Hallo, mit dieser Mail möchten wir Ihnen den aktuellen Stand der Informationen bzgl. der Virus-Attacke mitteilen, bzw. die am häufigsten gestellten Fragen beantworten. Der Computer-Wurm "Blaster (Lovsan)" verbreitet sich laut Microsoft aufgrund einer Sicherheitslücke in den Microsoft Betriebssystemen Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003. Bis jetzt sind allerdings noch keine Windows NT-Rechner bekannt, die befallen sind. Genannte Symptome sind: 1. Administrator Anmeldung dauert unendlich lange 2. svchost stürzt ab mit Fehlermeldung, dass Programm beendet wird. 3. cut and paste geht nicht mehr 4. http://windowsupdate.microsoft.com Seite bleibt leer 5. Excel und Access bringen Fehlermeldung, dass RCP-Host Fehler hat. Der Rechner wird unkontrolliert heruntergefahren. Die Infektion erfolgt über Port 135, allerdings nicht ausschliesslich. Andere Ports werden auch missbraucht, siehe http://www.bsi.de/av/vb/blaster.htm Die betroffenen Ports sind im Übrigen nach ausserhalb der Domain uni-heidelberg gesperrt. Die Infektion erfolgte von Innen - wahrscheinlich durch ein infiziertes Notebook, das ans Netz gehängt wurde (o.ä.). Es ist dringend erforderlich, die von Microsoft zur Verfügung gestellten Updates einzuspielen. Diese setzen allerdings voraus, dass auch die für die Betriebssysteme vorgesehenen Service Packs eingespielt sind. Falls beim Einspielen der Rechner unkontrolliert 'shutdown' macht, kann man dies wie folgt unterbinden: Sobald das Hinweisfenster erscheint, dass der Computer in 60 Sekunden herunterfahren wird: - klicken Sie auf „Start" - klicken Sie auf „Ausführen" - geben Sie ein: shutdown -a - klicken Sie auf OK Weitere detaillierte Informationen finden Sie auf der WWW-Seite: http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm und die Updates unter: http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm#Patch Das URZ kann Ihnen im Rahmen des Programms Rent-a-Hiwi Hilfe zur Verfügung stellen. Interessenten könne sich mit Ingo Schmidt bzw. Stefanie Sauer in Verbindung setzen. Rechner, bei welchen der Virus nicht entfernt wurde und die Sicherheits-Updates nicht eingespielt wurden dürfen nicht weiter am Netz betrieben werden. Da kein Schutz gegen eine Verbreitung des Virus möglich ist, würden diese Rechner sofort infiziert werden (dauerte in einem getesteten Fall nur ca. 5 Minuten) und dann weitere Rechner infizieren. Gedacht ist hierbei an Rechner, die diese Woche beispielsweise nicht in Betrieb waren (Urlaub u.s.w.) und am nächsten Montag unbedacht eingeschaltet werden. Ist es nicht möglich, das Update einzuspielen (Administrator-Password nicht verfügbar, Zuständiger in Urlaub, u.s.w.) dann muss der Rechner im Interesse der Allgemeinheit von Netz entfernt werden. Das URZ behält sich vor, Rechner, die nicht geschützt oder verseucht oder beides sind, vom Netzzugang auszuschließen. Von unterschiedlichen Firmen stehen kostenlos spezielle Virus-Entfernungs-Programme zur Verfügung: http://vil.nai.com/vil/stinger/ http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html http://de.bitdefender.com/html/free_tools.php Kann das Update von Microsoft nicht heruntergeladen werden, da mittlerweile der Server überlastet ist, dann kann man die Software im Infoservice des URZ erhalten, bzw. ist die Software auch über die WWW-Seite des URZ verfügbar: http://www.urz.uni-heidelberg.de/BLASTER_WORM Bitte nehmen Sie diesen Virus ernst und bedenken Sie, was geschehen wäre, wenn noch ein Schadensmechanismus im Virus integriert gewesen wäre. Es hat sich gezeigt, dass die Rechner der Universität gegen solche Angriffe nicht hinreichend geschützt sind und dass die vom Rektorat der Universität Heidelberg in seinem Schreiben vom 23.06.2003 beschriebenen bindenden Vorschriften für alle Rechner der Universität mit Netzanbindung nur unzureichend umgesetzt worden sind: "Auf jedem Rechner muss ein Virenscanner mit täglicher automatischer Aktualisierung aktiv sein. Auf jedem Rechner müssen regelmäßig Sicherheitsfixes eingespielt werden, z. B. via Windows-Update, Mac-OS-X-Update oder Linux-Online-Update (Z. B. SuSE YOU). Aufgrund aktueller Vorkommnisse und Häufung von Korrekturen wird derzeit ein wöchentliches Update für alle Rechner (Server und Clienten) empfohlen." Wäre dies korrekt erfolgt, wäre Ihnen und auch uns viel erspart geblieben, von der benötigten Arbeitszeit ganz zu schweigen. -- Mit freundlichen Grüßen / Kind Regards Joachim Lammarsch / Ingo Schmidt Universitätsrechenzentrum Heidelberg INF 293, D-69120 Heidelberg Tel: +49/6221/54-4540 Fax: -5581