Lovesan-Wurm greift Windows-Computer an - Neuer Virus nutzt Schwachstelle der RPC-Schnittstelle

[Newsbot]

Derzeit verbreitet sich ein neuer Wurm mit dem Namen Lovesan (W32/Lovesan.worm, W32/Blaster-A) stark im Internet. Lovesan nutzt eine Sicherheitsschwachstelle der Remote Procedure Call (RPC)-Schnittstelle von Microsoft aus, wie der Entwickler von Anti-Viren-Software, Sophos, mitteilte. Der Wurm überprüft Netzwerke und sucht dabei nach Computern, die für diese Sicherheitslücke anfällig sind. Bei der Suche nach einem passenden Opfer gelangt durch den Wurm eine Kopie von ihm mittels TFTP auf den Remote-Computer. Der Wurm erstellt zusätzlich einen Registrierungseintrag, so dass er beim Systemstart aktiviert wird.

Lovesan verbreitet sich sehr schnell und kommt nicht über E-Mail-Attachment. Da der Wurm eine Schwachstelle in Windows XP, NT und 2000 ausnützt, können User übersehen, dass ihr Computer infiziert ist. Der Wurm enthält auch einen Text, der jedoch nicht angezeigt wird: "Ich will nur sagen, dass ich San liebe! Billy Gates, warum ermöglichst du das? Hör auf Geld zu machen und repariere deine Software!" Nach dem 15. August wird der Wurm eine Distributed-Denial-of-Service-Attacke auf windowsupdate.com durchführen, so Sophos.

Microsoft hat ein Patch für die Schwachstelle zur Verfügung gestellt, das unter http://www.microsoft.com/technet/security/bulletin/MS03-026.asp heruntergeladen werden kann.

Als Alternative kann man den Windows 2000 PostService Pack 4 Updater der Helpline laden. Hier ist die Patch schon eingebaut. http://www.winhelpline.info/daten/?shownews=540

Wer die Fehlermeldung das der PC innerhalb von einer Minute runter gefahren wird bekommt, sollte schnell nach Start --> Ausführen gehen und hier shutdown -a eingeben. Jetzt kann mittels des Scanners der wurm entfernt werden und der Patch eingespielt werden.

Zum entfernen des Wurms hat Symantec ein Freeware-Tool bereit gestellt. http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html