Lovsan Virus

Ein unter den Bezeichnungen „W32.Blaster.worm“ oder „W32/Lovsan.worm“ bekannter Schädling nutzt eine Sicherheitslücke in Windows NT4, 2000, XP und 2003 Server. Zur Verbreitung nutzt das gestern Abend entdeckte Programm eine Sicherheitslücke im Remote Procedure Call (RPC) Dienst der genannten Betriebsysteme. Über die bereits Mitte Juli 2003 von Microsoft bekanntgegebene Schwachstelle wird Programm-Code ausgeführt, der den Wurm selbst in Form der Datei „msblast.exe“ auf den Rechner läd. Ein Eintrag in der Registry sorgt fortan für den Aufruf dieser Datei bei jedem Systemstart. Die Schadensroutine ist so ausgelegt, dass sie ab dem 16. August diesen Jahres einen DOS-Angriff auf Microsofts Update-Server startet.

Sollte Ihr Rechner bereits infiziert sein, lässt sich der ungebetene Gast mittels Symantecs „W32.Blaster.Worm Removal Tool“ (http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html) zuverlässig entfernen.

Leider verhalten sich einige befallene Systeme dermaßen instabil, dass ein Download der entsprechenden Tools und Patches nicht mehr möglich ist. In diesem Fall kommt nur eine manuelle Entfernung in Betracht. Gehen Sie hierzu wie folgt vor:
- Stoppen msblast.exe über den Task-Manager
- Entfernen Sie die Datei aus dem Verzeichnis „System32“ in Ihrem Systemordner
- Rufen Sie über „Ausführen“ den Registry-Editor (regedit) auf und durchsuchen (Strg-F) Sie die Registrierung nach „msblast“
- Entfernen Sie alle gefundenen Einträge
Nach einem Neustart sollten Sie sofort das angesprochene Sicherheits-Update downloaden und installieren. Auch das Sperren von Port 135 über eine Firewall schützt den PC vor einem erneuten Befall.