Seit gestern ist ein neuer Wurm namens W32.Blaster.Worm im Umlauf. Dieser benutzt eine Sicherheitslücke im Remoteprozeduraufruf (RPC) unter Windows-Systemen mit der NT-Engine. Der Wurm gelangt über diesen Internetdienst auf das System und schreibt sich selbst in die Registry. Durch einen Buffer overrun in jenem Modul wird der Rechner dann prompt zum Neustart gezwungen. Letztenendes kann man als Windows-User nicht mehr ins Internet, weil der Rechner kurz nach erfolgreichem Verbindungsaufbau zwangsmäßig neustartet. Der Wurm verbreitet sich extrem schnell, in den letzten zwei Tagen sind einige Tausend Infektionen gemeldet worden.
Manche Antivirenprogramme besitzen bereits Updates, jene können aber durch den Neustart nicht ausgeführt werden. Um den Wurm zu beseitigen, geht folgendermaßen vor:
1.: Geht auf Systemsteuerung -> Verwaltung -> Dienste und wählt dort mit einem Rechtsklick "Remoteprozeduraufruf" aus. Auf Eigenschaften -> Wiederherstellung wählt ihr anstelle von Systemneustart "Dienst neu starten" aus. Damit verhindert ihr den Reboot.
2.: Microsoft hat einen Patch bereitgestellt, der die Sicherheitslücke beseitigt. Ihr könnt ihn hier runterladen. Bitte trennt nach dem Runterladen die Internetverbindung, da durch den Wurm jedes beliebige Programm auf euren Rechner geschleust werden kann.
3.: Installiert den Patch und stellt die ursprünglichen Einstellungen für den Remoteprozedurauflauf wieder her.
Nun solltet ihr keine Probleme mehr haben, wenn ihr ins Internet wollt. Weitere Informationen zum Wurm gibt es auf der Symantic-Page, allerdings auf englisch.
P.S. Befallen werden können nur User mit XP,2000, NT und Server 2003
mfg NoStyle