Windows Viren-Info

W32/Lovsan.? alias W32.Blaster.? Wurm (11.8.2003)
- starke Verbreitung -

Neue Variante: W32/Nachi-A alias Blaster-D, Welchia (18.8.2003)
siehe Sophos-Info, PSS Security Response

ACHTUNG: Neuer RPC-Bug (Security Bulletin MS03-039 10.September 2003)
korrigierte Hotfixes KB824146 verfügbar,
Verteilung für Windows 2000/XP über hausinternen WindowsUpdate Service


Typ: EXE (Win32), Wurm (ca. 5 - 11 KB Größe je nach Variante, Original: 6176 Bytes)
Betroffen Windows NT Plattform (NT4.0/2000/XP, Windows 2003 Server),
Windows 9X ist von diesem Wurm nicht betroffen.
Verbreitung DCOM/RPC (TCP-Port 135, 593). Der Wurm nutzt eine Sicherheitslücke, die durch den Hotfix KB823980 (erschienen am 16.7.2003, siehe  Security Bulletin MS03-026, neu: Security Bulletin MS03-039) behoben wurde/wird.
Beschreibung Der Wurm scannt einen zufälligen IP Adressbereich, um über die RPC-Sicherheitslücke (port 135) verwundbare Windows NT/2000/XP PCs zu finden, d.h. PCs, auf denen der Hotfix KB823980 weder über WindowsUpdate noch manuell installiert ist und der Port 135 nicht gesperrt ist.
Im "Erfolgsfall" wird der Wurm (EXE-Datei, ursprünglicher Name: msblast.exe) "ferngesteuert" über TFTP in das Windows System32 Verzeichnis kopiert und gestartet.
Der Wurm trägt seine eigene EXE-Datei im "Run"-Schlüssel in der Regsitry ein, um sich fortan automatisch zu starten und weiter zu verbreiten.
Genau 1 Monate nach Erscheinen des Hotfixes KB823980, am 18.6.2003 soll der Wurm einen Massenangriff (Denial of Service) auf die Microsoft WindowsUpdate Site (windowsupdate.com) durchführen - dies wird wegen Vorsichtmaßnahmen auf der Betreiberseite aber wenig erfolgreich sein und nur Netzlast produzieren.
CVE-Referenz http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0352
Symptome Möglicherweise erscheint die Fehlermeldung:
   Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet.
   Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab.
   Alle Änderungen, die nicht gespeichert werden, gehen verloren.
   Das Herunterfahren wurde von NT AUTHORITY\SYSTEM ausgelöst

 
Möglicherweise wird der Computer in zufälligen Zeitabständen neu gestartet.
Tipp für Windows XP: Schalten Sie in den Eigenschaften von Arbeitsplatz (Systemsteuerung -> System) -> Erweitert -> "Starten und Wiederherstellen" die Option "Automatischen Neustart durchführen" ab, um etwaige "Bluescreens" zu sehen!
 
Windows XP/2003: Dr. Watson (Problembericht an Microsoft senden) erscheint ohne Grund.
 
Windows NT4.0/2000: Bluescreen bzw. Stop-Fehler.
 
Allgemein: Vorhandensein einer zusätzlichen Exe-Datei (der Wurm!) in der Prozessliste (Taskmanager!). Im Original heißt der Wurm mblast.exe, es ist jedoch nicht auszuschließen, dass Varianten einen "unauffälligeren" Namen verwenden werden.
Wo steckt der Virus? Ursprüngliche W32/Lovesan-Version: Existenz der Datei msblast.exe (ca. 5 - 11 KB) im Windows-Systemverzeichnis (system32) sowie des Registry Eintrags "windows auto update = msblast.exe" im Schlüssel  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Achtung: Inwischen existieren (vereinzelt) modifizierte Lovesan-Varianten, die einen anderen Dateinamen (z.B. penis32.exe, teekids.exe) und andere Namen im Registry ...\Run Schlüssel verwenden!
Schaden missbraucht PCs für Distributed Denial of Service (DDoS)-Angriffe,
in den jetzigen Versionen kein Schaden/Datenverlust an befallenen PCs, nur Störungen durch Seiteneffekte (schlampige Programmierung) des Wurms.
Technische Details neu: Security Bulletin MS03-039
Microsoft KB-Artikel Viruswarnung vor Wurmvirus W32.Blaster.Worm (EN, mit Downloads)
Microsoft KB-Artikel Viruswarnung vor Wurmvirus W32.Blaster.Worm (DE, mit Downloads)
Microsoft PSS Security Response Team Alert - New Worm: W32.Blaster.worm (EN)
Microsoft Security Bulletin MS03-026 (EN)
Microsoft KB Artikel 823980 (EN)
Microsoft KB Artikel 823980 (DE)
Sophos Informationen W32/Blaster-A, W32/Blaster-B
 
Wichtiger Hinweis: Innerhalb des Datennetzes der Universität Regensburg müssen Sie  keine IP-Filterung aktivieren und keine Firewalls (wie in den MS KB Artikeln empfohlen)  installieren, da die betreffenden Ports, über die der Angriff erfolgt, zentral gesperrt sind!
Es genügt, den hausinternen WindowsUpdateservice zu aktivieren und den aktuellen Sophos Virenscanner zu benutzen
Vorbeugung hausintern:
- unbedingt RZ WindowsUpdateservice aktivieren und angekündigte Updates zuverlässig installieren.  Nur für Windows NT4.0 muss der Patch  manuell installiert werden!
-  bei nicht genauer Kenntnis der Gefahren unbedingt den aktuellen Sophos Virenscanner (mit AutoUpdate) verwenden.
 
extern:
 - unbedingt Microsoft Windows Update aktivieren und alle Servicepacks/Hotfixes installieren! Achtung: Das verbreitete, recht unsinnige Tool "XP-Antispy" schaltet den Microsoft Windows AutoUpdate-Dienst ab und macht ihren PC dadurch extrem anfällig!
- Für Windows XP Home/Pro (nicht in Firmennetzwerken wie im Datennetz der  Universität Regensburg): In der Netzwerkkonfiguration den eingebauten Firewall aktivieren.
- aktuellen Virenscanner installieren/verwenden.
Entfernung Siehe Sophos: Hinweise zur Desinfektion und FAQs für W32/Blaster-A
 
Bei entsprechenden Kenntnissen kann der Virus selbstverständlich auch manuell entfernt werden:
  - Aktuellen Virenscanner zur Erkennung des Virus (hier: EXE-Datei) verwenden.
  - Viren-EXE Prozess über Taskliste "killen" (msblast.exe, kann jedoch auch anders heißen!)
  - Viren-EXE Datei löschen
  - Automatischen Start in der Registry (Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) entfernen.
 
Wichtiger Hinweis: Die in der Sophos-"Desinfektionsanleitung" genannten Schritte für Netzwerkadministratoren müssen nicht auf Arbeitsstationen ausgeführt werden.
   

KB824146 Hotfix-Downloads (manuelle Installation) - neu, ersetzt KB823980 -

  Deutsch (DE) Englisch (EN-US)
Windows NT 4.0 Workstation NT4Workstation-KB824146-x86-DEU.EXE NT4Workstation-KB824146-x86-ENU.EXE
Windows NT 4.0 Server NT4Server-KB824146-x86-DEU.EXE NT4Server-KB824146-x86-ENU.EXE
Windows NT 4.0 Terminalserver NT4TerminalServer-KB824146-x86-DEU.EXE NT4TerminalServer-KB824146-x86-ENU.EXE
Windows 2000 Pro/ Server Windows2000-KB824146-x86-DEU.exe Windows2000-KB824146-x86-ENU.exe
Windows XP Home/ Pro 32bit WindowsXP-KB824146-x86-DEU.exe WindowsXP-KB824146-x86-ENU.exe

KB823980 Hotfix-Downloads (manuelle Installation) - veraltet -

  Deutsch (DE) Englisch (EN-US)
Windows NT 4.0 WS/ Server DEUQ823980i.EXE Q823980i.EXE
Windows 2000 Pro/ Server Windows2000-KB823980-x86-DEU.exe Windows2000-KB823980-x86-ENU.exe
Windows XP Home/ Pro 32bit WindowsXP-KB823980-x86-DEU.exe WindowsXP-KB823980-x86-ENU.exe

Wie kann ich feststellen, ob der Hotfix KB823980 vorhanden ist?


Tipps zur Virenbeseitigung, Fehlersituationen unter Windows XP


Zusätzliche Tipps für "externe" Benutzer (Dial-In über Modem/ISDN/DSL)


Wolfram Oestreicher, 14.8.2003, 28.8.2003, 11.9.2003