Symantec Deutschland
 Symantec weltweit
Produkte
Bezugsquellen
Service und Unterstützung
Händlerzentrum
Security Response
Downloads
Über Symantec
Suche
Kontakt


©1995-2009 Symantec Corporation.
All rights reserved.

Legal Notices
Datenschutz
Sicherheitswarnungen

W32.Blaster.Worm

Kategorie 2
Entdeckt am: 11.08.2003
Zuletzt aktualisiert am: 26.10.2004


Aufgrund der gesunkenen Zahl von Meldungen hat Symantec Security Response diese Bedrohung am 8. Oktober 2003 von Kategorie 4 auf Kategorie 3 herabgesetzt.

W32.Blaster.Worm ist ein Wurm, der die DCOM RPC-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-026) über den TCP-Port 135 ausnutzt. Der Wurm greift nur Computer mit den Betriebssystemen Windows 2000 und Windows XP an. Zwar ist die oben genannte Sicherheitslücke auch auf Windows NT- und Windows 2003-Servern vorhanden (soweit diese nicht mit dem entsprechenden Patch versehen wurden), der Wurm enthält jedoch keinen Code zum Replizieren auf diese Systeme. Dieser Wurm versucht, die Datei msblast.exe in das Verzeichnis %WinDir%\system32 herunterzuladen und anschließend auszuführen. W32.Blaster.Worm ist kein Massen-Mail-Wurm.

Zusätzliche Informationen und eine alternative Website, von der der Microsoft-Patch heruntergeladen werden kann, sind im Microsoft-Artikel W32.Blaster.Worm verfügbar.

Wir empfehlen Ihnen, auf der Firewall-Ebene den Zugriff auf den TCP-Port 4444 zu sperren und anschließend die folgenden Ports zu blockieren, wenn diese nicht die aufgeführten Anwendungen verwenden:

  • TCP-Port 135, "DCOM RPC"
  • UDP-Port 69, "TFTP"
Der Wurm versucht außerdem, einen Denial-of-Service- (DoS) -Angriff auf den Microsoft Windows Update-Webserver (windowsupdate.com) zu starten. Dadurch versucht er, zu verhindern, dass Sie auf Ihrem Computer einen Patch gegen die DCOM RPC-Schwachstelle installieren können.

Klicken Sie hier, um weitere Informationen zu der Schwachstelle, die dieser Wurm ausnutzt, zu erhalten, und um herauszufinden, mit welchen Symantec Produkten das Risiko einer Ausnutzung dieser Schwachstelle verringert werden kann.

Hinweis: Diese Bedrohung wird durch Virusdefinitionen mit folgenden Merkmalen entdeckt:
    • Definitionsversion: 50811s
    • Folgenummer: 24254
    • Erweiterte Version: 8/11/2003, rev. 19


Symantec Security Response hat ein Programm zur Entfernung von W32.Blaster.Worm-Infektionen entwickelt.


Webcast für W32.Blaster.Worm
Über folgende URL können Sie einen englischsprachigen Webcast erhalten, der detaillierte Eingrenzungs- und Lösungsstrategien sowie eine ausführliche Beschreibung des DoS-Angriffs enthält.
    http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63

    Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Blaster.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting network traffic that may be due to RPC worms.    		  

    Auch bekannt als: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
    Typ: Wurm
    Infektionslänge: 6.176 Byte
    Betroffene Systeme: Windows 2000, Windows NT, Windows Server 2003, Windows XP
    Nicht betroffene Systeme: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
    CVE-Referenzen: CAN-2003-0352

    Schutz
  • Virusdefinitionen (LiveUpdate™ Weekly)

    • 11.08.2003
  • Virusdefinitionen (Intelligent Updater)

    • 11.08.2003

    Feststellung einer Bedrohung

    Im Umlauf

    Bedrohungsdaten
    Niedrig Mittel Mittel

    Im Umlauf:
    Niedrig

    Schaden:
    Mittel

    Verteilung:
    Mittel

    Schaden

    Verteilung

    Technische Details

    Bei Ausführung geht W32.Blaster.Worm folgendermaßen vor:

    1. Er überprüft, ob ein Computer bereits infiziert ist, und ob der Wurm ausgeführt wird. Wenn dies der Fall ist, infiziert der Wurm den Computer nicht ein zweites Mal.

    2. Er fügt den Wert

      "windows auto update"="msblast.exe"

      dem folgenden Registrierungsschlüssel hinzu:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

    3. Er generiert eine IP-Adresse und versucht, den Computer mit dieser Adresse zu infizieren. Die IP-Adresse wird anhand der folgenden Algorithmen generiert:
      • In 40 % der Fälle wird die IP-Adresse nach dem Schema A.B.C.0 generiert, wobei A und B den ersten beiden Teilen der IP-Adresse des infizierten Computers entsprechen.

        C wird mit dem dritten Teil der IP-Adresse des infizierten Systems berechnet. In 40 % der Fälle prüft der Wurm, ob C größer als 20 ist. Ist dies der Fall, so wird ein willkürlicher Wert, der kleiner als 20 ist, von C abgezogen. Nach Berechnung der IP-Adresse versucht der Wurm, einen Computer mit der IP-Adresse A.B.C.0 zu finden und anzugreifen.

        Der Wurm zählt dann von 0 jeweils um 1 aufwärts und versucht dabei, andere Computer auf Grundlage der neuen IP-Adresse zu finden und auszunutzen, bis der Wert 254 erreicht ist.
      • In 60 % der Fälle wird die IP-Adresse völlig zufällig generiert.

    4. Er sendet Daten auf dem TCP-Port 135, durch die die DCOM RPC-Sicherheitslücke ausgenutzt werden kann. Der Wurm sendet eine von zwei Arten von Daten: Entweder Daten zum Ausnutzen von Windows XP oder zum Ausnutzen von Windows 2000.

      In 80 % der Fälle werden Windows XP-Daten gesendet, und in 20 % der Fälle werden Windows 2000-Daten gesendet.

      Hinweise:
      • Das lokale Teilnetz wird mit Anfragen für den Port 135 überlastet.
      • Obwohl W32.Blaster.Worm sich nicht auf Windows NT oder Windows Server 2003 ausbreiten kann, können Computer ohne Patch mit diesen Betriebssystemen aufgrund der Angriffsversuche des Wurms abstürzen. Wenn der Wurm jedoch auf Computern mit diesen Betriebssystemen manuell eingebracht und gestartet wird, wird er ausgeführt und kann sich ausbreiten.
      • Aufgrund der zufälligen Art und Weise, auf die der Wurm die Angriffsdaten konstruiert, kann der RPC-Dienst abstürzen, wenn er falsche Daten erhält. Dies äußert sich in der Datei svchost.exe, die aufgrund der falschen Daten Fehlermeldungen generiert.
      • Wenn der RPC-Dienst abstürzt, besteht das Standardverfahren unter Windows XP und Windows Server 2003 darin, den Computer neu zu starten. Um diese Funktion zu deaktivieren, beachten Sie Schritt 1 in den unten stehenden Entfernungsanweisungen.

    5. Er erstellt mithilfe von Cmd.exe einen versteckten, entfernten Shell-Prozess, der den TCP-Port 4444 überwacht. Dies ermöglicht einem Angreifer, auf dem infizierten, entfernten System Befehle einzugeben.

    6. Er überwacht den UDP-Port 69. Wenn der Wurm eine Anfrage von einem Computer erhält, mit dem er über die DCOM RPC-Sicherheitslücke eine Verbindung aufbauen konnte, sendet er die Programmdatei msblast.exe an diesen Computer und gibt den Befehl, den Wurm auszuführen.

    7. Wenn das aktuell eingestellte Datum zwischen dem 16. und dem Monatsende in einem Monat zwischen Januar und August liegt oder wenn der Monat ein Monat zwischen September und Dezember ist, versucht der Wurm, einen DoS-Angriff auf Windows Update auszuführen. Der DoS-Angriff ist jedoch nur erfolgreich, wenn die folgenden Bedingungen zutreffen:
      • Der Wurm wird auf einem Windows XP-Computer ausgeführt, der während des DoS-Ausführungszeitraums entweder infiziert war oder neu gestartet wurde.
      • Der Wurm wird auf einem Windows 2000-Computer ausgeführt, der während des DoS-Ausführungszeitraums infiziert wurde und seit der Infektion nicht mehr neu gestartet wurde.
      • Der Wurm wird auf einem Windows 2000-Computer ausgeführt, der während des DoS-Ausführungszeitraums infiziert wurde und seit der Infektion neu gestartet wurde, wenn der aktuell angemeldete Benutzer über Administratorrechte verfügt.

    8. Der DoS-Verkehr besitzt folgende Merkmale:
      • Port 80 von windowsupdate.com wird mit SYN-Paketen überflutet.
      • Es wird versucht, in jeder Sekunde 50 HTTP-Pakete zu senden.
      • Jedes Paket ist 40 Bytes lang.
      • Wenn der Wurm keinen DNS-Eintrag für windowsupdate.com finden kann, verwendet er eine Zieladresse aus 255.255.255.255.

      Die TCP- und IP-Header besitzen unter anderem folgende, festgelegte Merkmale:
        • IP-Identifikation = 256
        • TTL-Wert (Lebensdauer) = 128
        • Quell-IP-Adresse = a.b.x.y, wobei a.b aus der Host-IP-Adresse stammen und x.y zufällig gewählt sind. In einigen Fällen werden a.b ebenfalls zufällig gewählt.
        • Ziel-IP-Adresse = DNS-Auflösung von "windowsupdate.com"
        • TCP-Quellport = zwischen 1000 und 1999
        • TCP-Zielport = 80
        • TCP-Sequenznummer = die beiden niedrigen Bytes sind auf 0 gesetzt, die beiden hohen Bytes werden zufällig gewählt.
        • TCP-Fenstergröße = 16384 Bytes
    Der Wurm enthält den folgenden Text, der jedoch nie angezeigt wird:

    I just want to say LOVE YOU SAN!!
    billy gates why do you make this possible ? Stop making money and fix your software!!

    Eingrenzen des Denial-of-Service-Angriffs
    Am 15. August 2003 hat Microsoft den DNS-Datensatz für windowsupdate.com entfernt. Der Denial-of-Service-Angriff des Wurms beeinträchtigt zwar nicht mehr die Funktion der Microsoft Windows Update-Website, jedoch können Netzwerkadministratoren die folgenden Empfehlungen trotzdem befolgen, um den DoS-Schaden einzugrenzen.
    • Leiten Sie windowsupdate.com auf eine spezielle interne IP-Adresse um. Dadurch können Sie feststellen, welche Computer infiziert sind, wenn Sie einen "überwachenden Server" haben, der die SYN-Pakete abfängt.
    • Konfigurieren Sie Anti-Spoofing-Regeln für die Router, wenn dies noch nicht durchgeführt wurde. Dadurch wird verhindert, dass eine große Anzahl von Paketen das Netzwerk verlässt. Sehr effektiv ist auch das Verwenden von uRPF oder Zugriffskontrolllisten für ausgehenden Netzwerkverkehr.

    Symantec Client Security
    Symantec hat am 15. August 2003 über LiveUpdate IDS-Signaturen veröffentlicht, mit denen eine Aktivität der Bedrohung W32.Blaster.Worm erkannt wird.

    Symantec Gateway Security
    • Symantec hat am 12. August 2003 eine Aktualisierung für Symantec Gateway Security 1.0 veröffentlicht.
    • Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie vor dieser Microsoft-Sicherheitslücke und blockiert standardmäßig alle oben aufgeführten TCP-Ports. Für maximale Sicherheit blockiert die dritte Generation der vollständigen Anwendungsinspektionstechnologie intelligent das Verwenden von Tunneln für DCOM-Verkehr über HTTP-Kanäle und bietet so eine zusätzliche Schutzebene, die in den meisten Netzwerkfilter-Firewalls noch nicht vorhanden ist.

    Symantec Host IDS
    Symantec hat am 12. August 2003 eine Aktualisierung für Symantec Host IDS 4.1 veröffentlicht.

    Intruder Alert
    Symantec hat am 12. August 2003 eine Intruder Alert 3.6 W32_Blaster_Worm Policy herausgebracht.

    Symantec Enterprise Firewall
    Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie vor W32.Blaster.Worm und blockiert standardmäßig alle oben aufgeführten TCP-Ports.

    Symantec ManHunt
    • Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit dieser Schwachstelle verbundene Aktivität als "Portsweep." Obwohl ManHunt die mit dieser Schwachstelle verbundene Aktivität mit der Protocol Anomaly Detection-Technologie erkennt, können Sie die benutzerdefinierte Signatur "Microsoft DCOM RPC Buffer Overflow" verwenden, die als Security Update 4 herausgebracht wurde, um eine Ausnutzung der Sicherheitslücke genau zu identifizieren.
    • Security Update 5 wurde herausgebracht, um spezifische Signaturen für W32.Blaster.Worm zu bieten, damit weitere Attribute von W32.Blaster.Worm erkannt werden können.
    • Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit der SYN-Paketflut des DoS-Angriffs verbundene Aktivität. Security Response hat eine benutzerspezifische Signatur für ManHunt 3.0 erstellt, die in Security Update 6 verfügbar ist und mit der dieser Angriff speziell als Blaster DoS-Anfrage erkannt wird.

    Enterprise Security Manager
    Symantec Security Response hat am 17. Juli 2003 für diese Sicherheitslücke eine Response Policy veröffentlicht.

    Symantec Vulnerability Assessment
    Symantec Security Response hat am 17. Juli 2003 eine Version veröffentlicht, mit der diese Sicherheitslücke entdeckt und gemeldet wird. Klicken Sie hier, um weitere Informationen zu erhalten.

    Symantec NetRecon
    Symantec NetRecon kann Computer erkennen, die für die Infektion W32.Blaster.Wurm anfällig sind, indem die Pufferüberlaufschwachstelle in der Microsoft DCOM RPC-Schnittstelle erkannt wird. Weitere Informationen erhalten Sie in der Sicherheitsaktualisierung SU6 für Symantec NetRecon.

    Empfehlungen

    Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

    • Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
    • Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
    • Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
    • Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
    • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
    • Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
    • Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
    Entfernungsanweisungen


    Entfernung mit dem W32.Blaster.Worm-Entfernungsprogramm
    Symantec Security Response hat ein Programm zur Entfernung von W32.Blaster.Worm-Infektionen entwickelt. Dies ist die einfachste Methode zur Beseitigung dieser Bedrohung. Sie sollte als erstes versucht werden. Sie können das W32.Blaster.Worm-Entfernungsprogramm über das folgende Dokument in unserer Datenbank erhalten: W32.Blaster.Worm-Entfernungsprogramm.

    Manuelle Entfernung
    Anstatt mit dem Entfernungsprogramm können Sie diese Gefahr auch manuell entfernen. Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Symantec Antivirus-Produkte, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
    1. Stellen Sie wieder eine funktionierende Internetverbindung her.
    2. Beenden Sie den Trojanerprozess.
    3. Laden Sie die aktuellsten Virusdefinitionen herunter.
    4. Prüfen Sie den Computer und löschen Sie infizierte Dateien.
    5. Machen Sie die an der Registrierung vorgenommenen Änderungen rückgängig.
    6. Installieren Sie das HotFix von Microsoft, um die DCOM RPC-Schwachstelle zu korrigieren.


    Beachten Sie für weitere Informationen die folgenden Anweisungen:

    1. Wiederherstellen einer funktionierenden Internetverbindung
    In vielen Fällen kann sowohl unter Windows 2000 als auch unter XP eine Änderung der Einstellungen für den Remote Call Procedure (RPC)-Dienst eventuell bewirken, dass Sie eine Verbindung zum Internet herstellen können, ohne dass der Computer herunterfährt. Führen Sie folgende Schritte aus, um wieder eine Verbindung von Ihrem PC mit dem Internet herzustellen:
      1. Klicken Sie auf "Start" und dann auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
      2. Geben Sie im Feld "Öffnen" Folgendes ein:

        SERVICES.MSC /S

        Klicken Sie anschließend auf "OK". Das Fenster "Dienste" wird geöffnet.
      3. Suchen Sie im rechten Teilfenster den Dienst "Remoteprozeduraufruf (RPC)".

        ACHTUNG: Es gibt auch einen Dienst namens "Remoteprozeduraufruf (RPC) Locator". Vergewissern Sie sich, dass Sie den richtigen Dienst auswählen.

      4. Klicken Sie mit der rechten Maustaste auf den Dienst "Remoteprozeduraufruf (RPC)" und anschließend auf "Eigenschaften".
      5. Klicken Sie auf die Registerkarte "Wiederherstellen".
      6. Ändern Sie über die Dropdown-Listen die Einstellungen für "Erster Fehlschlag", "Zweiter Fehlschlag" und "Weitere Fehlschläge" auf "Dienst neu starten".
      7. Klicken Sie auf "Übernehmen" und anschließend auf "OK".

        ACHTUNG: Machen Sie diese Änderungen nach Entfernung des Wurms unbedingt wieder rückgängig.
      2. Beenden des Wurmprozesses
      1. Drücken Sie zugleich Strg+Alt+Entf.
      2. Klicken Sie auf "Task-Manager".
      3. Klicken Sie auf die Registerkarte "Prozesse".
      4. Doppelklicken Sie auf die Spaltenüberschrift "Name", um die Prozesse alphabetisch zu ordnen.
      5. Durchsuchen Sie die Liste nach Msblast.exe.
      6. Wenn Sie die Datei gefunden haben, klicken Sie zuerst auf die Datei und anschließend auf "Prozess beenden".
      7. Schließen Sie den Task-Manager.
        3. Herunterladen der aktuellsten Virusdefinitionen
        Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
          Für Computeranwender mit wenig Erfahrung
          Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Seit dem 11. August 2003 sind Virusdefinitionen für W32.Blaster.Worm über unseren LiveUpdate-Server verfügbar. Um die aktuellsten Virusdefinitionen zu erhalten, klicken Sie in der Hauptbenutzeroberfläche Ihres Symantec Produkts auf die Schaltfläche "LiveUpdate". Stellen Sie sicher, dass beim Ausführen von LiveUpdate die Option "Norton AntiVirus-Virendefinitionen" aktiviert ist. Produktaktualisierungen können zu einem späteren Zeitpunkt bezogen werden.

          Für Systemadministratoren und erfahrene Anwender
          Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).

          Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie Sie die Virensignaturen mit dem Intelligent Updater aktualisieren.
        4. Prüfen Sie den Computer und löschen Sie infizierte Dateien
        1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien eingerichtet ist.
        2. Führen Sie eine vollständige Systemprüfung durch.
        3. Wenn Dateien als mit W32.Blaster.Worm infiziert gemeldet werden, klicken Sie auf "Löschen".

        5. Rückgängigmachen der an der Registrierung vorgenommenen Änderungen
        ACHTUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.

        1. Klicken Sie auf "Start" und anschließend auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
        2. Geben Sie regedit ein.

          Klicken Sie auf "OK". Der Registrierungseditor wird geöffnet.

        3. Suchen Sie den Schlüssel

          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
        4. Löschen Sie diesen Wert im rechten Teilfenster:

          windows auto update
        5. Schließen Sie den Registrierungseditor.

        6. Installieren des HotFix von Microsoft, um die DCOM RPC-Schwachstelle zu korrigieren
        W32.Blaster.Worm ist ein Wurm, der die DCOM RPC-Schwachstelle über den TCP-Port 135 ausnutzt, um Ihren PC zu infizieren. Der Wurm versucht außerdem, einen Denial-of-Service (DoS) -Angriff auf den Windows Update-Webserver von Microsoft (windowsupdate.com) über Ihren PC zu starten. Um dieses Problem zu beheben, ist es wichtig, das Microsoft Hotfix über den Microsoft Security Bulletin MS03-039 herunterzuladen und zu installieren.

        Zusätzliche Informationen:

        Zusätzliche Informationen und eine alternative Website, von der der Microsoft-Patch heruntergeladen werden kann, sind im Microsoft-Artikel W32.Blaster.Worm verfügbar.

        Bisherige Aktualisierungen:

        26. Februar 2004:

        • Aufgrund abnehmender Zahl von Meldungen von Kategorie 3 auf Kategorie 2 herabgestuft.
        8. Oktober 2003:
        • Aufgrund abnehmender Zahl von Meldungen von Kategorie 4 auf Kategorie 3 herabgestuft.
        28. August 2003:
        • Link zu Dokument mit Informationen über durch Blaster verursachten Netzwerkverkehr hinzugefügt.
        20. August 2003:
        • Informationen zu Symantec Client Security hinzugefügt.
        15. August 2003:
        • Zusätzliche Empfehlung bezüglich des Einschränkens des DoS-Angriffs hinzugefügt.
        • Verweis auf Aktualisierungen für Symantec NetRecon und Symantec Vulnerability Assessment hinzugefügt.
        • Link zum Webcast von Symantec hinzugefügt.
        • Zusätzliche Informationen über Aktualisierungen von Symantec ManHunt hinzugefügt.
        14.August 2003:
        • Empfehlungen zum Abschwächen des DoS-Angriffs hinzugefügt.
        • DoS-Informationen aktualisiert.
        • Informatiionen über den DoS-Verkehr hinzugefügt.
        13. August 2003:
        • Hauptschritte der Entfernungsanweisungen neu geordnet.
        • Download-Bereich hinzugefügt.
        • Geringfügige Neuformatierungen.
        • Anweisungen bezüglich der Systemwiederherstellung in Windows aus den Entfernungsanweisungen entfernt.
        12. August 2003:
        • Upgrade von Kategorie 4 auf Kategorie 3 aufgrund der steigenden Zahl von Meldungen.
        • Zusätzliche Aliasnamen hinzugefügt.
        • Abschnitt "Technische Beschreibung" aktualisiert.
        • Informationen zum Ändern der RPC-Einstellungen in den Entfernungsanweisungen hinzugefügt.


        Englische Version dieses Dokuments

        Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.

        Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.


        Zuletzt aktualisiert von: Douglas Knowles, Frederic Perriot, Peter Szor