CatmandOo
17.08.2003, 17:56
Mittlerweile dürfte jeder von dem Sicherheitsloch in Windowssystemen mit NT-Basis gehört oder auch schon Erfahrungen damit gemacht haben. Wer von dem Wurm befallen ist, erhält eine Meldung, dass NT-AUTORITÄT\SYSTEM das System in 60 (...) Sekunden herunterfährt.
Von diesem Problem sind nur Windows NT4, Windows NT4 Terminal Server, Windows 2000 (Professional & Server), Windows XP (Home & Professional in 32bit und 64bit Version) sowie Windows Server 2003 betroffen.
Um auch in diesem Forum das Thema einmal anzusprechen, will ich hier eine Anleitung posten, wie man das komplette Problem lösen kann:
Vorab:
Um während der Problembehebung nicht durch Neustarts unterbrochen zu werden, kann man die Neustarts wie folgt unterbinden:
A) Solange der Fehler nicht auftritt, klickt man auf [Start] -> [Programme] -> [Verwaltung] -> [Dienste]. Ist der Ordner Verwaltung nicht zu finden, klickt man auf [Start] -> [Suchen] und sucht nach dem Begriff Verwaltung. Möglicherweise werden mehrere Ergebnisse angezeigt. Die "Dienste" befinden sich aber in dem Ordner Verwaltung, von dem es nur einen gibt und den man folglich öffnen muss.
Hat man die Verknüpfung zu den Diensten gestartet, sucht man den Eintrag Remoteprozeduraufruf (RPC), macht einen Rechtsklick darauf und öffnet die Eigenschaften. Nun begibt man sich in den Register Wiederherstellen und wählt bei Erster Fehlschlag, Zweiter Fehlschlag und Weitere Fehlschläge Keinen Vorgang durchführen bzw. Keine Aktion aus. Anschließend mit OK beenden und die Dienste schließen.
B) Reicht die Zeit nicht aus, diese Einstellung vorzunehmen, klickt man einfach auf [Start] -> [Ausführen] und gibt hier shutdown.exe -a. Dies darf jedoch nur gemacht werden, wenn die Fehlermeldung (http://mitglied.lycos.de/trerapt0r/Unbenannt.jpg) erscheint !!!
Hinweis: Auf diesen zwei Wegen unterdrückt man lediglich das Neustarten. Das Problem ist jedoch noch nicht gelöst und der PC weiterhin von diesem Wurm befallen, wodurch er andere PCs mit Verbindung zum Internet infizieren kann. Deshalb unbedingt auch noch die nachfolgende Bereinigung vornehmen !!!
Bereinigung:
Man klickt wieder auf [Start] -> [Ausführen] und gibt hier msconfig ein. Windows 2000 hat diese Funktion nicht, aber man kann das Programm hier (http://www2.whidbey.com/djdenham/Msconfig.htm) herunterladen und im gespeicherten Ordner über den Windows Explorer einfach per Doppelklick ausführen.
Nun sucht man unter Dienste (/Services) und Systemstart (/Startup) nach dem Eintrag msblast.exe. Sollte er vorhanden sein, unbedingt das Häckchen davor entfernen !!
Anschließend das Programm mit OK beenden, aber noch keinen Neustart machen. Nun startet man per |STRG| + |ALT| + |Entf| (/ |Del| ) Tastenkombination den Taskmanager. Unter Prozesse entfernt man dann ebenfalls das Häckchen vor dem Eintrag msblast.exe bzw. klickt man den Eintrag einmal an und danach auf [Prozess beenden].
Nun durchsucht man die Festplatte nach dem Wurm, indem man auf [Start] -> [Suchen] klickt und als Suchbegriff msblast.exe eingibt. Wird eine oder mehrere msblast.exe-Dateien gefunden, müssen die Dateien gelöscht werden (mit der |Entf| bzw. |Del| Taste). Danach öffnet man noch den Papierkorb (Symbol auf dem Desktop) und leert über den Menüeintrag [Datei] den Papierkorb.
Dann klickt man wieder auf [Start] -> [Ausführen] und gibt nun [regedit] ein. Jetzt klickt man den Arbeitsplatz ganz oben einmal an und klickt dann auf den Menüeintrag -> [Suchen]. Hier sucht man dann nach msblast.exe. Wird ein Eintrag gefunden, muss man ihn wieder per |Entf| oder |Del| Taste löschen und die Suche mit der |F3|-Taste fortsetzen. Ist die Suche abgeschlossen, kann man das Programm beenden.
Zur Sicherheit lässt man den PC noch mit einem Romoval-Tool durchsuchen, wie es z.B. hier (BitDefender) (http://de.bitdefender.com/download/download.php?file=Antimsblast-DE.exe) oder hier (Symantec) (http://securityresponse.symantec.com/avcenter/FixBlast.exe) zum Download gibt.
Anschließend startet man den PC neu, lädt sich das schon seit längerer Zeit angebotene Sicherheitsupdate herunter und führt es aus. Der Patch für Windows XP (32bit) kann [b]hier (http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=de), für Windows 2000 hier (http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=de) heruntergeladen werden. Bei Windows 2000 wird der Service Pack 2 (SP2) vorausgesetzt (Windows 2000 Service Packs (http://www.microsoft.com/windows2000/downloads/servicepacks/)).
Auf dieser Seite (http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp) gibt es etwas weiter unten dann auch noch die Downloadlinks für andere, betroffene Windowsversionen.
Nun ist man vor einer erneuten Infizierung mit dem Wurm geschützt. Allerdings könnte der PC während der Internetverbindung vor dem Update erneut infiziert worden sein. Deshalb ist es zu empfehlen die Bereinigung nochmals durchzuführen (bis auf das Windowsupdate) oder zumindest eines der Removal-Tools (siehe weiter oben) zu starten.
Um in Zukunft vor ähnlichem geschützt zu sein, empfielt es sich, eine Firewall einzurichten. Empfehlenswert sind Hardwarefirewalls (oftmals auch in DSL-Router integriert), zur Not reichen aber auch nicht ganz so teure Softwarefirewalls. Windows XP liefert bereits eine kostenlose Softwarefirewall mit, die aber nicht unbedingt zu empfehlen ist. Um diese zu aktivieren, klickt man auf [Start] -> ([Einstellungen] ->) Systemsteuerung -> Netzwerkverbindungen. Dort wählt man die für das Internet verwendete Verbindung an,macht einen Rechtsklick darauf und wählt Eigenschaften an. Im Eigenschaftsfenster wählt man nun den Reiter Erweitert an und aktiviert die Firewall mit einem Häckchen vor Internetverbindungsfirewall (auf das Kästchen klicken). Wer kein Windows XP hat, kann sich hier (http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp) die ebenfalls kostenlose, aber auch nicht überzeugende Softwarefirewall ZoneAlarm (Free) herunterladen. Gute Softwarefirewalls stammen von Norton (Personal Firewall) oder McAffee.
Außerdem hilft es, wenn man sein Betriebssystem regelmäßig auf den neuesten Stand bringt. Zu empfehlen ist hier das Windows Update, auch zu erreichen über http://windowsupdate.microsoft.com . Wer seinen PC vor unerwünschtem Datenaustausch mit Mircosoft schützen will, sollte sich XP-AntiSpy (http://www.xp-antispy.org) [http://xp-antispy.org/index.php?option=com_remository&Itemid=26]hier herunterladen.
Wer sich mit seiner Firewall bereits gut auskennt, dem empfiehlt sich, die Ports 135, 139, 445 (alle UDP und TCP), 69 (UDP), 593 und 4444 (beide TCP) zu schließen.
Gute Informationen und Hilfen zu Firewalls allgemein, gibt es hier (http://www.trojaner-info.de/firewall/index.shtml) und hier (http://kai.iks-jena.de/npf/npf.html).
Treten weiterhin Probleme auf oder gibt es Verbesserungsvorschläge, kann hier gerne darüber diskutiert werden.
P.S.: Es ist auch schon vorgekommen, dass es "Mutationen" des W32.Blaster Wurmes gibt:Quelle (http://heise.de/newsticker/result.xhtml?url=/newsticker/data/dab-03.08.03-000/default.shtml&words=RPC)
Von diesem Problem sind nur Windows NT4, Windows NT4 Terminal Server, Windows 2000 (Professional & Server), Windows XP (Home & Professional in 32bit und 64bit Version) sowie Windows Server 2003 betroffen.
Um auch in diesem Forum das Thema einmal anzusprechen, will ich hier eine Anleitung posten, wie man das komplette Problem lösen kann:
Vorab:
Um während der Problembehebung nicht durch Neustarts unterbrochen zu werden, kann man die Neustarts wie folgt unterbinden:
A) Solange der Fehler nicht auftritt, klickt man auf [Start] -> [Programme] -> [Verwaltung] -> [Dienste]. Ist der Ordner Verwaltung nicht zu finden, klickt man auf [Start] -> [Suchen] und sucht nach dem Begriff Verwaltung. Möglicherweise werden mehrere Ergebnisse angezeigt. Die "Dienste" befinden sich aber in dem Ordner Verwaltung, von dem es nur einen gibt und den man folglich öffnen muss.
Hat man die Verknüpfung zu den Diensten gestartet, sucht man den Eintrag Remoteprozeduraufruf (RPC), macht einen Rechtsklick darauf und öffnet die Eigenschaften. Nun begibt man sich in den Register Wiederherstellen und wählt bei Erster Fehlschlag, Zweiter Fehlschlag und Weitere Fehlschläge Keinen Vorgang durchführen bzw. Keine Aktion aus. Anschließend mit OK beenden und die Dienste schließen.
B) Reicht die Zeit nicht aus, diese Einstellung vorzunehmen, klickt man einfach auf [Start] -> [Ausführen] und gibt hier shutdown.exe -a. Dies darf jedoch nur gemacht werden, wenn die Fehlermeldung (http://mitglied.lycos.de/trerapt0r/Unbenannt.jpg) erscheint !!!
Hinweis: Auf diesen zwei Wegen unterdrückt man lediglich das Neustarten. Das Problem ist jedoch noch nicht gelöst und der PC weiterhin von diesem Wurm befallen, wodurch er andere PCs mit Verbindung zum Internet infizieren kann. Deshalb unbedingt auch noch die nachfolgende Bereinigung vornehmen !!!
Bereinigung:
Man klickt wieder auf [Start] -> [Ausführen] und gibt hier msconfig ein. Windows 2000 hat diese Funktion nicht, aber man kann das Programm hier (http://www2.whidbey.com/djdenham/Msconfig.htm) herunterladen und im gespeicherten Ordner über den Windows Explorer einfach per Doppelklick ausführen.
Nun sucht man unter Dienste (/Services) und Systemstart (/Startup) nach dem Eintrag msblast.exe. Sollte er vorhanden sein, unbedingt das Häckchen davor entfernen !!
Anschließend das Programm mit OK beenden, aber noch keinen Neustart machen. Nun startet man per |STRG| + |ALT| + |Entf| (/ |Del| ) Tastenkombination den Taskmanager. Unter Prozesse entfernt man dann ebenfalls das Häckchen vor dem Eintrag msblast.exe bzw. klickt man den Eintrag einmal an und danach auf [Prozess beenden].
Nun durchsucht man die Festplatte nach dem Wurm, indem man auf [Start] -> [Suchen] klickt und als Suchbegriff msblast.exe eingibt. Wird eine oder mehrere msblast.exe-Dateien gefunden, müssen die Dateien gelöscht werden (mit der |Entf| bzw. |Del| Taste). Danach öffnet man noch den Papierkorb (Symbol auf dem Desktop) und leert über den Menüeintrag [Datei] den Papierkorb.
Dann klickt man wieder auf [Start] -> [Ausführen] und gibt nun [regedit] ein. Jetzt klickt man den Arbeitsplatz ganz oben einmal an und klickt dann auf den Menüeintrag -> [Suchen]. Hier sucht man dann nach msblast.exe. Wird ein Eintrag gefunden, muss man ihn wieder per |Entf| oder |Del| Taste löschen und die Suche mit der |F3|-Taste fortsetzen. Ist die Suche abgeschlossen, kann man das Programm beenden.
Zur Sicherheit lässt man den PC noch mit einem Romoval-Tool durchsuchen, wie es z.B. hier (BitDefender) (http://de.bitdefender.com/download/download.php?file=Antimsblast-DE.exe) oder hier (Symantec) (http://securityresponse.symantec.com/avcenter/FixBlast.exe) zum Download gibt.
Anschließend startet man den PC neu, lädt sich das schon seit längerer Zeit angebotene Sicherheitsupdate herunter und führt es aus. Der Patch für Windows XP (32bit) kann [b]hier (http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=de), für Windows 2000 hier (http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=de) heruntergeladen werden. Bei Windows 2000 wird der Service Pack 2 (SP2) vorausgesetzt (Windows 2000 Service Packs (http://www.microsoft.com/windows2000/downloads/servicepacks/)).
Auf dieser Seite (http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp) gibt es etwas weiter unten dann auch noch die Downloadlinks für andere, betroffene Windowsversionen.
Nun ist man vor einer erneuten Infizierung mit dem Wurm geschützt. Allerdings könnte der PC während der Internetverbindung vor dem Update erneut infiziert worden sein. Deshalb ist es zu empfehlen die Bereinigung nochmals durchzuführen (bis auf das Windowsupdate) oder zumindest eines der Removal-Tools (siehe weiter oben) zu starten.
Um in Zukunft vor ähnlichem geschützt zu sein, empfielt es sich, eine Firewall einzurichten. Empfehlenswert sind Hardwarefirewalls (oftmals auch in DSL-Router integriert), zur Not reichen aber auch nicht ganz so teure Softwarefirewalls. Windows XP liefert bereits eine kostenlose Softwarefirewall mit, die aber nicht unbedingt zu empfehlen ist. Um diese zu aktivieren, klickt man auf [Start] -> ([Einstellungen] ->) Systemsteuerung -> Netzwerkverbindungen. Dort wählt man die für das Internet verwendete Verbindung an,macht einen Rechtsklick darauf und wählt Eigenschaften an. Im Eigenschaftsfenster wählt man nun den Reiter Erweitert an und aktiviert die Firewall mit einem Häckchen vor Internetverbindungsfirewall (auf das Kästchen klicken). Wer kein Windows XP hat, kann sich hier (http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp) die ebenfalls kostenlose, aber auch nicht überzeugende Softwarefirewall ZoneAlarm (Free) herunterladen. Gute Softwarefirewalls stammen von Norton (Personal Firewall) oder McAffee.
Außerdem hilft es, wenn man sein Betriebssystem regelmäßig auf den neuesten Stand bringt. Zu empfehlen ist hier das Windows Update, auch zu erreichen über http://windowsupdate.microsoft.com . Wer seinen PC vor unerwünschtem Datenaustausch mit Mircosoft schützen will, sollte sich XP-AntiSpy (http://www.xp-antispy.org) [http://xp-antispy.org/index.php?option=com_remository&Itemid=26]hier herunterladen.
Wer sich mit seiner Firewall bereits gut auskennt, dem empfiehlt sich, die Ports 135, 139, 445 (alle UDP und TCP), 69 (UDP), 593 und 4444 (beide TCP) zu schließen.
Gute Informationen und Hilfen zu Firewalls allgemein, gibt es hier (http://www.trojaner-info.de/firewall/index.shtml) und hier (http://kai.iks-jena.de/npf/npf.html).
Treten weiterhin Probleme auf oder gibt es Verbesserungsvorschläge, kann hier gerne darüber diskutiert werden.
P.S.: Es ist auch schon vorgekommen, dass es "Mutationen" des W32.Blaster Wurmes gibt:Quelle (http://heise.de/newsticker/result.xhtml?url=/newsticker/data/dab-03.08.03-000/default.shtml&words=RPC)