Blaster-Wurm: Ist das der lang erwartete Angriff aufs Internet?

US-Behörden warnen seit Ende Juli vor einem groß angelegten Hacker-Angriff auf das Internet. Heute Nacht nun tauchte der Internet-Wurm Blaster beziehungsweise Lovsan auf, der eine DDOS-Attacke auf Microsoft vorbereitet. Dabei könnte es sich um besagten Großangriff handeln, urteilen Experten.

Bei DoS-Attacken greift der Täter mit sehr großen Datenmengen den Server einer Site an. Dieser kann die Flut nicht bewältigen und geht zu Boden. Ein „normaler“ Computer kann solche Massen nicht erzeugen. Deshalb nutzen die Cyber-Vandalen oft unbemerkt die Maschinen ahnungsloser Dritter. Diese werden damit zu so genannten „Zombie-Hosts“, man spricht von einer Distributed-Denial-of-Service-Attacke, kurz DDOS.

Die von den überwiegend amerikanische Experten befürchte Hackerattacke soll eine Mitte Juli gefundene Lücke in Windows ausnützen. Das US-Heimatschutzministerium rief Millionen Computernutzer dazu auf, sich das Sicherheits-Update möglichst schnell herunter zuladen. Die Lücke, die von Microsoft umgehend eingestanden wurde, betrifft alle Windows-Betriebssysteme mit Ausnahme von Windows 95 und Windows 98. Das Heimatschutzministerium sprach von einer ernsten Gefahr. Sie erwarteten einen neuen Virus, der sich so schnell im Internet verbreiten könnte wie der Wurm „Code Red“ vor zwei Jahren. Bei Blaster/Lovsan handelt es sich offenbar um besagten Virenwurm.

Dies bestätigen auch hiesige Fachleute: „Blaster hat die Absicht, die Microsoft-Website windowsupdate.com aus dem Internet zu werfen“, berichtete Gernot Hacker, Senior Technical Consultant bei Sophos. „Da der Wurm für eine Denial-of-Service-Attacke auf windowsupdate.com programmiert ist, versucht der Virenschreiber ganz gezielt, Computer-Usern das Herunterladen von Sicherheits-Updates zu erschweren oder gar unmöglich zu machen. Indem die Anwender die Sicherheitslücke in ihrem System nicht schließen können, hat der Blaster Wurm freie Bahn ins Netzwerk. Ein recht gemeiner Trick vom Blaster-Autoren.“ Der Wurm bereitet also den Boden für eine groß angelegte Zerstörungswelle.

Dass es so weit kommen hat können, ist in der Logik der Virenautoren alleine dem quasi-Monopolisten Microsoft zuzuschreiben. Weil der Softwarekonzern aus Redmond mit Windows und dem Internet Explorer sowohl den Desktop als auch das Internet beherrscht, ist das weltweite Netzwerk – ähnlich einer Fichtenschonung – äußerst anfällig gegen Schädlinge. Um auf diese als Missstand empfundene Tatsache hinzuweisen, verfassen sie immer neue Viren, die sich über den Explorer in Windows einnisten. Aus dem dadurch erzeugten Schaden sollen die Nutzer klug werden und auf andere Betriebssysteme und Zugangssoftware umsteigen. Es handelt sich also um eine Art versuchte Pädagogik mit der Brechstange. Sie wird vorzugsweise unter Teenagern mit einem Hang zum Computern praktiziert.

Die Antiviren-Experten haben mittlerweile mehrere Tools zum Entfernen der Plage bereitgestellt:

Microsoft Security-Bulletin und Sicherheitspatch
Microsoft Windows XP Sicherheitspatch 1,2 MByte
Microsoft Windows 2000 Sicherheitspatch 1,2 MByte
Microsoft Windows 2000 Service Pack 4
BitDefender Win32.Msblast.A Informationen
BitDefender Win32.Msblast.A Removal-Tool
Symantec W32.Blaster.Worm Informationen
Symantec W32.Blaster.Worm Removal Tool
McAfee W32/Lovsan.worm Informationen
Sophos W32/Blaster-A Informationen

Auch Panda-Software offeriert einen „Quickremover“ sowie einen Online-Virenscanner.

Update 13. August 2003

Inzwischen sind mehrere Millionen Rechner von dem Virus befallen. Zahlreiche Anrufer erkundigten sich in der ZDNet-Redaktion, wie man den Virus wieder vom Rechner bekommt.

Auswirkung des Blaster-Wurms: Ist ein Rechner befallen, äußert sich das darin, dass Windows das System herunterfährt, da der RPC-Dienst überlastet ist.

Entfernen des Wurms: Bei jedem Neustart lädt sich der Wurm automatisch ins System. Der Löschversuch von msblast.exe misslingt, weil der Prozess noch aktiv ist. Als erstes muss der Prozess msblast.exe beendet werden. Dazu startet man den Task-Manager und klickt auf Registerkarte Prozesse. Dann markiert man den Prozess und klickt auf Beenden (unten rechts). Die Warnung des Taskmanager bestätigen. Erst dann kann die Datei msblast.exe gelöscht werden.

Registry Einträge entfernen:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = msblast.exe
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = msblast.exe I just want to say LOVE YOU SAN!! bill

Diese Einträge müssen aus der Registry gelöscht werden. Sonst wird der Virus nach dem Neustart des Rechners wieder aktiviert.

Jetzt kann der oben aufgeführte Sicherheits-Patch installiert werden. Voraussetzung ist allerdings, dass bei Windows 2000 mindestens Service Pack 2 installiert ist. Bei Windows XP muss Service Pack 1 installiert sein. Generell empfielt sich die Installation einer Firewall. Damit wäre der Befall des Rechners mit dem Wurm trotz Sicherheitslücke verhindert worden. Bei Windows XP gehört eine Firewall zum Lieferumfang. Für Windows 2000 muss der Anwender eine Firewall erwerben.

Sichern Sie Ihren PC
Zahlreiche Programme zur Erhöhung der Sicherheit stehen im Download-Special Security Update zur Verfügung.

Update 14. August 2003
Inzwischen sind zwei neue Blaster-Varianten im Umlauf deren Wirkungsweise ähnlich ist. Allerdings erzeugen die neuen Würmer in der Registry andere Einträge. Die Anbieter von Removal-Tools haben ihre Programme schon darauf angepasst. Wer manuell die neuen Wurm-Spuren vom System entfernen möchte, kann dies mit dem Programm regedit erledigen.

Neue Registry-Einträge entfernen:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„Microsoft Inet Xp..“=“teekids.exe“
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = penis32.exe

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago