Die WinTipps 2001 - Das deutsche Windows-Portal
Das deutsche Windows-Portal
Artikel 193: Entfernung von W32.Blaster
Der Wurm nutzt eine seit längerem bekannte Windows-Sicherheitslücke. Als Bezeichnung für den Wurm suchten sich die Antivirenhersteller diverse Namen aus: Von Symantec wird er beispielsweise "W32.Blaster.Worm" genannt, McAfee hat sich für "W32/Lovsan.worm" entschieden. Darüber hinaus wird der Wurm auch "Blaster", "Poza" und "MsBlast" genannt.

Der Wurm nutzt eine Sicherheitslücke im "DCOM RPC" aus, die von Microsoft bereits in diesem Security-Bulletin dokumentiert ist.

Bei der Sicherheitslücke handelt es sich um einen nicht geprüften Puffer im Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface. Wird die Puffergrenze überschrieben, kann der Angreifer einen beliebigen Programmcode auf dem Rechner ausführen.

Der Wurm sorgt beim Anwender dafür, dass das System instabil wird und im Extremfall auch abstürzt. Dabei erscheint eine Fehlermeldung über den Ausfall des RPC-Dienstes und das System startet neu. Dem Anwender signalisiert dabei ein Countdown die verbleibende Zeit bis zum Neustart.


Hier eine Anleitung, wie Sie den Virus W32.Blaster wieder loswerden:

Laden Sie sich als erstes das W32.Blaster.Worm Removal Tool hier herunter:

http://securityresponse.symantec.com/avcenter/FixBlast.exe

Sie müssen als Administrator angemeldet sein, um das Tool nutzen zu können. Vor dem Start des Tools sollten Sie alle anderen Programme schließen.

Deaktivieren Sie unbedingt die automatische Systemwiederherstellung von Windows XP / Windows 2000, weil diese ansonsten versucht, die von dem Tool durchgeführten Änderungen wieder rückgängig zu machen.

  1. Starten Sie das Tool mit dem Aufruf der Datei FixBlast.exe.
  2. Sollte das Tool fündig werden und den Wurm entfernen, dann rebooten Sie den Rechner.
  3. Starten das Tool anschließend nochmals, um sicher zu gehen, dass auch wirklich alle Reste entfernt wurden.
  4. Abschließend aktivieren Sie wieder die automatische Systemwiederherstellung.


Der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst und sollte auf jeden Fall installiert werden.

Die WinTipps 2001  -  Ein Service von   TL Networks