13.08.2003 · Lovsan macht das Internet unsicher und wirft Fragen auf. Wie erkennt man ihn? Wie wird man ihn wieder los? Und vor allem: Wie entgeht man in Zukunft solchen Attacken?
© AFP
„Billy, mach deine Software sicher!”
Die Gefahr droht diesmal nicht per E-Mail, sondern schon beim bloßen Surfen im Internet. „Lovsan“ heißt der perfide Zeitgenosse, der seit Dienstag sein Unwesen im Internet treibt. Sein Ziel: Möglichst viele Rechner zu infizieren und mit ihrer Hilfe am 16. August die WWW-Update-Seite von Microsoft lahmzulegen.
Der neue Wurm hat viele Namen. Wer ihn nicht Lovsan nennt, kennt ihn unter W32.blaster.Worm, Worm.Win32.Lovesan oder Win32.Poza. Anders als die meisten Computer-Viren verbreitet er sich nicht als Dateianhang an E-Mails, sondern schleust sich einfach beim Surfen in den Rechner ein. Möglich macht das eine Sicherheitslücke in den Betriebssystemen Windows 2000, NT 4.0 und NT 4.0 Terminal Server Edition, Windows XP sowie Windows Server 2003. Mehr Informationen dazu finden Sie über unseren Link im Microsoft Security Bulletin MS03-026.
Nach Ansicht von Experten gibt es sogar schon eine Variante des Schädlings, die dieselbe Sicherheitslücke nutzt. Es ist grundsätzlich möglich, daß eine solche Variante des Wurms so programmiert wird, daß Hacker damit auf den befallenen Rechner zugreifen könnten. Die Ursprungsverison von Lovsan richtet dagegen auf dem Computer keinen Schaden an.
Was bewirkt Lovesan?
Wer sich angesteckt hat, muß es noch nicht einmal sofort merken. Die Strategie des Wurms besteht zunächst einmal darin, sich weltweit auf möglichst vielen Computern einzunisten. Am 16. August dann soll eine Attacke auf einen Microsoft-Server gestartet werden, während der alle infizierten Rechner gleichzeitig auf Microsofts Update-Webseite zugreifen. Die Folge: Der Server kann die vielen Aufrufe nicht mehr verarbeiten und geht in die Knie.
Wie erkennt man ihn?
Ein sicheres Zeichen dafür, daß man den Wurm auf dem PC hat, ist die Existenz der Datei msblast.exe im Windows-Verzeichnis. Zusätzlich dazu kann man in der Registry seines Systems nachschauen. Dort müßte dann im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ der Eintrag „windows auto update = msblast.exe“ stehen.
Auch ein Computerabsturz ist ein Symptom von Lovsan. Dazu öffnet sich eine Mitteilung, daß der Rechner in 60 Sekunden heruntergefahren wird. Um Datenverlust und abgebrochene Downloads zu vermeiden, gibt es folgenden Trick: Klick auf „Start“, danach „Ausführen“ wählen. Hier geben Sie shutdown -a ein und klicken anschließend auf „OK“. Damit wird das Herunterfahren abgebrochen und alle Anwendungen arbeiten normal weiter.
Wie werde ich den Wurm los?
Alternativ helfen auch die Virus-Experten von Trend Micro weiter: Auf der Website des Unternehmens gibt es einen kostenlosen Viruscheck per Internet.
Um den Wurm loszuwerden, gibt es mehrere Möglichkeiten. Einfach und schnell funktioniert beispielsweise ein kleines Download-Programm des Antivirus-Spezialisten Symantec, das zuerst alle Aktivitäten des Wurms stoppt und ihn anschließend aus dem System tilgt. Das Programm können Sie hier downloaden. Bevor Sie es ausführen, schließen Sie bitte alle Anwendungen und deaktivieren Sie bei Windows XP die Dokumentenwiederherstellung, auch System Restore genannt.
Anschließend sollte unbedingt der Service-Patch von Microsoft installiert werden, der die Sicherheitslücke schließt und damit den Lovsan-Wurm und ähnliche Programme in Zukunft abwehrt. Das Service-Paket steht für jedes System auf der Microsoft-Seite zum Download bereit. Grundsätzlich empfiehlt es sich, die Windows Update-Seite im WWW regelmäßig zu besuchen und Service-Pakete zu installieren, um Angriffe durch Würmer wie Lovsan zu vermeiden. Nützlich ist auch eine Firewall, die bei Windows XP beispielsweise mitgeliefert wird. Sie muß lediglich noch aktiviert werden.
