Hi,
der W32.Blaster.Lovsan.Worm verwendet Port 135 des RPC/DCOM-Dienstes, um festzustellen, ob der KB823980 MS-Patch installiert ist oder nicht.
Kann man selber leicht nachkontrollieren. Im Windows-Verzeichnis sollte ein Unterverzeichnis $NtUninstallKB823980$ vorhanden sein. Das Programm http://www.pcwelt.de/public/RPCPatchCheck.zip kann das auch feststellen.
Falls der Patch noch nicht installiert ist und der Wurmbefall vorliegt, sollte man
- STRG+ALT+ENTF betätigen und den Task "msblast.exe" beenden,
- den Internetzugang so schnell wie möglich sperren,
- mit Hilfe eines Entfernungsprogrammes den Wurm entfernen z.B. http://securityresponse.symantec.com/avcenter/FixBlast.exe ,
- zur Sicherheit msblast.exe aus der Autostart-Möglichkeit entfernen (z.B. Ausführen msconfig Systemstart)
und
- den KB823980 RPC-Patch installieren http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm#Patch .
Natürlich sollte die Viren-Schutz-Software schnellstens aktualisiert werden.
That's all!
Und wo bleibt die Firewall?
Es gibt gleich mehrere Gründe, die RPC/DCOM-Ports im Internet NICHT zu blockieren:
1. RPC ist bei einer Blockierung im Internet nicht mehr möglich.
Es gibt beispielsweise, soweit man weiß, Tauschbörsen die sowas benötigen.
2. Gefilterte also geblockte Ports erregen Aufsehen im Internet und können zu Angriffen provozieren. Ein Portscan des eigenen Computers verdeutlicht die Problematik http://www.port-scan.de/content.html?scans/udp-test.html~mainFrame-ps . Natürlch wäre an dieser Stelle das Ergebnis "Kein Dienst" das beste, aber RPC/DCOM kann man unmöglich deaktivieren.
Ohne geblockten 135-Port ist sehr viel Traffic im Internet auf diesem Port zu verspüren, ist aber weiter nicht schlimm, denn es wird nur der KB823980 RPC-Patch-Zustand abgefragt und es erfolgt kein W32.Blaster.Lovsan- Angriff, wenn der besagte Patch installiert ist. Bei Zunahme der Entfernung des Virus wird der genannte Traffic schnell abnehmen.
Gruß und viel Spaß
Teletom
J-G-W
