In den letzten Tagen und Wochen wurde ich vermehrt mit Problemen konfrontiert, welche in Zusammenhang mit Computerwürmern standen. Es zeichnet sich da ein Trend ab, welcher fast jeden "normalen" Virus in Bezug auf Gefährlichkeit und Aggressivität in den Schatten stellt. Früher hat man über die Schadensroutinen von Würmern noch gelächelt, war man sich sicher, dass man ja nur durch direktes herunterladen dieser Tierchen infiziert werden konnte. Die Zeiten sind nun aber endgültig vorbei! Was kann der moderne Wurm heute schon alles? Fast Alles! Das beginnt bereits mit dem Weg der Infektion. Es ist nicht mehr notwendig, sich den Wurm als Anhang oder Mini-Programm zu holen, also etwas auszuführen. Heutzutage reicht der Kontakt zum Internet. Bereits beim Einloggen ins Netz, egal ob Inter- oder Intra-Net kann mein Rechner infiziert werden. Bestes Beispiel ist der Blaster.W32 LoveSun. Ich behaupte, dass mindestens jeder zweite Nutzer von WindowsXP/NT/2000 und Internet-Anschluss diesen Wurm in Aktion erlebte und sich des automatischen Herunterfahren seines Rechners erfreut hat. In dieser Beziehung widerspreche ich auch den offiziellen Statistiken, welche ganz andere Zahlen als Beruhigungspillen offerieren. Gut, dieses Würmchen hatte eben ein paar Programmierbugs und konnte so nicht seine geplanten Schadensroutinen ausführen. Was aber können die Würmer nun wirklich, wie gefährlich sind sie? Noch gute Laune, lieber User? Na dann fangen wir mal an! Nehmen wir uns mal den Wurm "Gaobot" vor. Dieser wird gerade in den letzten Tagen aktiv. Herkömmliche Virenprogramme können ihn zwar isolieren, aber nicht zerstören. Nach jedem Systemstart ist er wieder aktiv. Was tut er im System? Er kopiert sich nach %Sys%SERVICE5.exe ("%Sys%" steht für die Verzeichnisse System oder System32 im Windows-Stammverzeichnis), modifiziert die Registry, so dass der Wurm bei jedem Systemstart automatisch gestartet wird, öffnet einen zufälligen TCP-Port, um sich mit dem Hacker zu verbinden, verbindet sich, mit Hilfe eines eigenen IRC-Clients, mit einem vordefinierten IRC-Channel und wartet dort auf Kommandos, mit denen der Hacker folgende Aktionen auf dem kompromittierten Rechner ausführen kann: - die Installation des Wurms kontrollieren -/- den Wurm dynamisch aktualisieren -/- Herunterladen und Ausführen von Dateien -/- Systeminformationen stehlen -/- den Wurm an andere IRC-Benutzer senden -/- weitere Benutzer auf dem Rechner einrichten -/- sendet Daten an TCP-Port 135 um die bekannte "Buffer Overrun In RPCSS Interface"-Schwäche auszunutzen -/- sendet Daten an TCP-Port 445, um die bekannte "Unchecked Buffer in Locator Service"-Schwäche auszunutzen -/- testet administrative Netzwerkfreigaben mit den bereits eingerichteten Benutzerdaten und zusätzlich mit ca. 100 vordefinierten Passwörtern (ähnlich Brute-Force) -/- nach erfolgreichem Zugang kopiert sich der Wurm auf den neu kompromittierten Rechner und führt sich aus -/- stiehlt CD-Schlüssel für Spiele!. Aber damit nicht genug, durchsucht er die aktiven Prozesse nach den Firewall- oder Antivirus-Namen und schließt diese. Dies geschieht effektiv und betrifft fast alle bekannten Sicherheitsprogramme. Naja, damit sich die Sache abrundet, killt er gleich mal die Einträge der Konkurrenz, sprich anderer Würmer. Aber noch läuft der Rechner, was dem Wurm so nicht unbedingt gefällt. Aber auch dafür hat er noch einen Hammer in der Trickkiste. Dieser Wurm kann ohne Weiteres lokal eine DoS-Attacke (Denial of Service) starten (und das immer wieder). Gute Aussichten, stimmt es lieber User? Ich habe Sie soeben mit der neuen Generation von Würmern konfrontiert, welche uns zukünftig in sicher noch viel perfideren Formen begegnen werden. Aber muss man das so hinnehmen? Ganz klar: Nein! Wie im obigen Beispiel gezeigt, müssen bestimmte Voraussetzungen erfüllt sein, dass ein Wurm Angriffspunkte im System findet und ausnutzt. Viel davon verdanken wir den "erst mal auf den Markt bringen , dann reparieren "-Strategien von Microsoft. Hauptsächlich durch Programmfehler in Microsoftprogrammen, sogenannten Löchern, finden die Schädlinge Zugang auf Rechnersysteme. Den Programmierern von Microsoft bleibt dann eben nur noch die Nachbesserung in Form von sogenannten "Patchs". So, nun sind wir schon mitten drin im Thema "Wie schütze ich mich vor Würmern - Wie entferne ich Würmer". Grundsätzlich sollte man sich die Mühe machen, ständig nach aktuellen Sicherheitspatches Ausschau zu halten und diese zu installieren. Im Internet-Explorer geht man dazu auf "EXTRAS"-"Windows-Update". Weiterhin sollte man aktuelle Antivirensoftware sowie auf jeden Fall eine Firewall verwenden. Bei der Konfiguration der Firewall ist darauf zu achten, das wirklich nur die benötigten Ports offen sind! Was aber nun, wenn bei meinem PC der Wurm drin ist? Dann hilft nur noch die Säuberung. Wichtig ist auf jeden Fall die Reihenfolge unserer Maßnahmen. Als Erstes laden wir uns alle benötigten Sachen herunter, ohne diese aber zu installieren. Das sind: Ein Programm zum Finden und Zerstören der Plagegeister, zweitens das/die Patchs zum Dichtmachen der Sicherheitslöcher. Am Ende des Beitrages werden diese Programme und Patches als Link aufgeführt. Jetzt können wir das Programm zum Finden und Zerstören starten (es sind meist spezielle Programme, normale Antiviren-Programme schaffen es nicht). Es empfiehlt sich in dieser Phase auf jeden Fall, nicht online zu sein, alle Antivierenprogramme und Firewalls zu deaktivieren, bzw. auszuschalten (über den Taskmanager). Anti-Spam-Programme und Adware-Stopper (z. B. AdAware) sind auf jeden Fall auch zu stoppen. So, nun müsste unser System "sauber" sein. Egal was Ihnen Ihr Rechner oder das Tool sagt, wir starten den Rechner jetzt nicht neu! Jetzt werden alle Sicherheitspatches (auch Servicepacks) eingespielt, und zwar in der Reihenfolge des Erscheinens. D. h., die Ältesten zuerst usw. Wenn wir nun den Rechner neu starten, haben wir ein sauberes System, sollte es nicht so sein, haben wir definitiv einen Fehler in der Abfolge fabriziert. Wie versprochen, im Anschluss die wichtigsten Links zu den Entfernungsprogrammen und den Patches (Empfehlung von mir: Stinger von McAfee):
http://securityresponse.symantec.com/avcenter/FixBlast.exe - Symantec W32.Blaster.Worm Removal Tool. Kostenloses Removal-Tool für W32.Blaster.WormBetriebssystem: Windows 2000, Windows XP Grösse: 172.69 kB Lizenz: Freeware
http://de.bitdefender.com/down…p?file=Antimsblast-DE.exe - BiDefender Removal-Tool Win32.Msblast.A Kostenloses Removal-Tool für Win32.Msblast.ABetriebssystem: Windows 2000, Windows NT, Windows XP Grösse: 57.00 kB Lizenz: Freeware
http://www.sophos.com/misc/blastsfx.exe - RESOLVE W32/Blaster-A Self-Extractor. Kostenloses Tool zur Entfernung von W32/Blaster-ABetriebssystem: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP Grösse: 124.78 kB Lizenz: Freeware
http://www3.ca.com/Files/Virus…AndPrevention/ClnPoza.zip - CA Win32.Poza Removal Tool. Entfernt automatisch Win32/Poza.Worm (.A, .B, und .C) Betriebssystem: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP Grösse: 334.11 kB Lizenz: Freeware
http://www.trendmicro.com/ftp/products/tsc/sysclean.com - Trend Micro System Cleaner (3.0/159). Antiviren-Tool zum Entfernen von Wurm W32.Blaster/W32.Lovsan und weiteren bekannten VirenBetriebssystem: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP Grösse: 1.13 MB Lizenz: Freeware
http://download.nai.com/products/mcafee-avert/stinger.exe - McAfee AVERT Stinger (1.8.1). One for all: Removal-Tool gegen W32/Lovsan.worm, W32/Mimail@MM, W32/Yaha, Bugbear, Klez, Elkern etc.Betriebssystem: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP Grösse: 682.51 kB Lizenz: Freeware
http://download.microsoft.com/…wsXP-KB824146-x86-DEU.exe - Blaster Worm: Windows XP Sicherheitspatch. Behebt eine Sicherheitsanfälligkeit in einer Windows-DCOM-RPC-SchnittstelleBetriebssystem: Windows XP Grösse: 1.23 MB Lizenz: Freeware
http://download.microsoft.com/…2000-KB824146-x86-DEU.exe - Blaster Worm: Windows 2000 Sicherheitspatch. Behebt eine Sicherheitsanfälligkeit in einer Windows-DCOM-RPC-SchnittstelleBetriebssystem: Windows 2000 Grösse: 900.05 kB Lizenz: Freeware