Lovsan - "Billy Gates - warum machst du dies möglich..."

Oh je, ein Wurm! Oder ein Virus? Das Ende des Internets! Oder was denn nun?

Überall liest und hört man, dass es nun vorbei ist mit dem ach so bequemen und sorgenfreiem Surfen im Internet. Jetzt ist der Bösewicht "Lovgate" da, knabbert die PCs von ahnungslosen Usern an und macht das ganze schöne www kaputt. Oh wehwehweh! Sowas Gemeines! Wer macht nur so was und warum? Das fragt man sich in der Tat bei den meisten Viren, und die Antwort fällt selten so leicht wie bei "Lovgate", hat doch der Autor eine eindeutige Nachricht hinterlassen: "Billy Gates, warum machst du dies möglich? Hör auf Geld zu scheffeln und bring deine Software in Ordnung!"

Zugegeben, einen Virus zu schreiben und zu verbreiten ist sicher nicht das Netteste was man tun kann, um Microsoft auf die zahlreichen Sicherheitslücken in den Windows-Betriebssystemen hinzuweisen. Wir User sind ja machtlos, können nur versuchen uns durch Installation zusätzlicher Software und durch regelmäßige Updates und Laden von Sicherheitspatches zu schützen (oder ein anderes Betriebssystem installieren). Bei dem Einen oder Anderen mag sich nun bei dem Gedanken, dass hier jetzt jemand zurückgeschlagen hat ein leises Grinsen in den Mundwinkeln etablieren. "Lovgate" ist sozusagen die kollektive Rache der kleinen "Windoof-User" am reichsten Mann der Welt. Kicher, kicher - aber nicht vergessen, die aktuellen Patches zu laden! :-(

Ist "Lovgate" denn wirklich so gefährlich? Ja und nein. "Lovgate" oder "WORM_MSBLAST.A" oder "Lovesan" nutzt infizierte Systeme, um via DDoS-Attacken den Windows-Update-Server von Microsoft lahmzulegen (eine Erklärung zu DDoS-Angriffen finden Sie unter "TCP-IP"). Mit dem nächsten Angriff kann laut Code am Samstag den 16.08.2003 gerechnet werden. Die Schwachstelle in Windows, welche vom Wurm genutzt wird, erlaubt das Ausführen von beliebigem Code auf dem infizierten System. Der Autor könnte z.B. den Inhalt der gesamten Festplatte löschen oder die Daten an eine beliebige Adresse verschicken. Offenbar wird aber dieses Potenzial vom Wurm nicht genutzt. Der Autor hat es scheinbar nur auf besagten Microsoft-Server abgesehnen und will mit dieser Aktion wohl auf das bekannte Sicherheitsloch "DCOM/RPC" (Port 135) aufmerksam machen. Steve Gibson von der Gibson Research Corporation meint dazu auf seiner Website: "Der Wurm trat gewissermaßen "behutsam" auf - wenn der Autor es gewollt hätte, dann hätte er den Microsoft-Server mit Leichtigkeit abschießen können."

Mehr Informationen zum Thema "Ports" finden Sie unter "Ports - Türen zum PC".

Lesen Sie auch den Artikel "Das DCOM-Desaster" und deaktivieren Sie unbedingt das DCOM in Ihrem Windowssystem. Wie einfach das geht lesen Sie im Artikel "Das DCOM-Desaster".

Um mehr über den Wurm "Lovgate" und das Sicherheitsloch in den Windows-Betriebsystemen XP, 2000 und NT (andere Windowssysteme wie z.B. ME oder 98 sind übrigens noch anfälliger) zu erfahren lesen Sie z.B.die Virenmeldung bei Trendmicro oder gehen Sie zum entsprechenden Microsoft-Bulletin.

Weitere Informationen und verständlich geschriebene Artikel zum Thema finden Sie auf den Seiten von website-go.

Wie Sie herausfinden, ob Ihr System infiziert ist und Sie den Virus wieder loswerden lesen Sie hier:

1. Öffnen Sie den "Task-Manager" (Tasten Strg+Alt+entf gleichzeitig drücken) und gehen zur Registerkarte "Prozesse".
2. Suchen Sie nach dem Eintrag MSBLAST.EXE und beenden Sie ihn gegebenenfalls.
3. Schließen und Starten Sie den "Task-Manager" erneut, um zu überprüfen, ob der Prozess beendet wurde. Falls nicht beenden Sie ihn wieder und starten den PC neu.
4. Um den Eintrag im Autostartverzeichnis aus der Registrierung zu entfernen machen Sie folgendes: Öffnen Sie die Registrierung (Start/ ausführen "regedit" in das Fenster tippen und Eingabe drücken) Folgen Sie nun dem Pfad: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run und löschen Sie den Eintrag ” windows auto update " = MSBLAST.EXE . Schließen Sie die Registry.

zurück zur Startseite von website-go!