Hallo !
Nach der Schilderung zu urteilen ist der PC vom einem Wurm befallen. Angefangen vom W32-Blast , lovesun ,W32.Welchia.Worm, W32/Nachi.worm [McAfee],WORM_MSBLAST.D,
Welchi bis hin zum CodeBlue kommt erst einmal alles in Frage. Wenn man die I-Netverbindung nicht mehr trennen kann , engt sich der Kreis ein.Dann bleiben nur noch einige Modifikationen des MSBlast bzw, W32 übrig.
OK , folgendes ist zu tun (in der Reuihenfolge !)
1. Stinger von MacAffee in neuester Version runterladen , gleich nach I-Net-Start , da es da noch geht *ggg*
(unter http://www.pits-security.de/welcome1.html , dort auch die anderen noch zu erwähnenden Sachen runterladen)
2.Stinger durchlaufen lassen , er erkennt und beseitigt den Bösewicht.
3. ALLE !!Servicepacks von Win2k installieren . Hoffe , das es ein "sauberes" Win2k ist.
4.Jetzt den Patch von Microsoft (Url siehe oben) runterladen und einspielen. Geht aber nur , wenn alle Servicepacks drauf sind.
Nach menschlichen Ermessen müßte das System jetzt wieder clean sein.
Hier noch mal ganz ausführlich die Funktion der neuen Wurmgeneration und Beseitigungswege :
Name: W32.Welchia.Worm
Alias: W32/Nachi.worm [McAfee]
WORM_MSBLAST.D [Trend]
Welchi [F-Secure]
Art: Wurm
Größe des Anhangs: 10.240 Bytes (aspacked)
Betriebssystem: Windows 2000/XP
Art der Verbreitung: Netzwerk (TCP 135, TCP 80 bei IIS 5.0)
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: Verbreitung über Port 135, Port 80 bei IIS 5.0
Versucht Microsoft-Patch gegen DCOM-RPC-Schwachstelle zu installieren
Entfernt Blaster-Wurm, sofern vorhanden
Wegen fehlerhaftem Code möglicherweise Störungen bei der Nutzung der Internet-Verbindung
Spezielle Entfernung: nein
bekannt seit: 18. August 2003
Beschreibung:
W32.Welchia.Worm ist ein Wurm, der sich über das Netzwerk verbreitet.
Er nutzt einerseits dazu die auch schon vom Blaster-Wurm[1] verwendetete DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen.
Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-026[2]. Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite[3].
Der zweite Weg, auf dem sich der Wurm verbreitet, ist über die WebDav-Schwachstelle. Hierbei handelt es sich eigentlich um einen nicht geprüften Puffer in der dynamischen Bibliothek ntdll.dll. Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle wird hauptsächlich bei Rechnern mit nichtgepatchtem IIS 5.0 (Internet Information Server 5.0 auf Windows NT-, 2000-, XP-Rechnern) ausgenutzt.
Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-007[4]. Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite[5].
Windows 95, 98, Me und Windows NT sind nicht betroffen.
W32.Welchia.Worm sucht über TCP Port 135 und Port 80 einen angreifbaren Rechner. Er versucht, den Microsoft-Patch gegen die DCOM RPC Schwachstelle zu installieren und den Blaster-Wurm zu entfernen.
Dafür kopiert er sich selbst per TFTP in das Verzeichnis C:WindowsSystem32 oder C:WINNTSystem32 in die Datei dllhost.exe.
Er kopiert die Datei tftpd.exe in ein neues Verzeichnis unter dem Namen der Systemdatei svchost.exe und installiert zwei neue Dienste mit den Namen "Network Connections Sharing" und "Wins Client", um den Patch zu laden, den Blaster-Wurm zu entfernen und sich selbst weiterzuverbreiten.
Wenn der Patch installiert wurde, startet der Rechner sich neu.
Möglicherweise wird versucht, den Patch in einer falschen Sprache zu installieren. Auch einige bisher nicht verifizierte Eigenarten werden möglicherweise durch fehlerhaften Code des Wurm ausgelöst. Dazu zählen auch einige Störungen, die bei laufender Internet-Verbindung auftreten.
Der Wurm enthält den nicht angezeigten Text:
=========== I love my wife & baby :)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:)~~ sorry zhongli~~~========== wins
Im Jahr 2004 wird der Wurm deaktiviert und entfernt sich selbst vom Rechner.
Hinweis:
Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn möglich) auf der Firewall die Ports
80 TDP
135 TCP
135 UDP
139 TCP
137 UDP
445 TCP
38 UDP
593 TCP
sperren.
Aktuelle Viren-Signaturen von Schutzsoftware erkennen den Wurm.
Windows 95, Windows 98, Windows Me und Windows NT sind von diesem Wurm nicht betroffen!
Auch Rechner von Privatanwendern sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten.
Hinweise zur Entfernung des Wurms
1. Der Wurm gelangt über Sicherheitslücken des Betriebssystems auf den Rechner. Um dieses zu verhinden, ist es wichtig diese zu schliessen.
Installieren Sie hierfür die beiden Patches, die die Sicherheitslücken schliessen.
Auf allen Windows NT-, 2000-, XP- und 2003 Server- Rechnern muss der Microsoft-Patch MS 03-026[6] installiert werden . Ob der Patch schon auf Ihrem Rechner installiert ist, können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der Patch bereits installiert.
Ebenso muss auf allen Windows NT-, 2000- und XP-Rechnern der Microsoft Patch MS 03-007 [7] installiert werden. Es sind durch den Wurm zwar nur solche Rechner mit dem Internet Information Server 5.0 betroffen, jedoch befindet sich die Sicherheitslücke in allen genannten Betriebssystemen.
2. Entfernen des Wurms:
Der einfachste Weg den Wurm zu entfernen, ist die Systemzeit kurzfristig auf 2004 zu stellen. Dann deaktiviert und entfernt sich der Wurm selbst.
Wenn dies nicht möglich ist, müssen folgende Schritte durchgeführt werden:
a. Wenn Ihr Betriebssystem Windows XP ist, deaktivieren Sie die Systemwiederherstellung (Anleitung dazu[8])
b. Aktualisieren Sie die Viren-Signaturen Ihres Antiviren-Programms
c. Starten Sie den Rechner neu oder stoppen Sie die o.g. Dienste
d. Führen Sie einen Suchvorgang mit Ihrer Anti-Virensoftware über Ihren Rechner durch und löschen Sie den gefundenen Virus.
e. Löschen Sie manuell die Datei svchost.exe aus dem Verzeichnis c:WindowsSystem32Wins bzw. c:WinntSystem32Wins. Beachten Sie dabei, dass Sie sich im richtigen Verzeichnis befinden. Die Datei svchost.exe im Verzeichnis c:WindowsSystem32 bzw. c:WinntSystem32 darf auf gar keinen Fall gelöscht werden, da es sich um eine Systemdatei handelt.
So , jetzt müßte alles klappen.
MfG
winbooster