Blaster Virus

Dazu startet man das Control Panel unter Startmenü/Einstellungen. Öffnen Sie "System" in der Steuertafel und wählen Sie in der oberen linken Ecke die Option Wiederherstellen. Starte das FixBlast.exe-Tool, das du zuvor runtergeladen hast. Wählen Wählen Sie "Start" und lassen Sie das Startseil laufen, bis das Programm Ihre PC-Platte auf den Virus überprüft hat.

Vergesst nicht, die System-Wiederherstellung in der Systemsteuerung einzuschalten und den Computer wiederherzustellen.

Virenschutzdaten

Würmer ist ein Würmer, der die DCOM RPC-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-026) über den TCP-Port 135 ausnützt. Er attackiert nur Rechner mit Windows 2000 und Windows XP. Obwohl die obige Sicherheitsanfälligkeit auch auf Windows NT- und Windows 2003-Servern besteht (sofern nicht gepatcht), beinhaltet der Virus keinen Quellcode zur Replikation auf diese Rechner.

Mit Hilfe dieses Wurms wird der Versuch unternommen, die MSBLASTE. EXE-Datei in das Ordner "%WinDir%\system32" zu laden und danach aufzurufen. TCP Port 135, "DCOM RPC" UDP Port 69, "TFTP" Der Wurm startet auch einen Denial of Service (DoS) Angriff auf den Microsoft Windows Update Webserver (windowsupdate.com). Dies wird versuchen zu vermeiden, dass Sie einen Patches gegen die DCOM RPC-Schwachstelle auf Ihrem Rechner einspielen.

Sicherheitsresponse hat einige Hinweise gegeben, die Netzwerk-Administratoren bei ihren laufenden Anstrengungen mit W32.Blaster unterstützen. Würmer infizierten Computern in ihren Netzen. Cliquez hier für eine detailliertere Beschreibung der Rapid Release und Daily Certified Virendefinitionen. Es wird geprüft, ob ein Rechner bereits befallen ist und ob der Virus läuft.

Ist dies der Fall, so wird der Virus den Rechner nicht ein zweites Mal befallen. "msblast. exe" auf den Registry-Schlüssel: Dadurch wird der Virus beim Start von Microsoft gestartet. Es erzeugt eine IP Addresse und will den Rechner mit dieser Addresse anstecken. Bei 40% der Befunde überprüft der Würmer, ob C grösser als 20 ist.

Nachdem er die IP-Adresse berechnet hat, sucht der Virus nach einem Rechner mit der IPAdresse. Danach rechnet der Virus von 0 zu 1 nach oben und sucht und nutzt andere Rechner basierend auf der neuen IP-Adresse, bis er 254 Punkte hat. Es gibt zwei verschiedene Datentypen:

Es werden entweder Windows XP- oder Windows 2000-Daten in 80% der Fällen und Windows 2000-Daten in 20% der Fällen übertragen. Der Wurm kann sich nicht auf Windows NT oder Windows Server 2003 verbreiten, Rechner ohne Patches mit diesen Systemen können aufgrund der Versuche des Wurmes ausfallen.

Falls der Virus jedoch von Hand eingeführt und auf Rechnern mit diesen Systemen installiert wird, wird er laufen und kann sich verbreiten. Durch die zufällige Konstruktion der Angreiferdaten kann der RPC-Dienst abgestürzt sein, wenn er fehlerhafte Informationen aufnimmt. Bei einem Absturz des RPC-Dienstes wird unter Windows XP und Windows Server 2003 standardmäßig der Rechner durchgestartet.

UDP-Port 69 Wenn der Wurm eine Anforderung von einem Rechner empfängt, mit dem er sich über die DCOM-RPC-Schwachstelle verbinden konnte, schickt er die Datei msblast.exe an diesen Rechner und gibt den Auftrag, den Virus auszulösen. Das Ende des Monats befindet sich zwischen Jänner und August im Zeitraum von einem Monat, oder wenn der Zeitraum von Sept. bis 12. ist, startet der Virus einen DoS-Angriff auf Windows Update.

Er wird auf einem Computer mit dem Betriebssystem XP installiert, der während der DoS-Ausführungszeit entweder angesteckt oder durchgestartet wurde. Er läuft auf einem Computer unter Microsoft 2000, der während der DoS-Ausführungszeit angesteckt wurde und seit der Infizierung nicht mehr hochgefahren wurde. Er wird auf einem Computer unter dem Betriebssystem Microsoft 2000 installiert, der während der DoS-Ausführungszeit angesteckt wurde und seit der Infizierung erneut startet, wenn der aktuelle angemeldeten Nutzer über Administrator-Rechte verfügte.

Pro stündlich werden 50 HTTP-Pakete gesendet. Falls der Virus keinen DNS-Eintrag für das Windows-Update hat. Die Wurmliste beinhaltet den nachfolgenden Wortlaut, der nie dargestellt wird: Einschränkung des Denial-of-Service-Angriffs Am 16. Juli 2003 veröffentlichte Microsoft den DNS-Eintrag für das Windows-Update. Obwohl der Angriff des Würmers auf den Denial-of-Service die Funktionalität der Microsoft Windows Update-Website nicht mehr beeinflusst, können Netzwerk-Administratoren diesen Hinweisen folgen, um DoS-Schäden zu minimieren.

Auf diese Weise können Sie bestimmen, welche Rechner angesteckt sind, wenn Sie einen "Monitoring-Server" haben, der die SYN-Pakete auffängt. "Obwohl ManHunt die mit dieser Sicherheitsanfälligkeit verbundenen Aktivitäten mithilfe der Technologie zur Erkennung von Protokollanomalien entdeckt, können Sie die als Sicherheitsupdate 4 veröffentlichte kundenspezifische Unterschrift "Microsoft DCOM RPC Buffer Overflow" nutzen, um einen Exploit der Sicherheitsanfälligkeit exakt zu erkennen.

Das Sicherheits-Update 5 wurde freigegeben, um spezielle Unterschriften für W32.Blaster hinzuzufügen. Sicherheitsresponse hat eine eigene Unterschrift für ManHunt 3.0 entwickelt, die in Security Update 6 zur Verfügung steht und diesen Anschlag gezielt als Blaster-DoS-Anfrage erkennt. CelaSoft verhindert oder begrenzt Schäden, wenn ein Computer kompromittiert wird.

Sichern Sie sich, dass Programme und Computerbenutzer die niedrigste Berechtigungsstufe verwenden, die für die Ausführung einer Aufgabe erforderlich ist. Außerdem sollten Sie keine aus dem Internet heruntergeladene Logik ausführen, es sei denn, sie wurde auf Viren überprüft. Für weitere Informationen zu den in diesem Dokument verwendeten Begriffen lesen Sie bitte das Sicherheitsglossar.

Es sollte zuerst probiert werden. Die neuesten Virendefinitionen herunterladen. Scannen Sie Ihren Rechner und entfernen Sie die infizierten Daten. Installation von Microsofts Hotspot, um die DCOM RPC-Schwachstelle zu beheben. Wenn Sie die RPC-Diensteinstellungen (Remote Call Procedure) unter Windows 2000 und XP ändern, können Sie in vielen Situationen eine Internetverbindung aufbauen, ohne dass der Rechner heruntergefahren wird.

Es gibt zwei Möglichkeiten, die neuesten Virendefinitionen zu erhalten: LiveUpdate ist der leichteste Weg, um Virendefinitionen zu erhalten: Die Virendefinitionen für W32.blaster sind seit dem 1. Juli 2003 verfügbar. Systemverwalter und versierte Benutzer können die Virendefinitionen mit dem Intelligenten Update herunterladen. Virendefinitionen des Intelligenten Updaters werden an Werktagen (Montag bis Freitag) publiziert.

Wenn Sie feststellen möchten, ob für diese Drohung über den Intelligenten Updater Konfigurationen zur Verfügung stehen, wählen Sie den Link Virendefinitionen (Intelligenter Updater). Wurm befallen, auf " Entfernen " drücken.