu.
8. Warum lässt InterCheck Resolve nicht starten?
Wenn die W32/Blaster-A IDE installiert ist, verhindert der InterCheck-Client, dass der Resolve Disinfector auf die Wurmdateien zugreifen kann.
Auf Windows NT/2000/XP:
- Melden Sie sich als lokaler Administrator an.
- Wählen Sie in der Taskleiste Start|Programme|Sophos Anti-Virus.
- Wählen Sie die Registerkarte "IC-Client".
- Klicken Sie auf STOP.
- Starten Sie Resolve.
- Nachdem Sie den Wurm entfernt haben, klicken Sie in der Registerkarte "IC-Client" auf GO.
Auf Windows 95/98/Me:
- Benennen Sie die W32/Blaster-A IDE (BLASTERA.IDE) um in BLASTERA.TXT.
- Starten Sie den Computer lokal neu (drücken Sie Escape, wenn Sie aufgefordert werden, sich anzumelden).
- Starten Sie Resolve.
- Nachdem Sie den Wurm entfernt haben, ändern Sie den Namen der IDE wieder zurück in BLASTERA.IDE und starten Sie den Computer neu.
9. Ich kann das Microsoft Patch nicht finden. Gibt es einen einfacheren Weg, es zu installieren?
Wenn Sie auf Ihrem Computer Administrator-Status haben, können Sie Patches auch von Windows Update herunterladen.
Windows Update fragt Ihren Computer ab und sagt Ihnen, welche Patches auf ihm installiert werden müssen. Die Patches, die als "Critical Update" markiert sind, sind die wichtigsten. Die Referenznummer des Patches für die Schwachstelle, die von W32/Blaster-A ausgenutzt wird, ist 823980.
Wenn Sie eine alte Version des Internet Explorers verwenden, kann der Download der empfohlenen Patches extrem groß sein. Wenn Ihre Internet-Verbindung langsam ist, ist es für Sie eventuell einfacher, zunächst Internet Explorer mit einer CD aus einem Computermagazin zu aktualisieren und dann zu Windows Update zurückzukehren.
Hinweis: Windows Update funktioniert nur in Verbindung mit Internet Explorer 5 und höher.
