Home Previous Zeitschrift 2003/09 Next Index
 
  Inhalt:
 
 
 

 

Lovscan & Co

Hat Sie dieser Virus auch infiziert?

Aus aktuellem Anlass möchten wir etwas von Thema dieser Fachzeitschrift heute abweichen. Eine große Zahl an Computern, die mit dem Internet verbunden sind, hat der oben genannte Virus oder eine Abart von ihm erwischt. Uns auch!

Wir haben zwei Tage gebraucht, um alles wieder zu reparieren und gegen diesen Virus gewappnet zu sein. Es geht auch in zwei Stunden - man muss nur wissen wie. Genau das möchten wir Ihnen an dieser Stelle vermitteln.

Zuerst müssen Sie prüfen, ob Ihr Rechner von dem Virus befallen ist. Da wir als Betriebssystem Windows 2000 Professional einsetzen, beziehen sich die nachfolgenden Hinweise ausschließlich auf unser System. Bei einem anderen Betriebssystem müssen Sie entsprechend etwas andere Befehle benutzen.

Mit der Tastenkombination ALT + STRING + ENTF rufen Sie den Task-Manager auf. Klicken Sie auf Prozesse, und sehen Sie dann in der angezeigten Liste nach, ob Sie die Datei msblast.exe finden. Sie können diese Virusdatei zwar löschen, doch nach dem nächsten Internetaufruf ist sie wieder da und treibt immer mehr in den folgenden Tagen ihr Unwesen auf dem Rechner.

Antivir.de schreibt dazu:

»Der Wurm versucht eine Verbindung über den Port 135 aufzubauen. Er scannt hierzu wahllos IP Adressbereiche ab und sollte er ein verwundbares System gefunden haben, sendet er spezielle Kommandos zu dem Programm TFTP (Trivial File Tranfer Protocol). 
Dieses Programm startet den Download des Wurmprogrammes und führt ihn führt ihn aus.
Er erstellt die das Windows System32 Verzeichnis (meistens C:\Windows\System32\ oder C:\WINNT\System32\) die Datei PENIS32.EXE (7,200 Bytes).
Damit der Wurm beim nächsten Systemstart erneut ausgeführt wird, erstellt er folgende Registry Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run]
"windows auto update"="penis32.exe" 
 

Auf der Microsoft Homepage ist ein Update verfügbar um die Sicherheitslücke zu schließen. Technische Details zur Sicherheitslücke und das Update finden Sie hier:

Microsoft Security Bulletin MS03-026  <http://www.microsoft.com/technet/security/bulletin/MS03-026.asp>
Windows 9x/ME sind von der Sicherheitslücke nicht betroffen können jedoch diesen Wurm auch weiterverbreiten sofern er manuell ausgeführt wird.«

Über ein entsprechendes Patch, das zu Ihrem Betriebssystem passt, wird die Sicherheitslücke geschlossen. Wir haben Patch 4 von Microsoft heruntergeladen. Das Patch installiert sich selbst und die Lücke war geschlossen.

Als Nächstes haben wir uns ein Antivirusprogramm heruntergeladen bei http://www.antivir.de. Nach dem wir dessen .exe-Datei ausgeführt hatten, war das Virus entfernt.

Danach haben wir noch eine Datenreorganisation gefahren. 

Zum Seitenanfang
 

© ADOLPH Verlag GmbH - Letztes Update 03.05.2004