W32.Blaster.Worm

Druckansicht

Erkannt: August 11, 2003
Aktualisiert: February 13, 2007 12:10:05 PM
Auch bekannt als: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
Typ: Worm
Infektionslänge: 6.176 Byte
Betroffene Systeme: Windows
CVE-Referenzen: CAN-2003-0352


Aufgrund der gesunkenen Zahl von Meldungen hat Symantec Security Response diese Bedrohung am 8. Oktober 2003 von Kategorie 4 auf Kategorie 3 herabgesetzt.

W32.Blaster.Worm ist ein Wurm, der die DCOM RPC-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-026 ) über den TCP-Port 135 ausnutzt. Der Wurm greift nur Computer mit den Betriebssystemen Windows 2000 und Windows XP an. Zwar ist die oben genannte Sicherheitslücke auch auf Windows NT- und Windows 2003-Servern vorhanden (soweit diese nicht mit dem entsprechenden Patch versehen wurden), der Wurm enthält jedoch keinen Code zum Replizieren auf diese Systeme. Dieser Wurm versucht, die Datei msblast.exe in das Verzeichnis %WinDir%\system32 herunterzuladen und anschließend auszuführen. W32.Blaster.Worm ist kein Massen-Mail-Wurm.

Zusätzliche Informationen und eine alternative Website, von der der Microsoft-Patch heruntergeladen werden kann, sind im Microsoft-Artikel W32.Blaster.Worm verfügbar.

Wir empfehlen Ihnen, auf der Firewall-Ebene den Zugriff auf den TCP-Port 4444 zu sperren und anschließend die folgenden Ports zu blockieren, wenn diese nicht die aufgeführten Anwendungen verwenden:

  • TCP-Port 135, "DCOM RPC"
  • UDP-Port 69, "TFTP"
Der Wurm versucht außerdem, einen Denial-of-Service- (DoS) -Angriff auf den Microsoft Windows Update-Webserver (windowsupdate.com) zu starten. Dadurch versucht er, zu verhindern, dass Sie auf Ihrem Computer einen Patch gegen die DCOM RPC-Schwachstelle installieren können.

Klicken Sie hier , um weitere Informationen zu der Schwachstelle, die dieser Wurm ausnutzt, zu erhalten, und um herauszufinden, mit welchen Symantec Produkten das Risiko einer Ausnutzung dieser Schwachstelle verringert werden kann.


Hinweis: Diese Bedrohung wird durch Virusdefinitionen mit folgenden Merkmalen entdeckt:
    • Definitionsversion: 50811s
    • Folgenummer: 24254
    • Erweiterte Version: 8/11/2003, rev. 19



Symantec Security Response hat ein Programm zur Entfernung von W32.Blaster.Worm-Infektionen entwickelt.


Webcast für W32.Blaster.Worm
Über folgende URL können Sie einen englischsprachigen Webcast erhalten, der detaillierte Eingrenzungs- und Lösungsstrategien sowie eine ausführliche Beschreibung des DoS-Angriffs enthält.
    http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63

    Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Blaster.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting network traffic that may be due to RPC worms .




    Zusätzliche Informationen und eine alternative Website, von der der Microsoft-Patch heruntergeladen werden kann, sind im Microsoft-Artikel W32.Blaster.Worm verfügbar.


    Termine für Antivirus-Schutz

    • Erste Rapid Release-Version August 11, 2003
    • Latest Rapid Release version November 07, 2018 Änderung 025
    • Erste Daily Certified-Version August 11, 2003
    • Latest Daily Certified version November 08, 2018 Änderung 001
    • Initial Weekly Certified release date August 11, 2003

    Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

    Dokument verfasst von: Douglas Knowles, Frederic Perr

    Erkannt: August 11, 2003
    Aktualisiert: February 13, 2007 12:10:05 PM
    Auch bekannt als: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
    Typ: Worm
    Infektionslänge: 6.176 Byte
    Betroffene Systeme: Windows
    CVE-Referenzen: CAN-2003-0352


    Bei Ausführung geht W32.Blaster.Worm folgendermaßen vor:

    1. Er überprüft, ob ein Computer bereits infiziert ist, und ob der Wurm ausgeführt wird. Wenn dies der Fall ist, infiziert der Wurm den Computer nicht ein zweites Mal.

    2. Er fügt den Wert

      "windows auto update"="msblast.exe"

      dem folgenden Registrierungsschlüssel hinzu:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

    3. Er generiert eine IP-Adresse und versucht, den Computer mit dieser Adresse zu infizieren. Die IP-Adresse wird anhand der folgenden Algorithmen generiert:
      • In 40 % der Fälle wird die IP-Adresse nach dem Schema A.B.C.0 generiert, wobei A und B den ersten beiden Teilen der IP-Adresse des infizierten Computers entsprechen.

        C wird mit dem dritten Teil der IP-Adresse des infizierten Systems berechnet. In 40 % der Fälle prüft der Wurm, ob C größer als 20 ist. Ist dies der Fall, so wird ein willkürlicher Wert, der kleiner als 20 ist, von C abgezogen. Nach Berechnung der IP-Adresse versucht der Wurm, einen Computer mit der IP-Adresse A.B.C.0 zu finden und anzugreifen.

        Der Wurm zählt dann von 0 jeweils um 1 aufwärts und versucht dabei, andere Computer auf Grundlage der neuen IP-Adresse zu finden und auszunutzen, bis der Wert 254 erreicht ist.
      • In 60 % der Fälle wird die IP-Adresse völlig zufällig generiert.

    4. Er sendet Daten auf dem TCP-Port 135, durch die die DCOM RPC-Sicherheitslücke ausgenutzt werden kann. Der Wurm sendet eine von zwei Arten von Daten: Entweder Daten zum Ausnutzen von Windows XP oder zum Ausnutzen von Windows 2000.

      In 80 % der Fälle werden Windows XP-Daten gesendet, und in 20 % der Fälle werden Windows 2000-Daten gesendet.


      Hinweise:
      • Das lokale Teilnetz wird mit Anfragen für den Port 135 überlastet.
      • Obwohl W32.Blaster.Worm sich nicht auf Windows NT oder Windows Server 2003 ausbreiten kann, können Computer ohne Patch mit diesen Betriebssystemen aufgrund der Angriffsversuche des Wurms abstürzen. Wenn der Wurm jedoch auf Computern mit diesen Betriebssystemen manuell eingebracht und gestartet wird, wird er ausgeführt und kann sich ausbreiten.
      • Aufgrund der zufälligen Art und Weise, auf die der Wurm die Angriffsdaten konstruiert, kann der RPC-Dienst abstürzen, wenn er falsche Daten erhält. Dies äußert sich in der Datei svchost.exe, die aufgrund der falschen Daten Fehlermeldungen generiert.
      • Wenn der RPC-Dienst abstürzt, besteht das Standardverfahren unter Windows XP und Windows Server 2003 darin, den Computer neu zu starten. Um diese Funktion zu deaktivieren, beachten Sie Schritt 1 in den unten stehenden Entfernungsanweisungen.

    5. Er erstellt mithilfe von Cmd.exe einen versteckten, entfernten Shell-Prozess, der den TCP-Port 4444 überwacht. Dies ermöglicht einem Angreifer, auf dem infizierten, entfernten System Befehle einzugeben.

    6. Er überwacht den UDP-Port 69. Wenn der Wurm eine Anfrage von einem Computer erhält, mit dem er über die DCOM RPC-Sicherheitslücke eine Verbindung aufbauen konnte, sendet er die Programmdatei msblast.exe an diesen Computer und gibt den Befehl, den Wurm auszuführen.

    7. Wenn das aktuell eingestellte Datum zwischen dem 16. und dem Monatsende in einem Monat zwischen Januar und August liegt oder wenn der Monat ein Monat zwischen September und Dezember ist, versucht der Wurm, einen DoS-Angriff auf Windows Update auszuführen. Der DoS-Angriff ist jedoch nur erfolgreich, wenn die folgenden Bedingungen zutreffen:
      • Der Wurm wird auf einem Windows XP-Computer ausgeführt, der während des DoS-Ausführungszeitraums entweder infiziert war oder neu gestartet wurde.
      • Der Wurm wird auf einem Windows 2000-Computer ausgeführt, der während des DoS-Ausführungszeitraums infiziert wurde und seit der Infektion nicht mehr neu gestartet wurde.
      • Der Wurm wird auf einem Windows 2000-Computer ausgeführt, der während des DoS-Ausführungszeitraums infiziert wurde und seit der Infektion neu gestartet wurde, wenn der aktuell angemeldete Benutzer über Administratorrechte verfügt.

    8. Der DoS-Verkehr besitzt folgende Merkmale:
      • Port 80 von windowsupdate.com wird mit SYN-Paketen überflutet.
      • Es wird versucht, in jeder Sekunde 50 HTTP-Pakete zu senden.
      • Jedes Paket ist 40 Bytes lang.
      • Wenn der Wurm keinen DNS-Eintrag für windowsupdate.com finden kann, verwendet er eine Zieladresse aus 255.255.255.255.

      Die TCP- und IP-Header besitzen unter anderem folgende, festgelegte Merkmale:
        • IP-Identifikation = 256
        • TTL-Wert (Lebensdauer) = 128
        • Quell-IP-Adresse = a.b.x.y, wobei a.b aus der Host-IP-Adresse stammen und x.y zufällig gewählt sind. In einigen Fällen werden a.b ebenfalls zufällig gewählt.
        • Ziel-IP-Adresse = DNS-Auflösung von "windowsupdate.com"
        • TCP-Quellport = zwischen 1000 und 1999
        • TCP-Zielport = 80
        • TCP-Sequenznummer = die beiden niedrigen Bytes sind auf 0 gesetzt, die beiden hohen Bytes werden zufällig gewählt.
        • TCP-Fenstergröße = 16384 Bytes
    Der Wurm enthält den folgenden Text, der jedoch nie angezeigt wird:

    I just want to say LOVE YOU SAN!!
    billy gates why do you make this possible ? Stop making money and fix your software!!

    Eingrenzen des Denial-of-Service-Angriffs
    Am 15. August 2003 hat Microsoft den DNS-Datensatz für windowsupdate.com entfernt. Der Denial-of-Service-Angriff des Wurms beeinträchtigt zwar nicht mehr die Funktion der Microsoft Windows Update-Website, jedoch können Netzwerkadministratoren die folgenden Empfehlungen trotzdem befolgen, um den DoS-Schaden einzugrenzen.
    • Leiten Sie windowsupdate.com auf eine spezielle interne IP-Adresse um. Dadurch können Sie feststellen, welche Computer infiziert sind, wenn Sie einen "überwachenden Server" haben, der die SYN-Pakete abfängt.
    • Konfigurieren Sie Anti-Spoofing-Regeln für die Router, wenn dies noch nicht durchgeführt wurde. Dadurch wird verhindert, dass eine große Anzahl von Paketen das Netzwerk verlässt. Sehr effektiv ist auch das Verwenden von uRPF oder Zugriffskontrolllisten für ausgehenden Netzwerkverkehr.

    Symantec Client Security
    Symantec hat am 15. August 2003 über LiveUpdate IDS-Signaturen veröffentlicht, mit denen eine Aktivität der Bedrohung W32.Blaster.Worm erkannt wird.

    Symantec Gateway Security
    • Symantec hat am 12. August 2003 eine Aktualisierung für Symantec Gateway Security 1.0 veröffentlicht.
    • Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie vor dieser Microsoft-Sicherheitslücke und blockiert standardmäßig alle oben aufgeführten TCP-Ports. Für maximale Sicherheit blockiert die dritte Generation der vollständigen Anwendungsinspektionstechnologie intelligent das Verwenden von Tunneln für DCOM-Verkehr über HTTP-Kanäle und bietet so eine zusätzliche Schutzebene, die in den meisten Netzwerkfilter-Firewalls noch nicht vorhanden ist.

    Symantec Host IDS
    Symantec hat am 12. August 2003 eine Aktualisierung für Symantec Host IDS 4.1 veröffentlicht.

    Intruder Alert
    Symantec hat am 12. August 2003 eine Intruder Alert 3.6 W32_Blaster_Worm Policy herausgebracht.

    Symantec Enterprise Firewall
    Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie vor W32.Blaster.Worm und blockiert standardmäßig alle oben aufgeführten TCP-Ports.

    Symantec ManHunt
    • Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit dieser Schwachstelle verbundene Aktivität als "Portsweep." Obwohl ManHunt die mit dieser Schwachstelle verbundene Aktivität mit der Protocol Anomaly Detection-Technologie erkennt, können Sie die benutzerdefinierte Signatur "Microsoft DCOM RPC Buffer Overflow" verwenden, die als Security Update 4 herausgebracht wurde, um eine Ausnutzung der Sicherheitslücke genau zu identifizieren.
    • Security Update 5 wurde herausgebracht, um spezifische Signaturen für W32.Blaster.Worm zu bieten, damit weitere Attribute von W32.Blaster.Worm erkannt werden können.
    • Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit der SYN-Paketflut des DoS-Angriffs verbundene Aktivität. Security Response hat eine benutzerspezifische Signatur für ManHunt 3.0 erstellt, die in Security Update 6 verfügbar ist und mit der dieser Angriff speziell als Blaster DoS-Anfrage erkannt wird.

    Enterprise Security Manager
    Symantec Security Response hat am 17. Juli 2003 für diese Sicherheitslücke eine Response Policy veröffentlicht.

    Symantec Vulnerability Assessment
    Symantec Security Response hat am 17. Juli 2003 eine Version veröffentlicht, mit der diese Sicherheitslücke entdeckt und gemeldet wird. Klicken Sie hier , um weitere Informationen zu erhalten.

    Symantec NetRecon
    Symantec NetRecon kann Computer erkennen, die für die Infektion W32.Blaster.Wurm anfällig sind, indem die Pufferüberlaufschwachstelle in der Microsoft DCOM RPC-Schnittstelle erkannt wird. Weitere Informationen erhalten Sie in der Sicherheitsaktualisierung SU6 für Symantec NetRecon.


    Empfehlungen

    Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

    • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
    • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
    • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
    • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
    • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
    • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
    • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
    • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
    • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
    • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
    • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
    • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
    • For further information on the terms used in this document, please refer to the Security Response glossary.

    Dokument verfasst von: Douglas Knowles, Frederic Perr

    Erkannt: August 11, 2003
    Aktualisiert: February 13, 2007 12:10:05 PM
    Auch bekannt als: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
    Typ: Worm
    Infektionslänge: 6.176 Byte
    Betroffene Systeme: Windows
    CVE-Referenzen: CAN-2003-0352



    Entfernung mit dem W32.Blaster.Worm-Entfernungsprogramm
    Symantec Security Response hat ein Programm zur Entfernung von W32.Blaster.Worm-Infektionen entwickelt. Dies ist die einfachste Methode zur Beseitigung dieser Bedrohung. Sie sollte als erstes versucht werden. Sie können das W32.Blaster.Worm-Entfernungsprogramm über das folgende Dokument in unserer Datenbank erhalten: W32.Blaster.Worm-Entfernungsprogramm .

    Manuelle Entfernung
    Anstatt mit dem Entfernungsprogramm können Sie diese Gefahr auch manuell entfernen. Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Symantec Antivirus-Produkte, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.

    1. Stellen Sie wieder eine funktionierende Internetverbindung her.
    2. Beenden Sie den Trojanerprozess.
    3. Laden Sie die aktuellsten Virusdefinitionen herunter.
    4. Prüfen Sie den Computer und löschen Sie infizierte Dateien.
    5. Machen Sie die an der Registrierung vorgenommenen Änderungen rückgängig.
    6. Installieren Sie das HotFix von Microsoft, um die DCOM RPC-Schwachstelle zu korrigieren.


    Beachten Sie für weitere Informationen die folgenden Anweisungen:

    1. Wiederherstellen einer funktionierenden Internetverbindung
    In vielen Fällen kann sowohl unter Windows 2000 als auch unter XP eine Änderung der Einstellungen für den Remote Call Procedure (RPC)-Dienst eventuell bewirken, dass Sie eine Verbindung zum Internet herstellen können, ohne dass der Computer herunterfährt. Führen Sie folgende Schritte aus, um wieder eine Verbindung von Ihrem PC mit dem Internet herzustellen:
      1. Klicken Sie auf "Start" und dann auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
      2. Geben Sie im Feld "Öffnen" Folgendes ein:

        SERVICES.MSC /S

        Klicken Sie anschließend auf "OK". Das Fenster "Dienste" wird geöffnet.
      3. Suchen Sie im rechten Teilfenster den Dienst "Remoteprozeduraufruf (RPC)".


        ACHTUNG: Es gibt auch einen Dienst namens "Remoteprozeduraufruf (RPC) Locator". Vergewissern Sie sich, dass Sie den richtigen Dienst auswählen.

      4. Klicken Sie mit der rechten Maustaste auf den Dienst "Remoteprozeduraufruf (RPC)" und anschließend auf "Eigenschaften".
      5. Klicken Sie auf die Registerkarte "Wiederherstellen".
      6. Ändern Sie über die Dropdown-Listen die Einstellungen für "Erster Fehlschlag", "Zweiter Fehlschlag" und "Weitere Fehlschläge" auf "Dienst neu starten".
      7. Klicken Sie auf "Übernehmen" und anschließend auf "OK".


        ACHTUNG: Machen Sie diese Änderungen nach Entfernung des Wurms unbedingt wieder rückgängig.
      2. Beenden des Wurmprozesses
      1. Drücken Sie zugleich Strg+Alt+Entf.
      2. Klicken Sie auf "Task-Manager".
      3. Klicken Sie auf die Registerkarte "Prozesse".
      4. Doppelklicken Sie auf die Spaltenüberschrift "Name", um die Prozesse alphabetisch zu ordnen.
      5. Durchsuchen Sie die Liste nach Msblast.exe.
      6. Wenn Sie die Datei gefunden haben, klicken Sie zuerst auf die Datei und anschließend auf "Prozess beenden".
      7. Schließen Sie den Task-Manager.
        3. Herunterladen der aktuellsten Virusdefinitionen
        Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
          Für Computeranwender mit wenig Erfahrung
          Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Seit dem 11. August 2003 sind Virusdefinitionen für W32.Blaster.Worm über unseren LiveUpdate-Server verfügbar. Um die aktuellsten Virusdefinitionen zu erhalten, klicken Sie in der Hauptbenutzeroberfläche Ihres Symantec Produkts auf die Schaltfläche "LiveUpdate". Stellen Sie sicher, dass beim Ausführen von LiveUpdate die Option "Norton AntiVirus-Virendefinitionen" aktiviert ist. Produktaktualisierungen können zu einem späteren Zeitpunkt bezogen werden.

          Für Systemadministratoren und erfahrene Anwender
          Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).

          Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie Sie die Virensignaturen mit dem Intelligent Updater aktualisieren.
        4. Prüfen Sie den Computer und löschen Sie infizierte Dateien
        1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien eingerichtet ist.
        2. Führen Sie eine vollständige Systemprüfung durch.
        3. Wenn Dateien als mit W32.Blaster.Worm infiziert gemeldet werden, klicken Sie auf "Löschen".

        5. Rückgängigmachen der an der Registrierung vorgenommenen Änderungen

        ACHTUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen , bevor Sie fortfahren.

        1. Klicken Sie auf "Start" und anschließend auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
        2. Geben Sie regedit ein.

          Klicken Sie auf "OK". Der Registrierungseditor wird geöffnet.

        3. Suchen Sie den Schlüssel

          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

        4. Löschen Sie diesen Wert im rechten Teilfenster:

          windows auto update

        5. Schließen Sie den Registrierungseditor.

        6. Installieren des HotFix von Microsoft, um die DCOM RPC-Schwachstelle zu korrigieren
        W32.Blaster.Worm ist ein Wurm, der die DCOM RPC-Schwachstelle über den TCP-Port 135 ausnutzt, um Ihren PC zu infizieren. Der Wurm versucht außerdem, einen Denial-of-Service (DoS) -Angriff auf den Windows Update-Webserver von Microsoft (windowsupdate.com) über Ihren PC zu starten. Um dieses Problem zu beheben, ist es wichtig, das Microsoft Hotfix über den Microsoft Security Bulletin MS03-039 herunterzuladen und zu installieren.


        Dokument verfasst von: Douglas Knowles, Frederic Perr