Spekulation über Computer-Virus bei Stromausfall

Der Stromausfall in den USA hat zu Spekulationen über einen Zusammenhang mit dem Computerwurm Lovsan beziehungsweise Blaster geführt. Zahlreiche Stimmen im Internet vermuten, der Virus könne Ursache des riesigen Blackouts gewesen sein. Sie verweisen darauf, dass die in den USA für die Abkopplung defekter Kraftwerke vom Stromnetz verantwortlichen Computersysteme auf einer Microsoft-Technik basieren.

Das ausgefallene Kraftwerk in der Nähe der Niagarafälle sei an ein Verbundnetz-Zentrum angeschlossen, das betroffene Versorgungsgebiete notfalls schnell vom Netz nehmen solle, um einen Zusammenbruch weiterer angeschlossener Kraftwerke zu verhindern. Sollte das Netz von dem Wurm befallen worden sein, könne die Kommunikation zum Erliegen gekommen, da der Virus regelmäßige Abstürze und Neustarts der befallenen Rechner auslöse.

Das betroffene Kraftwerk sei Referenzkunde des Softwarunternehmens Northern Dynamics. Dieses setze mit seinen Kontroll- und Steuerungssystemen auf die von Microsoft entwickelte Prozesskontrolltechnik OPC. Und diese verfüge unter Windows genau über jenes Sicherheitsloch, dass Lovsan zum Angriff nutze.

Experten des staatlich geförderten US-Instituts für Internet-Sicherheit CERT wiesen dies dagegen zurück. Es gebe keinerlei Hinweise auf einen Zusammenhang mit einer Aktivität eines wie auch immer gearteten Virus, erklärte die bei der Carnegie Mellon Universität in Pittsburgh angesiedelte Stelle.

Der seit einer Woche im Internet kursierende Computerwurm hat bereits Millionen von Rechnern weltweit befallen. Der Schädling zerstört wie berichtet zwar in der Regel keine Daten, kann jedoch zu unkontrollierten Computer-Abstürzen führen. Besonders bei Windows-XP-Rechnern wird dann der Zugang zum Internet immer wieder durch einen Neustart unterbrochen – und damit auch der Zugriff auf die benötigte Sicherheits-Software.

Folgende Schritte sollten zum Entfernen des Erregers durchgeführt werden:

Sobald die Meldung zum Herunterfahren des Rechners erscheint, muss im Windows-Startmenü auf „Ausführen“ geklickt werden. Das Sicherheitsunternehmen Trend Micro rät, in der erscheinenden Eingabezeile zunächst den Befehl „cmd“ einzugeben, in dem sich dann öffnenden Fenster den Befehl „shutdown –a“. Damit könne der Anwender einen weiteren Neustart verhindern.

Vor dem Gang ins Internet sollte der Anwender jedoch zuvor die XP-Firewall aktivieren. In Windows XP geht man dafür über die „Start“-Schaltfläche unter „Systemsteuerung“ in das Menü „Netzwerkverbindungen“: dort mit einem Doppelklick die aktive Verbindung wählen und dann auf Eigenschaften klicken. Unter „Erweitert“ dann schließlich die Option „Internetverbindungs- Firewall“ aktivieren.

Anschließend sollte man den erforderlichen Sicherheits-Patch auf den Internet-Seiten von Microsoft herunterladen und installieren. Zusätzlich muss nun der Wurm durch spezielle Software entfernt werden. Alle benötigten Dateien erhalten Sie weiter unten von ZDNet.

Bei Blaster/Lovsan handelt es sich um eine von Experten befürchtete Hackerattacke, die eine Mitte Juli gefundene Lücke in Windows ausnützt. „Blaster hat die Absicht, die Microsoft-Website windowsupdate.com aus dem Internet zu werfen“, berichtete Gernot Hacker, Senior Technical Consultant bei Sophos. „Da der Wurm für eine Denial-of-Service-Attacke auf windowsupdate.com programmiert ist, versucht der Virenschreiber ganz gezielt, Computer-Usern das Herunterladen von Sicherheits-Updates zu erschweren oder gar unmöglich zu machen. Indem die Anwender die Sicherheitslücke in ihrem System nicht schließen können, hat der Blaster Wurm freie Bahn ins Netzwerk. Ein recht gemeiner Trick vom Blaster-Autoren.“ Der Wurm bereitet also den Boden für eine groß angelegte Zerstörungswelle.

Neben Symantec haben viele weitere Antiviren-Experten Tools zum Entfernen der Plage bereitgestellt:

Microsoft Security-Bulletin und Sicherheitspatch
Microsoft Windows XP Sicherheitspatch 1,2 MByte
Microsoft Windows 2000 Sicherheitspatch 1,2 MByte
Microsoft Windows 2000 Service Pack 4
BitDefender Win32.Msblast.A Informationen
BitDefender Win32.Msblast.A Removal-Tool
Symantec W32.Blaster.Worm Informationen
Symantec W32.Blaster.Worm Removal Tool
McAfee W32/Lovsan.worm Informationen
Sophos W32/Blaster-A Informationen

Auch Panda-Software offeriert einen „Quickremover“ sowie einen Online-Virenscanner.

Inzwischen sind mehrere Millionen Rechner von dem Virus befallen. Zahlreiche Anrufer erkundigten sich in der ZDNet-Redaktion, wie man den Virus wieder vom Rechner bekommt.

Auswirkung des Blaster-Wurms: Ist ein Rechner befallen, äußert sich das darin, dass Windows das System herunterfährt, da der RPC-Dienst überlastet ist.

Entfernen des Wurms: Bei jedem Neustart lädt sich der Wurm automatisch ins System. Der Löschversuch von msblast.exe misslingt, weil der Prozess noch aktiv ist. Als erstes muss der Prozess msblast.exe beendet werden. Dazu startet man den Task-Manager und klickt auf Registerkarte Prozesse. Dann markiert man den Prozess und klickt auf Beenden (unten rechts). Die Warnung des Taskmanager bestätigen. Erst dann kann die Datei msblast.exe gelöscht werden.

Registry Einträge entfernen:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = msblast.exe
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = msblast.exe I just want to say LOVE YOU SAN!! bill

Diese Einträge müssen aus der Registry gelöscht werden. Sonst wird der Virus nach dem Neustart des Rechners wieder aktiviert.

Jetzt kann der oben aufgeführte Sicherheits-Patch installiert werden. Voraussetzung ist allerdings, dass bei Windows 2000 mindestens Service Pack 2 installiert ist. Bei Windows XP muss Service Pack 1 installiert sein. Generell empfielt sich die Installation einer Firewall. Damit wäre der Befall des Rechners mit dem Wurm trotz Sicherheitslücke verhindert worden. Bei Windows XP gehört eine Firewall zum Lieferumfang. Für Windows 2000 muss der Anwender eine Firewall erwerben.

Sichern Sie Ihren PC
Zahlreiche Programme zur Erhöhung der Sicherheit wie auch die Removal-Tools des aktuellen Wumrs stehen im Download-Special Ein Ende den Würmern zur Verfügung.

Update 14. August 2003
Inzwischen sind zwei neue Blaster-Varianten im Umlauf deren Wirkungsweise ähnlich ist. Allerdings erzeugen die neuen Würmer in der Registry andere Einträge. Die Anbieter von Removal-Tools haben ihre Programme schon darauf angepasst. Wer manuell die neuen Wurm-Spuren vom System entfernen möchte, kann dies mit dem Programm regedit erledigen.

Neue Registry-Einträge entfernen:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„Microsoft Inet Xp..“=“teekids.exe“
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion Run
„windows auto update“ = penis32.exe

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

22 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

23 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago