MSBLASTER Wurm und die Folgen

Die Installation der zweiten Version enthält auch die erste Version

A Microsoft am 15. August nicht mehr richtig erreichbar war, hier die Schritte, wie sie sich auf die schnelle schützen können.

  • Trennen Sie ihren PC vom Internet
    Damit Sie die Zeit haben, die folgenden Informationen zu lesen und Ihr Risiko einzuschätzen.
  • MSBLAST infiziert ?
    Kontrollieren Sie, ob sie schon eine Datei MSBLAST.EXE auf ihrem PC finden
    JA -> Löschen und PC neu starten
    NEIN -> Glück gehabt, noch nicht infiziert
  • Installieren Sie eine Firewall
    Die Windows XP Firewall reicht schon zur Verhinderung von MSBLAST aus.
    Ansonsten installieren Sie z.B. die Kerio Personal Firewall (www.kerio.com) oder eine andere Desktopfirewall. Systeme hintern einem Router mit AdressUmsetzung (NAT) sind nicht gefährdet. Nun können Sie wieder ins Internet.
  • Windows Updates
    Installieren Sie die Update von Microsofts Webseite http://windowsupdate.Microsoft.com

MSBLAST hat keinen schweren Schadanteil. Wenn sie sichergestellt haben, dass ihr PC nicht infiziert ist, und sie die Firewall erst herunter laden müssen, dann gehen Sie für die kurze Zeit ungeschützt ins Internet. Millionen anderer Benutzer tun dies auch und wissen es nicht ein mal.

Allgemeine Informationen für Privatanwender habe ich auf Privat PC Sicherheit zusammengestellt.

Microsoft ist nicht schuld !

Microsoft ist durch MSBlast direkt geschädigt, da deren eigene Webseite zeitweilig nicht mehr erreichbar war, aber ist Microsoft nicht selbst dran schuld ? Ich denke nicht, da die Ursache eher bei den Anwendern und Administratoren liegt, die:

  • Ihre Software nicht aktuell halten
    Der Fix ist mehrere Wochen vor dem Wurm schon verfügbar gewesen. Der viel gescholtene Microsoft SUS Server und Windows Update hätten den auch schon installiert, wenn Sie entsprechend konfiguriert wären.
  • Die ihre Server aus dem Internet nicht ausreichend sichern
    Nur wenn der (Port 135 erreichbar ist, kann der Angriff erfolgen. Es gibt kaum eine Notwendigkeit, 135 TCP offen zu halten. Jeder billige DSL-Router kann dies sperren.
  • Die den Zugriff von innen nach außen nicht reglementieren,
    denn sonst hätte der Code nicht per TFTP den eigentlichen Virus "MSBLAST.EXE" nachladen können. Wie wäre es mit einem Proxy, der nur die "erlaubten" Protokolle nach außen durch lässt ?
    Sie glauben gar nicht, wie viele "EDV-Systemhäuser" die auch Firewalls verkaufen, ihrerseits den Zugriff von innen nach außen per NAT zugelassen haben. Das ist ein Fest für alle Viren, die eine eigene SMTP-Engine mitbringen.
  • Die ihre mobilen Anwender nicht ausreichend schützen,
    denn wie sonst kann ein Außendienstler ungesichert sich im Internet den Virus einfangen und dann im Büro per VPN weiter verbreiten. Selbst die WindowsXP eigene Firewall hätte geholfen. Zonealarm und andere ebenso.
  • Ihre Virenscanner nicht im Griff oder das falsche Produkt haben.
    Ansonsten wäre das Update sehr schnell auf alle Systeme verteilt gewesen
  • Keine Sicherheitsrichtlinie haben, die höher steht als die Funktion
    Es gibt Firmen, die Scannen ihr Netz auf Fehler an und deaktivieren den Port, wenn ein System nicht auf dem aktuellen Patchlevel ist.

Service Packs und Hotfixe, als auch Überwachung und Management sind eine Pflicht und keine Kür. Und auch wenn es weh tut. Microsoft kann man vorwerfen, dass das Betriebssystem den Bug hatte, aber niemand ist 100% fehlerfrei und wer die Security Newsletter der anderen Hersteller, DNS, CERT etc. liest, weiß sehr wohl, dass die kein Microsoft Problem ist, sondern alle betrifft. Ein Hersteller kann Prinzip bedingt nur Fehler korrigieren. 100% Error Free gibt es nicht. Und das ist für alle gleich. Also fassen Sie sich an ihre eigene Nase und korrigieren Sie noch heute ihren laxe Securitypolicy. Wie Sie vielleicht das "update Thema" etwas besser in den Gripp bekommen können ? -> Update und Patchmanagement.

  • Microsoft Scan Tools
    http://www.Microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=en
  • 823980 MS03-026: Buffer Overrun in RPC Interface May Allow Code Execution
  • 824146 MS03-039: A Buffer Overrun in RPCSS May Allow Code Execution
  • 826955 Virus Alert About the Blaster Worm and Its Variants
  • 827227 How to use a Visual Basic Script to Install the 823980 Security Patch (MS03-026) on Remote Host Computers
  • 827363 How to use the KB 824146 Scanning Tool to Identify Host Computers That Do Not Have the 823980 (MS03-026) and the 824146 (MS03-039) Security Patches Installed