LISTSERV - URZINFO Archives - LISTSERV.UNI-HEIDELBERG.DE

URZINFO Archives

Info-Mail vom URZ

URZINFO@URZ.UNI-HEIDELBERG.DE

	LISTSERV Archives
	URZINFO Home

	Log In
	Register

	Subscribe or Unsubscribe

	Search Archives

Options:	Use Monospaced Font Show Text Part by Default Show All Mail Headers
Topic:	[<< First] [< Prev] [Next >] [Last >>]

Windows-Virus (W32.Blaster.Worm) (2)

Joachim Lammarsch <[log in to unmask]>

Wed, 13 Aug 2003 19:57:07 +0200

text/plain (122 lines)

Hallo,

mit dieser Mail möchten wir Ihnen den aktuellen Stand der
Informationen bzgl. der Virus-Attacke mitteilen, bzw. die am
häufigsten gestellten Fragen beantworten.

Der Computer-Wurm "Blaster (Lovsan)" verbreitet sich laut Microsoft
aufgrund einer Sicherheitslücke in den Microsoft Betriebssystemen
Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003.

Bis jetzt sind allerdings noch keine Windows NT-Rechner bekannt, die
befallen sind.

Genannte Symptome sind:
1. Administrator Anmeldung dauert unendlich lange
2. svchost stürzt ab mit Fehlermeldung, dass Programm beendet wird.
3. cut and paste geht nicht mehr
4. http://windowsupdate.microsoft.com Seite bleibt leer
5. Excel und Access bringen Fehlermeldung, dass RCP-Host Fehler hat.

Der Rechner wird unkontrolliert heruntergefahren.

Die Infektion erfolgt über Port 135, allerdings nicht ausschliesslich.
Andere Ports werden auch missbraucht, siehe

http://www.bsi.de/av/vb/blaster.htm

Die betroffenen Ports sind im Übrigen nach ausserhalb der Domain
uni-heidelberg gesperrt. Die Infektion erfolgte von Innen -
wahrscheinlich durch ein infiziertes Notebook, das ans Netz gehängt
wurde (o.ä.).

Es ist dringend erforderlich, die von Microsoft zur Verfügung
gestellten Updates einzuspielen. Diese setzen allerdings voraus, dass
auch die für die Betriebssysteme vorgesehenen Service Packs
eingespielt sind. Falls beim Einspielen der Rechner unkontrolliert
'shutdown' macht, kann man dies wie folgt unterbinden:

Sobald das Hinweisfenster erscheint, dass der Computer in 60 Sekunden
herunterfahren wird:

- klicken Sie auf „Start"
- klicken Sie auf „Ausführen"
- geben Sie ein:
shutdown -a
- klicken Sie auf OK

Weitere detaillierte Informationen finden Sie auf der WWW-Seite:

http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm

und die Updates unter:

http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm#Patch

Das URZ kann Ihnen im Rahmen des Programms Rent-a-Hiwi Hilfe zur
Verfügung stellen. Interessenten könne sich mit Ingo Schmidt bzw.
Stefanie Sauer in Verbindung setzen.

Rechner, bei welchen der Virus nicht entfernt wurde und die
Sicherheits-Updates nicht eingespielt wurden dürfen nicht weiter
am Netz betrieben werden. Da kein Schutz gegen eine Verbreitung des
Virus möglich ist, würden diese Rechner sofort infiziert werden
(dauerte in einem getesteten Fall nur ca. 5 Minuten) und dann weitere
Rechner infizieren. Gedacht ist hierbei an Rechner, die diese Woche
beispielsweise nicht in Betrieb waren (Urlaub u.s.w.) und am nächsten
Montag unbedacht eingeschaltet werden. Ist es nicht möglich, das
Update einzuspielen (Administrator-Password nicht verfügbar,
Zuständiger in Urlaub, u.s.w.) dann muss der Rechner im Interesse der
Allgemeinheit von Netz entfernt werden.

Das URZ behält sich vor, Rechner, die nicht geschützt oder verseucht
oder beides sind, vom Netzzugang auszuschließen.

Von unterschiedlichen Firmen stehen kostenlos spezielle
Virus-Entfernungs-Programme zur Verfügung:

http://vil.nai.com/vil/stinger/
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://de.bitdefender.com/html/free_tools.php

Kann das Update von Microsoft nicht heruntergeladen werden, da
mittlerweile der Server überlastet ist, dann kann man die Software im
Infoservice des URZ erhalten, bzw. ist die Software auch über die
WWW-Seite des URZ verfügbar:

http://www.urz.uni-heidelberg.de/BLASTER_WORM

Bitte nehmen Sie diesen Virus ernst und bedenken Sie, was geschehen
wäre, wenn noch ein Schadensmechanismus im Virus integriert gewesen
wäre. Es hat sich gezeigt, dass die Rechner der Universität gegen
solche Angriffe nicht hinreichend geschützt sind und dass die vom
Rektorat der Universität Heidelberg in seinem Schreiben vom 23.06.2003
beschriebenen bindenden Vorschriften für alle Rechner der Universität
mit Netzanbindung nur unzureichend umgesetzt worden sind:

"Auf jedem Rechner muss ein Virenscanner mit täglicher automatischer
Aktualisierung aktiv sein. Auf jedem Rechner müssen regelmäßig
Sicherheitsfixes eingespielt werden, z. B. via Windows-Update,
Mac-OS-X-Update oder Linux-Online-Update (Z. B. SuSE YOU). Aufgrund
aktueller Vorkommnisse und Häufung von Korrekturen wird derzeit ein
wöchentliches Update für alle Rechner (Server und Clienten)
empfohlen."

Wäre dies korrekt erfolgt, wäre Ihnen und auch uns viel erspart
geblieben, von der benötigten Arbeitszeit ganz zu schweigen.

--
Mit freundlichen Grüßen / Kind Regards
Joachim Lammarsch / Ingo Schmidt

Universitätsrechenzentrum Heidelberg
INF 293, D-69120 Heidelberg
Tel: +49/6221/54-4540 Fax: -5581

ATOM RSS1 RSS2

LISTSERV.UNI-HEIDELBERG.DE
Universität Heidelberg \| Impressum \| Datenschutzerklärung