Lovsan, Sasser &Co

Würmer befallen nur Win2000 und XP , sowie NT4.0. Leider ist auch nach zwei Jahren das Internet immer noch damit verseucht. Die blosse Anwesenheit für wenige Minuten im Internet mit einem verwundbaren PC reicht, um die Würmer einzufangen. 

wenn Sie Win98 haben, können Sie also alle Sorgen vergessen.

Weder Sasser noch LovSan zerstören Daten auf Ihrem System, bleiben Sie also ganz ruhig. Die Gefährlichkeit besteht vor allem in der Verbreitung (und das Ihr Rechner bei Einklinken ins Internet dann dauernd runterfährt)

zur Prävention sollten Sie bei den betroffenen Systemen folgende Updates herunterladen:

• Win2000 - Service Pack 4 sowie den Patch 835732 zum Schließen der Sicherheitslücke  (Microsoft-Bulletin)
  kontrollieren Sie, ob Sie das ServicePack3 oder höher geladen haben, indem Sie auf Arbeitsplatz rechtsklicken und die Eigenschaften anzeigen lassen

• WinXP  Service Pack1 sowie den Patch 835732 oder 
  XP ServicePack2, das aber wieder ganz andere Risken und Nebenwirkungen zeigt....
  kontrollieren Sie, ob Sie das ServicePack1 oder höher geladen haben, indem Sie auf Arbeitsplatz rechtsklicken und die Eigenschaften anzeigen lassen

Die Service Packs sind sehr umfangreich, weit über 100MB und können nur über die Microsoft-Seite (Windows Update) geladen werden.  

!!! aktuellen Virusscanner nochmal aktualisieren !!!

falls Sie bereits befallen sind: laden Sie das Removal Tool (Entfernungswerkzeug) herunter; entweder bei Norton oder direkt hier. Leider haben Sie nur wenig Zeit dafür, da der Rechner innerhalb einer Minute herunterfährt, aber der Download nimmt nur einige Sekunden in Anspruch.

Portscanner zur Kontrolle der offenen Ports (nur wenn Sie damit was anzufangen wissen)

Ich helfe Ihnen auch bei der Aktualisierung der Virenschutzprogramme.
In der Regel berechne ich dafür eine Arbeitsstunde mit Aktualisierung des Service-Packs, des Patches und der Entfernung des Wurms.

LovSan und Sasser

Dieser Wurm verschickt keine E-Mails, sondern greift die PCs direkt via Internet oder übers lokale Netzwerk an. Findet er einen PC, der die Schwachstelle aufweist, kann er sich aufgrund dieses Sicherheitslecks direkt auf dessen Festplatte installieren und von dort aus auf die gleiche Weise weiterverbreiten - ohne dass der Benutzer etwas davon mitbekommt.

Der Wurm erstellt in der Windows-Registry einen solchen Eintrag:
«windows auto update»=«msblast.exe»

und zwar in diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Die Datei namens msblast.exe legt der Wurm im Windows-System-Ordner ab.

Ab dem 16. August 2003 wird der Wurm von den infizierten PCs aus eine so genannte «Distributed Denial of Service»-Attacke fahren: Dann beginnen nämlich alle infizierten PCs, Microsofts Windows-Update-Webseite mit Datenpaketen zu überfluten, sodass diese zusammenbrechen könnte.

Wie zum Beispiel bei F-Secure zu lesen [2] ist, fangen einige angegriffene Windows-XP-Rechner mit ständigen PC-Neustarts an. Wer mit diesem Phänomen zu kämpfen hat, wird womöglich keine Chance haben, allfällige Updates oder Beseitigungsprogramme herunterzuladen. Den automatischen Neustarts geht jeweils eine Windows-Fehlermeldung voraus, die mitten in der Arbeit erscheint. Die Meldung informiert darüber, dass der PC aufgrund des «NT Autoritäts-Systems» in 60 Sekunden heruntergefahren wird (Screenshots sind bei F-Secure zu sehen).

F-Secure gibt einen Tipp, wie Sie dieses Herunterfahren jeweils verhindern können, wenn Sie schnell genug sind: Sobald Sie das Fenster sehen, gehen Sie zu «Start/Ausführen» (oder drücken «Windows-Taste» + «R»), tippen Sie CMD ein und drücken Sie «Enter». Nun öffnet sich ein DOS-Fenster, in welches Sie folgendes Eintippen und anschliessend per Enter bestätigen:
shutdown -a
Die Methode hat aber einen gravierenden Nachteil: Ihr Rechner infiziert laufend Rechner in der Nachbarschaft (beim Provider)