proMedia Internet KG

Virenwarnung:
W32.Blaster / W32.Lovsan - Update

Seit dem 11. August attackiert der Internet- Wurm W32.Blaster, alias W32.Lovsan, eine Sicherheitslücke in der Windows DCOM-Schnittstelle. Zur Infektion eines ungeschützten Rechners genügt allein der Aufenthalt im Internet. Betroffen sind Windows NT, 2000, XP und Windows 2003 Server, nicht jedoch Windows 98/ME. (Quelle: BSI)

Anwendern der gefährdeten Systeme empfehlen wir dringend, den von Microsoft bereitgestellten Patch zu installieren. Allerdings sollten Sie mit einem der betroffenen Windows- Systeme nicht unvorbereitet ins Internet gehen. Nutzen Sie mindestens eine der folgenden Möglichkeiten zum Schutz:

• Blockieren Sie an Ihrem Firewall oder Ihrem Router zum Internet die UDP-Ports 69, 135, 137, 138, 445, und die TCP-Ports 135, 139, 445, 593, 4444.
  
• Als Benutzer von Windows XP und Server 2003 aktivieren Sie den enthalten "Internetverbindungsfirewall", der auf der zu schützenden Maschine selbst läuft. Der Rechner muss dazu offline sein.
  
• Auch ein "Personal Firewall" eines Drittanbieters kann die meisten Angriffe verhindern.
  
• Verwenden Sie zum Download des Patches und zur aktuellen Informationsgewinnung im Netz einen Rechner mit einem nicht betroffenem oder schon gepatchten Betriebssystem.
  
• Ein gewisses Maß an vorläufiger Sicherheit lässt sich auch durch das Deaktivieren von DCOM auf dem noch ungepatchten Computer erreichen.
  

Wenn sich ihr Computer merkwürdig verhält, wenn er unlängst selbstständig den RPC-Dienst beendete, herunterfuhr und neu startete, oder ungewöhnlich oft abstürzt, ist er wahrscheinlich infiziert. Sie sollten ihn von Internet und lokalem Netz trennen und herunterfahren. Versorgen Sie sich dann in Ruhe mit den Informationen für die Diagnose und Entfernung des Schädlings, bzw. für die Wiederherstellung des Systems.

Update:

Microsoft stellt seit dem 10. September 2003 einen neuen Patch (MS03-39) bereit, der drei weitere Lücken schließen soll, die der erste Patch (MS03-26) anscheinend offen ließ. Anwender sollten den neuen Patch umgehend installieren, da er die alten und die neuen Sicherheitslücken abdeckt.

Weiterführende Informationen:

• Microsoft Security Bulletin MS03-39 - Aktueller Patch
  
• Microsoft Security Bulletin MS03-26 - überholter Patch, aber deutsche Beschreibung
  
• Microsoft TechNet ServiceDesk:
  Virenwarnung des PSS Security Response Team
  
• Vireninfo des Bundesamts für Sicherheit in der Informationstechnik
  
• Fax-Abruf (für schon Betroffene) beim BSI:
  0180 / 515 15 15, (12 Cent pro Minute)
  
• Heise-Newsticker: Artikel zu W32.Blaster
  
• Virenbeschreibung bei Symantec (englisch)
• Pakete filtern unter Windows 2000:
  HOW TO: Configure TCP/IP Filtering in Windows 2000

Download:

• MS03-39 bei Microsoft
  

Tools:

• W32.Blaster.Worm Removal Tool von Symantec
  
• McAfee AVERT Stinger (Removal Tool) - Downloadseite
  
• KB 824146 Scanner for MS03-026 and MS03-039 Patches - Aktuelles Diagnosewerkzeug zum Aufspüren ungepatchter Rechner im lokalen Netz

Personal Firewalls:

• Kerio Personal Firewall
• Tiny Personal Firewall
• Outpost Firewall
• ZoneAlarm Pro
  

Die Veröffentlichung dieser Ratschläge und der Links auf die Angebote Dritter erfolgt ohne Anspruch auf Vollständigkeit, nach besten Wissen, jedoch unter Ausschluß jeglicher Gewährleistung. - Vor jedem Eingriff in Ihr System sollten Sie grundsätzlich immer alle wichtigen Daten sichern. - Im Zweifel sollten Sie einen Fachmann beauftragen. (15. August 2003)